Quels sont les enjeux de la cyber-sécurité (Prospective de gouvernance du dirigeant) par le Dr Sandro Arcioni, Lieutenant-colonel, Expert en "Opérations d'influence" et en "Cyber-défense", Suisse

La prospective est « la démarche qui vise, dans une perspective à la fois déterministe et holistique, à se préparer aujourd'hui à demain » . « Elle ne consiste pas à prévoir l'avenir mais à élaborer des scénarios possibles sur la base de l'analyse des données disponibles (états des lieux, tendances lourdes, phénomènes d'émergences) et de la compréhension ainsi que la prise en compte des processus socio psychologiques » comme le rappelle Michel Godet (1997) : « si l'histoire ne se répète pas, les comportements humains se reproduisent ». La prospective doit donc aussi s'appuyer sur des analyses rétrospectives et la mémoire du passé humain et écologique (y compris et par exemple concernant les impacts environnementaux et humains des modifications « géo-climatiques » comme techniques passées).

Le « cyberespace », constitué par le maillage de l’ensemble des réseaux, est radicalement différent de l’espace physique. Il est sans frontière, évolutif, anonyme et l’« identification certaine » d’un agresseur y est délicate. Un peu comme les frontières des pays/nations face aux changements climatiques.

La fonction première de la prospective est d'être une aide à la décision stratégique, qui engage un individu ou un groupe et affecte des ressources (naturelles ou non) plus ou moins renouvelables ou coûteuses sur une longue durée, comme les systèmes d’information, véritable réseau neuronal de l’entreprise. Elle acquiert ainsi une double fonction de réduction des incertitudes (et donc éventuellement de certaines angoisses) face à l'avenir, et de priorisation ou légitimation des actions. Avoir confiance de manière aveugle en ses systèmes d’information équivaut, pour un chef d’entreprise, à une vision quelque peu suicidaire.

La prospective est une démarche continue, car pour être efficace, elle doit être itérative et se fonder sur des successions d'ajustements et de corrections (en boucles rétroactives) dans le temps, notamment parce que la prise en compte de la prospective par les décideurs et différents acteurs de la société modifie elle-même sans cesse le futur. Dans cette logique, pour quelle raison un dirigeant d’entreprise, dans son comité de direction du lundi matin, ne pose t’il pas la question : « d’où provenait la majeur partie des attaques informatiques dirigées contre notre entreprise ces sept derniers jours ? ».

Sans entrer en détail dans le domaine de l’intelligence économique, dans la prospective du « métier » du dirigeant, sur le comportement au travail, dans les pratiques de management, sur les prospectives sectorielles et les impacts environnementaux, cet article vise à sensibiliser les dirigeants (managers) sur les impacts de la cyber-sécurité dans la prospective de l’organisation de leur entreprise et la gestion et protection du savoir comme des processus d’information.

1.Généralités : quelles sont les nouvelles menaces ?

On parle d’attaques informatiques, d’attaques cybernétiques, de cyber-terrorisme, de « Cyberwar » ... Il y a une grande confusion dans ces différentes attaques. Dans un premier temps, il s’agit de segmenter l’approche afin de mieux comprendre le « pourquoi » et le but de ces attaques. Pour cela, nous allons grouper ces attaques en une typologie de quatre axes (Arcioni, 2011a).

1.1 L’axe économique

Les “attaques économiques” visent les entreprises dans le but de les affaiblir, de les bloquer ou de les ralentir ainsi que de leur voler de l’information, un procédé de fabrication, un brevet, etc. dans un but de concurrence, de compétitivité entre entreprises. Ce type d’attaques relève de l’intelligence économique.

1.2 L’axe criminel (cyber-criminalité)

Les attaques à buts criminels relèvent de la « cyber-criminalité » et se séparent en deux sous-groupes distincts :

• - Des criminels agissant dans différents secteurs avec des profits très différents en fonction des types d’activités criminelles. Les secteurs visés :
• - le crime organisé ;
• - l’espionnage ;
• - le blanchiment d’argent ;
• - la contrefaçon ;
• - les réseaux de prostitution ;
• - les réseaux pédophiles ;
• - l’usurpation d’identité, le vol (cartes de crédits, numéros de comptes bancaires, compte de loterie, etc.) ;
• - les fraudes, les arnaques ;
• - les trafiqueurs de paris en ligne (domaine du sport, loteries, etc.) ;
• - etc.

Des informaticiens peu scrupuleux agissant sous forme de “BotNet” assurant ainsi « le routage » des données des criminels afin de faire disparaître toutes traces sur leurs origines, avec des profits, par contre, très importants. Ce sont aussi, par exemple, des « Advanced Persistent Threat » au profit d’un Etat, travaillant par scénarios. Ils sont difficiles à déceler et à juger (pas de bases légales). Ces informaticiens peu scrupuleux conçoivent de petits logiciels (BotNet), comme une plateforme de routage, permettant aux criminels du Net de faire transiter leurs données (spams , virus, cheval de Troie, etc.) par un très grand nombre de serveurs. Ils deviennent propriétaires de ces « nœuds de routage » répartis dans le monde entier à l’insu de tous. A chaque passage d’une donnée par un « nœud de routage » une somme est facturée à l’émetteur équivalant à 10 centimes d’euro. Plusieurs d’entre eux agissent au profit d’un Etat, par scénarios impliquant des « Advanced Persistent Threat » et utilisant les « BotNet » pour envoyer un « malware » ! (Ex : “Stuxnet” ) dans le but d'être plus efficaces, de gagner plus d’argent et d’être le moins visibles possible en utilisant l’Internet.

