Rapport McAfee (résumé) : Cyberguerre : les Etats sont

Rapport McAfee (résumé) :
Cyberguerre : les Etats sont-ils prêts ?
Le rapport sur la cyberdéfense (Cyberdefence Report en anglais) est un rapport indépendant qui
s'intéresse à la cyberpréparation dans les différentes régions du monde. Il est publié dans le cadre de
l'initiative de cybersécurité du SDA (Security & Defence Agenda) et doit servir de base aux futurs débats
et recherches au cours de l'année 2012. Le SDA est le seul groupe de réflexion spécialisé dans les
questions de défense et de sécurité de Bruxelles.
Le rapport rassemble des entretiens menés à la fin de l'année 2011 et au début de l'année 2012 avec
80 experts en sécurité issus de différentes sphères (administrations, entreprises, organisations
internationales et universités). Il offre un aperçu global de la pensée actuelle concernant les
cybermenaces et les mesures envisagées pour les contrer.
Le débat porte également sur d'autres questions, à savoir qui doit édicter les règles et dans quelle
mesure il est bon ou non de laisser le contrôle de la cybersécurité aux militaires. Etant donné que le
cyberespace ne connaît pas de frontières, la sécurité se mesure toujours au maillon le plus faible de la
chaîne. Il est donc impératif de prendre des mesures concernant les pays dépourvus de réglementation
et qui sont susceptibles d'offrir un refuge aux cybercriminels.
Le premier volet de ce rapport en deux parties se concentre sur les principaux obstacles aux progrès, à
commencer par l'absence d'un consensus sur la définition de termes tels que « cyberguerre » et
« cyberattaque », dont la signification diffère selon qu'ils sont utilisés par des militaires ou des experts
en technologies.
Le rapport fait apparaître divers thèmes, ainsi que des problèmes précis qui exigent d'être rapidement
résolus. En voici quelques exemples:

Partage des informations : dans quelle mesure doit-il être plus proactif, tant dans les sphères
civiles que militaires ?

Nécessité d'une coopération internationale plus étroite

Développement d'une architecture de sécurité plus robuste pour Internet

Adoption de mesures destinées à renforcer la confiance dans le cyberespace, une solution plus
facile à mettre en œuvre qu'un traité international
Le second volet du rapport porte sur des tests de résistance effectués dans 21 pays. Le système de
notation se fonde sur la méthodologie élaborée par Robert Lentz, ancien secrétaire adjoint du ministère
de la Défense américain pour le CIIA (Cyber, Identity and Information Assurance). Ce programme en
cinq étapes visant à atteindre la résilience propose une série de critères destinés à évaluer la
cyberpréparation de chaque pays et à déterminer dans quelle mesure il est prêt à contrer les
cyberattaques.
Ces tests de résistance sont complétés par les résultats d'une étude internationale menée par le SDA
en automne 2011 auprès de 250 spécialistes en cybersécurité reconnus dans 37 pays. A cette fin, le
SDA a interrogé des ministres, des fonctionnaires d'organisations internationales, des sommités du
monde universitaire, des membres de groupes de réflexion et des spécialistes en informatique. Leurs
opinions divergeaient considérablement quant aux moyens à mettre en œuvre pour améliorer la
coopération internationale dans le cyberespace, lequel est considéré par la moitié d'entre eux comme
un bien commun mondial au même titre que les océans et l'espace.
Recommandations
1. En dépit des nombreux obstacles à la transparence, tant pour les entreprises privées que pour
les administrations publiques, il est nécessaire de trouver des solutions destinées à instaurer la
confiance grâce à l'implémentation de processus et de mécanismes de sécurité.
2. Une relation de confiance doit être établie entre les parties prenantes du secteur en mettant sur
pied des organismes permettant de partager les informations et les meilleures pratiques, tels le
CAMM (Common Assurance Maturity Model) et le CSA (Cloud Security Alliance).
3. Il est nécessaire de mieux sensibiliser le public aux moyens dont il dispose pour protéger ses
propres données Internet.
4. Il faut permettre l'attribution des responsabilités des attaques en investissant dans de nouvelles
technologies ainsi qu'en fixant des règles et des normes.
5. Ce processus d'attribution des responsabilités doit être amélioré en limitant l'anonymat de façon
sélective sans sacrifier les droits de l'homme.
6. Il convient de suivre le modèle de cyberéchange néerlandais pour améliorer le partenariat entre
les secteurs public et privé.
7. Il faut réfléchir de façon novatrice au futur environnement et aux nouveaux problèmes
engendrés par les smartphones et l'informatique dématérialisée. Cette dernière nécessite la
mise en place d'une architecture adaptée pour atteindre des niveaux de sécurité optimaux.
8. Il est nécessaire d'établir des priorités en matière de protection des informations en sachant qu'il
n'existe pas de solution « universelle ». Les trois principaux objectifs à réaliser sont la
confidentialité, l'intégration et la disponibilité à des degrés différents selon la situation.
9. Il convient d'envisager des mesures destinées à instaurer la cyberconfiance en guise de
solution alternative à un traité international ou au moins à titre provisoire, étant donné que des
pays comme les Etats-Unis jugent qu'un tel traité est peu pratique, difficilement réalisable et
impossible à contrôler.
10. Il s’agit d’aller de l'avant et d’encourager une intégration bien pensée du cyberespace aux
structures et processus existants, sachant qu’il fait désormais partie intégrante de notre
quotidien et qu'il est du ressort des décideurs politiques.
Etude mondiale
Dans le cadre de cette étude mondiale menée par le SDA fin 2011, les participants ont dû évaluer
les pays (autres que le leur) les mieux préparés selon eux à faire face aux cyberattaques. Les
Etats-Unis, le Royaume-Uni et l'Estonie sont arrivés en tête, avec l'Albanie, le Mexique et la
Roumanie en bas du classement.
Le SDA a demandé à 250 professionnels de la sécurité de haut vol d'identifier la solution la plus simple
pour améliorer la coopération internationale dans le cyberespace. Les personnes interrogées, qui
appartenaient à différents organismes (dont l'Union Européenne, Interpol, Eurocontrol, les Nations
Unies, l'OTAN et l'OSCE), ont suggéré, entre autres, d'améliorer le partage des informations, de
multiplier les exercices de cybersécurité et d'instaurer des normes communes.
Principales réactions

Le terme « cyberguerre » est jugé imprécis ou alarmiste par 26 % des répondants, tandis que
45 % d'entre eux estiment qu'il est approprié.

La défense antimissile est aussi importante que la cyberdéfense pour 38 % des personnes
interrogées. Pratiquement le même pourcentage (36 %) pense que la cybersécurité est plus
importante.

