mardi 17 mai 2011

International Strategy for Cyberspace

L'actualité américaine en matière de publications est chargée notamment en ce qui concerne la Maison Blanche.

Dans un premier document, celle-ci proposait un document législatif sur les thématiques de cybersécurité apportant ainsi une aide au Congrès selon les propres termes de Howard Schmidt. On sait effectivement que le Congrès a émis de nombreuses et complexes propositions de loi dont l'efficacité laissait parfois à désirer.

Je ne commenterais pas ici ce document car un très bon travail de synthèse a été fait par le blog ami Si-Vis dont je vous recommande la lecture. On en retiendra surtout : la confirmation des pouvoirs du DHS (dans un contexte où les compétences semblent se faire rare), et la mise à niveau des normes et règlement du milieu et notamment la FISMA.

Par ailleurs, la Maison Blanche a publié une nouvelle stratégie concernant le cyberespace dont le mérite est tout d'abord de dévoiler une approche résolument internationale et bien moins "guerrière" que les précédentes à l'instar de la "National Strategy to Secure Cyberspace".

Ainsi, le ton et l'objectif de cette stratégie sont bien de considérer la sécurité non pas comme une fin mais une obligation afin de permettre le développement de relations commerciales, intellectuelles...Le sous-titre est à cet égard évocateur puisqu'il évoque autant la sécurité que la prospérité mais également l'ouverture. On pourra également noter l'appel du Président Obama qui concluant la préface invite les acteurs internationaux à construire un cyberespace ouvert, interopérable, sécurisé et de confiance...

Au-delà de ça, les pessimistes pourront craindre une approche très politique du cyberespace couplée à une volonté de "balayer" celui-ci afin de le rendre "civilisé"....Notons tout de même que ce document s'inscrit dans la lignée des publications de l'EWI que ce blog a déjà évoqué.

Développée en 3 parties, cette stratégie établit tout d'abord les bases d'une politique avant de s'intéresser aux futurs challenges concernant le cyberespace pour conclure sur les priorités politiques parmi lesquelles l'approche militaire n'est pas oubliée, pas plus que la Gouvernance Internet dont l'importance a toujours été défendu par l'auteur de ses lignes.

Ce document met tout d'abord l'accent sur le caractère critique, incontournable du cyberespace. Citant tout autant les problématiques d'inter-dépendances avec les services vitaux, ou encore la protection au quotidien des usagers, les structures de gouvernance, l'économie et l'innovation, rarement un document aura reconnu sans aucune contrainte le caractère central de cet "espace" d'échange d'informations.

Plus encore, la sensation d'universalité surprend car si les conclusions ou observations sont généralement faites à propos des Etats-Unis, on peut également souvent surprendre un "et pour le monde aussi" qui ne peut étonner (la position US dans le domaine cyber est sans commune mesure) mais qui surprend dans sa formulation et sa tentative d'unification. En bref, on a la sensation que ces problématiques doivent dépasser le caractère national pour une approche plus global...

L'approche internationale est ainsi largement mise en avant et reconnue comme nécessaire au travers d'exemples parlant : ainsi les ruptures de câbles ou encore le blocage de sites par un pays engendrant des problématiques d'accès pour tous (ex. Pakistan/Youtube). Cette stratégie va plus loin encore en plaçant au coeur de son action les questions de liberté fondamentales, droit à la protection de ses données et protection d'une forme de neutralité.

On doit ainsi, je pense, beaucoup aux Etats-Unis d'oser écrire la phrase suivante : "Les états ne doivent pas avoir à choisir entre la libre circulation des flux d'informations et la sécurité de leur réseaux. [...] Au contraire, les solutions de type filtrage national ou encore firewall produisent seulement une impression de sécurité tout en perturbant profondément les capacités d'innovation et de croissance dues au cyberespace."

Pas d'angélisme car cela ne dit pas, par exemple, que des raisons de sécurité autres (menace terroriste forte ou encore militaire) ne prévalent pas sur les droits fondamentaux. C'est d'ailleurs quelques part assez logique et on trouve trace de cela dans le document au détour d'un autre paragraphe. Cela ne dit rien aussi de l'application réelle de ce qui est encore un voeu pieux. Cela demeure toutefois un beau pied de nez à nos prétendus experts nationaux ou européens parlant de firewall européen ou d'Internet civilisé...

Dans une seconde partie, le document s'intéresse au futur du cyberespace, tout d'abord au travers des qualités qu'il doit avoir : Ouvert/Interopérable et Sécurisé/de confiance.

