Priorité à la défense du vivant et des territoires numériques

Au sujet du cyberespace

Le cyberespace est à la fois, un lieu d’expression de pouvoir des individus, des organisations et des États et un théâtre de diverses formes de conflictualité. Conflits personnels, politiques, économiques, idéologiques ou militaires se déroulent désormais au travers des infrastructures numériques. À la conquête des territoires géographiques s’est superposée celle des territoires numériques, des données, de leur traitement, de leur stockage et de leur transmission. Cette conquête s’étend de la maîtrise des infrastructures informatiques et de télécommunication, à celle des informations, en passant par le contrôle des services et applications et des utilisateurs.

 Une question de pouvoir, de puissance et de vision de société

Les pouvoirs politiques, militaires et économiques d’un État sont liés à sa capacité à contrôler l’écosystème numérique dont il est devenu dépendant. Or, tous les éléments constitutifs du cyberespace sont à la fois des moyens de domination et des cibles à attaquer.

Internet peut être instrumentalisé pour infliger des dégâts à l’ennemi sans combattre physiquement, sans l’envahir géographiquement, mais en réduisant son pouvoir dans les domaines économique, scientifique ou culturel. Provoquer l’effondrement d’un pays par des moyens numériques ou des sabotages est plus efficace que de le faire par des actions de guerre traditionnelle.

Les risques de destruction de l’écosystème politique, humain, économique, social et culturel d’un pays, par les technologies issues de la convergence des nanotechnologies, des biotechnologies, de l’informatique et des sciences cognitives, sont réels.

Aucun pays n’est à l’abri de cyber actions visant à lui nuire. Toutefois, la force de frappe technologique n’est maîtrisée que par un petit nombre d’États, quelques mercenaires et par une poignée de grands acteurs privés dont la localisation géographique est elle aussi, très concentrée.

Pour un État, sa puissance s’exprime aujourd’hui par sa capacité à :

  1. S’approprier, protéger et défendre un espace numérique interconnecté (maîtrise de l’infrastructure matérielle, logicielle et de télécommunication, maitrise des données et de l’intelligence artificielle),
  2. Disposer d’une sphère d’influence informationnelle dans le cyberespace (maîtrise de l’information, de son traitement et du renseignement) ;
  3. Posséder les moyens suffisants pour maîtriser les cyber risques (maîtrise de la cybersécurité et de la cyber résilience, maîtrise de la gestion des cyber crises et de la cyberdéfense) ;
  4. Être un acteur respecté de la cyberguerre (maitrise de l’informatique offensive et défensive).

Comment agir pour une cyber paix alors que la seule option possible semble être, pour un pays, celle de l’accroisssement de ses moyens de cyberdéfense ?

De ce fait, chaque pays doit, dans sa posture de sécurité globale, intégrer une stratégie et des mesures opératives lui permettant non seulement de développer la robustesse et la résilience de ses infrastructures numériques, mais aussi de pouvoir démontrer ses capacités de cyberdéfense et de cyber dissuasion.

Si l’investissement en matière de cyberdéfense apparait aujourd’hui fondamental, il n’est pas moins nécessaire d’initier un cercle vertueux pour que les technologies du numérique soient réellement au service du vivant et non un instrument d’expression de pouvoir, dans une course à l’armement technologique infinie, ou un moyen de concentration des richesses et d’exploitation sans limites de la nature.

Cyber actions et cyber réactions

Pouvoir assurer et maintenir un niveau de cybersécurité efficace des infrastructures numériques et des réseaux de télécommunication et pouvoir, le cas échéant, répondre à des cyberattaques d’envergure est important. L’approche de « sécurité et défense » du patrimoine numérique et des infrastructures vitales nécessaires au bon fonctionnement du pays, nécessite une bonne capacité d’anticipation et de maîtrise de l’information stratégique. Cela passe par un contrôle approprié des processus d’information, désinformation, de renseignement et d’intelligence. D’où l’importance d’un savoir-faire certain en matière de technologies et de sécurité de l’information.

Tout ceci, suppose une organisation, une stratégie cohérente basées sur des scenarii de risques crédibles, une politique de sécurité adaptée, une préparation, des outils, des compétences, des processus mais aussi des entrainements et des exercices de simulation de gestion de crises et de réaction à des cyberattaques.

Se préparer à faire face à des cyber malveillances, voire à des cyber guerres, suppose en amont, de savoir éviter ou savoir appréhender correctement des cas de cyber pannes et de cyber dysfonctionnements d’origine non intentionnelle, engendrés par des accidents ou des défauts de conception, de mise en œuvre, de gestion ou d’usage des infrastructures numériques.