Ce type d’attaques relève des services judiciaires de la police, d’Interpol, etc. mais aussi de l’intelligence économique.

1.3 L’axe terroriste (cyber-terrorisme)

Il s’agit d’attaques informatiques provoquées par des groupes d’individus organisés en réseaux (ou non), sans avoir forcément un lien direct entre eux, mais poursuivant un but commun : les actions terroristes. Ces attaques sont équivalentes à des attentats, mais sans moyens logistiques lourds : déraillements de train, chutes d’avion, chantages, pressions provoqués par des logiciels malveillants. Ces activités criminelles dépendent des services judiciaires de la police, d’Interpol et de la sécurité d’Etat (si l’Etat est pris pour cible).

1.4 Les attaques à buts « politico-militaires » (Cyberwar)

La cyberwar n’est pas si différente dans la technique utilisée que le cyber-terrorisme, mais elle est très différente dans les buts recherchés, la façon de conduire la « guerre » et l’origine des attaquants. Il s’agit de groupuscules (Basque, Islamiste, etc.) ou un Etat (Lybie, Chine, Russie, Israël, etc.) qui, sous le couvert de l’anonymat, attaquent un Etat (Estonie, Iran, Suisse, etc.) ou les intérêts de ce dernier, dans le but de l’affaiblir, de le bloquer ou de l’anéantir. En Cyberwar, une cyber attaque est portée sur :

• - les systèmes d’armes d’un pays ;
• - les réseaux électriques ;
• - les centrales nucléaires ;
• - les réseaux de télécommunication ;
• - les réseaux ferroviaires et/ou aériens ;
• - les réseaux informatiques de l’administration nationale de l’Etat ;
• - etc.

mais toujours en poursuivant le but d’affaiblir, de bloquer ou de paralyser un Etat. Ceci relève d’une responsabilité d’Etat qui normalement est gérée par le politique et l’armée (par les opérations d’information et d’influence « InfoOps » (Arcioni, 2010a) : dont dépend la conduite de la cyber-guerre défensive et offensive) . Par contre, il en va aussi de la responsabilité des managers des entreprises publiques ou parapubliques.

1.5 Le cas du ver « Stuxnet »

Nous présenterons ici, comme exemple d’attaque informatique, une analyse succincte des effets du ver « Stuxnet » (Arcioni, 2012) pour les environnements industrielle, mais qui serait identique pour d’autres attaques dans tous milieux économiques.

1.5.1 Informations générales

Stuxnet est un ver informatique découvert en juillet 2010, conçu pour cibler des systèmes industriels complexes. Plus particulièrement, et pour la première fois depuis l’avènement de l’informatique, cette « cyber-arme » utilise des routines logicielles extrêmement sophistiquées ciblant des systèmes SCADA de Siemens (Supervisory Control And Data Acquisition), utilisés pour configurer et contrôler des processus industriels spécifiques. Plusieurs sources permettent désormais d’établir que ce ver informatique, par exemple, a ciblé des infrastructures d’enrichissement d’uranium en Iran, et a significativement retardé le programme nucléaire de ce pays. Il a été certainement développé à des fins militaires afin de pouvoir également attaquer et bloquer les systèmes de déclenchement d’armes atomiques de certains pays. La figure ci-dessous, provenant d’une analyse de Symantec , démontre ce que nous avançons.

1.5.2 Mode de fonctionnement et de propagation

Le ver Stuxnet utilise différents modes de propagation en se copiant au travers de clés USB infectées, en exploitant une faille permettant l’exécution automatique . Il se propage aussi dans un réseau local en exploitation une faille dans le service d’impression de Windows . Il se réplique via les réseaux locaux Windows en exploitant une faille dans le service « RPC » de Windows . Ainsi qu’il se copie et s’exécute à distance, sans exploiter de faille, via les disques et ordinateurs partagés Microsoft ; sans exploiter de faille, sur les serveurs faisant fonctionner le système de bases de données WinCC. Il se copie dans les projets « Step 7 » de façon a être exécuté lorsque les projets infectés sont ouverts. Sa propagation est également facilitée via des mises à jour employant un système de Peer-to-Peer à l’intérieur d’un réseau local.

Le ver Stuxnet se livre à plusieurs actions caractéristiques, hormis les actions de propagation décrites ci-dessus. Par exemple, il augmente ses privilèges (i.e. acquiert frauduleusement les droits Administrateur) via deux failles distinctes de type « Privilege Escalation » affectant les dernières versions de Microsoft Windows. Il sollicite aussi un « Command and Control Center » (C&C Center) pour télécharger des mises à jour de lui-même, exécuter du code supplémentaire (telles que des nouvelles routines de sabotage). Il contient plusieurs routines de dissimulation et de contournement, pour échapper à la détection et éviter les dispositifs de sécurité installés localement. Il identifie, dans le domaine industriel, des systèmes SCADA (i.e. des systèmes de contrôles industriels) particuliers pour tenter de les saboter.

