Rapport McAfee (résumé) : Cyberguerre : les Etats sont
Transcription
Rapport McAfee (résumé) : Cyberguerre : les Etats sont
Rapport McAfee (résumé) : Cyberguerre : les Etats sont-ils prêts ? Le rapport sur la cyberdéfense (Cyberdefence Report en anglais) est un rapport indépendant qui s'intéresse à la cyberpréparation dans les différentes régions du monde. Il est publié dans le cadre de l'initiative de cybersécurité du SDA (Security & Defence Agenda) et doit servir de base aux futurs débats et recherches au cours de l'année 2012. Le SDA est le seul groupe de réflexion spécialisé dans les questions de défense et de sécurité de Bruxelles. Le rapport rassemble des entretiens menés à la fin de l'année 2011 et au début de l'année 2012 avec 80 experts en sécurité issus de différentes sphères (administrations, entreprises, organisations internationales et universités). Il offre un aperçu global de la pensée actuelle concernant les cybermenaces et les mesures envisagées pour les contrer. Le débat porte également sur d'autres questions, à savoir qui doit édicter les règles et dans quelle mesure il est bon ou non de laisser le contrôle de la cybersécurité aux militaires. Etant donné que le cyberespace ne connaît pas de frontières, la sécurité se mesure toujours au maillon le plus faible de la chaîne. Il est donc impératif de prendre des mesures concernant les pays dépourvus de réglementation et qui sont susceptibles d'offrir un refuge aux cybercriminels. Le premier volet de ce rapport en deux parties se concentre sur les principaux obstacles aux progrès, à commencer par l'absence d'un consensus sur la définition de termes tels que « cyberguerre » et « cyberattaque », dont la signification diffère selon qu'ils sont utilisés par des militaires ou des experts en technologies. Le rapport fait apparaître divers thèmes, ainsi que des problèmes précis qui exigent d'être rapidement résolus. En voici quelques exemples: Partage des informations : dans quelle mesure doit-il être plus proactif, tant dans les sphères civiles que militaires ? Nécessité d'une coopération internationale plus étroite Développement d'une architecture de sécurité plus robuste pour Internet Adoption de mesures destinées à renforcer la confiance dans le cyberespace, une solution plus facile à mettre en œuvre qu'un traité international Le second volet du rapport porte sur des tests de résistance effectués dans 21 pays. Le système de notation se fonde sur la méthodologie élaborée par Robert Lentz, ancien secrétaire adjoint du ministère de la Défense américain pour le CIIA (Cyber, Identity and Information Assurance). Ce programme en cinq étapes visant à atteindre la résilience propose une série de critères destinés à évaluer la cyberpréparation de chaque pays et à déterminer dans quelle mesure il est prêt à contrer les cyberattaques. Ces tests de résistance sont complétés par les résultats d'une étude internationale menée par le SDA en automne 2011 auprès de 250 spécialistes en cybersécurité reconnus dans 37 pays. A cette fin, le SDA a interrogé des ministres, des fonctionnaires d'organisations internationales, des sommités du monde universitaire, des membres de groupes de réflexion et des spécialistes en informatique. Leurs opinions divergeaient considérablement quant aux moyens à mettre en œuvre pour améliorer la coopération internationale dans le cyberespace, lequel est considéré par la moitié d'entre eux comme un bien commun mondial au même titre que les océans et l'espace. Recommandations 1. En dépit des nombreux obstacles à la transparence, tant pour les entreprises privées que pour les administrations publiques, il est nécessaire de trouver des solutions destinées à instaurer la confiance grâce à l'implémentation de processus et de mécanismes de sécurité. 2. Une relation de confiance doit être établie entre les parties prenantes du secteur en mettant sur pied des organismes permettant de partager les informations et les meilleures pratiques, tels le CAMM (Common Assurance Maturity Model) et le CSA (Cloud Security Alliance). 3. Il est nécessaire de mieux sensibiliser le public aux moyens dont il dispose pour protéger ses propres données Internet. 4. Il faut permettre l'attribution des responsabilités des attaques en investissant dans de nouvelles technologies ainsi qu'en fixant des règles et des normes. 5. Ce processus d'attribution des responsabilités doit être amélioré en limitant l'anonymat de façon sélective sans sacrifier les droits de l'homme. 6. Il convient de suivre le modèle de cyberéchange néerlandais pour améliorer le partenariat entre les secteurs public et privé. 7. Il faut réfléchir de façon novatrice au futur environnement et aux nouveaux problèmes engendrés par les smartphones et l'informatique dématérialisée. Cette dernière nécessite la mise en place d'une architecture adaptée pour atteindre des niveaux de sécurité optimaux. 8. Il est nécessaire d'établir des priorités en matière de protection des informations en sachant qu'il n'existe pas de solution « universelle ». Les trois principaux objectifs à réaliser sont la confidentialité, l'intégration et la disponibilité à des degrés différents selon la situation. 9. Il convient d'envisager des mesures destinées à instaurer la cyberconfiance en guise de solution alternative à un traité international ou au moins à titre provisoire, étant donné que des pays comme les Etats-Unis jugent qu'un tel traité est peu pratique, difficilement réalisable et impossible à contrôler. 10. Il s’agit d’aller de l'avant et d’encourager une intégration bien pensée du cyberespace aux structures et processus existants, sachant qu’il fait désormais partie intégrante de notre quotidien et qu'il est du ressort des décideurs politiques. Etude mondiale Dans le cadre de cette étude mondiale menée par le SDA fin 2011, les participants ont dû évaluer les pays (autres que le leur) les mieux préparés selon eux à faire face aux cyberattaques. Les Etats-Unis, le Royaume-Uni et l'Estonie sont arrivés en tête, avec l'Albanie, le Mexique et la Roumanie en bas du classement. Le SDA a demandé à 250 professionnels de la sécurité de haut vol d'identifier la solution la plus simple pour améliorer la coopération internationale dans le cyberespace. Les personnes interrogées, qui appartenaient à différents organismes (dont l'Union Européenne, Interpol, Eurocontrol, les Nations Unies, l'OTAN et l'OSCE), ont suggéré, entre autres, d'améliorer le partage des informations, de multiplier les exercices de cybersécurité et d'instaurer des normes communes. Principales réactions Le terme « cyberguerre » est jugé imprécis ou alarmiste par 26 % des répondants, tandis que 45 % d'entre eux estiment qu'il est approprié. La défense antimissile est aussi importante que la cyberdéfense pour 38 % des personnes interrogées. Pratiquement le même pourcentage (36 %) pense que la cybersécurité est plus importante. A l'inverse, les opinions sont partagées entre ceux qui considèrent que la cybersécurité est aussi importante que la sécurité des frontières (45 %) et ceux qui la jugent moins importante (35 %). 