Défi civilisationnel et politique de sécurité

En matière de cyber risques, il ne s’agit pas uniquement de savoir gérer l’incertain et le probable, il s’agit d’être efficace dans la protection et la défense des territoires numériques. Cela passe par une démarcation de la posture qui rend un pays toujours plus fragile et plus dépendant des infrastructures, fournisseurs et chaines approvisionnement du numérique.

Aucune organisation, aucun pays, ne peut faire l’impasse d’une réflexion approfondie sur la manière dont sa dépendance au numérique engendre de nouveaux risques. Comme tous les autres pays, la Suisse, pour répondre à ce défi civilisationnel, doit, entre autre, être une championne de l’analyse prospective, se doit de disposer d’une politique de sécurité adaptée et d’accorder suffisamment de ressources pour se protéger des menaces et des risques d’aujourd’hui et de demain. En ne se focalisant pas sur les risques d’hier, il est possible de déterminer les moyens de sécurité et de défense nécessaires et d’investir au mieux, pour que demain soit différent mais en mieux. Penser à l’avenir, ne se résume pas à remplacer du vieux matériel par du nouveau.

 

 

 

 

Solange Ghernaouti

Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense. Auteure de nombreux livres et publications, elle est membre de l’Académie suisse des sciences techniques, de la Commission suisse de l’Unesco, Chevalier de la Légion d'honneur. Médaille d'or du Progrès

6 réponses à “Priorité à la défense du vivant et des territoires numériques

  1. Il semble que notre ministre de la défense n’ait pas fait appel aux bons experts en matière de sécurité !

  2. Le risque 0 n’existera jamais, las, mais vous avez raison, il faut tout faire pour le reduire a 0.1
    La nature n’a rien a voir avec la science.
    On commet une grossiere erreur de croire que la science resoud tout.
    D’ailleurs ne nous a-t-elle pas mis dans la m…. dans laquelle nous sommes?
    Il nous faudra sans doute, plus d’humanite, d’humilite et moins de science, ojala 🙂

  3. Article passionant, que je viens de lire rapidement mais je vais le relire plusieurs fois pour essayer d’en tirer toute la substantifique moëlle.

    Madame Ghernaouti, sauf erreur vous êtes une Suissesse naturalisée. Vous devez faire de la politique. Non seulement c’est une possibilité pour vous, mais je dirais que c’est presque un devoir si vous aimez votre pays d’adoption – ce que je crois.

    La Suisse a besoin d’experts comme vous. Nos politiciens et nos experts sont trop souvent achetés (je sais, l’expression est un peu forte, mais disons au moins qu’ils sont sous influence) de pouvoirs étrangers incontrôlés dont les intentions ne sont pas bienveillantes pour notre pays. Cela s’observe chaque jour, dans tant de décisions. C’est révoltant. On ne sait quoi dire: peut-être, si on veut être charitable, devrait-on dire comme Jésus: “pardonnez les, car ils ne savent pas ce qu’ils font”. Mais on n’a pas très envie d’être chaitable.

    Vous, vous savez de quoi il est question. Vous ne tomberez pas dans les pièges de ces puissances malveillantes. Vous pourrez éclairer nos compatriotes et même les politicens, du moins ceux qui ne sont pas vendus jusqu’à lâme. Vous aurez beaucoup d’impact, si vous êtes élue. Beaucup plus que maintenant comme commentatrice très écoutée et professeur à l’Unil. Ce qui n’est déjà pas mal, mais ce n’est pas assez.

    Nous avons besoin de gens courageux comme vous, qui sont attachés à la liberté et à l’indépendance de la Suisse et qui sont conscients des enjeux. Vraiment je vous en conjure: lancez-vous en politique. Présentez vous aux prochaines élections au CN, peu importe le parti dans lequel vous vous inscrivez, à condition que vous puissiez conserver votre liberté de parole pleine et entière.

    Vous seriez élue, certainement. On a bien élu Jacques Neirynck. La Suisse est très accueillante et vous bénéficieriez de votre grande aura scientifique, comme ce fut le cas du Neirynck en question.

  4. « Penser à l’avenir, ne se résume pas à remplacer du vieux matériel par du nouveau. »

    Ni à remplacer de vieilles idées par des nouvelles.

    Entre 1990 et 1993 j’ai travaillé pour une entreprise de la Silicon Valley dont le fondateur a été un des pionniers de l’Internet grand public. J’ai assisté aux premières démonstrations des prototypes de Mosaic, rapidement renommé Netscape.

    A cette même époque j’avais assisté à une conférence organisée par un cercle anarchiste à Paris, dans une obscure salle au fond d’une cour, qui traitait des possibilités qu’allaient offrir le World Wide Web naissant pour favoriser le développement de la liberté et de l’émancipation.