1.5.3 Détection classique

Le ver Stuxnet a été découvert par hasard, après avoir sévi pendant au moins une année (probablement plus). La raison pour laquelle il a échappé à la détection est la même pour laquelle l’immense majorité des logiciels infectieux échappent désormais aux anti-virus, même les plus performants :

• Les anti-virus et autres protections classiques fonctionnent sur un modèle qui consiste à identifier et répertorier les « signatures » des menaces (signature-based model). Ce modèle fonctionnait bien il y a encore quelques années, lorsque la quantité de nouvelles signatures émergeant chaque jour était limitée. En revanche, les menaces aujourd’hui apparaissent et disparaissent exponentiellement plus vite. Il existe par exemple des générateurs de virus sur Internet qui peuvent être utilisés pour créer autant de nouvelles souches qu’un criminel le souhaite ; de surcroît, les vers tels que Stuxnet sont polymorphiques, i.e. sont susceptibles de se mettre à jour à souhait et donc de changer de forme aussi fréquemment que le criminel le désire. A titre d’illustration, les statistiques révèlent que pendant l’année 1999 moins de 2 nouvelles signatures de menaces étaient détectées par jour, alors que cette quantité est de 20'000 pour l’année 2009. En conclusion, le modèle signature-based dont dépendent les solutions de protection classique est parfaitement anachronique, désuet et obsolète.

• Les protections classiques sont embarquées sur les plateformes qu’ils ont la charge de protéger (host-based model). Ce modèle présente plusieurs désavantages, qui rendent ces solutions souvent inefficaces. Tout d’abord, ces solutions – du fait de leur caractère éminemment décentralisé – sont incapables de bénéficier d’une « intelligence collective » efficace. En effet, il est impensable que chacun de ces programmes communique à un système central une information sur ce qu’il « voit » ; cela présenterait trop d’inconvénients en termes de performance, d’utilisation de bande passante, et de confidentialité. Ils exploitent donc des flux d’information et de mise à jour unidirectionnels, et sont incapables d’utiliser un effet de volume comme levier. Ensuite, ces solutions classiques se retrouvent en concurrence avec la menace elle-même, puisque les deux logiciels (la menace et la protection) fonctionnent sur le même système en même temps – il est donc beaucoup plus aisé pour le ver ou le virus d’interrompre l’anti-virus, ou de contourner le mécanisme de protection. Finalement, puisque par définition tout le monde peut télécharger la protection, il est aisé pour le criminel de s’assurer que son logiciel malveillant échappe bien à la protection qui est censée la détecter, avant de le diffuser.
• Une société comme Symantec (leader incontesté des solutions de sécurité classiques, signature-based et host-based) est extrêmement bien placée pour analyser et documenter la menace à posteriori. Cette société a d’ailleurs produit le meilleur rapport d’étude sur Stuxnet qui ait été publié. En revanche, elle est désormais parfaitement incapable de prévenir la menace, et d’apporter des solutions prophylactiques convaincantes.

En conclusion, deux problèmes sont récurrents pour les 4 axes de cyber-attaques contre les entreprises et les infrastructures des pays, c’est-à-dire la prospective (Arcioni, 2011a) en la matière pour les managers :

• l’identification de l’attaquant ; (comment tracer le/les criminels ?)
• l’organisation de la défense ; (comment se protéger et l’empêcher d’agir ?).

2. Que dit la littérature ?

En sciences de gestion, comme dans les sciences sociales, on a tendance à mettre de côté les risques liés aux nouvelles technologies, favorisant plutôt l’étude du comportement des managers à vouloir organiser leur entreprise, les relations interpersonnelles, le comportement au travail courant, du dialogue social, etc. Cependant, un monde virtuel, aux sens de ses frontières, du comportement de ses utilisateurs pas toujours bien intentionnés, des possibilités de se cacher dernière une fausse identité, de pouvoir mener des actions similaires à la criminalité et à l’escroquerie connues dans le monde physique, est interconnecté au monde réel.

Ce monde virtuel que le manager devrait, en quelque sorte s’approprier, est le « cyberespace », constitué par le maillage de l’ensemble des réseaux, dont celui de son entreprise, de ses partenaires, de ses clients, mais est radicalement différent de l’espace physique, car il est sans frontière, extrêmement évolutif, totalement anonyme et l’identification certaine d’un acteur y est très délicate. Les actions dans cet espace virtuel touche les espaces connus tels qu’économiques, civils et privés, politiques et étatique, sécuritaires et militaires. La sécurité de cet espace virtuel, comme évoluer en son sein est, à cet égard, confrontée à des défis de quatre ordres : technique, juridique, culturel et géopolitique. (Arcioni, 2010b)

