L'autre jour, un de mes bons amis s'échauffe dans un de nos échanges collectifs qui font parfois mouche :
Tunnel SSH, bi-clé asymétrique, paramétrage de Cisco PIX ou de Nokia CP, .. Pas assez technique ? On peut encore descendre, au niveau filtrage des flux, analyse par paquets, positionnement de bits et autres salmigondis qui nous fait perdre environ 95% de l'auditoire. On peut passer à de l'organisationnel et de la certification avec du "bateau" : ISO 27k, ISO13335, Critères Communs/ITSEC. Ou de l'architecture. Pas trop mon domaine, mais je suis prêt à jouer sur les principes d'architecture, la résilience, de la HA (Haute-dispo) avec du load-balancing, VPN, VLAN i tutti quanti. Plutôt Infosec ? : de la PSSI, de la sensibilisation / des recommandations, du consulting RSSI voire DSI.
Bon. Évidemment, je n'ai pas compris une goutte de tout ce qu'il disait, mais j'ai bien compris qu'il y avait une énorme couche technique dans le cyber, et surtout qu'il lui paraissait essentiel de la dominer pour en tirer une réflexion stratégique.
Aïe ! me suis-je dit. Donc, je n'ai rien à dire sur le sujet ? la cyberstratégie serait réservée aux geeks et aux nerds ?
1/ A tout seigneur tout honneur, poursuivons la citation de notre interlocuteur, cela n'en sera que plus juste :
- Ça n'invalide pas mais il me parait pertinent que s'attaquer au cyberespace et, de surcroît aux aspects défensifs et offensifs, nécessite à tout le moins un minimum de connaissances techniques, organisationnelles voire normatives.
- Déjà, au minimum, c'est de comprendre ce que sont les réseaux de transports de données. La base est là.
- Ensuite, il faut connaître quels sont les équipements qui participent à ce transport, comment ils communiquent et sur quelles normes ils se basent. Lire régulièrement Stéphane Bortzmeyer est "bon pour la santé" (cyber-mentale et réseaux, dans ce cas :). Car de là on peut commencer à comprendre certaines faiblesses de protocoles et d'architectures, matérielles et logicielles.
- Ensuite, on s'attaque au concept des données et je renvoie avantageusement à l'un des articles de la série AGS "La Sécurité de l'Information est-elle un échec ?" :)
- Après il est bon de comprendre les techniques permettant d'exploiter des vulnérabilités et, plus largement, de hacking. De là, je pense que l'on peut se forger une image un peu plus précise des possibles. Ensuite il faut intégrer les enjeux, les rapports de force, la politique, bref "la stratégie".
- Et j'ai beaucoup de mal à comprendre la cohérence qu'il y aurait à vouloir (à espérer, à croire ?) maîtriser un domaine tandis que les penseurs, ceux qui ne traitent que de statégie au sens où tu l'entends et l'exprimes, n'appréhenderaient pas les possibilités et les limitations techniques, la caractérisation technique des acteurs (niveau d'expertise, moyens associés, capacités réelles) ou les subtilités d'un bon flooding ? Ce n'est juste pas possible et c'est pourquoi les cyber-stratèges (de demain) devront nécessairement posséder la double culture.
2/ Revenons toutefois à ce qu'est la "stratégie" : "l’art de la dialectique des volontés employant la force pour résoudre les conflits". La dimension technique inférée par cette définition n'entre que dans l'emploi de la force. On remarquera en effet que Beaufre parle d'art et non pas de science : cette "conduite" stratégique résulte de la dialectique des volontés, de cette opposition entre acteurs qui réagissent l'un à l'autre.
3/ Qu'est-ce alors que la cyberstratégie ? Est-ce une méta-SSI ? (SSI pour Sécurité des systèmes d’information). Non, ce serait une vision trop restrictive du domaine. Une définition de la cyberstratégie pourrait être alors : il s'agit de la partie de la stratégie propre au cyberespace, considéré comme un espace conflictuel où s'opposent, avec des techniques et des intentions variables, des acteurs différents (États, groupes plu s ou moins organisés, individus).
4/ Tout ceci ne minore pas la connaissance technique de cet espace. En effet, il présente la particularité d'être un espace artificiel. Anthropogène. Si la cyberstratégie ressemble en quoi que ce soit à la stratégie nucléaire, ce n'est certainement pas par la doctrine de la dissuasion, mais bien parce qu'il s'agit de sphères stratégiques créées par l'homme. Et possédant donc une épaisse couche technique. D'ailleurs, c'est à cause de la radicale innovation technique du nucléaire que les stratégistes ont développé une stratégie autonome, donnant d'ailleurs naissance à ces théories de la dissuasion. Certes, la notion de dissuasion a toujours existé peu ou prou dans la stratégie. Il reste que le nucléaire lui a donné une nouvelle acception et qu'on ne peut plus, aujourd’hui, parler de la dissuasion comme on le faisait naguère.
5/ Le cyberespace est conditionné par la technique et il faut, effectivement, en connaître les principes de fonctionnement : tout d'abord sa division en plusieurs couches (on ne peut réduire le cyber à la seule couche logicielle, ne vous en déplaise monseigneur), et à l'intérieur de la couche logicielle, apercevoir la différence entre les codages (propres au dialogue homme machine) et les protocoles (propres aux dialogues entre machines au travers des réseaux). Comprendre aussi, par un dialogue avec les spécialistes, les limitations actuelles de sécurité liées aux conditions techniques (matérielles et logicielles) qui régissent actuellement le cyberespace.
6/ Faut-il pour autant connaître les détails du tunnel SSH ou de la bi-clef asymétrique (tiens, ça me rappelle mes cours de SSI, il y a trois fois 33 ans à Rennes) ? en fait je n'en suis pas si sûr. Revenons à Luttwak qui distingue un certain nombre de niveaux stratégiques : tout en bas gît la technique, puis la tactique, puis l'opératique puis le stratégique (avant de poser la question des relations entre stratégie militaire et grande stratégie). La technique est importante, puisqu'elle constitue le soubassement au système stratégique. Mais elle n'est pas aussi déterminante que bien des techniciens le croient.
7/ J'apporte aussitôt une nuance : il y a bien des considérations de stratégie technologique. D'ailleurs, quand j'évoquais cette proposition devant le même cénacle, que n'ai-je entendu ? Précisons donc les choses : le passage de l'IPv4 à l'IPv6 constitue un saut technologique : il a des conséquences stratégiques, et il n'est pas anodin que ce soient surtout les Chinois qui promeuvent cet IPv6. Et il n'est pas anodin non plus que les Américains développent un nouveau protocole Internet "sécurisé", pour eux et, sous conditions (!!!), pour leurs "amis". Autre exemple : quand le rapport Bockel recommande de ne pas prendre les routeurs Huawei, c'est bien parce que dans les configurations techniques, on incorpore désormais des backdoors physiques qui entravent la sécurité. On pourrait à l’évidence multiplier les exemples. Mais ce ne sont que des exemples, des applications de considérations stratégiques. La recommandation de Bockel est "stratégique", parce qu'il a écouté des techniciens et qu'il en a été convaincu. Mais sa recommandation est sous-tendue par un diagnostic stratégique (pour faire simple "méfions-nous des Chinois").
8/ Bref : le cyberstratège doit bien sûr poser des questions, s'intéresser aux aspects techniques (et aller un peu plus loin que le seul DDOS, je vous l'accorde). Mais ne vous en déplaise, la cyberstratégie n'est pas réservée aux seuls spécialistes techniques de la chose.
O. Kempf