A l'inverse, les opinions sont partagées entre ceux qui considèrent que la cybersécurité est
aussi importante que la sécurité des frontières (45 %) et ceux qui la jugent moins importante
(35 %).

63 % des répondants estiment que la cybersécurité doit être exclue des coupes budgétaires
alors que 8 % d'entre eux pensent qu'elle ne doit pas être épargnée.

Environ le même pourcentage (62 %) considère le cyberespace comme un bien commun
mondial au même titre que les océans et l'espace.

Plus de la moitié (57 %) est convaincue que le cyberespace connaît actuellement une véritable
course à l'armement, tandis qu'une vaste majorité (84 %) perçoit les cyberattaques comme une
menace pour la sécurité nationale et internationale ainsi que pour les échanges commerciaux.

Bien que presque tous les participants estiment que les exercices de cybersécurité sont
importants, seul un cinquième de ceux qui appartiennent au secteur privé a participé à de tels
exercices (21 % ont pris part à des exercices d'envergure internationale et 22 % à des exercices
nationaux).

Plus de deux tiers (67,6 %) perçoivent la nécessité d'une plus grande réglementation
gouvernementale dans le secteur privé.

Dans les secteurs privé et public, plus de la moitié des répondants (56 %) s'inquiètent de la
pénurie de compétences à venir.

Les dommages ou les interruptions de service causés aux infrastructures critiques sont
considérés comme la toute première menace induites par les cyberattaques puisque 43 % des
personnes interrogées les qualifient de menace nationale associée à des conséquences
économiques de grande ampleur.