Peu de littérature existe, hormis par exemple des écrits (Balage, Ch., et Fayon, D., 2011) et articles traitant des réseaux sociaux et leurs impacts sur la vie sociale, le monde économique, etc. Par contre, dans le monde scientifique, informatique, télécommunication, physique, etc. une quantité d’auteurs ont traité et continu à traiter les aspects de la sécurité, mais au sens technique (Bond, M., and Clulow, J. 2006). Pour en citer quelques uns des plus récents, nous avons la thèse d’Eric Jaeger (2010) qui traite de problème généraux des risques liés à la sécurité des systèmes d’information. Les approches formelles se distinguent par leur capacité à donner des garanties mathématiques quant à l’absence de certains défauts, et à ce titre leur utilisation est encouragée ou exigée par certains standards relatifs à la certification de sécurité (Critères Communs) ou de sûreté (IEC 61508). D’autres traitent de la sécurité logicielle (Chang, H. and Atallah M., J., 2001) ou « sécurité applicative ». Puis nous avons la sécurité matérielle (Wang, J., Stavrou, A. and Ghosh, A., 2010 ), les cartes à puces, l’encryptage physique (Francillon, A., 2009), etc. Ainsi que l’encryptage algorithmique, les procédés logicielle de sécurité (pare-feux logiciels, antivirus, etc.) (Abadi, M., Budiu, M., Erlingsson, U. and Ligatti, J., 2009).

De plus, l’ensemble de tout ce qui est écrit traite de la reconnaissance par la signature. Il n’y a que très peu de recherches qui ont abordé le sujet du comportement de l’attaquant (virus, ver, malware, etc.) (Sang, F., L., Lacombe, E., Nicomette, V., and Deswarte, Y., 2010). D’autre part, la référence à une intelligence collective, non seulement basée sur la détection de signature, son analyse puis sa mise en commun, mais sur une analyse de type comportementale. L’exemple le plus concret est la base de comparaison comportementale de l’utilisation des cartes de crédit : un client qui est en train de payer sa chambre d’hôtel à New-York et au même instant effectuer un retrait d’argent ou un achat à Paris, sa carte de crédit sera instantanément bloquée.

Par exemple, aussi la notion de « cyberterrorisme » est apparue dans les écrits de Barry Collin en 1996 qui le définit comme « la convergence du monde physique et du monde virtuel ». Cependant, comme pour le terrorisme, aucun consensus n’a émergé autour de la définition de son dérivé. Il existe un flou académique autour de la notion de « cyberterrorisme » observable dans de nombreux ouvrages et articles. Deux tendances se dégagent, c’est-à-dire ceux qui considèrent que le « cyberterrorisme » doit regrouper l’ensemble des pratiques en ligne des groupes terroristes et ceux qui estiment que le terme doit être restreint à un type d’attaques précis, celles qui utilisent le réseau Internet comme arme et/ou cible, décrit Alix Desforges (2011).

Les travaux de Furnell S. et Warren M. (1999), Conway (2004) ou encore Wiemann (2004) convergent à de nombreux points. Ils estiment que l’essentiel de ces usages ne sont pas spécifiques aux pratiques des groupes terroristes mais sont également partagé par des groupes politiques comme la communication (interne et externe), le recrutement, le financement, l’organisation etc. Si les termes utilisés par chacun divergent, ils désignent en fait la même pratique. Par exemple, le terme “data mining” utilisé par Weimann (2004, 2006) recouvre les mêmes éléments que le terme “information gathering” mentionné par Thomas (2003). Ce dernier a créé une nouvelle notion pour désigner l’ensemble des pratiques en ligne des groupes terroristes : le “cyberplanning” qu’il définit comme « la coordination numérique d’un plan intégré ».

Certains auteurs dont Steven Bucci évoquent l’association des sphères terroriste et « cybercriminelle » pour mener des attaques informatiques d’envergure fournissant ainsi les compétences nécessaires aux groupes terroristes. Cela pourrait tendre en finalité vers une « cyberwar ». Mais la palette de définitions du « cyberterrorisme » disponible à ce jour est le reflet de la situation complexe de l’utilisation des réseaux informatiques par des groupes terroristes et/ou criminels. Les rivalités quant à la définition du périmètre de la « cybercriminalité », du « cyberterrorisme » ou de la « cyberwar » témoignent cependant de l’angoisse réelle des Etats de voir leur bon fonctionnement altéré par des attaques informatiques et au-delà de la prise de conscience des potentielles faiblesses que constituent la dépendance aux systèmes informatiques. Les entreprises sont ou ne sont pas intégrées directement dans ces périmètres. Elles le deviennent malheureusement uniquement au cas par cas.

3. Méthodologie

La méthodologie utilisée pour cette recherche est basée sur une étude de la littérature et de constatations tirées de la pratique complété par une analyse de terrain dans des milieux où la sécurité prime, tels qu’entreprises sensibles, états, environnement de la défense. De plus, fort de l’expérience du consultant de terrain, sur le plan de la gouvernance d’entreprise ainsi que de l’organisation de la défense d’un Etat (son administration publique, l’e-governement et les dispositifs des forces armées), nous apporterons le regard du praticien. Nous utiliserons une méthode empirique basée sur les connaissances acquises par la littérature pour apporter nos résultats ainsi que les perspectives qui permettront une meilleure lutte contre les cyber-attaques, c’est-à-dire comment anticiper et se préserver.