63 % des répondants estiment que la cybersécurité doit être exclue des coupes budgétaires alors que 8 % d'entre eux pensent qu'elle ne doit pas être épargnée. Environ le même pourcentage (62 %) considère le cyberespace comme un bien commun mondial au même titre que les océans et l'espace. Plus de la moitié (57 %) est convaincue que le cyberespace connaît actuellement une véritable course à l'armement, tandis qu'une vaste majorité (84 %) perçoit les cyberattaques comme une menace pour la sécurité nationale et internationale ainsi que pour les échanges commerciaux. Bien que presque tous les participants estiment que les exercices de cybersécurité sont importants, seul un cinquième de ceux qui appartiennent au secteur privé a participé à de tels exercices (21 % ont pris part à des exercices d'envergure internationale et 22 % à des exercices nationaux). Plus de deux tiers (67,6 %) perçoivent la nécessité d'une plus grande réglementation gouvernementale dans le secteur privé. Dans les secteurs privé et public, plus de la moitié des répondants (56 %) s'inquiètent de la pénurie de compétences à venir. Les dommages ou les interruptions de service causés aux infrastructures critiques sont considérés comme la toute première menace induites par les cyberattaques puisque 43 % des personnes interrogées les qualifient de menace nationale associée à des conséquences économiques de grande ampleur. Quelque 15 % considèrent le cyberespionnage comme la menace la plus grave, au même titre que le vol de données personnelles et d'éléments de propriété intellectuelle. Section I. Opérations de désamorçage dans le champ de mines de la cybersécurité Les experts et les autorités nationales s'accordent difficilement sur la terminologie à employer, ce qui limite les perspectives de réglementation du cyberespace. Les militaires et les technophiles ne parlent pas le même langage, et les interprétations varient considérablement selon les milieux concernés. Avant de débattre de la cybersécurité, il est nécessaire de parvenir à une définition consensuelle des différents termes, ce qui demeure jusqu’à présent impossible. Terminologie : la cyberguerre et les cyberattaques ont de nombreuses significations. Il est temps de s'entendre sur une seule. Ancien hiérarque de la cybersécurité aux Etats-Unis, Richard Clarke imagine dans son ouvrage Cyber War (Cyberguerre) un scénario apocalyptique qui frappe les Etats-Unis, des avions s'écrasant au sol et dévastant des métros. Même si peu d’experts partagent sa vision terrifiante de l'avenir, beaucoup considèrent le cyberespace comme le prochain terrain d'essai d'armes de « déstabilisation massive ». Stewart Baker est très clair quant à son interprétation d'une cyberguerre. Le partenaire de Steptoe & Johnson et ancien secrétaire adjoint du ministère américain de la Sécurité intérieure sous la récente administration Bush déclare : « Ceux qui tournent en dérision le concept de cyberguerre se justifient généralement en prétendant qu'aucune guerre n'a lieu uniquement dans le cyberespace. Cela reviendrait un peu à affirmer que la guerre aérienne se limite à l'espace aérien alors qu'elle s'inscrit toujours dans le cadre d'une bataille plus importante. » Selon M. Baker, une guerre au 21e siècle se caractérisera sans doute par le déploiement initial de cyberarmes, accompagnées ou non d'autres types d'armements. « Un tel scénario est assez proche des frappes aériennes puisque les armes numériques vous permettent de mener certaines opérations qui laissent planer le doute quant à leur nature d'actes de guerre. La mise en place d'une zone d'exclusion aérienne peut-elle être considérée comme un acte de guerre ? Même si son efficacité a été relativement limitée, l'attaque contre la Géorgie en 2008 était bel et bien une cyberguerre. » Tim Scully, PDG de Stratsec et responsable de la cybersécurité chez BAE Systems Australia, introduit une nuance : « L'utilisation abusive des termes "cyberguerre" et "guerre cybernétique" tend à reléguer le problème de cybersécurité aux sphères gouvernementales et de la défense, ce qui conduit à ignorer l'impact d'une cybermenace sur le secteur privé et à créer un déséquilibre dans le financement public. J'essaie d'éviter ces termes dans la mesure où ils peuvent entraîner une militarisation du cyberespace. » Pour James Lewis, directeur du programme « Technology and Public Policy » (Politique en matière de technologies et publique) du CSIS (Center for Strategic and International Studies) à Washington, il faut se servir de notre acquis pour cerner le problème. Il constate : « Il est temps de replacer la réflexion sur les cyberconflits dans le cadre des stratégies et des législations internationales existantes. L'attaque contre l'Estonie n'était pas une attaque en soi et ne répondait pas aux conditions mentionnées dans l'article 5 du Traité de l'OTAN*. Il ne s'agissait pas d'une action militaire. » L'article 5 du Traité de l'Atlantique Nord stipule que les Etats membres ont le droit d'assister, de façon collective, tout autre Allié faisant l'objet d'une attaque. Déplacement en eaux troubles : le cybercrime paie parce qu'il est rentable, peu risqué et anonyme. A la différence de la menace nucléaire et d'autres avant elle, la cybermenace est apparue sans signe avant-coureur et a connu une période de gestation très courte. Chaque année voit l'apparition d'un million de nouveaux virus, des vers aux bombes logiques, et ce chiffre ne cesse de grimper. « Le problème majeur vient du fait que les cybercriminels peuvent opérer avec beaucoup plus de souplesse compte tenu de l'importance des flux de financement et de l'absence de barrières légales au partage de l'information. Ils peuvent donc organiser des attaques bien orchestrées contre les systèmes », déclare Phyllis Schneck, Directrice des Technologies pour le secteur public chez McAfee. « Pour tenter d'identifier et de localiser leurs adversaires, les responsables de la sécurité doivent participer à des réunions et publier des rapports afin de bénéficier d'un partage d'informations minimal. Jusqu'à ce que nous puissions mettre nos données en commun et offrir des renseignements pertinents à notre personnel et à nos machines, nous nous livrons à un jeu d'échecs avec seulement la moitié des pièces. » A présent que le cyberespace a fait disparaître les frontières, les pays doivent collaborer à tous les niveaux : décideurs, services de renseignement et même le citoyen sur son ordinateur ou smartphone. Lors d'une cyberattaque, le nombre de cibles est pratiquement illimité. Il a fallu 20 à 30 ans après l'avènement du nucléaire pour mettre en place un contrôle de l'armement. Il faut s'attendre à ce