Aller au contenu | Aller au menu | Aller à la recherche

Défense ou sécurité (cyber) ? (2)

Je poursuis le travail de distinction entre la cyberdéfense et la cybersécurité. Après avoir évoqué les notions de défense et de sécurité (et s'être aperçu que les choses ne sont pas claires), attardons-nous aux sens revêtus par le mot "cybersécurité" : ils sont nombreux, source de grandes confusions et souvent d'incompréhensions entre acteurs de bonne foi, qui se considèrent comme des spécialistes de la cybersécurité, et qui le sont effectivement : mais au fond, ils ne sont spécialistes que d'un type de cybersécurité... Or, le stratège doit intégrer toutes les dimensions de son champ d'affrontement.

source

(NB : avez-vous remarqué à quel point les illustrations du cyber sont la plupart du temps polarisées autour de la couleur bleue, et souvent bleue électrique ?)

Constatons tout d’abord que la confusion n’est pas propre à la France. En effet, on observe un vigoureux débat aux Etats-Unis sur la place respective (voire la préséance) du « Department of Homeland Security » (DHS : en bon français, le ministère de la sécurité intérieure) et le cybercommand : l’un défendant les organismes en .gov, l’autre les organismes en .mil, pour donner l’idée d’une limite de responsabilité. Ces extensions internet (noms de domaine ?, vérifier) dessinent des territoires, publics ou privés…, selon l’extension dans le cyberespace de l’aire de responsabilité ‘un organisme. Autrement dit, la « colonisation » du cyberespace peut être le fait d’organismes publics, mais aussi privés…

Toutefois, en matière cyber, la question de la « sécurité » est compliquée par trois facteurs qui accentuent les confusions.

Ordre public : Le premier tient à l’origine « civile » du trafic sur le cyberespace. Ainsi, très rapidement, les réseaux informatiques ont été utilisés par le grand public, maniant énormément de données privées. La première exigence fut alors de garantir les libertés individuelles, et d’assurer la « sécurité » les données privées qui circulaient. Cette protection fut d’abord pensée contre l’Etat, perçu initialement comme omnipotent et pouvant utiliser ces moyens nouveaux comme l’outil d’un contrôle totalitaire. Cela explique par exemple la création de la Commission Nationale Informatique et Liberté (CNIL) en 1978 qui doit garantir qu’il n’y ait pas interconnexion des fichiers de renseignement sur la population. Rapidement, les craintes évoluèrent, et il fallut protéger non plus seulement les citoyens, mais aussi les consommateurs des escroqueries rendues possibles par les réseaux (phishing, spaming, vol de numéros de carte bancaire, usurpation d’identité, …). Le public exigea une sécurité individuelle.

L’ordre public devait être assuré, et l’Etat qui était une sorte de menace devint simultanément une garantie. Cette double perception de l’État (ou de toute instance publique de régulation) continue de polariser les réactions des internautes. Il reste que cette préoccupation sollicita abord les spécialistes de cet ordre public, chargé de mettre en œuvre cet ordre : au fond, il s’agit de « policer » le cyberespace, d’où l’intérêt des services de souveraineté « intérieure » que sont la police (et la gendarmerie) et la justice (avec une dimension pénale). La cybersécurité se comprend alors comme la lutte contre la cybercriminalité. Elle suit un mouvement ascendant, venant du bas (les individus) vers le haut (la puissance publique).

Sécurité économique : Le second facteur de confusion tient aux usages économiques du cyberespace : les grandes sociétés (et les petites) voulurent également bénéficier des avantages des réseaux, qui rendaient leur activité plus aisée : que ce soit pour l’organisation e la vie interne de la société ou pour les relations avec les tiers (partenaires ou clients). Ce faisant, elles rencontrèrent rapidement le besoin de se protéger.

Alors, les menaces diffèrent légèrement. Les intrus ne cherchent pas à voler directement de l’argent, mais plutôt à espionner et à connaître à l’avance tous les prototypes et axes de recherche et de développement de la société cible. Ces pratiques touchent directement à l’intelligence économique, dans sa partie grise voire noire. Chacun prit peu à peu conscience que l’information interne de l’entreprise (ou de l’organisation, puisque les organismes publics firent face aux mêmes difficultés) a de la valeur, et qu’elle constitue un actif qui doit être protégé comme tel.

SSI : Le troisième facteur est plus technologique. En effet, les directeurs informatiques des entreprises et des administrations virent émerger une tâche supplémentaire. Ils devaient non seulement gérer le parc informatique de leur société (machines, réseaux, infrastructures logicielles, logiciels propriétaires, suivi des évolutions techniques, …) mais aussi assurer une fonction supplémentaire, celle de la sécurité des systèmes informatiques. Cela favorisa le développement de la sécurité des systèmes d’information (SSI). Le mot sécurité est ici approprié, nul n’en doute. Toutefois, si la SSI appartient incontestablement à la cybersécurité, on ne peut réduire la cybersécurité à la SSI, ni même à une SSI de niveau étatique.