    Lors des questions, j’avais émis un doute devant cet enthousiasme unanime en me demandant si l’Internet n’allait pas reproduire, dans le monde virtuel, les mêmes comportements, les mêmes déviances et les même problèmes que dans le monde réel, l’être humain étant ce qu’il est. J’envisageais une forme de police virtuelle qui viendrait compléter la police du monde réel pour poursuivre des criminels virtuels eux aussi.

    Je m’étais rapidement fait remettre en place à coup d’arguments imparables : l’humanité allait changer pour le mieux grâce à ce nouvel outil et ses nouvelles possibilités. Point.

    On connaît la suite …

  5. Vous avez mille fois raison… logique donc de mettre le paquet pour l’achat d’avions de combats et de ne laisser que des miettes du budget militaire à la cyberdéfense.

    C’est d’ailleurs ce que souhaitent les puissances étrangères notament celles qui nous vendront ces fameux avions…

  6. Je tenais pourtant à faire part de ma surprise de constater avec quelle facilité il est possible pour un simple particulier, même sans connaissances étendues en informatique, de s’initier aux techniques du “hacking” et des cyber.attaques.

    En effet, n’importe quel amateur, même sans grande expérience de la programmation mais disposant de notions élémentaires du système d’exploitation Linux, peut installer sur son PC ou son portable (il existe aussi une version pour Androïd et Mac) le script Python, disponible en source libre, “katoolin3”, qui regroupe tous les programmes fournis par le système de tests d’intrusion avancés “Kali Linux”, lui aussi disponible dans le domaine public et sans doute le plus populaire des logiciels de cyber-attaque.

    Une telle facilité d’accès aux programmes d’intrusion, de scanning et d’exploitation de vulnérabilités, sans parler des innombrables cours, tutoriaux et manuels accessibles en ligne ou par le biais de communautés de “hackers”, et le flou juridique qui entoure encore la notion même de cyber-criminalité, ne sont-ils pas un problème majeur, tant pour les entreprises et particuliers qui en sont les victimes et ne peuvent s’en défendre qu’en s’appropriant les techniques et méthodes mêmes des attaquants, que pour les Etats?

    Comme le souligne Jean-Loup Richet (Research Fellow à l’ESSEC ISIS), une des difficultés dans la lutte contre la cybercriminalité est la rapide diffusion de nouvelles techniques de “hacking”, la réduction des coûts de l’activité criminelle et enfin la réduction des connaissances requises pour devenir un cybercriminel (Jean-Loup Richet, “How to Become a Black Hat Hacker? An Exploratory Study of Barriers to Entry Into Cybercrime”, 17th AIM Symposium,‎ 2012).

    Selon cet auteur, les barrières à l’entrée n’ont jamais été aussi réduites: les services offerts par les plateformes de “cloud computing” peuvent être détournés pour lancer des campagnes de spam à moindre coûts, cracker un mot de passe voire augmenter la puissance d’un botnet. Il n’est plus besoin d’être un expert en informatique pour devenir un cybercriminel: les communautés de hackers “black hat” commercialisent des logiciels permettant à leurs utilisateurs de mener des cyber-attaques sans aucune compétence technique (Crimeware-as-a-service) – Jean-Loup Richet, “From Young Hackers to Crackers”, International Journal of Technology and Human Interaction, no 9 (1),‎ 2013).

    Toujours selon J.-L. Richet, les communautés en ligne de cybercriminels contribuent au développement du cybercrime, fournissant des astuces, techniques, outils clefs en main et proposant même dans certains cas du tutorat de débutants désireux de devenir des cybercriminels (Jean-Loup Richet, « Adoption of deviant behavior and cybercrime ‘Know how’ diffusion », York Deviancy Conference,‎ 2011).

    Un autre expert, Philippe Baumard (“La cybercriminalité comportementale : historique et régulation”, Revue française de criminologie et de droit pénal, numéro 3, octobre 2014, p. 39), souligne qu’il y a inadéquation du cadre de régulation face aux ruptures technologiques actuelles et à venir dans le domaine de la cyberdéfense. Pour ce spécialiste du droit des technologies de l’information, la difficulté de la lutte contre la cybercriminalité réside également dans l’ambiguïté du cadre de régulation. Si le but d’une agression informatique est le système informatique de l’adversaire alors ce système peut-être assimilé à l’adversaire lui-même. La question est donc de savoir – toujours selon P. Baumard – s’il faut établir un encadrement légal entre les machines et leurs propriétaires pour identifier ces actes criminels.

    Si l’on en croit ces auteurs, entreprises, Etats et particuliers ont encore bien du souci à se faire en matière de protection des données.

Les commentaires sont clos.