lundi 6 juin 2011

Quelques questions inutiles sur la dissuasion ?

La publication récente par les Etats-Unis d'une nouvelle doctrine dédiée au cyberespace nous conduit à quelques interrogations de natures plus conceptuelles que pratiques. En effet, l'auteur de ces lignes a tendance à penser que les Etats-Unis ont su donner un vrai contenu à la notion de "dissuasion" appliqué au cyberespace.

Notons toutefois que la notion de dissuasion demeure très connotée, en particulier avec son aspect nucléaire. Or, la dissuasion nucléaire est une solution qui présente un aspect "définitif" qui ne cadre pas avec les composantes connues de la lutte informatique. La doctrine "MAD - Mutual Assured Destruction" en fournit un exemple.

Bien sur, les doctrines nucléaires des Etats ont évolué comme le montre l'option "ultime avertissement" avant le déclenchement de frappes plus intenses.

De tout cela, l'auteur aurait tendance à conclure que l'usage de ce terme est inadapté. Pour être plus précis, l'application de la dissuasion "type nucléaire" au domaine du cyberespace est inconcevable (pour moi et pour le moment).

En revanche, proposer un ensemble de mesures dissuadant ou plutôt Intimidant un adversaire pour tenter de limiter son action me parait être le fondement de la sécurité...En effet, suite à une analyse de risque, on dispose d'une information de probabilité et d'impact. S'ensuit alors la possibilité de mettre en place diverses mesures de réduction du risque (parmi d'autres solutions) qui ont pour objectif de limiter les impacts ou la probabilité du risque.

Si le risque provient d'une intention humaine malveillante, on peut imaginer qu'un niveau de sécurité atteint par le déploiement de différentes mesures dissuade un attaquant de poursuivre son attaque. Il peut être ainsi "intimidé" par les possibilités de représailles ou encore mis en difficulté par les barrières techniques mises en place. C'est notamment l'approche développée, telle que je la comprends, par les USA et mise en valeur par Electrosphère au profit du collectif Alliance Géostratégique.

Or, si l'on observe bien la récente publication des Etats-Unis, ceux-ci réaffirment non seulement le besoin de se protéger, soi-même et entre alliés. C'est donc la partie "élévation de la sécurité".

Mais ils se proposent également d'intervenir également suite à des attaques informatiques. Et le spectre de ces interventions se veut large puisque potentiellement militaire (mais pas forcément) et usant également, au besoin, de l'ensemble des moyens à sa dispositions (c'est à dire "réel" et/ou "cyber")...

Force nous est donc de constater qu'en dépit de nombreuses critiques et échanges, les Etats-Unis ont bel et bien créé un modèle de "dissuasion" ou, d'unemanière qui me semble plus proche de la réalité, "cyber-intimidation"...

Un brin provocateur, l'auteur de ces lignes n'oublie cependant pas la "réalité" de la physionomie des attaques informatiques. Si le modèle parait, en théorie, plus viable que la "cyber-dissuasion" tel que conçu précédemment, il n'en demeure pas moins que de nombreux scénarios en rendent l'application plus complexe. A cet égard, je vous propose la lecture du récent article de M. Ventre qui en liste quelques uns.

Quelques autres sources :

http://cidris-news.blogspot.com/2011/02/les-usa-aussi.html


http://cidris-news.blogspot.com/2010/02/consecration-de-la-cyber-dissuasion-ou.html

Aucun commentaire:

Enregistrer un commentaire