Rapport Bockel sur la cyberdéfense
Par Olivier Kempf le vendredi 20 juillet 2012, 19:21 - Cyber - Lien permanent
Le sénateur Jean-Marie Bockel, ancien Secrétaire d’État aux anciens combattants, vient de rendre public son rapport d'information sur la cyberdéfense. Ce rapport fait partie d'une série de cinq rapports sénatoriaux, parus cette semaine, autour des questions de défense. Ces rapports portent sur les capacités industrielles souveraines, les bases de défense, l’avenir des forces nucléaires, la maritimisation (pas en ligne à l'heure d'écrire ce billet), le format des forces armées après 2014, et donc la cyberdéfense. Remarquons au passage le bon timing, d'autant que les rapports du sénat sont, de mon point de vue, toujours d'excellente qualité et permettent quasiment toujours de faire le tour d'un problème (je pense au rapport sur la DAMB dont j'avais parlé en son temps). Surtout, les sénateurs ont eu le temps de consulter et de réfléchir... mais je vous en reparlerai à propos du Livre Blanc. Revenons pour l'heure à ce rapport cyberdéfense.
1/ Le sénateur Bockel a rendu public son rapport mercredi matin : l'assistance était nombreuse, avec les plus influents spécialistes de cyberstratégie (enfin, presque tous), des journalistes, des lobbyistes, des think-tankers, et pas mal d'étudiants : d'ailleurs, la moitié de l'assistance avait moins de 35 ans, ce qui n'est pas anodin. Il fait suite au précédent rapport Romani, présenté en 2008, et avait pour objet de faire le point quatre ans après.
2/ Le rapport compte une cinquantaine de propositions, résumées en dix recommandations phare. Il ne s'agit pas ici de les énumérer (lisez le rapport) mais de commenter certaines d'entre elles.
3/ Retenons en préambule une définition de la cyberdéfense, donnée dans l'allocution du sénateur, mais pas inscrite dans le rapport : "Dans mon esprit, la cyberdéfense se distingue de la lutte contre la cybercriminalité. Elle recouvre la politique mise en place par l’Etat pour protéger activement des réseaux et des systèmes d’information essentiels à la vie et à la souveraineté du pays." On retrouve là la notion d'intérêt vital, bien connu des spécialistes de défense, notamment en lien avec la doctrine de dissuasion nucléaire. Le rapport mentionne la notion d'intérêts fondamentaux (p 8), d'infrastructures critiques, d'infrastructures vitales, d'entreprises et d'opérateurs d'importance vitale... Derrière ces mot se cachent des réalités pas forcément bien distinguées, et sujettes à appréciation.
4/ D'ailleurs, à une question qui lui fut posée sur ce sujet, (par un esprit fort aiguisé) le sénateur à répondu que la notion couvrait deux aspects, celle de la défense économique (lutte contre le pillage) et celle de la défense nationale (qui engageait le fonctionnement du pays). Il y aurait donc un panel de réponses, différentes selon les agressions. Il signale enfin qu'il existe une liste des OIV, qui si elle n'est pas publique elle doit probablement être adaptée. Cela confirme cette opinion, vue du stratégiste, qu'il y a encore un travail de définition à faire.
5/ On a beaucoup parlé dans la presse de la recommandation (n° 10) d'adopter une doctrine de LIO (lutte informatique offensive). Je ne peux que m'en réjouir puisque c'est une position que je défends depuis longtemps. Qu'on soit bien d'accord : il ne s'agit pas de rendre publics les détails techniques des capacités détenues, ni même forcément les généralités sur les procédures qui seraient employées. Le secret doit demeurer sur des attributs essentiels de souveraineté. En revanche, il convient :
- d'une part, de comprendre que dans la stratégie, et tout particulièrement dans la cyberstratégie, la dimension rhétorique fait partie de l'efficacité de la posture. Ne rien dire comme on le fait depuis 2008 (et les paroles nettes écrites dans le LBDSN) affaiblit probablement indirectement la posture.
- d'autre part, il faut comprendre qu'à partir du moment où l'on affirme que le cyber constitue une dimension désormais essentielle à la souveraineté moderne des États ; qu'à partir du moment où les chefs d'Etat des pays les plus puissants s'expriment sur le sujet, il convient que nous soyons cohérents : la parole au plus haut niveau recommandée par le sénateur (si on comprend bien, un discours du président de la République, du type de celui de l'ile longue concernant le nucléaire) ne peut ignorer cet aspect de la cyberdéfense. Il faut donc préparer cette parole. La doctrine de la dissuasion a été établie à la suite d'un long débat stratégique tout au long des années 1960 : la doctrine est venue couronner ce débat. C'est là ce qu'il faut préparer.
6/ Constatons enfin que les États-Unis semblent avoir modifié leur approche : autant ils étaient discrets sur la question, autant la parution du livre de Ted Sanger sur les guerres d'Obama ouvre de nouvelles perspectives. La question n'est pas tant de savoir si les dirigeants américains étaient à l'origine du programme "Olympic Games" mais qui avait fuité et pourquoi. Ainsi que l'a rappelé le sénateur, qui était aux US à ce moment là, le débat qu'il y eut là-bas ne tenait pas à "les États-Unis ont mené une action offensive" mais "pourquoi l'ont-ils fait savoir?". On se reportera ici à l'analyse de Barbara Louis-Sidney qui conclut à un changement de "posture" et à l'affirmation d'une doctrine offensive ("La logique de dissuasion telle que perçue auparavant, axée sur la discrétion des acteurs, tend à se renverser").
