jeudi 21 février 2013

La cyberguerre mondiale est arrivée : tous aux abris numériques !

Source : Numerama
Chers lecteurs, chers amis !

C'est avec une grande tristesse qu'il me faut vous annoncer la disparition prochaine de ce blog. En effet, la "cyberguerre mondiale" a été déclarée et nul doute qu'il fera partie des victimes collatérales de ce conflit qui nous menace déjà.

Comment résister aux cyber-légions de cyber-soldats déterminés envoyés par des nations avide de reprendre ce pouvoir numérique que quelques net-citoyens ont cru pouvoir leur dérober ?

Heureusement, Cyber-Super-Atlantico nous a prévenu et nous allons pouvoir éteindre nos tablettes et serveurs et tenter de se retirer avec dignité de ce cyber-champ de bataille ! C'est l'objet de ce message.

Reconnaissons-le , nous autres, praticiens laborieux de la sécurité des systèmes d'informations avons échoué ! La cyber-guerre mondiale est en route et rien de ce que nous pourrons faire ou dire ne saura l'arrêter !

Chers amis, je vous dis donc adieu...Envoyez-moi de lettres (papier et timbre !) si vous voulez communiquer. Au sein du cyber-brouillard de la cyber-guerre mondiale, nous essaierons de nous témoigner cyber-soutien !

Cela dit, il est fort probable que les cyber-banques auront été visés par des cyber-bombes à cyber-sous-munitions et que nous en soyons réduits à taguer les murs (les vrais, pas les cyber) du V de la cyber-victoire (cyber-zut, c'est un "C" en fait...) !

Comme dirait l'autre : "Stay Frosty" :)

===========================

Blague à part, vous aurez compris cette dérisoire tentative d'humour face à la croissance perturbante des déclarations et titre de ce type. Autant s'en amuser !

Au passage, quelques remarques :

- la guerre est avant tout une affaire politique. Elle se déclare comme le prévoit l'art. 35 de notre Constitution ;

- pourquoi parler de "guerre" quand les problématiques abordées sont essentiellement des questions de cybercriminalité.

Source :

lundi 18 février 2013

Comparer pour comprendre...avec circonspection !

Source : APPSEC-FORUM
Face à un phénomène mal compris ou encore peu étudié, une des réactions naturelles est de le comparer à un autre dont on maîtrise les caractéristiques. Cette démarche d'acquisition de la connaissance semble parfois plus simple car forger des concepts en partant du fait brut est parfois d'une complexité extrême. Lorsque la démarche intellectuelle est encadrée par une rigueur de bon aloi, il devient vite nécessaire de limiter la portée de la comparaison. S'astreindre à une analyse rigoureuse des phénomènes observés est alors un bon moyen de trouver les "limites" de cette comparaison.

L'étude du "cyber" est un assez bon exemple de cette démarche. L'ajout très fréquent, pour ne pas dire systématique, du fameux préfixe à des termes relevant de phénomènes déjà largement étudiés constitue un avatar de cette tendance.

Parler de "cyber-terrorisme" ou encore de "cyber-guerre" ou de "cyber-criminalité", c'est postuler l'existence de liens forts ou encore de fortes similarités entre les phénomènes de terrorisme et certains phénomènes observables essentiellement sur Internet et commis par ces mêmes acteurs ou dans des intentions similaires. 

Etudier les différences...aussi

Pourtant, cette approche doit être, comme nous le signalons, encadrée. Plusieurs textes en font mention comme notamment celui-ci analysé par notre nouvel allié ou encore ce dernier qu'a bien voulu m'indiquer l'auteur du blog En Vérité.

Or, bien souvent, l'étape critique omise est bien l'étude des différenciations entre le domaine étudié et le domaine rapproché. C'est pourtant celle-ci qui donne toute sa valeur à l'étude et l'approche comparative en permettant par exemple le preuve d'une similitude ou la nécessité de développer la recherche et de nouveaux concepts.