Ainsi, la cybersécurité reprend ces trois significations : sécurité publique (au sens d’ordre public), sécurité économique (au sens de protection économique) et sécurité technologique (au sens de la SSI). La cybersécurité serait, alors, au minimum la somme de ces trois dimensions.

O. Kempf

Commentaires

1. Le samedi 14 juillet 2012, 21:13 par bertrand

Bonsoir M. Kempf,
je me permets de vous redonner le lien d' un papier de 1994 de B. Warusfel donnant des pistes intéressantes quant aux vocables " défense" et "sécurité" : http://www.droit.univ-paris5.fr/war...
Personnellement, j' ai adopté la notion qui veut que la sécurité est un état dont la défense est un moyen. En déclinaison, on peut meme considérer que la sécurité est un état plus particulièrement psychologique qui définit le sentiment d' un état de sureté (au sens physique).

égéa : Merci. Oui, on m'a rappelé récemment cette distinction entre état et moyen (même si on ne m'avait pas donné la référence). De même, les notions de sûreté et de sécurité méritent d'être visitées. Mais vous aviez deviné qu'il y avait matière à un troisième billet : il faut que je le mûrisse un peu....

2. Le samedi 14 juillet 2012, 21:13 par VJ

Bonjour M. Kempf,

Je ne sais pas si vous avez eu l'occasion de lire cette info sur les statistiques des mots de passe Yahoo! volés http://www.linformatique.org/17-07-... qui rappellent qu'un des maillons les plus faibles de la sécurité informatique reste bien l'utilisateur.

Et de ce constat, je me suis rappelé un papier que j'avais lu, où les auteurs reprennent les éléments du débat autour de la notion de sécurité, et notamment de l'école de Copenhague (avec Buzan, Waever et cie) et les appliquent au cyberespace. Elles s'essayent donc à une théorie plaçant l'homme au centre de la cybersécurité. Je l'avais trouvé intéressant. http://www.nyu.edu/projects/nissenb...

J'espère que ça vous ouvrira nouvelles des pistes de réflexions!

3. Le samedi 14 juillet 2012, 21:13 par

Merci de nourrir le débat, d'une manière fort audacieuse. J'ai pour ma part quelques remarques:

Vous écrivez:" La cyber-sécurité se comprend alors comme la lutte contre la cybercriminalité".

Cette affirmation rejoint la pensée autorisée, qui amalgame sécurité et police (votre billet N°1 était, à cet égard, plus clair). Pour autant, si l'angle d'étude de votre billet N°2 est intéressant, il ne permet peut être pas selon moi de bien expliquer les nuances entre ces termes.

D'abord si l'on retient la classification des cyber-menaces selon les trois types suivants:

# criminels (leur but=argent, y compris l'espionnage industriel);
# "hacktivists" (but=partager/imposer une opinion, des idées) et enfin:
# états (but=contrôle au sens large ce qui inclue coercition)

alors l'affirmation parait incomplète. Ensuite, l'assertion selon laquelle:

> la sécurité est un état dont la défense est le moyen

nous semble plus fidèle à la compréhension des choses (C'est également l'opinion d'un commentateur inspiré: bertrand). Lors de la publication du livre blanc, la distinction entre défense (armées) et sécurité (police, sécurité civile, pompiers) a déjà été critiquée (voir ici par exemple: une critique agacée de la confusion des genres http://www.google.com/url?sa=t&...)

Ainsi la cyber-sécurité est un état (souhaité, réalisé,...) et parmi elle la cyber-défense peut être définie comme la mise en œuvre par une entité politique de la protection de ses intérêts.

A l'heure où dans la sphère occidentale, nous avons tous davantage de chances d'être victime d'une cyber-attaque que d'une attaque physique; j'aimerai, en guise d'ouverture, lancer un pont vers Michel Foucault et sa ''biopolitique''.

En effet il me semble qu'à côté d'une forme d'exercice du pouvoir qui porte, sur la vie des gens, sur des populations, il faille s'attendre à l'émergence d'une cyber-politique, garantissant -à quel prix?, notre sécurité dans l'univers virtuel.

égéa: Pour (ne pas ) conclure, mon opinion n'est pas encore faite sur la définition de cybersécurité et cyberdéfense. Je rappelle que ce blog ne sert pas à asséner des vérités, mais à essayer de les trouver. Biopolitique : dites nous en plus.

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://www.egeablog.net/index.php?trackback/1473

Fil des commentaires de ce billet