L’étude s’est faite sous la forme d’une recherche qualitative sur l’ensemble du secteur de la sécurité des systèmes d’information de l’entreprise et de l’Etat dans le monde durant la période 2006 à 2011. Pour une question de confidentialité, aucun tableau comparatif et aucun résultat quantitatif ou qualitatif ne seront exposés au chapitre suivant. Uniquement les grandes lignes communes seront développées en tant que résultat de cette recherche. Ce sont les perspectives que le chercheur mettra en exergue qui compléteront les résultats.

4. Résultats

Pour présenter les résultats, nous les séparerons en deux groupes : que font les entreprises et que font les Etats/nations ? (Arcioni, 2011b)

4.1 Que font les entreprises en matière de protection de leur savoir et de leurs systèmes d’information ?

Les entreprises dépensent, en principe, beaucoup d’argent à mettre des remparts, une forteresse, des ponts-levis (firewall, anti-virus, etc.) devant leurs systèmes d’information sans toute fois y élever des miradors (système d’observation).

Les systèmes d’information des entreprises sont bien protégés, vu de l’extérieur, si ce n’est qu’il y existe toujours des failles et que le danger vient le plus souvent de l’intérieur de l’entreprise : clé USB, collaborateurs mal formés ou attaque de type « client side ».

Combien de directeurs informatiques (CIO) ou de chefs d’entreprise demande à leurs responsables sécurité (CSO) un relevé et une analyse des « logs ». Par exemple, pour estimer d’où proviennent les attaques, un relevé des « logs » des firewalls est indispensable (les logiciels spécifiques d’analyse existent) et permettent ainsi de renseigner la direction de l’entreprise des tendances des attaques, leurs origines, leur intensité, la période, etc. Par exemple, en fonction du lancement d’un nouveau produit sur un nouveau marché, on peut observer, suivant les circonstances du lancement ou du nouveau marché des attaques ciblées contre les serveurs WEB de l’entreprise (Exemple : l’attaque des Chinois contre Nestlé au sujet des laits pour enfants en 2009).

De plus, à ce jour, les « anti-virus » traditionnels sont efficaces à moins de 17% contre des virus. L’explication est simple. Pour qu’un anti-virus soit performant et puisse détecter un virus, il doit connaître sa signature. En 1999, il y a eu environ 600 nouvelles signatures durant toute l’année. Aujourd’hui, il y en a plus de 73'000 par jour. D’autre part, des données ont été directement volées par des collaborateurs internes à l’entreprise (Ex : HSBC Genève et bien d’autres encore).

Chaque jour dans le monde, il y a des milliers d’entreprises qui se font pirater leurs données ou bloquer l’accès à leurs systèmes d’information (Ex : PostFinance Suisse, lorsque le service à refuser d’ouvrir un compte au nom de Julian Assange, le propriétaire de www.wikileaks.org).

En conclusion, nous constatons que le monde des entreprises dépense des sommes considérables pour leur sécurité, mais qu’en réalité et finalité, ces entreprises ne disposent pas d’une vraie protection contre les attaques provenant du cyber-espace.

4.2 Que font les différentes nations dans le monde en matière de cyber-défense ?

Les USA accordent une très grande importance à ce domaine. Un « Cyber Commande » a été créé en 2010 et est responsable pour la conduite des opérations offensives dans le cyber-espace ainsi que de défendre les systèmes militaires. Il dispose d’une antenne dans chaque service : USAF, US Army, Navy, Marines. Le NSA joue également un rôle clé avec des compétences au niveau stratégique. Le budget est pour l’année 2011 a été supérieur à 4 Mia d’US$.

En Chine, le maintien du secret empêche une vision claire et rend difficile l’appréciation de la situation. Cependant, l’inscription du plan quinquennal 2011-2015 du parti au pouvoir démontre, qu’en matière de guerre électronique et d’espionnage cybernétique, l’Etat y porte une très grande priorité et qu’il lui donne des moyens importants. L’Etat collabore étroitement avec des groupes de hackers et des firmes privées leur donnant en échange accès à leurs résultats R&D. La Chine tente de rattraper son retard par rapport à ses moyens militaires conventionnels face aux USA par une supériorité dans le domaine de la guerre de l’information. Elle tente par ce biais un usage politique du cyber-espace.

La Russie ne dit rien sur ses intentions dans ce domaine. En termes de défense, l’armée semble fortement orientée sur des mesures d’opérations de sécurité et des procédures héritées de la guerre froide. En termes de cyber-attaques, la Russie paraît très active. L’armée et les services de renseignement sembleraient bien dotés et soutiendraient financièrement de nombreuses initiatives pour le développement de compétences chez les jeunes. Cependant, depuis l’automne 2011, le ministre de la défense, en personne, à demander l’aide de l’OTAN et des Etats-Unis. La Russie demande une sorte de « régulation » de l’Internet.

En termes de défense, Israël est confronté à des attaques quotidiennes provenant notamment de l’Iran et prend cette menace très au sérieux. Au mois de juin 2011, Israël a annoncer la création d’une unité de cyber-défense, car jusqu’à maintenant l’armée et le gouvernement s’était concentrés sur le développement de solutions offensives. Ses moyens sont bien structurés. Sur le plan civil, une branche pour la sécurité des infrastructures existe et sur le plan militaire, trois branches : sécurité interne, protection contre les attaques extérieures et défense nationale sont sur pieds. Il n’existe toutefois pas d’autorité générale chapeautant l’ensemble.