Quelque 15 % considèrent le cyberespionnage comme la menace la plus grave, au même titre
que le vol de données personnelles et d'éléments de propriété intellectuelle.
Section I. Opérations de désamorçage dans le champ de mines de la cybersécurité
Les experts et les autorités nationales s'accordent difficilement sur la terminologie à employer,
ce qui limite les perspectives de réglementation du cyberespace. Les militaires et les technophiles
ne parlent pas le même langage, et les interprétations varient considérablement selon les milieux
concernés. Avant de débattre de la cybersécurité, il est nécessaire de parvenir à une définition
consensuelle des différents termes, ce qui demeure jusqu’à présent impossible.
Terminologie : la cyberguerre et les cyberattaques ont de nombreuses significations. Il est
temps de s'entendre sur une seule. Ancien hiérarque de la cybersécurité aux Etats-Unis, Richard
Clarke imagine dans son ouvrage Cyber War (Cyberguerre) un scénario apocalyptique qui frappe les
Etats-Unis, des avions s'écrasant au sol et dévastant des métros. Même si peu d’experts partagent sa
vision terrifiante de l'avenir, beaucoup considèrent le cyberespace comme le prochain terrain d'essai
d'armes de « déstabilisation massive ».
Stewart Baker est très clair quant à son interprétation d'une cyberguerre. Le partenaire de
Steptoe & Johnson et ancien secrétaire adjoint du ministère américain de la Sécurité intérieure sous la
récente administration Bush déclare : « Ceux qui tournent en dérision le concept de cyberguerre se
justifient généralement en prétendant qu'aucune guerre n'a lieu uniquement dans le cyberespace. Cela
reviendrait un peu à affirmer que la guerre aérienne se limite à l'espace aérien alors qu'elle s'inscrit
toujours dans le cadre d'une bataille plus importante. »
Selon M. Baker, une guerre au 21e siècle se caractérisera sans doute par le déploiement initial de
cyberarmes, accompagnées ou non d'autres types d'armements. « Un tel scénario est assez proche des
frappes aériennes puisque les armes numériques vous permettent de mener certaines opérations qui
laissent planer le doute quant à leur nature d'actes de guerre. La mise en place d'une zone d'exclusion
aérienne peut-elle être considérée comme un acte de guerre ? Même si son efficacité a été relativement
limitée, l'attaque contre la Géorgie en 2008 était bel et bien une cyberguerre. »
Tim Scully, PDG de Stratsec et responsable de la cybersécurité chez BAE Systems Australia, introduit
une nuance : « L'utilisation abusive des termes "cyberguerre" et "guerre cybernétique" tend à reléguer le
problème de cybersécurité aux sphères gouvernementales et de la défense, ce qui conduit à ignorer
l'impact d'une cybermenace sur le secteur privé et à créer un déséquilibre dans le financement public.
J'essaie d'éviter ces termes dans la mesure où ils peuvent entraîner une militarisation du
cyberespace. »
Pour James Lewis, directeur du programme « Technology and Public Policy » (Politique en matière de
technologies et publique) du CSIS (Center for Strategic and International Studies) à Washington, il faut
se servir de notre acquis pour cerner le problème. Il constate : « Il est temps de replacer la réflexion sur
les cyberconflits dans le cadre des stratégies et des législations internationales existantes. L'attaque
contre l'Estonie n'était pas une attaque en soi et ne répondait pas aux conditions mentionnées dans
l'article 5 du Traité de l'OTAN*. Il ne s'agissait pas d'une action militaire. » L'article 5 du Traité de
l'Atlantique Nord stipule que les Etats membres ont le droit d'assister, de façon collective, tout autre Allié
faisant l'objet d'une attaque.
Déplacement en eaux troubles : le cybercrime paie parce qu'il est rentable, peu risqué et
anonyme. A la différence de la menace nucléaire et d'autres avant elle, la cybermenace est apparue
sans signe avant-coureur et a connu une période de gestation très courte. Chaque année voit
l'apparition d'un million de nouveaux virus, des vers aux bombes logiques, et ce chiffre ne cesse de
grimper.
« Le problème majeur vient du fait que les cybercriminels peuvent opérer avec beaucoup plus de
souplesse compte tenu de l'importance des flux de financement et de l'absence de barrières légales au
partage de l'information. Ils peuvent donc organiser des attaques bien orchestrées contre les
systèmes », déclare Phyllis Schneck, Directrice des Technologies pour le secteur public chez McAfee.
« Pour tenter d'identifier et de localiser leurs adversaires, les responsables de la sécurité doivent
participer à des réunions et publier des rapports afin de bénéficier d'un partage d'informations minimal.
Jusqu'à ce que nous puissions mettre nos données en commun et offrir des renseignements pertinents
à notre personnel et à nos machines, nous nous livrons à un jeu d'échecs avec seulement la moitié des
pièces. »
A présent que le cyberespace a fait disparaître les frontières, les pays doivent collaborer à tous les
niveaux : décideurs, services de renseignement et même le citoyen sur son ordinateur ou smartphone.
Lors d'une cyberattaque, le nombre de cibles est pratiquement illimité. Il a fallu 20 à 30 ans après
l'avènement du nucléaire pour mettre en place un contrôle de l'armement. Il faut s'attendre à ce que
l'élaboration d'un système international de règles et de réglementations propres au cyberespace prenne
aussi un certain temps.
« Nous nous engageons en terrain inconnu », affirme Alastair MacWillson, directeur général de la
division de sécurité mondiale d'Accenture. « La dynamique du cyberespace change très rapidement :
son objet, ses utilisations et le rythme de son évolution. Il existe de nombreux « business models ».
Personne ne s'est jamais véritablement interrogé sur ce que cela signifiait vraiment et sur les mesures
que nous devrions prendre. »
« Dans certains cas, peu importe de connaître le responsable », a déclaré l'expert canadien Rafal
Rohozinski. « Nous devons parvenir à une définition plus différenciée des cyberattaques. La
description universelle que nous donnons à celles-ci ne permet pas de définir les différents types de
culpabilité. Parfois, nous souhaitons uniquement savoir quelle juridiction est responsable. »
La confiance est une notion difficile à cerner. Internet repose sur le principe de la confiance et
c'est la raison pour laquelle il est si vulnérable. On sait qu'Internet est fondé sur la confiance, et peu
de mécanismes ont été mis en place pour le protéger. Les pirates informatiques des premiers jours
attaquaient les systèmes pour le défi qu'ils représentaient. Aujourd'hui, c'est le profit qui les motive ainsi
que le vol d'éléments de propriété intellectuelle et de secrets militaires et industriels. Pourtant, la
confiance reste le maître mot. Certains l'appellent « assurance ».
Quels dispositifs de protection devons-nous instaurer pour garder confiance dans les systèmes que
nous utilisons chaque jour ? Les éditeurs de logiciels doivent-ils assumer la responsabilité de leurs
produits ? Doit-il en être de même pour les fournisseurs d'accès Internet ? Comment s'assurer que tous
les composants de la chaîne informatique sont fiables ? L'informatique dématérialisée entraîne-t-elle
d'insolubles problèmes de juridiction ? Devons-nous adopter des traités internationaux pour déterminer
qui est responsable du cyberespace souverain ? Les cerveaux du monde entier réfléchissent à ces
questions. Tous ne partagent pas les mêmes opinions mais la plupart sont conscients qu'Internet n'est
pas prêt de disparaître et qu'il doit être envisagé à l'échelle mondiale et non nationale.
Section II. Sur les traces de la cyberrévolution : de nouvelles menaces et une éthique en
mutation
Un changement des mentalités s'impose. Force est de constater que nous sommes plus vulnérables