que l'élaboration d'un système international de règles et de réglementations propres au cyberespace prenne aussi un certain temps. « Nous nous engageons en terrain inconnu », affirme Alastair MacWillson, directeur général de la division de sécurité mondiale d'Accenture. « La dynamique du cyberespace change très rapidement : son objet, ses utilisations et le rythme de son évolution. Il existe de nombreux « business models ». Personne ne s'est jamais véritablement interrogé sur ce que cela signifiait vraiment et sur les mesures que nous devrions prendre. » « Dans certains cas, peu importe de connaître le responsable », a déclaré l'expert canadien Rafal Rohozinski. « Nous devons parvenir à une définition plus différenciée des cyberattaques. La description universelle que nous donnons à celles-ci ne permet pas de définir les différents types de culpabilité. Parfois, nous souhaitons uniquement savoir quelle juridiction est responsable. » La confiance est une notion difficile à cerner. Internet repose sur le principe de la confiance et c'est la raison pour laquelle il est si vulnérable. On sait qu'Internet est fondé sur la confiance, et peu de mécanismes ont été mis en place pour le protéger. Les pirates informatiques des premiers jours attaquaient les systèmes pour le défi qu'ils représentaient. Aujourd'hui, c'est le profit qui les motive ainsi que le vol d'éléments de propriété intellectuelle et de secrets militaires et industriels. Pourtant, la confiance reste le maître mot. Certains l'appellent « assurance ». Quels dispositifs de protection devons-nous instaurer pour garder confiance dans les systèmes que nous utilisons chaque jour ? Les éditeurs de logiciels doivent-ils assumer la responsabilité de leurs produits ? Doit-il en être de même pour les fournisseurs d'accès Internet ? Comment s'assurer que tous les composants de la chaîne informatique sont fiables ? L'informatique dématérialisée entraîne-t-elle d'insolubles problèmes de juridiction ? Devons-nous adopter des traités internationaux pour déterminer qui est responsable du cyberespace souverain ? Les cerveaux du monde entier réfléchissent à ces questions. Tous ne partagent pas les mêmes opinions mais la plupart sont conscients qu'Internet n'est pas prêt de disparaître et qu'il doit être envisagé à l'échelle mondiale et non nationale. Section II. Sur les traces de la cyberrévolution : de nouvelles menaces et une éthique en mutation Un changement des mentalités s'impose. Force est de constater que nous sommes plus vulnérables que par le passé. Le nombre de systèmes connectés à Internet connaît une hausse exponentielle et notre dépendance vis-à-vis des technologies ne cesse de croître. L'année dernière, Vint Cerf, l'un des pères fondateurs d'Internet, a suggéré de procéder à un réamorçage complet de ce dernier et de repartir de zéro dans un environnement plus réglementé. Beaucoup pensent néanmoins qu'un tel projet est utopique. « Entrons-nous dans une révolution des données complètement déréglementée ?», se demande le conférencier britannique Christopher Richardson, spécialiste de l'information et des valeurs mobilières. Il estime que la situation n'est pas aussi dramatique que certains se plaisent à la décrire. « Le problème est fortement médiatisé. Nous ignorons ce qu'il en est exactement. » D'après lui, les informations véhiculées concernant le nombre d'incidents sont faussées, tant dans le secteur public que privé, en raison du secret qui les entourent. Il constate que parmi les nombreux étudiants auxquels il enseigne chaque année, peu d’entre eux ont été victimes d'attaques jusqu'ici. Que le problème soit trop amplifié ou non par les médias, la hausse de la cybercriminalité s'accompagnera inévitablement d'une multiplication des règles, des lois et des limitations d'utilisation imposées aux internautes. Espace réservé à un groupe d'utilisateurs éthiques et honorables il y a quarante ans, la Toile est aujourd'hui devenue un terrain de jeu lucratif pour les cybercriminels. « Internet permet à n'importe qui d'envoyer ce qu'il veut, où il veut, sans rencontrer le moindre obstacle sur sa route », déclare Phyllis Schneck de McAfee. « Nous devons éliminer l'élément de profit en améliorant notre contrôle du routage, de la distribution et de l'exécution d'instructions malveillantes, et bloquer la menace. Les piscines sont équipées de filtres chimiques. Les réseaux et les ordinateurs ont également besoin de filtres intelligents pour empêcher les instructions nuisibles d'atteindre leur cible. » D'après Richard Crowell, professeur à l'Ecole navale américaine de Newport dans le Rhode Island, il est nécessaire d'aborder de façon réfléchie et lucide le problème représenté par la cybermenace afin de mieux appréhender les nouveaux risques qu'elle pose. « Nous sommes dans un contexte semblable à celui que nous avons connu au cours de l'entre-deux-guerres », déclare-t-il. « Au cours de la Première Guerre mondiale, la bataille de Gallipoli a été un échec cuisant pour les Alliés et leur a appris à ne plus jamais se lancer à bras le corps dans la guerre amphibie. Les militaires ont dû apprendre à évoluer, à passer d'un théâtre d'opérations maritime aux opérations terrestres. Les écoles militaires se sont exclusivement concentrées sur ce problème dans les années 1930 et 1940. Et nous connaissons actuellement une situation similaire. » Faut-il envisager un nouveau système de valeurs ? Tous les leaders d'opinion interrogés s'accordent à dire que l'évolution galopante du cyberespace ne signifie pas pour autant que le système ait atteint sa maturité. « De grands bouleversements s'annoncent », affirme James Lewis, expert du CSIS. « Il s'agit notamment de revoir la façon dont nous envisageons l'extension de la souveraineté, les changements de gouvernance, voire l'approche déréglementée actuelle d'Internet. » John Meakin, directeur de la sécurité informatique du géant pétrolier BP, déclare : « Il ne fait aucun doute que l'avènement des nouvelles technologies contraint BP à revoir son modèle de sécurité. L'ancien modèle de sécurité d'Internet supposait que ce dernier était sûr parce qu'il nous appartenait. A présent, le défi consiste à savoir comment préserver la sécurité du Net en sachant que ce dernier échappe à notre contrôle. Nous sommes propriétaires des données, certes, mais surement pas d'Internet. Que se passe-t-il lorsque nous n’avons pas le pouvoir sur le média porteur de l’information ? Voilà en résumé en quoi consiste cette évolution du système de valeurs. » L'assurance consiste à établir un système de mesure qui permette d'instaurer un sentiment de confiance dans les mécanismes de protection. « Ainsi, vous payez un abonnement à votre fournisseur d'accès Internet pour ses services, mais comment savoir avec certitude que les mécanismes de sécurité qu'il met en œuvre vous protègent contre les logiciels malveillants ou