L’OTAN dispose d’un CERT et du « NCIRC Technical Centre” bases en Estonie : le NATO Computer Incident Response Capability - Technical Centre (NCIRC TC) et le NATO Computer Incident Response Capability (NCIRC). Ce centre de compétences supporte la communauté des armées de l’OTAN, mais chaque pays garde sa propre souveraineté sur la protection de ses systèmes d’information militaires.

En conclusion, nous constatons qu’aucun pays ne dispose actuellement d’une solution d’ensemble, d’une coordination et d’une entité de responsabilité suprême. Chaque pays dépense des sommes considérables en matière de cyber-guerre, plus dans des moyens offensifs que défensifs. Tous les pays, même la Russie et la Chine, font appel à des partenariats privés publics (PPP) pour le développement des technologies dans le domaine du cyber-espace et qu’actuellement aucun Etat ne dispose d’une vraie solution de cyber-défense. Pour cela, nous proposons de continuer nos réflexions sous forme de perspectives.

5. Perspectives

La meilleure façon de lutter contre les cyber-attaques est d’anticiper et se préserver. Il faut unir les forces, informer, se protéger, identifier, dénoncer, etc.

5.1 Anticiper

Pour les entreprises et l’économie, la meilleure prospective pour un manager est de se former et de former ses collaborateurs dans le domaine de l’intelligence économique et travailler le plus vite possible avec les services judiciaires de la police (entreprises, banques, loteries, sport,…) dès le premier soupçon d’être confronté à des cyber-criminels. Pour la lutte contre le cyber-terrorisme, il en va de même en travaillant étrotiement avec les services judiciaires de la police, d’Interpol, de la Sécurité d’Etat (tout particulièrement pour les entreprises de transport, d’énergie, de télécommunication, de la santé et des organismes de l’Etat).

Pour se préserver d’une cyber-guerre, il faut se former dans le domaine de l’intelligence économique afin de bien comprendre les différences entre les attaques économiques et les attaques ciblées contre l’Etat. Puis, il faut réunir les forces, c’est-à-dire travailler conjointement avec les services judiciaires de la police, d’Interpol, de la Sécurité d’Etat, le politique et l’armée (par les opérations d’information et d’influence : INFOOPS dont dépend la conduite de la cyber-guerre défensive et offensive) : Etat, armée, entreprises de transport, d’énergie, de télécommunication, de la santé, etc.

5.2 Unir les forces et informer

Pour l’économie, c’est-à-dire les entreprises :

Pour protéger efficacement nos entreprises, notre économie et notre savoir, il faut que chaque entreprise de notre pays mette en place une structure d’intelligence économique en son sein (selon la norme AFNOR XP X50-053 par exemple) (Hermel 2007) avec un responsable de son fonctionnement. C’est au Conseil d’administration de l’entreprise qu’incombe la responsabilité d’en donner l’ordre et de la contrôler.

Pour l’Etat, c’est-à-dire chaque nation :

Pour protéger efficacement l’Etat, il faut créer au sein du cabinet présidentiel une « cellule intelligence » regroupant l’intelligence économique et l’InfoOps (conduite des opérations d’information et d’influence) chapeautant deux sous-cellules distinctes :

• La première sous-cellule s’occuperait de la sensibilisation des entreprises à l’intelligence économique ainsi que l’encouragement aux hautes écoles et au universités pour la création de formations en intelligence économique au profit de l’économie ;
• La deuxième sous-cellule disposerait d’une « intelligence transversale » aux différents ministères/départements dans le domaine de la conduite des opérations d’information et d’influence comprenant l’ensemble des actions de cyber-défense. Cette dernière serait étroitement liée au commandement de l’Armée.

Pour unir les forces et offrir une vision philanthropique internationale, c’est-à-dire un pays neutre comme la Suisse :

La Confédération suisse, en tant que pays neutre et offreur de « bons offices » pourrait disposer d’un « Observatoire mondial de la Cyber-défense » bénéficiant :

• - d’un partenariat et d’une reconnaissance de l’OSCE , d’Interpol, des Etats ;
• - d’une légitimité quant à sa neutralité ;
• - d’une légitimité technologique ;
• - d’une légitimité juridique ;
• - d’une légitimité militaire.

Pour la Suisse, il serait très facile de créer un tel observatoire en partenariat avec les hautes écoles du pays (EPFZ , EPFL , HES ), les polices cantonales, Interpol, l’OSCE, l’Office fédéral de l’informatique, MELANI , etc. et offrir ainsi nos bons offices aux autres états dans le monde par :

• - des compétences internationalement reconnues ;
• - une légitimité quant à sa neutralité, ses technologies, le juridique, le militaire, etc.
• - un centre technologique d’investigation ;
• - un centre de formation (en intelligence économique et militaire).

