Je poursuis le travail de distinction entre la cyberdéfense et la cybersécurité. Après avoir évoqué les notions de défense et de sécurité (et s'être aperçu que les choses ne sont pas claires), attardons-nous aux sens revêtus par le mot "cybersécurité" : ils sont nombreux, source de grandes confusions et souvent d'incompréhensions entre acteurs de bonne foi, qui se considèrent comme des spécialistes de la cybersécurité, et qui le sont effectivement : mais au fond, ils ne sont spécialistes que d'un type de cybersécurité... Or, le stratège doit intégrer toutes les dimensions de son champ d'affrontement.
(NB : avez-vous remarqué à quel point les illustrations du cyber sont la plupart du temps polarisées autour de la couleur bleue, et souvent bleue électrique ?)
Constatons tout d’abord que la confusion n’est pas propre à la France. En effet, on observe un vigoureux débat aux Etats-Unis sur la place respective (voire la préséance) du « Department of Homeland Security » (DHS : en bon français, le ministère de la sécurité intérieure) et le cybercommand : l’un défendant les organismes en .gov, l’autre les organismes en .mil, pour donner l’idée d’une limite de responsabilité. Ces extensions internet (noms de domaine ?, vérifier) dessinent des territoires, publics ou privés…, selon l’extension dans le cyberespace de l’aire de responsabilité ‘un organisme. Autrement dit, la « colonisation » du cyberespace peut être le fait d’organismes publics, mais aussi privés…
Toutefois, en matière cyber, la question de la « sécurité » est compliquée par trois facteurs qui accentuent les confusions.
Ordre public : Le premier tient à l’origine « civile » du trafic sur le cyberespace. Ainsi, très rapidement, les réseaux informatiques ont été utilisés par le grand public, maniant énormément de données privées. La première exigence fut alors de garantir les libertés individuelles, et d’assurer la « sécurité » les données privées qui circulaient. Cette protection fut d’abord pensée contre l’Etat, perçu initialement comme omnipotent et pouvant utiliser ces moyens nouveaux comme l’outil d’un contrôle totalitaire. Cela explique par exemple la création de la Commission Nationale Informatique et Liberté (CNIL) en 1978 qui doit garantir qu’il n’y ait pas interconnexion des fichiers de renseignement sur la population. Rapidement, les craintes évoluèrent, et il fallut protéger non plus seulement les citoyens, mais aussi les consommateurs des escroqueries rendues possibles par les réseaux (phishing, spaming, vol de numéros de carte bancaire, usurpation d’identité, …). Le public exigea une sécurité individuelle.
L’ordre public devait être assuré, et l’Etat qui était une sorte de menace devint simultanément une garantie. Cette double perception de l’État (ou de toute instance publique de régulation) continue de polariser les réactions des internautes. Il reste que cette préoccupation sollicita abord les spécialistes de cet ordre public, chargé de mettre en œuvre cet ordre : au fond, il s’agit de « policer » le cyberespace, d’où l’intérêt des services de souveraineté « intérieure » que sont la police (et la gendarmerie) et la justice (avec une dimension pénale). La cybersécurité se comprend alors comme la lutte contre la cybercriminalité. Elle suit un mouvement ascendant, venant du bas (les individus) vers le haut (la puissance publique).
Sécurité économique : Le second facteur de confusion tient aux usages économiques du cyberespace : les grandes sociétés (et les petites) voulurent également bénéficier des avantages des réseaux, qui rendaient leur activité plus aisée : que ce soit pour l’organisation e la vie interne de la société ou pour les relations avec les tiers (partenaires ou clients). Ce faisant, elles rencontrèrent rapidement le besoin de se protéger.
Alors, les menaces diffèrent légèrement. Les intrus ne cherchent pas à voler directement de l’argent, mais plutôt à espionner et à connaître à l’avance tous les prototypes et axes de recherche et de développement de la société cible. Ces pratiques touchent directement à l’intelligence économique, dans sa partie grise voire noire. Chacun prit peu à peu conscience que l’information interne de l’entreprise (ou de l’organisation, puisque les organismes publics firent face aux mêmes difficultés) a de la valeur, et qu’elle constitue un actif qui doit être protégé comme tel.
SSI : Le troisième facteur est plus technologique. En effet, les directeurs informatiques des entreprises et des administrations virent émerger une tâche supplémentaire. Ils devaient non seulement gérer le parc informatique de leur société (machines, réseaux, infrastructures logicielles, logiciels propriétaires, suivi des évolutions techniques, …) mais aussi assurer une fonction supplémentaire, celle de la sécurité des systèmes informatiques. Cela favorisa le développement de la sécurité des systèmes d’information (SSI). Le mot sécurité est ici approprié, nul n’en doute. Toutefois, si la SSI appartient incontestablement à la cybersécurité, on ne peut réduire la cybersécurité à la SSI, ni même à une SSI de niveau étatique.
Ainsi, la cybersécurité reprend ces trois significations : sécurité publique (au sens d’ordre public), sécurité économique (au sens de protection économique) et sécurité technologique (au sens de la SSI). La cybersécurité serait, alors, au minimum la somme de ces trois dimensions.
O. Kempf