Cyberguerre et cybermenaces vues par l' OTAN

L'assemblée parlementaire de l'Otan (très exactement sa Commission des sciences et des
technologies) a publié un rapport sur le cyberspace et la sécurité euro-atlantique.

Concrètement, cyberguerre et cybermenace vues par l'OTAN, ça donne quoi ?

Tout d'abord on considère que "les activités criminelles, l’espionnage industriel ou les actes de subversion commis dans le cyberespace constituent rarement des menaces pour la sécurité nationale".

Cela sous-entend bien sûr que la sécurité nationale n'est pas celle des peuples mais celle de quelques infrastructures ou institutions. Si l'espionnage industriel ou la subversion ou la domination outrageuse d'un e-monopole mettent en danger l'économie d'un pays et ses possiblités de développement, ce n'est pas une menace pour la sécurité nationale ?!?

Evidemment, le cloisonnement qui est de mise dans l'organisation classique de la guerre et donc dans les esprits de ses servants a un peu de mal avec quelque chose qui par définition est interconnecté ;-)

 Le rapport précise ensuite clairement le cadre de ce qu'il considère:

"Jusqu’ici, l’écrasante majorité des atteintes à la sécurité n’ont eu aucun impact physique direct et concernaient soit des actes d’espionnage, soit des interruptions de services sur le réseau (notamment des communications). Parmi cet éventail de menaces, il est important de faire la distinction entre deux catégories de cyberactions hostiles – même si ce n’est souvent pas aisé dans la pratique. Une cyberattaque « désigne l’accomplissement d’actes délibérés visant à modifier, perturber, tromper, détériorer ou détruire les systèmes ou les réseaux informatiques utilisés par un adversaire, ou les informations/programmes qui se trouvent sur ces systèmes/réseaux ou qui y transitent »"

Après avoir expliqué que les forces militaires sont sensibles aux attaques mais qu'elles ont développé un grand potentiel de défense et d'action, l'auteur du rapport (Philippe Vitel, chirurgien plasticien de métier ..) pond une phrase qui en dit long sur sa connaissance du milieu économique privé:

"La grande difficulté pour mettre en oeuvre une stratégie efficace en matière de protection
des infrastructures essentielles contre les cybermenaces est de trouver un moyen permettant de
gérer au mieux les relations public-privé entre, d’un côté l’Etat, et de l’autre, les propriétaires et
opérateurs desdites infrastructures. Les mesures incitatives mis en oeuvre diffèrent sensiblement
entre les deux parties : les pouvoirs publics sont surtout préoccupés par la sécurité, alors que les
entreprises privées ont les yeux rivés sur leurs résultats financiers. "

2014 et un député .. nous explique que les états n'ont pas de contraintes budgétaires ?!? (Alors pourquoi de telles batailles sur le budget militaire ?!?) et que les entreprises n'ont que le souci financier en tête .. Comme si le résultat financier ne dépendait pas en partie de la sécurité ?!?

La suite est encore plus déconnectée de la réalitée:

"Les gouvernements nationaux et les organisations internationales ont le choix entre la mise en place de normes facultatives en matière de cybersécurité, l’adoption de réglementations contraignantes ou la poursuite d’une politique hybride associant ces deux options."

Gouvernements et organisations internationales sont complètement dépassés par Google, Facebook, Apple et autres qui font ce qu'ils veulent mais ils continuent de croire en des règles applicables à des territoires alors qu'Internet est INTERCONNECTé et a justement été fait à la base pour éviter les blocages ?!?

Le rapport définiti ensuite 3 "choses" que peuvent faire les états pour contrer la cybermenace:

la cyberdéfense, la cyberdissuasion et la maîtrise des cyberarmes.

Si le concept de cyberdéfense développé a l'air un peu d'un fourre-tout ou d'un marronnier, les paragraphes sur la cyberdissuasion posent clairement le problème de l'aspect juridique des choses (ll’ordre international n’interdit par exemple pas l’espionnage entre Etats), de la difficulté de remonter jusqu'à l'auteur de l'attaque, de la proportionnalité de la réponse et/ou des représailles (sans parler de leur efficacité).

En ce qui concerne la maîtrise des cyberarmes, à savoir l'idée de mettre en place des normes et des
mesures juridiques internationales en ce qui concerne le développement de cyberarmes, on frôle là le délire ..

La partie D du rapport estime les possibilités de cyberconflit entre états avec d'emblée un scepticisme rassurant et inquiétant à la fois ..

Certes, l'argument comme quoi les "cyberattaques doivent être soigneusement adaptées à chacune de leur cible, ce qui veut dire que les cyberarmes ont peu de chances d’être déployées dans le cadre d’attaques de grande ampleur" est très recevable ainsi que le fait qu'une cyberarme est un fusil à un coup (puisque la cible s'adapte).

Mais tout ceci est encore la négation que l'état est avant tout ou du moins AUSSI le peuple et que celui-ci est très vulnérable à des cyberattaques.

De la même manière que les voitures ou les DAB sont peu vulnérables à des attaques, les conducteurs et les dabistes eux le sont.

Ainsi, une cyberattaque qui ne viserait pas les armes ou l'infrastructure mais plutôt les familles des cadres militaires ou d'un état, via par exemple leurs téléphones mobiles ou leurs mails ou l'activité internet de leurs enfants, causerait autant de casse qu'une attaque détruisant les communications d'un centre opérationnel.

Mais cet aspect des choses est complètement ignoré dans le rapport de l'Otan dont pourtant les personnels sont dans la moyenne basse de la prise de précautions personnelles en ce qui concerne LEUR activité internet "propre".

La suite du rapport décrit la situation spécifique de 5 pays, de l'Otan et de l'UE en ce qui concerne la politique adoptée au sujet de la cybermenace.

Le cas de l'Estonie est particulièrement intéressant puisque ce pays a été victime d'attaques à grande échelle.

La description de ce qui se passe en France est idyllique puisque le rapport ne parle que de l'ANSI et absolument pas des autres initiatives que chacune des chapelles et citadelles de la Défense Nationales ont développé dans leur coin, gaspillant ainsi ressources et efficacité dans une concurrence sans intérêt.

Alors que les principes de la guerre "concentration des efforts, liberté d'action, économie des forces" sont enseignés dans toutes les écoles militaires, la cyberlutte prend exactement l'inverse pour doctrine.

Gendarmerie, police, DGSE, DGSI, ANSI, DRM, COS, Cyber Préfet, etc, etc.. ont toutes leurs petites entités "cyber", qui parfois font la même chose, sans se parler et même en se concurrençant no seulement entre elles mais à l'intérieur de leur maison ...

Le rapport (pourtant oeuvre d'un député UMP) souligne la volonté du ministre socialiste Le Drian sans parler de budgets et d'économies possibles dans le cas d'un regroupement et d'une mutualisation des efforts, y compris au niveau de l'Otan et de l'UE et surtout sans parler de l'absolue nécessité de faire de la cyberdéfense un corps à part comme l'est la Gendarmerie, l'Alat, la Cavalerie, les transmissions, la Marine Nationale, etc, etc..

Au final, on reste sceptique sur la prise en compte de la réalité de la cybermenace et de la cyberguerre et l'on espère fortement que ce rapport soit l'archétype du rapport destiné à enfumer la concurrence :-)

 Voici ce rapport:

Voir aussi: http://www.tubbydev.com/2014/09/guerre-et-twitter.html
http://www.tubbydev.com/2014/03/attention-cyber-la-cyberguerre-vue-par-2-officiers-fran%C3%A7ais.html
http://www.tubbydev.com/2014/03/cyberguerre-entre-la-russie-et-lukraine.html