Cet observatoire pourrait être structuré de la manière suivante :

Fig. 2 Organisation de l'OICD

En cas « d’appel au secours » d’un Etat venant de se faire « cyber-attaquer », l’observatoire pourrait proposer ses services (bons offices), analyser les faits et dresser pour l’avenir une liste de recommandations et de correctifs pour l’avenir à l’Etat concerné.

5.3 Se protéger

Le plus grand défi pour toute entreprise ou tout Etat au monde est de pouvoir évoluer dans un milieu informationnel sûr, exempt de toute menace d’écoute, de fuite, d’intrusion, de dénis de services, et autres cyber attaques, sans pour autant limiter sa liberté d’action. Les solutions de protection classiques sont souvent rédhibitoires en termes d’utilisation (bridage des applications MS-Office, ralentissements inhérents au cryptage fort (à l’encryptage), passerelles complexes sur le monde extérieur, etc.) ne sont donc pas viables dans un environnement opérationnel exigeant et mouvant.

Ce défi est d’autant plus grand que les armes cybernétiques sont désormais accessibles à tous, et prolifèrent sans contrôle. Nulle barrière technologique, financière ou légale n’en entrave efficacement la multiplication. Le conflit dans le cyberespace est dissymétrique en faveur de l’attaquant. Celui-ci peut facilement mener une agression en profitant des dernières évolutions technologiques, alors que le défenseur doit en permanence mettre l’ensemble de ses dispositifs de sécurité au niveau de la menace.

L’enjeu est « simple » : il s’agit de se protéger contre les effets des « Cyber attaques » quelles qu’elles soient, afin de rétablir la symétrie !

Lorsqu’on peut rétablir la symétrie dans la « cyber-guerre », on peut la gagner ensuite avec d’autres moyens plus conventionnels sur le terrain, sur la base de la guerre informationnelle : en défendant mes « tuyaux » et attaquant ceux de l’adversaire pour protéger notre processus décisionnel et détruire le sien.

Pour se prémunir contre les cyber-attaques (Arcioni, 2011b), il faut mettre en place un système de défense efficace basé sur l’anticipation et l’intelligence collective. Cette solution existe et est capable de sécuriser totalement un réseau contre toutes les cyber-attaques actuelles et futures, c'est-à-dire sécuriser tous les postes de travail, les téléphones, les smartphones et les systèmes embarqués. Elle se base sur une approche complètement nouvelle, l’analyse comportementale intelligente de tous les flux de données et non sur la reconnaissance de signatures, comme la plupart des solutions disponibles sur le marché. Elle est aussi la première à travailler sur le principe de la pro-activité et de l'intelligence collective. Elle offre les avantages suivants :

• - analyse comportementale intelligente de tous les flux de données ;
• - pas de concentration sur un scénario de risque étroit ;
• - aucun logiciel est chargé ou déployé sur les stations clients ;
• - utilisation des logiciels « standards » non bridés tel que MS-Office ;
• - pas besoin de cryptage dans l’environnement contrôlé ;
• - avertissement en temps réel d’un problème quelconque ;
• - minimum de formation nécessaire pour les superviseurs de la solution ;
• - mise à disposition d’une intelligence collective ;
• - pas de formation spécifique pour les utilisateurs ;
• - Pop-Up de mise en garde avec instructions nécessaires clairement données ;
• - détection automatique de problèmes ;
• - mise à jour en temps réel ;
• - protection totale contre les types de cyber-attaques actuelles et futures ;

Avec cette solution, tous les problèmes énoncés dans la presse (Stuxnet, Loockeed Martin, etc.) auraient pu être évités ! Stuxnet n'a aucun effet. L’Etat ou l’entreprise qui utiliserait cette solution serait efficacement protégée et pourrait être connectée à l'Internet, pourrait supprimer les anti-virus et, suivant l'environnement, pourrait supprimer l'encryption ! Et de plus la téléphonie ainsi que les notebooks et les smartphones utilisés seraient totalement protégés. Les partenaires pourraient aussi s’interconnecter sans soucis de fuite d’information ou de risque de contamination entre réseaux.

Pour les infrastructures critiques d’une nation, mais aussi pour les opérateurs, les entreprises et les banques du secteur de l’économie privée, la solution fonctionne. Elle garantie pour chaque environnement la même approche et le même niveau de sécurité.

5.4 Identifier, dénoncer

Dernier point très important : informer de façon systématique et dénoncer de manière collective et structurée. Il ne faut pas, sous prétextes de la honte, du maintien de la confidentialité ou tous autres arguments, vouloir passer sous silence le fait d’avoir été attaqué. C’est en dénonçant, c’est-à-dire en portant plainte qu’il pourra y avoir un maximum de traçabilité et de compréhension de toutes les attaques dans le cyber-espace et que les délinquants pourront être poursuivis et déferrés en justice. C’est en dénonçant qu’un Etat pourra être condamné d’avoir nui à un autre Etat.

Nous devons « civiliser » le monde virtuel qu’est l’espace cybernétique et en faire un espace respectant les lois connues dans le monde réel. Pour y parvenir, les chefs d’Etats, les militaires, les juristes et l’économie doivent réfléchir ensemble et définir ensemble les règles ainsi que les moyens de protection. Si toutes ces protections et ces lois sont mises rapidement en place, même si la « guerre cybernétique » a déjà commencé, elle n’aura finalement jamais de concrétisation.