d'autres cybermenaces ? Comment s'assurer qu'il vous offre les niveaux d'assurance appropriés ? ». Telles sont les questions que pose Jesus Luna, responsable d'un groupe de recherche sur la sécurité à l'Université Technique de Darmstadt, en Allemagne. Les problèmes de sécurité posés par les smartphones Les avancées technologiques comme les smartphones et l'informatique dématérialisée entraînent l'apparition de nouveaux problèmes liés à l'interconnectivité et à la souveraineté, qui exigent de nouvelles réglementations et une approche différente. « L'Internet mobile change la donne », explique l'expert canadien Rafal Rohozinski. « Les deux prochains milliards d'internautes se connecteront à la Toile depuis leurs terminaux mobiles, qui se trouveront pour la plupart dans des pays en développement. Leur nombre même risque d'avoir un impact social, comme c'est le cas des mobilisations éclairs, ou flash mobs. On assiste à une migration de la politique vers le cyberespace, laquelle s'accompagne d'une demande de réglementation de ce dernier. La gouvernance d'Internet consiste à rendre aux Etats le pouvoir de réglementer le cyberespace. » Informatique dématérialisée : les défis posés par l'isolation du réseau et du contenu En ce qui concerne l'informatique dématérialisée (ou cloud computing), l'externalisation de l'archivage des données n'est pas un nouveau concept puisqu'il existe depuis 40 ans. En revanche, la nouveauté réside dans la dispersion géographique de ce stockage. Parmi les nombreux problèmes posés par l'informatique dématérialisée figurent le coût de la puissance de traitement et de la connectivité ainsi que la question de la neutralité d'Internet. Selon M. Luna, ces nouveaux environnements de stockage suscitent des problèmes de sécurité et de juridiction : « qui poursuivre en justice en cas de problème ? ». « L'informatique dématérialisée implique de séparer le réseau du contenu à l'aide de mécanismes qui n'existaient pas auparavant », déclare M. Rohozinski. « Les lois qui régissaient jusqu'ici les droits d'auteur et la sécurité du territoire sont faussées. » Google, par exemple, possède un tiers de son nuage Internet au Canada. « Ces informations sont-elles soumises à la législation canadienne ou américaine ? », se demande M. Rohozinski. L'informatique dématérialisée est devenue matière à débat pour les avocats. « Qu'est-ce que cela signifie en termes de responsabilité ? Comment appréhender les différentes législations relatives à la conservation et la confidentialité des données ? Que se passe-t-il dans le cas où les données sont déplacées ? Qui détermine en dernier ressort la juridiction compétente ? » Section III. Stratégies de cyberdéfense : questions d'actualité et conditions de réussite Quelles sont aujourd'hui les questions brûlantes en matière de stratégies de défense du cyberespace ? Les entretiens menés pour les besoins de ce rapport ont fait émerger une vingtaine de thèmes : 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Adoption d'une position offensive Evaluation de la capacité offensive des pays Protection d'un système mondial toujours plus intégré Détermination de la sécurité des systèmes SCADA Sécurité et vie privée Neutralité d'Internet Transition vers des règlements internationaux Mise en place d'une cyberarchitecture plus robuste Recherche de solutions au problème posé par les pays constituant des « maillons faibles » Sécurisation de la chaîne logistique d'Internet Sensibilisation accrue à l'ampleur du problème Adoption d'une approche globale Activation du dialogue entre technophiles et dirigeants Définition du rôle des gouvernements Partage des informations sur le plan international Nouvelles pistes de réflexion en matière de cybersécurité Sensibilisation des citoyens Diminution du secret Harmonisation des codes et des législations Définition de cyberattaques préventives Section IV. En quête de règlements et de réglementations pour régir le cyberespace Il a fallu attendre une forte hausse des cyberattaques pour faire réagir les dirigeants politiques des Etats-Unis, de l'Union Européenne et de certaines régions d'Asie, comme pour les inciter à dresser le bilan des coûts impliqués et de la perte des positions concurrentielles. « Cela fait 23 ans que je travaille dans le domaine de la sécurité informatique et les décideurs politiques n'ont commencé à réagir que ces deux ou trois dernières années », déclare John Meakin, directeur de la sécurité des informations de BP. L'opinion d'Alastair MacWillson, un des associés d'Accenture chargé de la sécurité mondiale, ne va pas dans le même sens : « Si Internet avait été conçu dès le départ dans un cadre sécurisé et contrôlé, il n'aurait jamais connu un tel essor. L'un de ses principaux atouts est l'absence de réglementation. Il n'est dans l'intérêt de personne de le réglementer. » L'amélioration de la gouvernance d'entreprise pourrait résoudre une série de problèmes. Christopher Richardson, conférencier auprès de l'institution britannique DCCIS (Defence College of Communications and Information Systems), estime que de nombreuses sociétés conservent des données dont elles n'ont pas besoin et que des audits internes devraient mettre un terme à cette situation. De quels autres moyens disposons-nous pour renforcer la sécurité ? L'instauration de meilleures pratiques sectorielles constitue une première étape utile, pratique et économique. Il est en outre possible de les mettre en œuvre rapidement. Au sein de l'Union Européenne, la mission de l'ENISA, l'Agence européenne chargée de la sécurité des réseaux et de l'information, consiste notamment à partager ce type d'informations entre les 27 Etats membres. Cybernormes et normes de sécurité classiques L'ENISA est également responsable de la tâche complexe de définition des normes. « Les différents Etats membres de l'UE sont à différents stades », affirme le responsable de son service technique Steve Purser. « Une grande partie de notre travail consiste dans un premier temps à déterminer comment les pays gèrent le cyberespace et la cybersécurité, puis à définir des normes communes. » Comment s'assurer que ces normes soient respectées ? « Vous pouvez soit les imposer, soit laisser le marché en décider. La plupart des organisations appliquent désormais la norme ISO 9000. Si vous possédez cette certification, vous jouissez d'une excellente crédibilité. Il est possible de faire de même au sein du marché de la sécurité. » Les difficultés inhérentes à une application mondiale La souveraineté nationale est une chose mais, dans le cyberespace, la responsabilité collective ne peut être évitée. Tous les pays du monde ont formé leurs équipes CERT nationales ou sont en passe de le faire. Les grandes entreprises et les institutions publiques ont également mis en place ces équipes d'intervention d'urgence, qui non seulement interviennent dans des situations