que par le passé. Le nombre de systèmes connectés à Internet connaît une hausse exponentielle et
notre dépendance vis-à-vis des technologies ne cesse de croître. L'année dernière, Vint Cerf, l'un des
pères fondateurs d'Internet, a suggéré de procéder à un réamorçage complet de ce dernier et de repartir
de zéro dans un environnement plus réglementé. Beaucoup pensent néanmoins qu'un tel projet est
utopique.
« Entrons-nous dans une révolution des données complètement déréglementée ?», se demande le
conférencier britannique Christopher Richardson, spécialiste de l'information et des valeurs
mobilières. Il estime que la situation n'est pas aussi dramatique que certains se plaisent à la décrire.
« Le problème est fortement médiatisé. Nous ignorons ce qu'il en est exactement. » D'après lui, les
informations véhiculées concernant le nombre d'incidents sont faussées, tant dans le secteur public que
privé, en raison du secret qui les entourent. Il constate que parmi les nombreux étudiants auxquels il
enseigne chaque année, peu d’entre eux ont été victimes d'attaques jusqu'ici.
Que le problème soit trop amplifié ou non par les médias, la hausse de la cybercriminalité
s'accompagnera inévitablement d'une multiplication des règles, des lois et des limitations d'utilisation
imposées aux internautes. Espace réservé à un groupe d'utilisateurs éthiques et honorables il y a
quarante ans, la Toile est aujourd'hui devenue un terrain de jeu lucratif pour les cybercriminels.
« Internet permet à n'importe qui d'envoyer ce qu'il veut, où il veut, sans rencontrer le moindre obstacle
sur sa route », déclare Phyllis Schneck de McAfee. « Nous devons éliminer l'élément de profit en
améliorant notre contrôle du routage, de la distribution et de l'exécution d'instructions malveillantes, et
bloquer la menace. Les piscines sont équipées de filtres chimiques. Les réseaux et les ordinateurs ont
également besoin de filtres intelligents pour empêcher les instructions nuisibles d'atteindre leur cible. »
D'après Richard Crowell, professeur à l'Ecole navale américaine de Newport dans le Rhode Island, il
est nécessaire d'aborder de façon réfléchie et lucide le problème représenté par la cybermenace afin de
mieux appréhender les nouveaux risques qu'elle pose. « Nous sommes dans un contexte semblable à
celui que nous avons connu au cours de l'entre-deux-guerres », déclare-t-il. « Au cours de la Première
Guerre mondiale, la bataille de Gallipoli a été un échec cuisant pour les Alliés et leur a appris à ne plus
jamais se lancer à bras le corps dans la guerre amphibie. Les militaires ont dû apprendre à évoluer, à
passer d'un théâtre d'opérations maritime aux opérations terrestres. Les écoles militaires se sont
exclusivement concentrées sur ce problème dans les années 1930 et 1940. Et nous connaissons
actuellement une situation similaire. »
Faut-il envisager un nouveau système de valeurs ?
Tous les leaders d'opinion interrogés s'accordent à dire que l'évolution galopante du cyberespace ne
signifie pas pour autant que le système ait atteint sa maturité. « De grands bouleversements
s'annoncent », affirme James Lewis, expert du CSIS. « Il s'agit notamment de revoir la façon dont nous
envisageons l'extension de la souveraineté, les changements de gouvernance, voire l'approche
déréglementée actuelle d'Internet. »
John Meakin, directeur de la sécurité informatique du géant pétrolier BP, déclare : « Il ne fait aucun
doute que l'avènement des nouvelles technologies contraint BP à revoir son modèle de sécurité.
L'ancien modèle de sécurité d'Internet supposait que ce dernier était sûr parce qu'il nous appartenait. A
présent, le défi consiste à savoir comment préserver la sécurité du Net en sachant que ce dernier
échappe à notre contrôle. Nous sommes propriétaires des données, certes, mais surement pas
d'Internet. Que se passe-t-il lorsque nous n’avons pas le pouvoir sur le média porteur de l’information ?
Voilà en résumé en quoi consiste cette évolution du système de valeurs. »
L'assurance consiste à établir un système de mesure qui permette d'instaurer un sentiment de
confiance dans les mécanismes de protection. « Ainsi, vous payez un abonnement à votre fournisseur
d'accès Internet pour ses services, mais comment savoir avec certitude que les mécanismes de sécurité
qu'il met en œuvre vous protègent contre les logiciels malveillants ou d'autres cybermenaces ?
Comment s'assurer qu'il vous offre les niveaux d'assurance appropriés ? ». Telles sont les questions
que pose Jesus Luna, responsable d'un groupe de recherche sur la sécurité à l'Université Technique de
Darmstadt, en Allemagne.
Les problèmes de sécurité posés par les smartphones
Les avancées technologiques comme les smartphones et l'informatique dématérialisée entraînent
l'apparition de nouveaux problèmes liés à l'interconnectivité et à la souveraineté, qui exigent de
nouvelles réglementations et une approche différente.
« L'Internet mobile change la donne », explique l'expert canadien Rafal Rohozinski. « Les deux
prochains milliards d'internautes se connecteront à la Toile depuis leurs terminaux mobiles, qui se
trouveront pour la plupart dans des pays en développement. Leur nombre même risque d'avoir un
impact social, comme c'est le cas des mobilisations éclairs, ou flash mobs. On assiste à une migration
de la politique vers le cyberespace, laquelle s'accompagne d'une demande de réglementation de ce
dernier. La gouvernance d'Internet consiste à rendre aux Etats le pouvoir de réglementer le
cyberespace. »
Informatique dématérialisée : les défis posés par l'isolation du réseau et du contenu
En ce qui concerne l'informatique dématérialisée (ou cloud computing), l'externalisation de l'archivage
des données n'est pas un nouveau concept puisqu'il existe depuis 40 ans. En revanche, la nouveauté
réside dans la dispersion géographique de ce stockage. Parmi les nombreux problèmes posés par
l'informatique dématérialisée figurent le coût de la puissance de traitement et de la connectivité ainsi
que la question de la neutralité d'Internet. Selon M. Luna, ces nouveaux environnements de stockage
suscitent des problèmes de sécurité et de juridiction : « qui poursuivre en justice en cas de
problème ? ».
« L'informatique dématérialisée implique de séparer le réseau du contenu à l'aide de mécanismes qui
n'existaient pas auparavant », déclare M. Rohozinski. « Les lois qui régissaient jusqu'ici les droits
d'auteur et la sécurité du territoire sont faussées. »
Google, par exemple, possède un tiers de son nuage Internet au Canada. « Ces informations sont-elles
soumises à la législation canadienne ou américaine ? », se demande M. Rohozinski. L'informatique
dématérialisée est devenue matière à débat pour les avocats. « Qu'est-ce que cela signifie en termes de
responsabilité ? Comment appréhender les différentes législations relatives à la conservation et la
confidentialité des données ? Que se passe-t-il dans le cas où les données sont déplacées ? Qui
détermine en dernier ressort la juridiction compétente ? »
Section III. Stratégies de cyberdéfense : questions d'actualité et conditions de réussite
Quelles sont aujourd'hui les questions brûlantes en matière de stratégies de défense du
cyberespace ? Les entretiens menés pour les besoins de ce rapport ont fait émerger une
vingtaine de thèmes :
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
Adoption d'une position offensive
Evaluation de la capacité offensive des pays
Protection d'un système mondial toujours plus intégré
Détermination de la sécurité des systèmes SCADA
Sécurité et vie privée
Neutralité d'Internet
Transition vers des règlements internationaux
Mise en place d'une cyberarchitecture plus robuste
Recherche de solutions au problème posé par les pays constituant des « maillons