Dr Sandro Arcioni, Lieutenant-colonel, Expert en "Opérations d'influence" et en "Cyber-défense", Suisse

Bibliographie

• Abadi, M., Budiu, M., Erlingsson, U. and Ligatti, J., 2009, Control-ow integrity principles, implementations, and applications. ACM Transactions on Information and System Security, 13, November 2009.
• Arcioni, S., 2012, Les enjeux de la cyber-sécurité (3) : les systèmes de protection à analyse comportementale : le cas Stuxnet, Bulletin de la Société Militaire de Genève, no 1/2012
• Arcioni, S., 2011a, Les enjeux de la cyber-sécurité (1) : comprendre les nouvelles menaces et comment agir, Bulletin de la Société Militaire de Genève, no 5/2011
• Arcioni, S., 2011b, Les enjeux de la cyber-sécurité (2) : comprendre les nouvelles menaces et comment se protéger, Bulletin de la Société Militaire de Genève, no 6/2011
• Arcioni S., 2011c, Cyberwar oder der Krieg der Neuzeit, Allgemeine Schweizerische Militärzeitschrift (ASMZ) 3/2011, Flawil, Schweiz
• Arcioni S., 2010b, Cyberwar -. Herausforderungen der Zukunft für Gesellschaft, Wirtschaft und Armee. Industrieorientierung 2010, Armasuisse Konferenz Security Day, Berne, Suisse, 4 octobre 2010.
• Arcioni S., 2010a, Informationsoperationen, Allgemeine Schweizerische Militärzeitschrift (ASMZ) 4/2010, Flawil, Schweiz
• Balage, Ch., et Fayon, D., 2011, Réseaux sociaux et entreprise : les bonnes pratiques, Pearson Education, Orléan, France
• Bond, M., and Clulow, J. 2006, Integrity of intention (a theory of types for security APIs). Information Security Technical Report, 11(2):93 – 99.
• Bucci Steven : http://www.facingthethreat.com/Secu...
• Chang, H. and Atallah M., J., 2001, Protecting software code by guards. In ACM Workshop on Security and Privacy in Digital Rights Management. ACM Workshop on Security and Privacy in Digital Rights Management, Philadelphia, Pennsylvania, November 2001.
• Collin, B., 1996, The Future of CyberTerrorism : Where the Pysical and Virtual Worlds Converge, 11th Annual International Symposium on Criminal Justice Issues.
• Conway, M., 2006, Cyberterrorism: Academic Perspectives., 3rd European Conference on Information Warfare and Security, 2004, p. 41-50.
• Conway, M., 2006, Terrorist “use” of the Internet and Fighting Back, Information and Security, An International Journal, vol. 19, 2006, p. 9-30.
• Desforges, A., 2011, « Cyberterrorisme : quel périmètre ? », Fiche de l’Irsem n° 11, http://www.irsem.defense.gouv.fr
• Francillon, A., 2009, Attacking an Protecting Constrained Embedded Systems from Control Flow Attacks. PhD thesis, Institut Polytechnique de Grenoble.
• Furnell, S., et Warren, M., 1999, Computer Hacking and Cyber terrorism : the Real Threats in the New Millenium, Computers and Security, vol. 18, n°1, 1999, p. 30-32
• Godet, M., Monti, R., et Roubelat, F., 1997, Manuel de prospective stratégique. 1 : une indiscipline intellectuelle ; 261 p., fig., ref. bib. : 11 p.3/4
• Hermel, L., 2007, Veille stratégique et intelligence économique, AFNOR, La Plaine Saint Denis, France
• IEC 61508 : Functional safety of electrical, electronic, programmable electronic safety-related systems. http://www.iec.ch/zone/fsafety/.
• ISO/IEC 15408 : Common criteria for information technology security evaluation. http://www.commoncriteriaportal.org...
• Jaeger, E., 2010, Etude de l’apport des méthodes formelles déductives pour les développements de sécurité, Thèse de doctorat, Université Pierre et Marie Curie, Lip6, doctorat en informatique, Paris
• Sang, F., L., Lacombe, E., Nicomette, V., and Deswarte, Y., 2010, Exploiting an I/OMMU vulnerability. In MALWARE '10: 5th International Conference on Malicious and Unwanted Software, pages 7-14, 2010.
• Thomas, T., 2003, Al Qaeda and the Internet: the Danger of “Cyberplanning”, Parameters, printemps 2003, p.112-123.
• US Army DOD Directive 3600.1, Information Operations (IO), SD-106 Formal Coordination Draft.
• Wang, J., Stavrou, A. and Ghosh, A., 2010, Hypercheck: a hardware-assisted integrity monitor. In Proceedings of the 13th international conference on Recent advances in intrusion detection, RAID'10, pages 158-177. Springer-Verlag, 2010
• Wiemann, G., 2006, Terror on the Internet: The New Arena, The New Challenge, Washongton DC.
• Wiemann, G., 2004, www.terror.net – How Modern Terrorism Uses the Internet, Washington DC, US Institute of Peace.