En matière d'ouverture et d'interopérabilité, il est essentiellement question de porter Internet et les technologies afférentes à tout un chacun. La communauté open-source n'est ici pas oubliée et c'est une forme de reconnaissance politique officielle du mouvement. Mais le document va plus loin en rappelant les principes du Sommet Mondial sur la Société de l'Information de Tunis, selon lequel l'interopérabilité soutient la liberté des flux d'informations. A cet égard, les Etats-Unis se déclarent donc en faveur d'une approche "end-to-end", ce qui revient, au final à donner au principe de neutralité du Net une de ses reconnaissances les plus hautes (eu égard à la nature et l'origine du document traité ici).

Les deux qualités suivantes, considérés comme devant appartenir au futur cyberespace sont la sécurité et la confiance des usages. Plusieurs critères sont retenus ici pour assurer la permanence de ces services et ceux-ci sont très intéressants: collaboration inter-étatique, standards et normes robustes, gestion efficace des incidents, confiance technologique logicielle et matérielle. Cependant, ces services dépendent aussi d'une action de réduction des risques au niveau global reposant, elle, sur la production de normes de régulation des actions étatiques dans le cyberespace associées également à une forme de dissuasion.

Ces normes sont plus largement abordées dans la suite de ce document et peuvent être appréhendées un peu comme on aborde les sources du droit international public qui incluent notamment la coutume, la jurisprudence internationale (CIJ) et les traités...Les Etats-Unis livrent alors une conclusion qui parait déterminante : le droit international actuel, en particulier celui portant sur le droit de la paix, de la guerre ou encore humanitaire, n'est pas rendu obsolète par la technologie et ce droit s'applique dans le cyberespace. Il n'en demeure pas moins une nécessaire adaptation que l'on trouve dans les documents de l'EWI Institute et qui est ici également reconnue.

Selon les Etats-Unis, les normes actuelles s'appliquant dans le cyberespace sont notamment :

- respect des libertés fondamentales
- respect de la propriété
- promotion de la protection des données personnelles
- protection contre la criminalité
- droit de légitime défense (au sens de la convention de l'ONU, donc pour un état)

Par ailleurs, le droit international devra s'adapter pour "imposer" le respect des principes suivants entendus comme étant la translation naturelle des spécificités du cyber :

- Interopérabilité globale : les états devront s'assurer de permettre le respect des principes end-to-end y compris au sein de leurs espaces souverains
- Stabilité des réseaux : les états ne devront pas promouvoir des configurations ou spécificités techniques à une échelle nationale interférant avec les interconnexions globales
- Accès de confiance : les états ne devront pas, arbitrairement, priver l'accès des individus à des ressources en lignes
- Gouvernance multi-acteurs : la gouvernance devra intégrer l'ensemble des acteurs
- Cybersecurity Due Diligence : protection, au sein de chaque état, des composants des infrastructures de télécommunication ayant une part remarquable dans la stabilité globale du cyberespace.

On retiendra ici un effort d'adaptation intéressant. On y trouve ainsi, encore une fois, une initiative pour le respect des principes de neutralité (en particulier avec l'association des 3 premiers points). Les acteurs différents des états sont également largement promus en cohérence avec le premier rapport de l'EWI et notamment au sein de la Gouvernance Internet. On pourrait rétorquer toutefois aux USA de commencer par "balayer" chez eux car si un Etat est bien particulièrement "puissant" au sein de la Gouvernance, ce sont bien eux...

Ayant ainsi défini ce que devrait être le futur écosystème du cyberespace, les Etats-Unis développent alors les lignes d'actions principales au niveau : diplomatie, défense, développement.

Au niveau diplomatique, l'accent est mis sur les partenariats et la création d'un environnement au sein duquel sera acquis un consensus, ainsi que le développements de mesures incitatives, permettant d'orienter (de pousser) les Etats tiers vers le développement et l'implémentation des mesures susceptibles d'atteindre un état final : un cyberespace ouvert, interopérable..........

Dans un autre ordre d'idée, on peut également lire la volonté forte du pays de se doter de moyens de dissuasion (intimidation) ou deterrence (dissuasion au sens actuel) permettant inciter de contraindre les états belliqueux à ne pas commettre d'actions offensives sur ou contre les réseaux.

On note également que le pays se réserve le droit de défendre ses infrastructures vitales (ici, les réseaux, télécommunications...) par des moyens de plusieurs natures. La dissuasion est ici entendue au sens pris le sous-secrétaire d'Etat à la Défense William Lynn, qui dans un article, décrivait celle-ci comme le renforcement des capacités de défense informatique à un tel point que toute attaque en deviendrait trop couteuse, impossible.