faibles »
Sécurisation de la chaîne logistique d'Internet
Sensibilisation accrue à l'ampleur du problème
Adoption d'une approche globale
Activation du dialogue entre technophiles et dirigeants
Définition du rôle des gouvernements
Partage des informations sur le plan international
Nouvelles pistes de réflexion en matière de cybersécurité
Sensibilisation des citoyens
Diminution du secret
Harmonisation des codes et des législations
Définition de cyberattaques préventives
Section IV. En quête de règlements et de réglementations pour régir le cyberespace
Il a fallu attendre une forte hausse des cyberattaques pour faire réagir les dirigeants politiques
des Etats-Unis, de l'Union Européenne et de certaines régions d'Asie, comme pour les inciter à
dresser le bilan des coûts impliqués et de la perte des positions concurrentielles.
« Cela fait 23 ans que je travaille dans le domaine de la sécurité informatique et les décideurs politiques
n'ont commencé à réagir que ces deux ou trois dernières années », déclare John Meakin, directeur de
la sécurité des informations de BP.
L'opinion d'Alastair MacWillson, un des associés d'Accenture chargé de la sécurité mondiale, ne va
pas dans le même sens : « Si Internet avait été conçu dès le départ dans un cadre sécurisé et contrôlé,
il n'aurait jamais connu un tel essor. L'un de ses principaux atouts est l'absence de réglementation. Il
n'est dans l'intérêt de personne de le réglementer. »
L'amélioration de la gouvernance d'entreprise pourrait résoudre une série de problèmes. Christopher
Richardson, conférencier auprès de l'institution britannique DCCIS (Defence College of
Communications and Information Systems), estime que de nombreuses sociétés conservent des
données dont elles n'ont pas besoin et que des audits internes devraient mettre un terme à cette
situation.
De quels autres moyens disposons-nous pour renforcer la sécurité ? L'instauration de meilleures
pratiques sectorielles constitue une première étape utile, pratique et économique. Il est en outre
possible de les mettre en œuvre rapidement. Au sein de l'Union Européenne, la mission de l'ENISA,
l'Agence européenne chargée de la sécurité des réseaux et de l'information, consiste notamment à
partager ce type d'informations entre les 27 Etats membres.
Cybernormes et normes de sécurité classiques
L'ENISA est également responsable de la tâche complexe de définition des normes. « Les différents
Etats membres de l'UE sont à différents stades », affirme le responsable de son service technique
Steve Purser. « Une grande partie de notre travail consiste dans un premier temps à déterminer
comment les pays gèrent le cyberespace et la cybersécurité, puis à définir des normes communes. »
Comment s'assurer que ces normes soient respectées ? « Vous pouvez soit les imposer, soit laisser le
marché en décider. La plupart des organisations appliquent désormais la norme ISO 9000. Si vous
possédez cette certification, vous jouissez d'une excellente crédibilité. Il est possible de faire de même
au sein du marché de la sécurité. »
Les difficultés inhérentes à une application mondiale
La souveraineté nationale est une chose mais, dans le cyberespace, la responsabilité collective ne peut
être évitée. Tous les pays du monde ont formé leurs équipes CERT nationales ou sont en passe de le
faire. Les grandes entreprises et les institutions publiques ont également mis en place ces équipes
d'intervention d'urgence, qui non seulement interviennent dans des situations de crise et informent les
citoyens sur la sécurité informatique, mais participent en outre de plus en plus à des réseaux mondiaux
d'équipes CERT.
« Si vous souhaitez démanteler un réseau de robots (botnets), estimez-vous chanceux s'il se trouve
dans votre propre pays », déclare M. Purser. « La collaboration internationale est essentielle. Une
sécurité confinée au sein des frontières nationales n'a aucun sens. Nous vivons dans un monde
connecté mondialement. Une approche européenne est illogique, sauf si elle est harmonisée avec celle
des partenaires internationaux. »
Toutefois, les opinions varient quant aux législations à adopter. D'aucuns prétendent qu'Internet évolue
si rapidement que les réglementations seront toujours à la traîne, d'autres pensent que la législation est
un frein à la créativité. Enfin, il y a ceux qui souhaitent exercer un contrôle sur le contenu. Est-il irréaliste
d'envisager l'application de règlements internationaux en matière de cybersécurité et de
cyberconfidentialité ?
Adaptation de règlements existants
Pour certains experts, il existe déjà de nombreux règlements pouvant être adaptés. Dans de nombreux
cas, il serait plus simple d'élargir le cadre de législations existantes que décrire un tout nouveau code
pénal et d’introduire de nouvelles lois.
« Il n'est guère difficile d'adapter un code pénal existant pour pouvoir engager des poursuites effectives
contre les cybercriminels », explique John Meakin (BP). « Le problème réside dans le fait que les
forces de police, les procureurs et les juges sont souvent peu familiers du fonctionnement des systèmes
informatiques. »
Des traités internationaux comme la Convention de Genève incluent de nombreuses règles du droit de
la guerre susceptibles d'être appliquées au cyberespace. « Certains prétendent que le cyberespace est
la cinquième dimension de la guerre », souligne l'expert en cybersécurité Tim Scully. « A cet égard, je
suis certain que les juristes pourraient utiliser certains règlements existants et les appliquer au
cyberespace à sur un plan international. »
L'absence de mécanismes internationaux
Pour l'heure, il n'existe aucun mécanisme international capable de coordonner les systèmes de
cyberdéfense nationaux, dont la collecte de renseignements. Selon l'expert canadien Rafal Rohozinski,
ce sont les pays du traité UKUSA conclu entre l'Australie, le Canada, la Nouvelle-Zélande, le RoyaumeUni et les Etats-Unis au sortir de la Seconde Guerre mondiale, appelés les « Five Eyes » par les anglosaxons, qui sont les plus efficaces en termes de coordination et de partage de connaissances. « Les
cercles concentriques autour de cette sphère sont fragiles», estime-t-il. « Il s'agit de l'OTAN, du Conseil
de l'Europe et de l'Organisation du traité de sécurité collective (OTSC). »
Le rêve impossible d'un traité mondial
En 2010, avant la conférence au Mexique de l'UIT (Union Internationale des Télécommunications),
institution dépendant des Nations Unies, son secrétaire général Hamadoun Touré a déclaré qu'il
souhaitait l'adoption d'un « traité de cyberpaix ». Néanmoins, pour beaucoup, le simple fait de
s'entendre sur des règles communes et de fonder un organisme mondial constitue déjà un défi de taille.
Pour le camp des « faucons », comme le juriste américain Stewart Baker, un traité international est une
perte de temps. « Au pire, les pays occidentaux risquent de s'imaginer à tort qu'ils disposent d'une
certaine protection contre des tactiques qui ont été unilatéralement abandonnées par les autres
signataires du traité. »
ll ajoute : « Si nous considérons la cybersécurité comme un réseau de pays sûrs, nous devons
l'envisager comme une forme de consensus plus ou moins fonctionnel qui traite les marginaux comme
des parias. Nous avons été confrontés à un problème de même nature avec le secteur bancaire. Une
série de centres de blanchiment d'argent ont donné l'occasion de réaliser des profits en n'appliquant pas
les règles de lutte contre le blanchiment. Les institutions et acteurs les plus importants du système
financier mondial ont boycotté les pays en cause et ainsi limité le nombre de destinations secrètes de
l'argent sale. Un mécanisme similaire pourrait être utilisé pour isoler les pays qui ne donnent pas suite
