dimanche 27 juillet 2014

In CyberWar, size does matter




De nombreux stratégistes et experts de la chose militaire avancent l'idée selon laquelle le combat cyber (cyberwar) serait purement asymétrique. Le cyber serait le domaine par excellence où le faible pourrait faire trembler le fort « à moindre frais ». La thèse va même plus loin et l'on évoque alors parfois « le pouvoir égalisateur du cyber » en référence aux écrits de Pierre Marie Gallois, stratégiste de l’ère nucléaire.

Ceux-là n'ont visiblement jamais supervisé un système d'information ni essayé de s'introduire ne serait-ce que dans un serveur web... La réalité est bien plus cruelle, pour atteindre un objectif, défensif comme offensif, il faut des moyens, beaucoup de moyens. Ainsi, dans ce domaine comme dans les autres, point de révolution, les capacités et donc l’efficacité des armées repose toujours et encore sur : une ressource humaine en quantité suffisante, des compétences pointues, acquises et entretenues, une organisation opérationnelle efficace et une doctrine commune.

Dans le cyber la taille compte et le petit ne fait pas vraiment trembler le gros. Pourtant l'asymétrie au niveau tactique existe (elle représente même une large majorité des actions quotidiennes sur un système – la cyber-pollution) mais son impact demeure bien souvent limité. Ceux qui ont les moyens de se défendre et d'organiser la supervision et la résilience de leurs systèmes ne craignent par pour leur survie (tout juste pour leur image). La taille compte ensuite car elle génère de nouvelles failles, des faiblesses et fait changer d'échelle la politique de défense d'un système. A partir d'un certain point, la taille impose de conduire une manœuvre, de piloter finement les changements, les nouveaux déploiements... la taille appelle la stratégie.



Ainsi donc, dans le cyberespace, « size does really matter ».



L'asymétrie tactique existe mais son impact est limité



l'assaillant isolé, « l'insurgé numérique » sans soutien particulier, peut obtenir des gains tactiques mais son action ne peut changer le cours des évènements. L'équivalent numérique du combat asymétrique se retrouve dans la lutte entre des groupes de hackers (plus ou moins agiles) et les gouvernements. On a beaucoup glosé sur la Syrian Electronic Army (l'armée syrienne électronique) groupe agissant contre les intérêts occidentaux pour soutenir le régime syrien. Ce dernier a en effet a son tableau de chasse quelques trophées symboliques, des « flags », qui ne relèvent pas nécessairement d'un niveau technique considérable mais qui traduisent plus surement les faiblesses dans les dispositifs de sécurité et dans les comportements des cibles. Au bilan, ce sont des comptes de réseaux sociaux détournés, des sites défacés, des messageries électroniques piratées. Du cyber-bruit qu'il faut étudier, suivre, analyser mais dont l'impact opérationnel est quasi nul. L'asymétrie est donc une réalité, le petit, sans grands moyens peut attaquer « le gros », à l'image de la mouche du coche il harcèle, perturbe, ralenti, interroge mais ne neutralise pas, ne change pas fondamentalement la donne stratégique.



Plus on est gros plus on est vulnérable plus il faut de moyens pour se défendre



La taille compte également en matière de défense. La taille de nos réseaux domestiques, la multiplicité des architectures et des matériels, rend la défense périmétrique bien complexe à implémenter. Par ailleurs, les usages au sein de l'entreprise comme des administrations complexifient le travail de la SSI et donc en cas d'incident des équipes de cyberdéfense. Chacun importe son « monde numérique » sur son lieu de travail et la frontière entre sphère publique et privée a clairement disparue. Le BYOD, le besoin de connexion permanente sont autant de nouvelles vulnérabilités que l'utilisateur contribue à créer. Sur un plan plus technique, ce sont les interactions entre systèmes de contrôle et de production qui complexifient l'équation. Nos organisations plus complexes, plus automatisées deviennent des « obèses numériques » qui nécessitent de plus en plus de ressources pour assurer leur fonctionnement et leur sécurité. Pour l'acteur malveillant, la surface d'attaque ne fait que s'accroitre, plus gros donc plus fragile...



La constitution d'une capacité défensive crédible passe donc par le maintien d'un effort constant et la mobilisation de ressources importantes. L'attribution et les investigations techniques nécessitent également des ressources considérables qui dépassent le simple cadre du nombre de personnes qualifiées mobilisables. Ces actions imposent à la fois la maîtrise de quantités de données importantes (big data, capacités de stockage et de traitement) mais également des ressources pour leur traitement (puissance de calcul, cryptanalyse...).



Une course vers un horizon fuyant ?



Comprendre l'importance des ressources et des moyens pour conduire une politique efficace de cyberdéfense pose nécessairement la question des choix et des arbitrages à conduire dans un contexte économique contraignant. Mais résumer le mouvement en cours à une simple « fuite en avant » dispendieuse reviendrait à ne voir qu'une partie du problème et à négliger le potentiel de croissance associé à cette course. Le numérique et ses technologies sont un domaine où la frontière entre applications militaires et civiles est quasi inexistante. Au bilan, le point focal de ce mouvement demeure de disposer de systèmes plus rapides, plus sécurisés, garantissant un accès aux services sans restrictions, autant de domaines qui s'appliquent directement à l'ensemble de la communauté nationale.






Aucun commentaire:

Enregistrer un commentaire