de crise et informent les citoyens sur la sécurité informatique, mais participent en outre de plus en plus à des réseaux mondiaux d'équipes CERT. « Si vous souhaitez démanteler un réseau de robots (botnets), estimez-vous chanceux s'il se trouve dans votre propre pays », déclare M. Purser. « La collaboration internationale est essentielle. Une sécurité confinée au sein des frontières nationales n'a aucun sens. Nous vivons dans un monde connecté mondialement. Une approche européenne est illogique, sauf si elle est harmonisée avec celle des partenaires internationaux. » Toutefois, les opinions varient quant aux législations à adopter. D'aucuns prétendent qu'Internet évolue si rapidement que les réglementations seront toujours à la traîne, d'autres pensent que la législation est un frein à la créativité. Enfin, il y a ceux qui souhaitent exercer un contrôle sur le contenu. Est-il irréaliste d'envisager l'application de règlements internationaux en matière de cybersécurité et de cyberconfidentialité ? Adaptation de règlements existants Pour certains experts, il existe déjà de nombreux règlements pouvant être adaptés. Dans de nombreux cas, il serait plus simple d'élargir le cadre de législations existantes que décrire un tout nouveau code pénal et d’introduire de nouvelles lois. « Il n'est guère difficile d'adapter un code pénal existant pour pouvoir engager des poursuites effectives contre les cybercriminels », explique John Meakin (BP). « Le problème réside dans le fait que les forces de police, les procureurs et les juges sont souvent peu familiers du fonctionnement des systèmes informatiques. » Des traités internationaux comme la Convention de Genève incluent de nombreuses règles du droit de la guerre susceptibles d'être appliquées au cyberespace. « Certains prétendent que le cyberespace est la cinquième dimension de la guerre », souligne l'expert en cybersécurité Tim Scully. « A cet égard, je suis certain que les juristes pourraient utiliser certains règlements existants et les appliquer au cyberespace à sur un plan international. » L'absence de mécanismes internationaux Pour l'heure, il n'existe aucun mécanisme international capable de coordonner les systèmes de cyberdéfense nationaux, dont la collecte de renseignements. Selon l'expert canadien Rafal Rohozinski, ce sont les pays du traité UKUSA conclu entre l'Australie, le Canada, la Nouvelle-Zélande, le RoyaumeUni et les Etats-Unis au sortir de la Seconde Guerre mondiale, appelés les « Five Eyes » par les anglosaxons, qui sont les plus efficaces en termes de coordination et de partage de connaissances. « Les cercles concentriques autour de cette sphère sont fragiles», estime-t-il. « Il s'agit de l'OTAN, du Conseil de l'Europe et de l'Organisation du traité de sécurité collective (OTSC). » Le rêve impossible d'un traité mondial En 2010, avant la conférence au Mexique de l'UIT (Union Internationale des Télécommunications), institution dépendant des Nations Unies, son secrétaire général Hamadoun Touré a déclaré qu'il souhaitait l'adoption d'un « traité de cyberpaix ». Néanmoins, pour beaucoup, le simple fait de s'entendre sur des règles communes et de fonder un organisme mondial constitue déjà un défi de taille. Pour le camp des « faucons », comme le juriste américain Stewart Baker, un traité international est une perte de temps. « Au pire, les pays occidentaux risquent de s'imaginer à tort qu'ils disposent d'une certaine protection contre des tactiques qui ont été unilatéralement abandonnées par les autres signataires du traité. » ll ajoute : « Si nous considérons la cybersécurité comme un réseau de pays sûrs, nous devons l'envisager comme une forme de consensus plus ou moins fonctionnel qui traite les marginaux comme des parias. Nous avons été confrontés à un problème de même nature avec le secteur bancaire. Une série de centres de blanchiment d'argent ont donné l'occasion de réaliser des profits en n'appliquant pas les règles de lutte contre le blanchiment. Les institutions et acteurs les plus importants du système financier mondial ont boycotté les pays en cause et ainsi limité le nombre de destinations secrètes de l'argent sale. Un mécanisme similaire pourrait être utilisé pour isoler les pays qui ne donnent pas suite aux demandes d'enquête. » Une alternative réaliste à un traité de paix : des mesures de cyberconfiance Plusieurs universitaires, dont James Lewis du CSIS, Paul Cornish, professeur de sécurité internationale à l'Université de Bath, et Theresa Hitchens, directrice de l'Institut des Nations Unies pour la recherche sur le désarmement (UNIDIR), ont participé à l'élaboration de mesures visant à favoriser la cyberconfiance. « Un traité ne fonctionnera pas », estime M. Lewis. « Il entraîne trop de problèmes en termes de contrôle, de conformité et de définition. » Selon M. Lewis, les mesures destinées à instaurer la cyberconfiance consistent notamment à « s'entendre sur des normes définissant les comportements escomptés des Etats. Vous voulez de la transparence, tout particulièrement en ce qui concerne la politique nationale relative à l'utilisation des cyberattaques dans un contexte militaire. La plupart des pays possèdent une telle politique mais n'en parlent pas. » Les candidats au contrôle du cyberespace Il règne une véritable confusion dans la gouvernance d'Internet, aux mains d'organisations disparates ; selon les pays, les avis divergent quant à l'entité qui devrait être compétente. Voulons-nous un plus grand contrôle gouvernemental ? Ou souhaitons-nous au contraire l'éviter à tout prix ? Est-il préférable que les gouvernements se contentent de prendre certaines mesures ? Et comment évitons-nous de nous perdre dans un tel labyrinthe ? Chaque année, le Forum sur la gouvernance de l'Internet (FGI) des Nations Unies offre un espace de discussion aux différentspartenaires. C’est une tour de Babel dynamique et démocratique, où règne une cacophonie entre nations. L'Inde, le Brésil et l'Afrique du Sud ont demandé la constitution d'un nouvel organe mondial chargé de tenir les rênes d'Internet. La Chine et la Russie, quant à elles, souhaitent que l'Assemblée Générale de l'ONU adopte son code de conduite international pour la sécurité des informations, qui donnerait aux gouvernements un plus grand rôle à jouer et un contrôle accru sur le contenu. Ces pays souhaitent que l'Union Internationale des Télécommunications dispose d'un rôle de supervision, ce à quoi les Etats-Unis et d'autres pays occidentaux s'opposent fermement. « L'ONU est un forum et non un lieu de décision », déclare Frank Asbeck, conseiller pour l'espace et la politique de sécurité du Service Européen pour l'Action Extérieure, la branche diplomatique de l'UE. « Nous vivons dans un environnement où il est nécessaire d'élaborer rapidement des solutions pragmatiques et socialement acceptables. Nous n'avons pas le temps d'entamer des