aux demandes d'enquête. »
Une alternative réaliste à un traité de paix : des mesures de cyberconfiance
Plusieurs universitaires, dont James Lewis du CSIS, Paul Cornish, professeur de sécurité
internationale à l'Université de Bath, et Theresa Hitchens, directrice de l'Institut des Nations Unies pour
la recherche sur le désarmement (UNIDIR), ont participé à l'élaboration de mesures visant à favoriser la
cyberconfiance. « Un traité ne fonctionnera pas », estime M. Lewis. « Il entraîne trop de problèmes en
termes de contrôle, de conformité et de définition. »
Selon M. Lewis, les mesures destinées à instaurer la cyberconfiance consistent notamment à
« s'entendre sur des normes définissant les comportements escomptés des Etats. Vous voulez de la
transparence, tout particulièrement en ce qui concerne la politique nationale relative à l'utilisation des
cyberattaques dans un contexte militaire. La plupart des pays possèdent une telle politique mais n'en
parlent pas. »
Les candidats au contrôle du cyberespace
Il règne une véritable confusion dans la gouvernance d'Internet, aux mains d'organisations disparates ;
selon les pays, les avis divergent quant à l'entité qui devrait être compétente. Voulons-nous un plus
grand contrôle gouvernemental ? Ou souhaitons-nous au contraire l'éviter à tout prix ? Est-il préférable
que les gouvernements se contentent de prendre certaines mesures ? Et comment évitons-nous de
nous perdre dans un tel labyrinthe ?
Chaque année, le Forum sur la gouvernance de l'Internet (FGI) des Nations Unies offre un espace de
discussion aux différentspartenaires. C’est une tour de Babel dynamique et démocratique, où règne une
cacophonie entre nations. L'Inde, le Brésil et l'Afrique du Sud ont demandé la constitution d'un nouvel
organe mondial chargé de tenir les rênes d'Internet. La Chine et la Russie, quant à elles, souhaitent que
l'Assemblée Générale de l'ONU adopte son code de conduite international pour la sécurité des
informations, qui donnerait aux gouvernements un plus grand rôle à jouer et un contrôle accru sur le
contenu. Ces pays souhaitent que l'Union Internationale des Télécommunications dispose d'un rôle de
supervision, ce à quoi les Etats-Unis et d'autres pays occidentaux s'opposent fermement.
« L'ONU est un forum et non un lieu de décision », déclare Frank Asbeck, conseiller pour l'espace et la
politique de sécurité du Service Européen pour l'Action Extérieure, la branche diplomatique de l'UE.
« Nous vivons dans un environnement où il est nécessaire d'élaborer rapidement des solutions
pragmatiques et socialement acceptables. Nous n'avons pas le temps d'entamer des négociations qui
se poursuivent pendant des décennies. »
Gestion des ressources
Par ailleurs, les gouvernements occidentaux voudraient limiter quelque peu l'influence de l'ICANN
(Internet Corporation for Assigned Names and Numbers, ou « Société pour l'attribution des noms de
domaine et des numéros sur Internet »), l'un des rares organismes à bénéficier d'un contrôle centralisé
et mondial sur Internet. D'autres pays souhaitent voir l'UIT en charge des noms de domaine. Cependant
l’implication des gouvernements au sein même de l’UIT ne manque pas d'inquiéter bon nombre d’
acteurs de la communauté Internet.
L'ICANN, une société américaine du secteur privé connectant tous les internautes, les entreprises
privées et les administrations, gère les adresses IP, attribue les numéros et est responsable de
l'enregistrement des noms de domaine et de sa gestion.
« Le problème qui se pose entre l'ICANN et l'UIT est le multipartenariat », déclare Stefano Trumpy lors
du Conseil national italien de la recherche. « Beaucoup s'en inquiètent. Lors du forum FGI de Nairobi en
septembre 2011, l'Inde, le Brésil et l'Afrique du Sud ont suggéré de mettre en place, au sein de l'ONU,
un comité spécial chargé d'élaborer la politique publique concernant Internet, y compris les normes.
C'est une idée fort préoccupante. Les normes ont été créées par le secteur privé et ne devraient être
contrôlées par les instances publiques. »
Normalisation
La normalisation technique est la deuxième composante de la gouvernance de la cybersécurité. Elle est
actuellement entre les mains de l'IETF (Internet Engineering Task Force), ou UNICODE, qui collabore
avec l'UIT et d'autres organismes du secteur. « Nous avons besoin d'un processus ouvert impliquant un
partenariat public – privé. , déclare l'expert japonais Suguru Yamaguchi.
Police et justice
La police et la justice représentent la troisième composante de cette gouvernance. Interpol a conçu un
cadre légal solide et d'autres cadres internationaux sont en cours d'élaboration. Celui d'Interpol permet
de traiter des dossiers dans les pays qui ne disposent pas d'une législation propre à la lutte contre la
cybercriminalité.
Partage des informations
La quatrième composante est le partage des informations. Cet échange à l'échelle mondiale représente
un défi presque insurmontable mais il est essentiel pour garantir un environnement Internet sain. FIRST,
le forum mondial des équipes CERT (Computer Emergency Response Team), y contribue activement
mais de l'avis de la grande majorité, c’est insuffisant. « Nous avons besoin d'une plus grande
collaboration pour encourager le partage des informations à l'échelle internationale », constate M.
Yamaguchi.
L'UIT a financé la mise en place en Malaisie d'IMPACT, un système d'alerte préventive dans la
communauté des télécommunications. « C'est bien beau d'avertir les Etats-Unis qu'il y a un problème,
mais que peut faire le secteur des télécommunications à ce sujet ? », se demande Alastair MacWillson
d'Accenture.
Le partage des informations est souvent freiné par certaines préoccupations concernant les attaques
commanditées par les Etats. Dans de nombreuses régions, des forums spéciaux ont été mis en place,
notamment l'ARF (Asian Regional Forum), financé par l'ASEAN et six autres pays pour atténuer la
tension dans la péninsule coréenne.
« Malgré tout, il existe une certaine méfiance entre quelques pays et nous avons besoin d'un dialogue
plus ouvert pour apaiser les tensions », déclare M. Yamaguchi. « L'espoir viendra peut-être du secteur
privé. Comme de nombreuses entreprises s'internationalisent, elles sont plutôt favorable à l’idée de
partager les informations avec les différentes entités. J'espère que les multinationales pourront jouer le
rôle du catalyseur qui encouragera les gouvernements à s'ouvrir au dialogue. »
L'UIT s'attaque aux smartphones
« Il a fallu 125 ans aux téléphones fixes pour atteindre le premier milliard et seulement 11 ans aux
téléphones mobiles pour parvenir à ce chiffre », déclare Hamadoun Touré, secrétaire général de l'UIT
basée à Genève. Ingénieur de formation, il explique que les réseaux à fibre optique accélèrent la
connectivité mondiale plus rapidement qu'il ne l'escomptait. La Commission « Le haut débit au service
du développement numérique » a été créée en 2010 pour résoudre le problème induit par cette
croissance rapide. M. Touré souligne qu'un réseau Internet haute vitesse et à capacité élevée est
essentiel pour réaliser les objectifs du millénaire. « Le haut débit améliore les soins de santé,
l'enseignement et l'efficacité énergétique. Il s'agit d'un phénomène mondial et sa sécurité exige une
réponse à l'échelon planétaire élaborée dans un cadre de coopération internationale. »
Section V. Décloisonnement des cybercommunautés
Pour élaborer des règles internationales de gouvernance du cyberespace applicables et
réalistes, il faut dépasser les cloisonnements entre secteurs, pays et générations. Tel un nid
d'abeilles, le cyberespace présente une structure cloisonnée qui sépare les générations, les secteurs
professionnels et les pays. Pourtant, ces barrières ne reposent sur aucun élément concret et n'ont