N'oublions pas que la perspective retenue ici n'est pas uniquement la satisfaction d'une démarche intellectuelle mais également la stratégie et sa mise en oeuvre dans le domaine de la lutte informatique notamment. La question que l'on se pose alors est : de telles comparaisons sont-elles efficaces ? opérantes ?

Prenons un exemple : l'intégration dans une démarche commune - la guerre de l'information - des activités de lutte informatique et celles de la guerre électronique

La guerre de l'information retient généralement 3 types d'actions : PAR, POUR et CONTRE l'information. Est-il possible de trouver une comparaison entre nos deux domaines ?

Evidemment oui ! 

- En matière de lutte informatique : le déni de service, le défacement des sites ou encore les attaques ciblées fournissent un exemple pour chacune des modalités ;

- En matière de guerre électronique : le brouillage, la "deception" ou encore les écoutes sont également des modalités pratiques de ces 3 grands domaines ;

Généralement, les analyses s'arrêtent ici et considèrent comme établie la similitude entre les deux domaines et l'appartenance à un même domaine générique alors appelé "cyberguerre" ou "cyberconflits".

Qu'elles sont les différences ?

Il est évidemment possible de trouver pourtant de multiples différences dont le poids n'est pas négligeable. 

- Compétences : un praticien de la guerre électronique n'utilise pas les mêmes compétences et connaissances qu'un praticien SSI par exemple. Si je le voulais, il me faudrait passer de longs mois à les acquérir (en sus de trouver un emploi dans le domaine :)) ;

- Histoire : la lutte informatique démarre avec l'informatique. La guerre électronique démarre avec les communications radios, donc bien avant ; 

- Technologie : réseaux, IP, processeurs, mémoires, adresses vs. fréquence, brouillage etc etc...(ce n'est vraiment pas mon domaine !) ;

- Ressources : certaines sont communes (ex. les satellites ou les cryptologues) mais bien d'autres sont très différentes. Dans un cas, j'aurais besoin d'informaticiens, de programmeurs, d'ingénieurs en reverse. Dans un autre cas, ce sera des linguistes, des analystes du signal... ;

- Etc...

Que nous enseignent-elles ?

Ces différentes portent un enseignement essentiel qui matérialise le risque des comparaisons abusives. Si nous nous plaçons dans une perspective stratégique, il va être nécessaire d'optimiser l'allocation des ressources dans le but de gagner - ou à défaut de ne pas perdre - le "cyber conflit" qui nous guette !

Or, si nous persistons à nier le poids de la différence, l'allocation des ressources devra être bien plus importante puisqu'il faudra, par exemple, financer une excellence en matière de recherche, de développement, d'enseignement à la fois dans le domaine "électronique" mais également "informatique". Pour parler clair, et puisque nous avons montré des différences patentes, force est de constater que cela constituerait notamment une dispersion des ressources et donc une erreur stratégique.

Un des risques également pourrait être, à croire les analyses partielles, une gestion malencontreuse des ressources humaines. Que faire si un référentiel "RH" de compétences, s'appuyant sur ces conclusions, postule alors l'identité entre deux techniciens dans ces domaines ? Seront-ils interchangeables ? Bien sur que non et c'est alors une dispersion des savoirs-faire !

Conclusion

Cet exemple nous enseigne donc plusieurs leçons :

- La comparaison est un outil utile à utiliser dans une démarche rigoureuse d’acquisition des connaissances et donc de manière neutre : tant les similitudes que les différences sont importantes ;

- La réflexion nourrit l'action et possède donc une capacité d'influence importance. C'est pour cela qu'elle ne doit pas se contenter d'à-peu-prés mais établir de manière plus formelle ses résultats sous peine de matérialiser des risques d'égarements de portée stratégique.

- le stratège ou celui qui se prétend comme tel détient une influence qui lui confère, selon moi, une forme de responsabilité et de prudence dans ses propos. Il serait bon d'y revenir !

