J'ai assisté ce jour au colloque du CDSE sur les cybermenaces. Tout le milieu était là, c'était assez sympa : une des grandes utilités de ce genre de réunion, ce sont quand même le pauses café qui permettent de faire le point avec tel ou tel, et d'échanger les cartes. Après, il faut les exploiter, ce qu'on n'a pas toujours le temps de faire...! Il reste que les échanges en séance ont permis de glaner pas mal de petites idées. J'évoquerai les thèmes et l'ambiance, pour développer la notion de cyber légitime défense, sujet d'une table ronde qui m'a laissé sur ma faim.
Je signale la revue "Sécurité et stratégie" qui publie aujourd'hui son numéro sur "les cyber-menaces, mythes ou réalités?".
1/ Plusieurs tables rondes, donc :
- Quelles « cybermenaces » pour l’entreprise, une enquête éclairante (CDSE et FRS)
- Les réponses institutionnelles et les solutions de Partenariat Public Privé
- Démonstration sur les capacités de cyberattaque par un représentant de la DCRI
- Vers une cyber légitime défense ?
- Evolution de la fonction sécurité face aux cybermenaces
- Un avenir incertain : La sécurité face au défi de la culture du partage Milad Doueihi,
- et en guest stars, Thierry Breton (Président Directeur Général d’ATOS) le matin et Patrick Pailloux (Directeur de l’ANSSI) pour conclure.
2/ Cloud, boyd, botnets, identité et surtout réseaux sociaux ont été les grands thèmes revenus tout au long de la journée. Et puis on a senti de la part tant des intervenants que des auditeurs une sorte de circonspection et de manque d'assurance : comme si chacun avait bien conscience que le cyber ne peut plus être cantonné à la seule SSI, mais que les directeurs de sécurité étaient un peu désemparés devant l'ampleur du champ sécuritaire à appréhender.
3/ Toutefois, quelques principes de bon sens ont été rappelés :
- tout d'abord, l'hygiène numérique répétée par P. Pailloux (je commence à le plaindre, à devoir ressasser pour la vingtième fois le même discours).
- Ensuite, la compréhension que les solutions hiérarchiques ne marcheront plus : mais qu'en même temps, il faut conserver "l'assurance", ce qui nécessite d'anticiper et de préparer les mesures
- concilier la nécessaire gêne apparente avec la prise de conscience que le non-choix de cybersécurité est un surcoût dans la durée
- comprendre qu'il y a deux types d’entreprises : celles qui sont piratées, et celles qui savent qu'elles sont piratées.
- l'importance du facteur humain dans le choix de toute solution cybersécuritaire : autrement dit, la solution n'est pas forcément l'outil technique, et elle n'est pas forcément dispendieuse
- la nécessité d'inventorier le patrimoine informationnel de l'entreprise, afin de choisir ce qu'on va protéger, et ce qu'on va moins protéger (que voici un beau principe stratégique : définir des points forts, c'est choisir les endroits que l'on accepte, éventuellement, de sacrifier : du Foch !)
- la conviction que désormais, le directeur de la sécurité exerce plus un métier d'influence que d'autorité
4/ Le débat sur la légitime défense en matière cyber a été assez confus. C'est dommage, car le thème mérite qu'on s'y attarde et était une vraie innovation (c'est d'ailleurs à cause de sa nouveauté qu'il a tâtonne : c'est l'inconvénient, mais aussi l'avantage, des débats défricheurs).
5/ En effet, on n'a pas trop su distinguer à qui s'adressait cette LD : à l'entreprise ou à l'Etat ? de même, on a eu du mal à distinguer LD et "vengeance" et réaction à l'attaque. Des dimensions éthiques, politiques, juridiques sont venues ajouter à la complication.
6/ Que puis-je en dire ? Tout d'abord, rappeler que cette LD ne s'applique pas (sauf une exception) aux personnes morales privées. Et que les Etats l'invoquent, depuis qu'elle est dans la charte des NU. Que ses principes sont classiques, puisque la riposte doit être nécessaire, proportionnée et concomitante. Examinons cela au regard du cyberespace :
- nécessité : Y a-t-il nécessité à riposter ? Y a-t-il surtout possibilité ? Non, à cause du principe d'inattribution qui domine le cyberespace. Déjà qu'il est difficile de savoir à l'instant T que l'on est attaqué, identifier l'agresseur apparaît comme inatteignable
- proportionnalité : cela suppose que l'on est capable d'évaluer les dégâts causés, mais aussi la structure de l'attaque. Or, les cyberarmes sont uniques, et leur degré de complexité varie. Comment donc savoir que l'on va faire un mal "équivalent" à son agresseur pour qu'il cesse son action ?
- concomitance : à l'évidence, l'autre caractère le plus difficile. D'une part à cause de la difficulté déjà mentionnée d'identifier le moment de l'attaque ; et surtout, par la difficulté d'élaborer une riposte qui passe donc par la construction d'une arme adaptée à la cible. Je suis en effet très sceptique avec les annonces de rétrovirus (cf. l'annonce japonaise d'un système qui "remonterait" la trace du virus d'origine pour venir frapper dans l'originataire).
Autant de difficultés qui rendent la notion de légitime défense inappropriée pour les entreprises (sans même parler de l'aspect légal). Quant aux États, remarquons que dans la plupart des cas, ils invoquent la LD une fois qu'ils ont lancé leur action. La légalité de l'acte apparaît en fait comme un processus de légitimation a posteriori.
Il reste que cette notion constitue un excellent thème d'étude : utiliser des catégories d'analyse à la nouveauté du cyberespace permet de mieux le comprendre. Et en cela, ce genre de débat est fort utile. Toutefois, je remarque que tout le monde dit que "l'agression, c'est pas bien, mais que les agresseurs, se sont toujours les autres". Au fond, l’entreprise est victime, jamais agissante. Ainsi, on n'observe pas le débat sur "l'offensive" qui anime, pourtant le débat de cyberdéfense. En cela, cette notion de légitime défense était une manière détournée de l'évoquer sans le dire. Un jour, évoquera-t-on tranquillement les limites aux cyberoffensives des entreprises ? Pas politiquement correct, mais si on est réaliste...
NB : je signale l'intervention de l'expert cyber de l'OCDE, qui nous accueillait, et qui a évoqué deux choses :
- la parution récente d’une comparaison des cyberstratégies nationales
- et le lancement de la révision des directives 2002 de cybersécurité.
O. Kempf