aucun sens. Dans un environnement aussi perméable et mondial que le cyberespace, la création d'un
cadre légal et réglementaire exige que les spécialistes élargissent leur vision et que les nations
s'engagent réellement à collaborer.
« Les gouvernements ont tendance à réagir trop lentement alors que la cybersécurité exige des actions
rapides », affirme l'expert en cybersécurité Tim Scully. « La cybersécurité est un problème social, et
non simplement militaire. Nous parlons de sécurité nationale alors que nous devrions parler d’intérêt
national. » Il souligne également la nécessité de mettre en place une collaboration étroite et de
promouvoir la confiance entre les instances publiques, le secteur privé et le milieu universitaire, encore
plus que dans d'autres domaines. Le premier livre blanc de l'Australie sur le cyberespace (Cyber White
Paper) à paraître en 2012 est un premier pas dans cette direction.
Le fossé entre les générations
C'est entre les générations que la fracture est la plus frappante. De nombreux experts affirment que
l'opinion de leurs enfants concernant la vie privée sur Internet est complètement différente de la leur,
comme le montre leur attitude vis-à-vis des réseaux sociaux.
« La génération de nos enfants ne craint pas du tout les ordinateurs et se soucie peu de la
confidentialité », fait remarquer le cyberexpert britannique Peter Sommer. En 2011, lors du piratage des
données personnelles de 77 millions de clients de Sony, la société a fermé son réseau PlayStation
pendant deux semaines. La plupart des jeunes utilisateurs étaient plus mécontents d'être privés de jeux
que de l'atteinte à la vie privée.
Amélioration de la confiance entre partenaires du secteur privé
Les entreprises privées redoutent de voir les informations qu'elles communiquent utilisées à mauvais
escient par les gouvernements ou la concurrence. Plusieurs expériences visant à créer un climat de
confiance sont en cours partout dans le monde. Celles-ci impliquent souvent une collaboration avec des
concurrents. En raison de l'augmentation des fraudes, les services financiers américains ont créé le FSISAC (Financial Services Information Sharing and Analysis Center) dans le but de favoriser le partage
des informations sur les techniques d'attaque et les cybermenaces visant les systèmes bancaires. A
plus petite échelle, la Fédération belge du secteur financier (Febelfin), qui compte 238 membres, s'est
investie dans une mission similaire en faisant appel à des experts indépendants.
Par-delà les dissensions
William Beer, chef de la sécurité de PwC, estime que des intervenants extérieurs peuvent faciliter la
communication au sein de l’écosystème professionnel. Il précise : « Je travaille avec des spécialistes du
comportement, car ils peuvent nous permettre de mieux comprendre ce qui fait réagir un militaire, un
homme ou une femme d'affaires, et comment prendre ces éléments en compte pour partager des
informations. Nous nous sommes reposés trop longtemps sur les professionnels de la sécurité dont les
compétences sont quelque peu limitées. Le secteur s'est cantonné trop longtemps au jargon des
technophiles. »
Le cybercrime et la cybersécurité doivent-ils être envisagés comme les deux faces d'une même
pièce ?
Prenez la lutte contre la criminalité. Dans ce monde aux frontières floues, il n'est pas iforcément
pertinent de faire la distinction entre cybercriminalité et cybersécurité. Selon Victoria Baines, analyste
stratégique en cybercrime d'Europol, l'Office européen de police, une meilleure approche consisterait à
élaborer une réponse collaborative aux menaces régionales et mondiales, et à encourager les secteurs
public et privé ainsi que le milieu universitaire à œuvrer de concert.
A titre d'exemple, Victoria Baines cite le démantèlement en 2009 du réseau de robots (botnet) espagnol
Mariposa, célèbre pour ses arnaques en ligne, une opération à laquelle ont collaboré des universitaires,
des militaires, des forces de police, le secteur privé et des pays tiers. Selon elle : « Europol et Interpol
apportent ce qui faisait auparavant défaut, à savoir une coordination internationale dans la lutte contre la
cybercriminalité. Plus que pour n'importe quelle autre activité criminelle, il est impossible d'enquêter sur
le cybercrime au sein des frontières nationales. »
Adoption de mesures visant à partager les informations à l'échelle mondiale
Une initiative parmi d'autres en matière de partage des informations sur les cybermenaces entre les
pays occidentaux et orientaux est à mettre au compte d'IMPACT (le Partenariat multilatéral international
contre les cybermenaces), à savoir la branche opérationnelle de l'UIT pour les questions de sécurité
informatique.
Son président Mohd Noor Amin est un ardent défenseur de la création d'une plate-forme de
partenariat. « Il est impératif de sensibiliser l'utilisateur final sur l'importance d'un comportement
responsable. En outre, le secteur privé comme les gouvernements doivent investir dans la sécurité, en
dépit du manque de ressources financières », soutient-il. Quelque 137 nations ont signé le partenariat
IMPACT mais Mohd Noor Amin souligne que des pays qui ne l'ont pas fait, par exemple le RoyaumeUni et les Etats-Unis, collaborent activement. « Ils sont conscients que la connexion avec le reste du
monde est nécessaire. Ce n'est qu'une question de temps avant que tous les pays n’y participent. »
Section VI. Le dilemme du secteur privé en matière de confidentialité
Le secret commercial revêt une importance majeure pour les sociétés qui investissent dans les
cybertechnologies, mais il peut également multiplier les problèmes de cybersécurité et les
risques. Beaucoup reconnaissent que les Pays-Bas offrent le meilleur exemple de réussite de
partenariat public-privé avec leur plate-forme de cybersécurité, une forme de cyberéchange. « Cela
permet d’évoquer des questions importantes et d’en tirer les conclusions en vue d’appliquer des
mesures dont pourraient même découler des réglementations volontaires ou obligatoires », déclare
Alastair MacWillson d'Accenture. « Il serait intéressant de l'appliquer à l'échelle mondiale. »
Des efforts considérables sont également entrepris dans ce sens par les Etats-Unis. Cependant, dans le
reste du monde, le partenariat entre les secteurs public et privé progresse généralement très lentement.
Des pays comme la France s'inquiètent d'une relation trop étroite entre ceux-ci.
Pourquoi le secteur privé aurait-il intérêt à partager les informations ? Le secteur privé envisage le
cyberespace sous un angle spécifique : le gain financier. Et comme le fait remarquer John Meakin,
responsable de la cybersécurité chez BP : « Dans une entreprise commerciale, si vous éliminez le
risque, vous ne réaliserez jamais de profit ».
Le secteur privé possède également une expérience vécue des cyberattaques, qui s'avérerait utile. Le
problème réside néanmoins dans le fait que les sociétés rechignent à en parler et à révéler des
vulnérabilités à leurs concurrents ou à leurs clients. En outre, elles sont également tenues de respecter
des réglementations relatives à la confidentialité des données.
Il est important de concevoir des réglementations pertinentes et utiles à tous. D'un côté, les
chercheurs et les fournisseurs de produits de sécurité prétendent qu'il faut leur confier nos données et
qu'ils nous fourniront des mécanismes de protection plus efficaces et des niveaux d'assurance plus
élevés. De l'autre, les décideurs politiques déclarent qu'il est nécessaire d’élaborer des réglementations
pour renforcer la sécurité du cyberespace. Même si beaucoup affirment que les réglementations seront
bientôt obsolètes, l'expert en cybersécurité Tim Scully précise que le port obligatoire de la ceinture de