Bien évidemment, ces quelques exemples ne sauraient prouver ni la proximité ni l'irréconciliabilité entre ces deux domaines. L'opinion de l'auteur, basée sur son expérience, est que les différences entre les domaines sont trop importantes pour les interpréter comme un ensemble cohérent, au moins dans une perspective d'action.


vendredi 8 février 2013

Stratégie européenne de "cyber-sécurité" : entre pragmatisme et opportunisme

Source : Site europa.eu
Avec fracas a été publiée la stratégie européenne de cyber-sécurité nous donnant ainsi la possibilité d'entrevoir les objectifs de l'UE en matière de sécurité informatique. Et cette lecture n'est pas nécessairement décevante. Jugeons plutôt.

A noter que n'étant plus depuis longtemps un spécialiste des institutions européennes, toute remarque, aimablement formulée, sur le partage des responsabilités est intéressante.

Tout d'abord, cette publication intervient dans un contexte d'activisme fort des institutions européennes en la matière avec l'ouverture récente (11 Janvier) du Centre européen de lutte contre la cybercriminalité (EC3). Elle s'ajoute également à la rédaction d'un projet de directive européenne portant sur la mise en oeuvre de différents mécanismes dans le domaine de la sécurité.

Il n'est pas question ici de commenter chaque aspect du texte que chacun est libre de lire et d'interpréter. Éclairons seulement quelques points. Par exemple,  la démarche volontariste de la commission veut que les principes de démocratie et de liberté s'appliquent pleinement. En conséquence, le document prend partie pour une gouvernance Internet orientée vers le modèle "multi-stakeholder" qui n'a pas la préférence de l'ensemble des gouvernements. Cela dit, aucun autre modèle ne satisfait puisque les alternatives connues sont proposées par l'UIT - voir la conférence de Dubaï - semblent pires.

Une autre posture, quasi-philosophique, prend l'air de paradoxe. En effet, la stratégie se fixe comme objectifs à la fois la Sécurité mais également la Liberté. Or, en l'état actuel de la sécurité et des libertés sur le net, tout mouvement vers l'un ou l'autre est immédiatement contestée. Il semble très délicat de résoudre ce paradoxe car la liberté aujourd'hui permise sur ces réseaux est également un facteur de criminalité important. Un défi de taille donc !

En effet, le texte de la commission établit une organisation et des processus intéressants centrés autour du partage d'information et de la structure "NIS" pour Network and Information Security. Par exemple, il est annoncé la création d'une entité de lutte contre les "botnets" pour l'année 2013. En bref, c'est une position de pilotage et de coordination que souhaite mettre en oeuvre la commission européenne. Le schéma ci-dessous le résume assez bien.

On notera également que le document fait preuve d'un certain opportunisme en évoquant par exemple le domaine de la défense dont on connait les problématiques. Au travers du "thème stratégique" le plus court du texte est ainsi matérialisée une tentative, délicate, de formaliser des relations de défense sur ce thème. A la décharge des rédacteurs, ne pas le traiter aurait été étrange mais cela reste un domaine où la prégnance du régalien est très forte. De plus, la nature même du sujet renforce les problématiques de protection du secret ou de discrétion.

Enfin, le document met en oeuvre une réflexion assez aboutie sur une thématique sans doute majeure dans les prochaines années, le développement et le maintien d'une forme de supériorité ou tout du moins de maîtrise technologique. Cette stratégie n'oublie pas non plus le volet international puisqu'elle implique le Haut-Représentant de l'Union. 

En conclusion, cette stratégie constitue un document intéressant intégrant des dispositions pratiques ainsi qu'une approche relativement globale. Critiquables, sans doute, à bien des égards, elle crée pourtant un circuit de partage de l'information qui semble nécessaire au regard des besoins analytiques que nous avons plusieurs fois évoqué. Elle s'inscrit pourtant dans un ensemble de relations complexes et dans un jeu institutionnel touchant les états au plus près de leurs intérêts ce qui constitue, en soi, un défi dont l'issue devra être regardée de prés.

Source :



jeudi 7 février 2013

Café Stratégique - Littérature et renseignement - Jeudi 14 Février


Améliorer la SSI par l'assurance ?