négociations qui se poursuivent pendant des décennies. » Gestion des ressources Par ailleurs, les gouvernements occidentaux voudraient limiter quelque peu l'influence de l'ICANN (Internet Corporation for Assigned Names and Numbers, ou « Société pour l'attribution des noms de domaine et des numéros sur Internet »), l'un des rares organismes à bénéficier d'un contrôle centralisé et mondial sur Internet. D'autres pays souhaitent voir l'UIT en charge des noms de domaine. Cependant l’implication des gouvernements au sein même de l’UIT ne manque pas d'inquiéter bon nombre d’ acteurs de la communauté Internet. L'ICANN, une société américaine du secteur privé connectant tous les internautes, les entreprises privées et les administrations, gère les adresses IP, attribue les numéros et est responsable de l'enregistrement des noms de domaine et de sa gestion. « Le problème qui se pose entre l'ICANN et l'UIT est le multipartenariat », déclare Stefano Trumpy lors du Conseil national italien de la recherche. « Beaucoup s'en inquiètent. Lors du forum FGI de Nairobi en septembre 2011, l'Inde, le Brésil et l'Afrique du Sud ont suggéré de mettre en place, au sein de l'ONU, un comité spécial chargé d'élaborer la politique publique concernant Internet, y compris les normes. C'est une idée fort préoccupante. Les normes ont été créées par le secteur privé et ne devraient être contrôlées par les instances publiques. » Normalisation La normalisation technique est la deuxième composante de la gouvernance de la cybersécurité. Elle est actuellement entre les mains de l'IETF (Internet Engineering Task Force), ou UNICODE, qui collabore avec l'UIT et d'autres organismes du secteur. « Nous avons besoin d'un processus ouvert impliquant un partenariat public – privé. , déclare l'expert japonais Suguru Yamaguchi. Police et justice La police et la justice représentent la troisième composante de cette gouvernance. Interpol a conçu un cadre légal solide et d'autres cadres internationaux sont en cours d'élaboration. Celui d'Interpol permet de traiter des dossiers dans les pays qui ne disposent pas d'une législation propre à la lutte contre la cybercriminalité. Partage des informations La quatrième composante est le partage des informations. Cet échange à l'échelle mondiale représente un défi presque insurmontable mais il est essentiel pour garantir un environnement Internet sain. FIRST, le forum mondial des équipes CERT (Computer Emergency Response Team), y contribue activement mais de l'avis de la grande majorité, c’est insuffisant. « Nous avons besoin d'une plus grande collaboration pour encourager le partage des informations à l'échelle internationale », constate M. Yamaguchi. L'UIT a financé la mise en place en Malaisie d'IMPACT, un système d'alerte préventive dans la communauté des télécommunications. « C'est bien beau d'avertir les Etats-Unis qu'il y a un problème, mais que peut faire le secteur des télécommunications à ce sujet ? », se demande Alastair MacWillson d'Accenture. Le partage des informations est souvent freiné par certaines préoccupations concernant les attaques commanditées par les Etats. Dans de nombreuses régions, des forums spéciaux ont été mis en place, notamment l'ARF (Asian Regional Forum), financé par l'ASEAN et six autres pays pour atténuer la tension dans la péninsule coréenne. « Malgré tout, il existe une certaine méfiance entre quelques pays et nous avons besoin d'un dialogue plus ouvert pour apaiser les tensions », déclare M. Yamaguchi. « L'espoir viendra peut-être du secteur privé. Comme de nombreuses entreprises s'internationalisent, elles sont plutôt favorable à l’idée de partager les informations avec les différentes entités. J'espère que les multinationales pourront jouer le rôle du catalyseur qui encouragera les gouvernements à s'ouvrir au dialogue. » L'UIT s'attaque aux smartphones « Il a fallu 125 ans aux téléphones fixes pour atteindre le premier milliard et seulement 11 ans aux téléphones mobiles pour parvenir à ce chiffre », déclare Hamadoun Touré, secrétaire général de l'UIT basée à Genève. Ingénieur de formation, il explique que les réseaux à fibre optique accélèrent la connectivité mondiale plus rapidement qu'il ne l'escomptait. La Commission « Le haut débit au service du développement numérique » a été créée en 2010 pour résoudre le problème induit par cette croissance rapide. M. Touré souligne qu'un réseau Internet haute vitesse et à capacité élevée est essentiel pour réaliser les objectifs du millénaire. « Le haut débit améliore les soins de santé, l'enseignement et l'efficacité énergétique. Il s'agit d'un phénomène mondial et sa sécurité exige une réponse à l'échelon planétaire élaborée dans un cadre de coopération internationale. » Section V. Décloisonnement des cybercommunautés Pour élaborer des règles internationales de gouvernance du cyberespace applicables et réalistes, il faut dépasser les cloisonnements entre secteurs, pays et générations. Tel un nid d'abeilles, le cyberespace présente une structure cloisonnée qui sépare les générations, les secteurs professionnels et les pays. Pourtant, ces barrières ne reposent sur aucun élément concret et n'ont aucun sens. Dans un environnement aussi perméable et mondial que le cyberespace, la création d'un cadre légal et réglementaire exige que les spécialistes élargissent leur vision et que les nations s'engagent réellement à collaborer. « Les gouvernements ont tendance à réagir trop lentement alors que la cybersécurité exige des actions rapides », affirme l'expert en cybersécurité Tim Scully. « La cybersécurité est un problème social, et non simplement militaire. Nous parlons de sécurité nationale alors que nous devrions parler d’intérêt national. » Il souligne également la nécessité de mettre en place une collaboration étroite et de promouvoir la confiance entre les instances publiques, le secteur privé et le milieu universitaire, encore plus que dans d'autres domaines. Le premier livre blanc de l'Australie sur le cyberespace (Cyber White Paper) à paraître en 2012 est un premier pas dans cette direction. Le fossé entre les générations C'est entre les générations que la fracture est la plus frappante. De nombreux experts affirment que l'opinion de leurs enfants concernant la vie privée sur Internet est complètement différente de la leur, comme le montre leur attitude vis-à-vis des réseaux sociaux. « La génération de nos enfants ne craint pas du tout les ordinateurs et se soucie peu de la confidentialité », fait remarquer le cyberexpert britannique Peter Sommer. En 2011, lors du piratage des données personnelles de 77 millions de clients de Sony, la société a fermé son réseau PlayStation pendant deux semaines. La plupart des jeunes utilisateurs étaient plus mécontents d'être privés de jeux que de l'atteinte à la vie privée. Amélioration de la confiance entre partenaires du secteur privé Les entreprises