sécurité dans de nombreux pays n'a peut-être pas éliminé complètement les accidents de la route
mortels mais qu'il a sauvé de nombreuses vies.
« Par nature, les législateurs et les organismes de réglementation ne sont pas très familiers des
stratégies et des impératifs commerciaux », indique Alastair MacWillson d'Accenture. « Les instances
publiques devraient collaborer avec les entreprises, les faire participer à l'élaboration des
réglementations et favoriser le dialogue sur ces questions sans entraver le commerce, comme le font
les Pays-Bas. »
La plupart des gouvernements reconnaissent qu'ils pourraient faire beaucoup plus en termes de partage
des connaissances et qu'il faut pour cela ménager les susceptibilités des entreprises afin d'apprendre
comment l'attaque a été menée et à l'aide de quelles techniques. M. MacWillson ajoute : « Nous devons
supprimer les sanctions infligées à une organisation qui a été piratée et qui a perdu des données, sans
quoi les entreprises resteront peu enclines à signaler l'attaque. Il faut éviter la répression pour favoriser
le partage des informations. »
A qui la faute ? Editeurs de logiciels, fournisseurs de services : qui est responsable ? Il est
impossible de parvenir à une sécurité totale. Les systèmes sont vulnérables aux cyberattaques pour de
multiples raisons, dont l'absence d'une stratégie de sécurité adaptée ou l’utilisation inadéquates par des
internautes. « Certains s'empressent d'accuser les éditeurs de logiciels de sécurité alors qu'ils n'ont pas
effectué leurs mises à jour », fait remarquer M. MacWillson. « Il existe trop de personnes impliquées
dans la chaîne pour pointer du doigt un seul responsable. »
Section VII. La facture de la cybersécurité
La cybersécurité ne doit pas nécessairement coûter cher, mais qui des entreprises ou des Etats
doit assumer la plus grosse partie de la facture ? Frank Asbeck du Service européen pour l'action
extérieure, la nouvelle branche diplomatique de l'UE, pense que la sécurisation d'Internet peut nous
aider à sortir de la crise économique. « Le cyberespace et Internet jouent un rôle majeur dans divers
domaines de l'économie, et investir dans la cybersécurité permet d'améliorer leur fiabilité et leur
robustesse », estime-t-il. « Dans d'autres secteurs, notamment la banque, les communications,
l'optimisation de la consommation d'énergie et les réseaux de distribution intelligents, il est possible de
tirer parti des technologies de l'information pour économiser des ressources dans d'autres domaines. »
Si nous adoptons des modèles économétriques pour calculer les coûts des cyberattaques individuelles,
nous progresserons très lentement. En effet, plusieurs problèmes se posent, notamment le large
éventail de personnes chargées de collecter les données et d'établir les statistiques ou encore la
réticence des entreprises à dévoiler ce genre de détails.
Section VIII. Les citoyens : problèmes de liberté et de protection
Parmi les nombreuses difficultés que soulève la cybersécurité se posent cellesde la sécurité et
de la vie privée. S'agit-il de deux notions complètement opposées ? Ou peuvent-elles coexister ?
« A l'heure actuelle, la situation est extrêmement confuse », déclare Alastair MacWillson, directeur
général de la division de sécurité mondiale d'Accenture « Les avis concernant la sécurité varient selon
l'âge des utilisateurs. Les jeunes se sentent moins concernés par le problème de la confidentialité mais
ils veulent bénéficier d'un accès total. En outre, la sensibilité aux problèmes de confidentialité est plus
ou moins grande selon les pays. »
La Chine et la Russie, par exemple, considèrent que la cybermenace est également liée à la
propagande et aux risques de troubles politiques, et que la cybersécurité devrait, par conséquent,
prévoir une censure du contenu. Au cours du printemps arabe, le gouvernement égyptien a
temporairement supprimé l'accès à Internet. En Europe, les pays qui ont connu le communisme sont
généralement plus sensibles aux problèmes de confidentialité que les autres. C'est également le cas de
l'Allemagne, qui garde encore la période nazie en mémoire. Et au sein des pays mêmes, les opinions
sont aussi diversifiées que les utilisateurs.
La responsabilité Internet, des utilisateurs privés aux géants de l'industrie
De l'avis de M. Gaycken, philosophe allemand spécialisé dans les sciences et les technologies et
professeur à l'Université libre de Berlin, il est plus efficace de sécuriser les systèmes en améliorant la
compréhension de l'utilisateur moyen. « Les utilisateurs doivent être mieux informés sur les modèles
commerciaux utilisés par les criminels. Il faut sensibiliser la population au problème de la sécurité. » Il
ajoute que, parallèlement, nous pouvons prendre des mesures contre les attaques par déni de service
et d'autres attaques plus sophistiquées, par exemple en déconnectant Internet et en utilisant des
modèles de systèmes fermés. « Il ne faut pas que le contrôle des réseaux ait plus d'importance que la
sécurité des hôtes », souligne-t-il.
Pour Olivier Caleff de la société française Devoteam qui offre des services-conseils sur la
cybersécurité, l'information et la formation jouent un rôle capital dans la lutte contre les cybermenaces.
« Je dirais que cela représente 80 % de la solution », déclare-t-il. « Les utilisateurs de téléphones
mobiles ont trop tendance à croire tout ce qu'ils lisent. Ils font confiance aux messages les plus
stupides. »
Un trop grand nombre d'internautes communiquent allègrement leurs informations personnelles ou
pensent qu'ils s'adressent à un groupe fermé d'utilisateurs alors qu'en réalité, ils participent à une
session très ouverte. Ils ne réalisent pas que leurs données sont envoyées à d'autres sociétés. Comme
bien d'autres, M. Caleff estime que l'information doit commencer à l'école et que les sociétés, quelle que
soit leur taille, doivent se charger de former leurs employés.
Pénurie de compétences en cybersécurité
En termes de formation, force est de constater que la plupart des pays manquent cruellement de
personnel spécialisé dans la cybersécurité. « La profession n'a pas atteint sa maturité », fait remarquer
Judy Baker, directrice de la société britannique Cyber Security Challenge, qui recrute des talents grâce
à des jeux et à des concours nationaux. Les Etats-Unis ont recours aux mêmes méthodes de
recrutement. Lorsque le CSIS a informé le président Barack Obama qu'il manquait entre 10 à
15 000 professionnels de la sécurité informatique, des concours ont été organisés pour encourager
l'identification de candidats qualifiés et compétents. « De nombreuses entreprises ne communiquent pas
sur les postes à pourvoir », affirme Mme Baker.
L'institut SANS, une organisation américaine vouée à la formation et à la recherche, a constaté que
90 % des sociétés ne parviennent pas à obtenir les professionnels en cybersécurité dont elles ont
besoin. Huit catégories de fonctions sont concernées, des postes techniques aux fonctions stratégiques.
Carte de notation des pays
La méthodologie utilisée pour évaluer l'état de cyberpréparation des différents pays a été élaborée par
Robert Lentz, président de Cyber Security Strategies et ancien secrétaire adjoint du ministère à la
Défense américain pour le CIIA (Cyber, Identity and Information Assurance). Son modèle de maturité de
la cybersécurité est une feuille de route visant à atteindre la résilience, l'objectif ultime des
administrations publiques et des entreprises qui souhaitent gérer efficacement une cyberattaque
sophistiquée, afin de profiter pleinement des avantages de l'intégration des stratégies, des processus
optimisés, des utilisateurs et des technologies en vue de limiter les risques de sécurité nationaux et
économiques.