Cybersécurité : le bras de fer

130503-brasdefer Ce qui n’était qu’une esquisse un peu floue se dessine désormais clairement à l’horizon du paysage numérique. Le bras de fer des enjeux de la société numérique et de la maîtrise de l’information est en cours, et les forces en jeu sont de plus en plus importantes.

J’étais sur Paris il y a quelques semaines, et en allumant la télévision du matin, sur la chaîne parlementaire (LCP), l’émission « Bibliothèque Médicis » de Public-Sénat invitait aux côté de Jean-Pierre Elkabach un écrivain plutôt connu pour ses romans d’espionnage bien informés, Percy Kemp.  Il présentait son dernier livre, Le Prince, à classer dans la catégorie gouvernance politique, ou géostratégie. Ce petit livre, je l’ai bien entendu acheté dès que possible dans le cadre de ma collecte rituelle d’ouvrages (cf. mon précédent billet), puis lu en un trait. Il se veut didactique et après un état des lieux de la situation à laquelle sont confrontés nos dirigeants dans le monde en ce moment, l’ouvrage propose quelques armes pour ne pas perdre la face et tenter de s’en sortir.

130503-leprinceSelon l’auteur, si tout va mal, c’est que nos dirigeants sont perdus et ne savent plus diriger le monde. Autrefois, du temps de Machiavel, et même il n’y a pas longtemps, au temps de la guerre froide, le monde était scindé en deux et les enjeux étaient clairement identifiés. Maintenant, c’est l’explosion des évènements. Tout est évènement, et provoque à son tour des enchaînements d’autres évènements, imprévisibles et complexes. Malgré tout, il faut savoir faire face, ou du moins ne pas perdre la face. Pour Percy Kemp, auteur je le rappelle de romans d’espionnage, les quatre armes à disposition du dirigeant pour s’en sortir sont les suivantes :

  • Le Renseignement, qui permet de prévoir l’événement et de gagner ainsi le temps nécessaire pour s’y préparer.
  • L’Anticipation, qui offre la possibilité de prévoir les conséquences de l’événement jusqu’à en faire, idéalement, un non-événement.
  • La Mystification qui permet de présenter l’événement sous un jour qui lui serait favorable.
  • Enfin, si elles devaient échouer à prévoir l’événement,  à en anticiper les effets et à le présenter sous un jour favorable, la Diversion est là pour les aider à esquiver le coup lorsqu’il survient, et à en faire retomber le poids sur quelqu’un d’autre.

Kemp conclut en rappelant que le dirigeant doit également se connaître lui-même avant de pouvoir prendre position, selon les bons principes de Machiavel et de Sun Tzu. Un fondamental de prudence, bien entendu.

En ce qui me concerne, je n’ai pas trouvé ce livre extraordinaire ou débordant de bons conseils que j’aurais trouvés géniaux, mais plus un « remake » à la sauce XXIè siècle de Machiavel et Sun Tsu. Quoi qu’il en soit, je reste convaincu que ces quatre armes, ainsi que la nécessité de se connaître soi-même sont fondamentales pour tout état-nation, voire toute entreprise qui se respecte (ou qui veut se faire respecter).

Esambert (voir mon précédent billet) a été le précurseur du concept de guerre économique, du moins dans son acceptation scientifique. Car cela fait des siècles (des millénaires?) que les nations se pillent leurs secrets. Mais disons qu’il a été le premier en France à le crier haut et fort, et à réclamer une réaction à ce risque au départ imminent, puis devenu réel et de plus en plus tangible, mondialisation oblige.

Et j’en viens à ce qui se passe en ce moment même du côté de l’Information.

« L’information est le nerf de la guerre« , je pense que beaucoup de personnes commencent à en aperçevoir la substance, la réalité. Que les géants Facebook et Google soient valorisées autant sur les places financières, simplement car elles collectent votre information en continu et partout, donne déjà un indice. Mais ce qui est encore plus intéressant, c’est ce qui se dit dans certains milieux. Voici quelques brêves à méditer, lues récemment :

1/ Cassidian CyberSecurity (filiale d’EADS) est en passe d’acquérir le fabricant d’équipents de sécurité et de pare-feux Arkoon. En septembre dernier, il avait également fait main basse sur Netask, le second fabricant de pare-feux français. Cela est en fait logique, si l’on considère la nouvelle stratégie de l’Etat français en matière de souveraineté numérique. Exit non seulement les équipementiers asiatiques tels que ZTE ou Huawei, comme le fait d’ailleurs avec une logique identique Washington, mais si en plus la France peut s’enorgueillir d’avoir son propre équipementier d’équipements sécurisés, c’est encore mieux pour jouer « à armes égales » avec l’outre-Atlantique ou le Pacifique…

2/ Le Livre Blanc de la Défense 2013 vient de paraître. Dès le départ, il parle de cybersécurité, de cyberdéfense, de cyberrisques et d’autres cybersujets. En synthèse, il est clairement fait mention du fait que le théâtre des opérations militaires inclus désormais le cyberesppace et qu’il faut donc protéger nos infrastructures nationales. Discours identique par ailleurs de l’autre côté de l’Atlantique, et plus généralement au sein de tout état qui se respecte.