privées redoutent de voir les informations qu'elles communiquent utilisées à mauvais escient par les gouvernements ou la concurrence. Plusieurs expériences visant à créer un climat de confiance sont en cours partout dans le monde. Celles-ci impliquent souvent une collaboration avec des concurrents. En raison de l'augmentation des fraudes, les services financiers américains ont créé le FSISAC (Financial Services Information Sharing and Analysis Center) dans le but de favoriser le partage des informations sur les techniques d'attaque et les cybermenaces visant les systèmes bancaires. A plus petite échelle, la Fédération belge du secteur financier (Febelfin), qui compte 238 membres, s'est investie dans une mission similaire en faisant appel à des experts indépendants. Par-delà les dissensions William Beer, chef de la sécurité de PwC, estime que des intervenants extérieurs peuvent faciliter la communication au sein de l’écosystème professionnel. Il précise : « Je travaille avec des spécialistes du comportement, car ils peuvent nous permettre de mieux comprendre ce qui fait réagir un militaire, un homme ou une femme d'affaires, et comment prendre ces éléments en compte pour partager des informations. Nous nous sommes reposés trop longtemps sur les professionnels de la sécurité dont les compétences sont quelque peu limitées. Le secteur s'est cantonné trop longtemps au jargon des technophiles. » Le cybercrime et la cybersécurité doivent-ils être envisagés comme les deux faces d'une même pièce ? Prenez la lutte contre la criminalité. Dans ce monde aux frontières floues, il n'est pas iforcément pertinent de faire la distinction entre cybercriminalité et cybersécurité. Selon Victoria Baines, analyste stratégique en cybercrime d'Europol, l'Office européen de police, une meilleure approche consisterait à élaborer une réponse collaborative aux menaces régionales et mondiales, et à encourager les secteurs public et privé ainsi que le milieu universitaire à œuvrer de concert. A titre d'exemple, Victoria Baines cite le démantèlement en 2009 du réseau de robots (botnet) espagnol Mariposa, célèbre pour ses arnaques en ligne, une opération à laquelle ont collaboré des universitaires, des militaires, des forces de police, le secteur privé et des pays tiers. Selon elle : « Europol et Interpol apportent ce qui faisait auparavant défaut, à savoir une coordination internationale dans la lutte contre la cybercriminalité. Plus que pour n'importe quelle autre activité criminelle, il est impossible d'enquêter sur le cybercrime au sein des frontières nationales. » Adoption de mesures visant à partager les informations à l'échelle mondiale Une initiative parmi d'autres en matière de partage des informations sur les cybermenaces entre les pays occidentaux et orientaux est à mettre au compte d'IMPACT (le Partenariat multilatéral international contre les cybermenaces), à savoir la branche opérationnelle de l'UIT pour les questions de sécurité informatique. Son président Mohd Noor Amin est un ardent défenseur de la création d'une plate-forme de partenariat. « Il est impératif de sensibiliser l'utilisateur final sur l'importance d'un comportement responsable. En outre, le secteur privé comme les gouvernements doivent investir dans la sécurité, en dépit du manque de ressources financières », soutient-il. Quelque 137 nations ont signé le partenariat IMPACT mais Mohd Noor Amin souligne que des pays qui ne l'ont pas fait, par exemple le RoyaumeUni et les Etats-Unis, collaborent activement. « Ils sont conscients que la connexion avec le reste du monde est nécessaire. Ce n'est qu'une question de temps avant que tous les pays n’y participent. » Section VI. Le dilemme du secteur privé en matière de confidentialité Le secret commercial revêt une importance majeure pour les sociétés qui investissent dans les cybertechnologies, mais il peut également multiplier les problèmes de cybersécurité et les risques. Beaucoup reconnaissent que les Pays-Bas offrent le meilleur exemple de réussite de partenariat public-privé avec leur plate-forme de cybersécurité, une forme de cyberéchange. « Cela permet d’évoquer des questions importantes et d’en tirer les conclusions en vue d’appliquer des mesures dont pourraient même découler des réglementations volontaires ou obligatoires », déclare Alastair MacWillson d'Accenture. « Il serait intéressant de l'appliquer à l'échelle mondiale. » Des efforts considérables sont également entrepris dans ce sens par les Etats-Unis. Cependant, dans le reste du monde, le partenariat entre les secteurs public et privé progresse généralement très lentement. Des pays comme la France s'inquiètent d'une relation trop étroite entre ceux-ci. Pourquoi le secteur privé aurait-il intérêt à partager les informations ? Le secteur privé envisage le cyberespace sous un angle spécifique : le gain financier. Et comme le fait remarquer John Meakin, responsable de la cybersécurité chez BP : « Dans une entreprise commerciale, si vous éliminez le risque, vous ne réaliserez jamais de profit ». Le secteur privé possède également une expérience vécue des cyberattaques, qui s'avérerait utile. Le problème réside néanmoins dans le fait que les sociétés rechignent à en parler et à révéler des vulnérabilités à leurs concurrents ou à leurs clients. En outre, elles sont également tenues de respecter des réglementations relatives à la confidentialité des données. Il est important de concevoir des réglementations pertinentes et utiles à tous. D'un côté, les chercheurs et les fournisseurs de produits de sécurité prétendent qu'il faut leur confier nos données et qu'ils nous fourniront des mécanismes de protection plus efficaces et des niveaux d'assurance plus élevés. De l'autre, les décideurs politiques déclarent qu'il est nécessaire d’élaborer des réglementations pour renforcer la sécurité du cyberespace. Même si beaucoup affirment que les réglementations seront bientôt obsolètes, l'expert en cybersécurité Tim Scully précise que le port obligatoire de la ceinture de sécurité dans de nombreux pays n'a peut-être pas éliminé complètement les accidents de la route mortels mais qu'il a sauvé de nombreuses vies. « Par nature, les législateurs et les organismes de réglementation ne sont pas très familiers des stratégies et des impératifs commerciaux », indique Alastair MacWillson d'Accenture. « Les instances publiques devraient collaborer avec les entreprises, les faire participer à l'élaboration des réglementations et favoriser le dialogue sur ces questions sans entraver le commerce, comme le font les Pays-Bas. » La plupart des gouvernements reconnaissent qu'ils pourraient faire beaucoup plus en termes de partage des connaissances et qu'il faut pour cela ménager les susceptibilités des entreprises afin d'apprendre comment l'attaque a été menée et à l'aide de quelles techniques. M. MacWillson ajoute : « Nous devons