Source : ENISA
L'ENISA, l'organisme européen en charge des questions de "cyber-sécurité" produisait récemment une étude sur le marché des assurances et les offres de celles-ci pour couvrir les risques en matière de sécurité informatique.

L'annonce du rapport est disponible sur leur site, accompagné d'une série de diapositives. C'est l'occasion de l'analyser.


Rappelons également quelques articles publiés sur ce blog au sein desquels la problématique de l'assurance était abordée. Globalement, il semble que les questions posées demeurent identiques, à savoir : peut-on améliorer le niveau de sécurité par le recours aux assurances ou bien cela ne conduira-t-il qu'à un transfert de la gestion des risques. Sur ce dernier point, on prendra garde à ne pas confondre le transfert du risque préalablement analysé par une méthode idoine avec le transfert de la gestion du risque. Dans le second cas, cela revient à refuser de considérer lesdits risques en se bornant à provisionner des sommes d'argents pour gérer les ennuis.

Revenons aux travaux présentés par l'organisation : ceux-ci identifient un "état de l'art", des barrières et des recommandations.

Un premier point intéressant est que ce marché n'est pas nouveau puisque les premiers contrats ont débuté dans les années 70. Toutefois, il semble que la majorité des sociétés qui en proposent soient localisées aux Etats-Unis. Peut-on y voir un nouveau domaine à "conquérir" en Europe ?

Au niveau des risques couverts, on trouve communément les dommages issus d'atteintes sur la disponibilité des systèmes ou encore la fuite de données personnelles. En revanche, il semble que les assurances refusent de couvrir des cas particuliers comment les atteintes à la réputation ou l'espionnage industriel ou enfin la protection de la propriété intellectuelle. Or, comme ces sujets concernent des intérêts majeurs de la protection de l'information, l'élévation de la SSI par l'assurance ne semble pas un effet perceptible immédiatement ou à court-terme.

Toutefois, c'est surtout au niveau des barrières et des défis que reposent, à mon sens, tout l'intérêt de cette problématique. De manière générale, l'ENISA identifie deux problématiques majeurs :

- le manque de données fiables et la difficulté à les rassembler ;

- la difficulté à estimer les risques et les coûts induits qui permettraient aux assureurs de développer des offres réelles crédibles : le coût de l'assurance, les contraintes et les remboursements.

Or, dans un récent article, ces deux aspects étaient également évoqués. En effet, la mise en oeuvre de la sécurité dans les organisations, dans une perspective défensive ou simplement de protection semble buter aujourd'hui sur notre faculté à identifier de manière précise les menaces ou l'adversaire. Une rhétorique abusive et controversée orientée autour d'une approche très légère de ces problématiques n'aide en rien à sa compréhension fine et à la définition des modèles d'action.

Contrairement à ce blog, pour le moment, l'ENISA développe également une courte liste des moyens permettant de résoudre ces problèmes. Autour de la question de l'information, elle préconise notamment de s'appuyer sur les obligations légales ou réglementaires d'informations des incidents de sécurité : Art. 13a du "paquet télécom" ou encore l'obligation d'informations en cas de fuites de données personnelles.

En ce qui concerne la mesure et l'analyse des riques, une sorte d'actuaire de la SSI, il sera visiblement nécessaire de développer des "frameworks" ou des cadres d'analyse commun. Cette recommandation illustre à elle-seule tant le besoin que l'absence de ces méthodologies d'analyse et de calculs.

L'augmentation du niveau de sécurité de l'information par le recours plus systématique à l'assurance semble aujourd'hui en voie d'amélioration. Si le ressenti immédiat des effets persiste encore à être un "doux rêve", le document montre ici une démarche volontariste identifiant de manière tout à fait intéressante les besoins et manquements. Enfin, il semble que cette démarche analytique puisse être rapprochée de besoins du même type dans des domaines comme la LID. C'est donc, finalement, un premier pas et sans doute un progrès dans l'amélioration de nos capacités à créer un écosystème de sécurité. 

Source :

dans le texte