3/ L’échec récent du rachat de la société française DailyMotion par Yahoo, car l’Etat français a bloqué la transaction pour motifs stratégiques et de souveraineté nationale, a fait couler beaucoup d’encre, surtout outre-Atlantique. Les Washington Post, New-York Times et autres quotidiens ont fait leur commentaire acerbe : la France est rétrograde et conservatrice, elle préfère bloquer le potentiel d’une société qui pourrait se développer suite à un rachat, et est donc contre-productive et incapable de comprendre les enjeux. J’ai d’ailleurs lu quelques Tweets sur le sujet ce matin, de français et françaises qui critiquaient le gouvernement français qui était contre l’innovation. Vaste farce ! L’on oublie vite (surtout les journalistes) que les Etats-Unis bloquent également ce type de transactions relativement souvent, une loi étant d’ailleurs consacrée à cela. Exemple typique, en 2006 lorsque la société israélienne de pare-feux Checkpoint a voulu racheter la société américaine de détection d’intrusions Sourcefire : elle a finalement renoncé à l’opération, comprenant que Washington ne laisserait pas faire. Esambert en parle dans son livre, d’ailleurs, en proposant une alternative intéressante : Pour toute prise de participation étrangère dans une société française, la France doit pouvoir faire de même dans le pays d’origine… mais c’était du temps de Pompidou et des trente Glorieuses, la France a t-elle encore les moyens de le faire ?

4/ Ce matin, je regardais quelques informations sur le site de la NSA (l’oeil de Washington), relatif aux dernières innovations en matière de cyberdéfense. Et de fil en aiguille, suis arrivé sur le site d’In-Q-Tel, que je connaissais déjà mais qui mérite pour l’occasion un bref rappel !

In-Q-Tel ne s’en cache pas, puisque sur sa page web d’accueil figure en gros caractères sa mission : Fournir des moyens techniques à la CIA et aux autres agences de renseignement américains ! Au moins c’est dit, c’est clair. Cette structure a été créée par la CIA dans le but d’accompagner des sociétés innovantes qui pourraient aider les Etats-Unis dans le cadre de leurs missions de renseignement. En gros, c’est le fonds d’investissement de la CIA, qui possède un portfolio de sociétés stratégiques pour leurs opérations, allant de la détection de failles de sécurité informatique à l’imagerie térahertz (les scanners corporels dans les aéroports), en passant par les moteurs de fusée de missiles… ! Ils apportent des fonds à ces sociétés et start-ups innovantes, en espérant pouvoir aider leur développement. Sous contrôle, très certainement.

Ce qui est intéressant, est de découvrir le portfolio de sociétés sponsorisées (donc à priori plus ou moins dirigées) par le fonds. Deux grands thèmes que sont les Systèmes d’Information d’une part, et la biologie et la physique d’autre part, distinguent les sociétés en question. Et plus intéressant est de constater que de nombreuses sociétés ayant rapport avec le Big-Data, la mobilité, la cybersécurité et encore d’autres secteurs que nous utilisons au quotidien sont financées par In-Q-Tel. citons (presque) au hasard, le scanner de vulnérabilités Nessus, la société de détection d’intrusions FireEye, mais également des sociétés ayant un rapport assez proche avec Google (google Earth), Facebook, des technologies de VDI (Teradici) et bien d’autres… Sans tomber dans la théorie du complot, cette liste a de quoi mériter réflexion.

Un autre point intéressant à lire sur leur site, est leur publication trimestrielle « On our radar ». Je vous invite à lire les quelques PDF qui se trouvent sur leur page, qui traite des désormais habituels thèmes : Cloud, Bring Your Own Device, mobilité, Big Data, et autres concepts à la mode. Leur vision, orienté CIA / NSA, est intéressante ! Exemple avec le numéro traitant des réseaux sociaux : dès le sous-titre :
« Governments are increasingly finding that monitoring social media is an essential component in keeping track of erupting political movements, crises, epidemics, and disasters, not to mention general global trends. »

Donc pour In-Q-Tel, la seule motivation est de monitorer les réseaux sociaux pour que les gouvernements détectent les menaces politiques… !  Big Brother n’est pas loin…

NSA and  CIA : « Swimming in the Big-Data ocean : We must be world-class swimmers, the best, in fact ! »

Evidemment, on pourrait se dire que c’est juste la vision de l’auteur. Mais les autres articles et discours prononcés par les agences américaines ont tous la même saveur :

– L’année dernière, le directeur de la CIA (rien que ça!), David Petraeus prononçait son discours au sujet d’In-Q-Tel. Je vous conseille de le lire, mais en synthèse deux éléments sont notés (en gras) dans le discours : d’une part, la notion d’identité et de vie privée doit être revue, et d’autre part le Big-Data va révolutionner toute la collecte de renseignements, et la CIA doit en devenir le « nageur olympique » !

– Le dernier discours public de la NSA (pdf) à Georgetown en février dernier par son directeur Technique est également très explicite : Il démystifie les trois points constituant la doctrine de la NSA, en rappelant que celle-ci n’est là *que* pour intercepter toute communication ou donnée n’appartenant pas aux américains, et que le Big-Data et le Cloud Computing sont fondamentaux pour cela !

Le bras de fer est bel et bien en cours.

Les enjeux sont multipolaires, certes, mais des tendances de fond et des concentrations stratégiques se forment actuellement, pour que de nouvelles puissances puissent émerger. Les Etats-Unis ont l’avance fondamentale et nécessaire sur l’information, la collecte, le traitement, l’analyse, la prise de décision et l’anticipation.

Et on ne peut que penser à Percy Kemp et ses quatre armes citées : Le Renseignement, l’Anticipation, la Mystification, et la Diversion. Relisez mon billet, vous y trouverez ces quatre armes utilisées dans les exemples que je cite… nous y sommes bel et bien, et les nations n’ont pas attendu Kemp et son nouveau Prince pour appliquer les principes de Sun Tzu et Machiavel…

No Comments »

Bruno Kerouanton on mai 3rd 2013 in Culture, IT Security

Trackback URI | Comments RSS

Laisser un commentaire