supprimer les sanctions infligées à une organisation qui a été piratée et qui a perdu des données, sans quoi les entreprises resteront peu enclines à signaler l'attaque. Il faut éviter la répression pour favoriser le partage des informations. » A qui la faute ? Editeurs de logiciels, fournisseurs de services : qui est responsable ? Il est impossible de parvenir à une sécurité totale. Les systèmes sont vulnérables aux cyberattaques pour de multiples raisons, dont l'absence d'une stratégie de sécurité adaptée ou l’utilisation inadéquates par des internautes. « Certains s'empressent d'accuser les éditeurs de logiciels de sécurité alors qu'ils n'ont pas effectué leurs mises à jour », fait remarquer M. MacWillson. « Il existe trop de personnes impliquées dans la chaîne pour pointer du doigt un seul responsable. » Section VII. La facture de la cybersécurité La cybersécurité ne doit pas nécessairement coûter cher, mais qui des entreprises ou des Etats doit assumer la plus grosse partie de la facture ? Frank Asbeck du Service européen pour l'action extérieure, la nouvelle branche diplomatique de l'UE, pense que la sécurisation d'Internet peut nous aider à sortir de la crise économique. « Le cyberespace et Internet jouent un rôle majeur dans divers domaines de l'économie, et investir dans la cybersécurité permet d'améliorer leur fiabilité et leur robustesse », estime-t-il. « Dans d'autres secteurs, notamment la banque, les communications, l'optimisation de la consommation d'énergie et les réseaux de distribution intelligents, il est possible de tirer parti des technologies de l'information pour économiser des ressources dans d'autres domaines. » Si nous adoptons des modèles économétriques pour calculer les coûts des cyberattaques individuelles, nous progresserons très lentement. En effet, plusieurs problèmes se posent, notamment le large éventail de personnes chargées de collecter les données et d'établir les statistiques ou encore la réticence des entreprises à dévoiler ce genre de détails. Section VIII. Les citoyens : problèmes de liberté et de protection Parmi les nombreuses difficultés que soulève la cybersécurité se posent cellesde la sécurité et de la vie privée. S'agit-il de deux notions complètement opposées ? Ou peuvent-elles coexister ? « A l'heure actuelle, la situation est extrêmement confuse », déclare Alastair MacWillson, directeur général de la division de sécurité mondiale d'Accenture « Les avis concernant la sécurité varient selon l'âge des utilisateurs. Les jeunes se sentent moins concernés par le problème de la confidentialité mais ils veulent bénéficier d'un accès total. En outre, la sensibilité aux problèmes de confidentialité est plus ou moins grande selon les pays. » La Chine et la Russie, par exemple, considèrent que la cybermenace est également liée à la propagande et aux risques de troubles politiques, et que la cybersécurité devrait, par conséquent, prévoir une censure du contenu. Au cours du printemps arabe, le gouvernement égyptien a temporairement supprimé l'accès à Internet. En Europe, les pays qui ont connu le communisme sont généralement plus sensibles aux problèmes de confidentialité que les autres. C'est également le cas de l'Allemagne, qui garde encore la période nazie en mémoire. Et au sein des pays mêmes, les opinions sont aussi diversifiées que les utilisateurs. La responsabilité Internet, des utilisateurs privés aux géants de l'industrie De l'avis de M. Gaycken, philosophe allemand spécialisé dans les sciences et les technologies et professeur à l'Université libre de Berlin, il est plus efficace de sécuriser les systèmes en améliorant la compréhension de l'utilisateur moyen. « Les utilisateurs doivent être mieux informés sur les modèles commerciaux utilisés par les criminels. Il faut sensibiliser la population au problème de la sécurité. » Il ajoute que, parallèlement, nous pouvons prendre des mesures contre les attaques par déni de service et d'autres attaques plus sophistiquées, par exemple en déconnectant Internet et en utilisant des modèles de systèmes fermés. « Il ne faut pas que le contrôle des réseaux ait plus d'importance que la sécurité des hôtes », souligne-t-il. Pour Olivier Caleff de la société française Devoteam qui offre des services-conseils sur la cybersécurité, l'information et la formation jouent un rôle capital dans la lutte contre les cybermenaces. « Je dirais que cela représente 80 % de la solution », déclare-t-il. « Les utilisateurs de téléphones mobiles ont trop tendance à croire tout ce qu'ils lisent. Ils font confiance aux messages les plus stupides. » Un trop grand nombre d'internautes communiquent allègrement leurs informations personnelles ou pensent qu'ils s'adressent à un groupe fermé d'utilisateurs alors qu'en réalité, ils participent à une session très ouverte. Ils ne réalisent pas que leurs données sont envoyées à d'autres sociétés. Comme bien d'autres, M. Caleff estime que l'information doit commencer à l'école et que les sociétés, quelle que soit leur taille, doivent se charger de former leurs employés. Pénurie de compétences en cybersécurité En termes de formation, force est de constater que la plupart des pays manquent cruellement de personnel spécialisé dans la cybersécurité. « La profession n'a pas atteint sa maturité », fait remarquer Judy Baker, directrice de la société britannique Cyber Security Challenge, qui recrute des talents grâce à des jeux et à des concours nationaux. Les Etats-Unis ont recours aux mêmes méthodes de recrutement. Lorsque le CSIS a informé le président Barack Obama qu'il manquait entre 10 à 15 000 professionnels de la sécurité informatique, des concours ont été organisés pour encourager l'identification de candidats qualifiés et compétents. « De nombreuses entreprises ne communiquent pas sur les postes à pourvoir », affirme Mme Baker. L'institut SANS, une organisation américaine vouée à la formation et à la recherche, a constaté que 90 % des sociétés ne parviennent pas à obtenir les professionnels en cybersécurité dont elles ont besoin. Huit catégories de fonctions sont concernées, des postes techniques aux fonctions stratégiques. Carte de notation des pays La méthodologie utilisée pour évaluer l'état de cyberpréparation des différents pays a été élaborée par Robert Lentz, président de Cyber Security Strategies et ancien secrétaire adjoint du ministère à la Défense américain pour le CIIA (Cyber, Identity and Information Assurance). Son modèle de maturité de la cybersécurité est une feuille de route visant à atteindre la résilience, l'objectif ultime des administrations publiques et des entreprises qui souhaitent gérer efficacement une cyberattaque sophistiquée, afin de profiter pleinement des avantages de l'intégration des stratégies, des processus optimisés, des utilisateurs et des technologies en vue de limiter les risques de sécurité nationaux et économiques.