De nombreux stratégistes
et experts de la chose militaire avancent l'idée selon laquelle le
combat cyber (cyberwar) serait purement asymétrique. Le cyber
serait le domaine par excellence où le faible pourrait faire
trembler le fort « à moindre frais ». La thèse va même
plus loin et l'on évoque alors parfois « le pouvoir
égalisateur du cyber » en référence aux écrits de Pierre
Marie Gallois, stratégiste de l’ère nucléaire.
Ceux-là n'ont visiblement
jamais supervisé un système d'information ni essayé de
s'introduire ne serait-ce que dans un serveur web... La réalité est
bien plus cruelle, pour atteindre un objectif, défensif comme
offensif, il faut des moyens, beaucoup de moyens. Ainsi, dans ce
domaine comme dans les autres, point de révolution, les capacités
et donc l’efficacité des armées repose toujours et encore sur :
une ressource humaine en quantité suffisante, des compétences
pointues, acquises et entretenues, une organisation opérationnelle
efficace et une doctrine commune.
Dans le cyber la taille
compte et le petit ne fait pas vraiment trembler le gros. Pourtant
l'asymétrie au niveau tactique existe (elle représente même une
large majorité des actions quotidiennes sur un système – la
cyber-pollution) mais son impact demeure bien souvent limité. Ceux
qui ont les moyens de se défendre et d'organiser la supervision et
la résilience de leurs systèmes ne craignent par pour leur survie
(tout juste pour leur image). La taille compte ensuite car elle
génère de nouvelles failles, des faiblesses et fait changer
d'échelle la politique de défense d'un système. A partir d'un
certain point, la taille impose de conduire une manœuvre, de piloter
finement les changements, les nouveaux déploiements... la taille
appelle la stratégie.
Ainsi donc, dans le
cyberespace, « size does really matter ».
L'asymétrie tactique existe mais
son impact est limité
l'assaillant isolé,
« l'insurgé numérique » sans soutien particulier, peut
obtenir des gains tactiques mais son action ne peut changer le cours
des évènements. L'équivalent numérique du combat asymétrique se
retrouve dans la lutte entre des groupes de hackers (plus ou moins
agiles) et les gouvernements. On a beaucoup glosé sur la Syrian
Electronic Army (l'armée syrienne électronique) groupe agissant
contre les intérêts occidentaux pour soutenir le régime syrien. Ce
dernier a en effet a son tableau de chasse quelques trophées
symboliques, des « flags », qui ne relèvent pas
nécessairement d'un niveau technique considérable mais qui
traduisent plus surement les faiblesses dans les dispositifs de
sécurité et dans les comportements des cibles. Au bilan, ce sont
des comptes de réseaux sociaux détournés, des sites défacés, des
messageries électroniques piratées. Du cyber-bruit qu'il faut
étudier, suivre, analyser mais dont l'impact opérationnel est quasi
nul. L'asymétrie est donc une réalité, le petit, sans grands
moyens peut attaquer « le gros », à l'image de la mouche
du coche il harcèle, perturbe, ralenti, interroge mais ne neutralise
pas, ne change pas fondamentalement la donne stratégique.
Plus on est gros plus
on est vulnérable plus il faut de moyens pour se défendre
La taille compte
également en matière de défense. La taille de nos réseaux
domestiques, la multiplicité des architectures et des matériels,
rend la défense périmétrique bien complexe à implémenter. Par
ailleurs, les usages au sein de l'entreprise comme des
administrations complexifient le travail de la SSI et donc en cas
d'incident des équipes de cyberdéfense. Chacun importe son « monde
numérique » sur son lieu de travail et la frontière entre
sphère publique et privée a clairement disparue. Le BYOD, le besoin
de connexion permanente sont autant de nouvelles vulnérabilités que
l'utilisateur contribue à créer. Sur un plan plus technique, ce
sont les interactions entre systèmes de contrôle et de production
qui complexifient l'équation. Nos organisations plus complexes, plus
automatisées deviennent des « obèses numériques » qui
nécessitent de plus en plus de ressources pour assurer leur
fonctionnement et leur sécurité. Pour l'acteur malveillant, la
surface d'attaque ne fait que s'accroitre, plus gros donc plus
fragile...
La constitution d'une
capacité défensive crédible passe donc par le maintien d'un effort
constant et la mobilisation de ressources importantes. L'attribution
et les investigations techniques nécessitent également des
ressources considérables qui dépassent le simple cadre du nombre de
personnes qualifiées mobilisables. Ces actions imposent à la fois la
maîtrise de quantités de données importantes (big data, capacités
de stockage et de traitement) mais également des ressources pour
leur traitement (puissance de calcul, cryptanalyse...).
Une course vers un
horizon fuyant ?
Comprendre
l'importance des ressources et des moyens pour conduire une politique
efficace de cyberdéfense pose nécessairement la question des choix
et des arbitrages à conduire dans un contexte économique
contraignant. Mais résumer le mouvement en cours à une simple
« fuite en avant » dispendieuse reviendrait à ne voir
qu'une partie du problème et à négliger le potentiel de croissance
associé à cette course. Le numérique et ses technologies sont un
domaine où la frontière entre applications militaires et civiles est
quasi inexistante. Au bilan, le point focal de ce mouvement demeure
de disposer de systèmes plus rapides, plus sécurisés, garantissant
un accès aux services sans restrictions, autant de domaines qui
s'appliquent directement à l'ensemble de la communauté nationale.
Aucun commentaire:
Enregistrer un commentaire