La deterrence est ici réellement conçue comme un ensemble de méthodes permettant de rendre certain à l'attaquant que le coût de l'attaque informatique d'envergure excédera de loin ses éventuels bénéfices. D'une définition somme toute relativement classique, on retiendra une approche "non-étatique", c'est à dire une approche judiciaire de traitement de la criminalité, en cohérence avec la convention de Budapest (entrée en vigueur depuis 2007).

S'ensuit alors une information déterminante : les Etats-Unis, considérant l'importance du cyberespace, se réserve le droit d'utiliser tous les moyens (militaires, économiques, diplomatiques, informationnel...) pour riposter (cas de la légitime défense) à une attaque dans le cyberespace contre leurs intérêts. De manière générale, les attaques "cyber" contre les Etats-Unis sont désormais considérées comme toute autre menace ou attaque.

Précisant cela, le document ajoute que les options militaires ne seront pas les réponses prioritaires et que toute action se fera avec une juste mesure du ratio coût/bénéfice et en particulier en fonction des conséquences. Le document évacue cependant complétement toutes les problématiques techniques, en particulier celles qui rendent très délicate l'identification réelle de l'origine des attaques.

L'action suivante est la construction d'une capacité industrielle propre à assurer la sécurité et la stabilité. Elle se base notamment sur le leadership des USA en matière des technologies et matériels de l'information qui, par ailleurs, n'est pas sans susciter quelques inquiétudes stratégiques. Le caractère international de ces proposition n'est pas sans poser de questions sur la capacité des Etats-Unis de continuer à imposer solutions matérielles et logicielles au risques de l'uniformité et d'une perte de l'indépendance...donc une baisse de la sécurité globale.

Dans une dernière partie, est dressée la liste des Priorités politiques pour les mois/années à venir. On en retiendra quelques-unes :

Au niveau économique :

=> protection du secret des transactions, libre-échange, protection du droit de propriété

=> plus encore, développement de standards sécurisés et interopérables. On regrette ici que ne soit pas cités l'IETF ou l'ISOC dont les actions contribuent nettement à cela. On peut constater souvent que les implémentations sont faillibles mais pas toujours les standards.

Au niveau Sécurité et protection des réseaux:

=> développement d'un activisme diplomatique globale pour la création d'un environnement propre à limiter les actions étatiques offensives dans le cyberespace.

=> développer une capacité internationale de gestion des incidents et de réaction en s'appuyant notamment sur le réseaux des CERTs.

Au niveau militaire et diplomatique :

=> participer et développer les lois internationales de répression contre la cybercriminalité

=> empêcher les terroristes ou les criminels d'utiliser le cyberespace à des fins de planification, financement ou d'attaques. On constatera une approche plus "saine" que l'ex-mode "cyberterrorisme" qui oubliait justement les aspects planification et logistique.

=> Mieux protéger et développer les réseaux militaires. Développer une capacité commune de défense informatique.

Au niveau de la Gouvernance Internet qui fait l'objet d'un paragraphe dédié :

=> Donner une priorité à l'ouverture et à l'innovation. Assurer la sécurité globale du système et notamment celle du DNS et promouvoir le caractère multi-acteurs du système. On regrettera l'oubli de certaines problématiques de sécurité justement "orphelines"...

Comme un signe fort, le document conclut, sur ses objectifs politiques avec la préservation de la liberté sur Internet, notamment avec la protection de la neutralité, le déni d'accès non autorisé par la loi ou encore la protection des données personnelles.

Pour conclure sur cette stratégie, nous retiendrons un caractère unique : la surprise car ce document n'a cessé d'étonner l'auteur de ces lignes. On peut également s'attacher à 3 points essentiels. A mon sens, le premier est le caractère ultra-international qui tranche avec les autres stratégies très orientées "sécurité" et marqué par une forme de repli. A cela s'ajoute une défense profonde des intérêts de l'usage avec une très forte promotion des principes de libertés d'accès et de libre circulation des flux. Enfin et dans une perspective plus militaire, assez proche des questions traitées par ce blog, c'est bien le fait que les USA décident de considérer une menace informatique comme n'importe quelle autre qui marque une réelle nouveauté. Pour autant, ce document ne permet pas de résoudre les problèmes spécifiques à ce type de déclaration (en particulier, l'identification de la source). Cela n'empêche pas de considérer cette stratégie comme une initiative intéressante permettant de créer un chemin vers un écosystème de sécurité plus mature.

Source :

http://www.whitehouse.gov/blog/2011/05/16/launching-us-international-strategy-cyberspace


Aucun commentaire:

Enregistrer un commentaire