7/ Notons la question de Nicolas Arpagian : "à la suite d'une déclaration d'Hillary Clinton, les États-Unis s'autorisent à répondre à une cyberattaque par des moyens conventionnels : et nous ?". Le sénateur a répondu qu'au moins, le débat était sur la table. Nous l'ouvrons donc ici.
8/ IL y eut pas mal de questions sur la recommandation de réfléchir à la pertinence d'acheter des routeurs Huawei et ZTE : est-ce la marque d'un protectionnisme ? (réponse : les États-Unis ne se gênent pas), quid d'une politique industrielle? quid d'un partenariat en la matière avec l'Allemagne ? quid de la relation avec les PME ?
9/ Une question sur la gouvernance : la réponse affirme la bonne synchronisation entre ANSSI et SGDSN, la bonne organisation du Ministère de la défense, et pointe les efforts à faire en interministériel : la nouvelle DISIC pourrait constituer le bon outil pour cet effort.
Au final, un rapport utile, publié au bon moment, et ayant consulté plein de bons experts et spécialistes...!
Rapport de JM Bockel sur la cyberdéfense
O. Kempf
Commentaires
1. "ayant consulté plein de bons experts et spécialistes". J'ai en effet noté qu'un certain Olivier Kempf avait été auditionné : c'est assurément gage de qualité...
2. "Ce sujet ne semble pas susciter l'attention qu'il mérite" (p.107). En effet, j'ai beau avoir conscience que la cyberdéfense est un enjeu majeur, le militaire que je suis n'arrive décidément pas (malgré la lecture régulière de votre blog...) à trouver suffisamment de motivation pour s'y intéresser. Trop touffu ? Encore trop peu l'objet d'attention des grands chefs pour qu'on n'ait plus d'autre alternative que de s'y mettre ?
3. En y réfléchissant un peu, je pense en réalité qu'au fond de moi, ce domaine de lutte est bien loin de ce à quoi j'aspirais en m'engageant : l'effort physique, les relations humaines, la confrontation aux éléments naturels. Plus encore, le combattant du cyber ne me semble pas satisfaire à l'un des fondements de l'état de militaire : la confrontation à la mort et l'acceptation de risquer sa propre vie.
4. D'où mon interrogation, sans doute peu originale mais à laquelle je n'ai pas été capable de trouver de réponse satisfaisante : pourquoi donc serait-ce aux militaires d'avoir des responsabilités dans ce domaine, comme cela se passe aux USA où a été créé un commandement spécifique rattaché à l'USAF ?
égéa
1/ lol
2/ UN de mes fillots, je l'ai déjà raconté, me dit : "mais pourquoi vous intéressez vous à ce truc horriblement techno ? on ne comprend rien à ce que racontent les SIC man ?". Je lui réponds : parce que ce n'est pas un truc de SIC man, c'est un truc de stratégiste.
3/ Oui c'est pourquoi il est douteux de parler de "cyberguerre", sauf à admettre que la guerre a changé de nature, ce qui est une spéculation.
4/ Là, c'est plus simple : parce que les civils sont moins naturellement tournés à penser la stratégie, quand un militaire apprend ça dans sa carrière. Certes, au début, il est chef de section et ne voit que le contact des hommes. Mais il apprend très vitre à articuler espace, temps et force. Et cet apprentissage fondamental dépasse le simple jeu tactique pour devenir une règle stratégique qui lui permet, ensuite,d 'appréhender d’autres réalités.
Merci d'avoir pris le temps de répondre.
Bien pris pour le remarque sémantique relative à la "guerre" et la "défense".
Pour ce qui est du cyber à proprement parler, vous m'avez convaincu : après une lecture du rapport objet de ce billet, je vais donc aller faire un tour sur amazon m'enquérir de votre livre...
égéa : pour "stratégies dans le cyberespace" qu'on a dirigé avec Stéphane Dossé, vous ne le trouverez pas sur Amazon mais Prividef en a encore quelques uns. Sinon, attendez la rentrée (octobre) où je publierai une "introduction la cyberstratégie" chez Economica : mais je vous en reparlerai en temps utile....
Bonjour,
je souhaite ajouter un élément de réponse à Dorian83:
1) *
2) Pour trouver de la motivation, il faut peut-être jeter un coup d'oeil sur les blogs tournés vers ce sujet, dont certains de l'alliance geostrategique: http://harrel-yannick.blogspot.com/ , http://electrosphere.blogspot.com/ , http://cidris-news.blogspot.com/ . Malgré les efforts et même les performances d'egea, on y traite de géostratégie, de géopolitique, de stratégie, de défense, etc. sous tous les angles mais sans se spécialiser. Hors, la cyberdéfense et tous les cybertrucs nécessitent une immersion intellectuelle sur le sujet.
Ainsi, mon conseil serait d'apprendre à programmer un langage informatique, si ce n'est pas déjà fait. Il n'est pas nécessaire d'être matheux, contrairement aux préjugés répandus par une foule d'ignorants. L'intérêt est essentiellement de comprendre l'essence du monde "cyber", à savoir la nature de l'information, de sa gestion et de sa transmission et de son traitement.
Vous pourrez par exemple apprendre le html pour programmer une page Web, ou télécharger l'EDI Qt (www.qt.nokia.com) afin de produire des petits programmes pour smatphones ou ordinateurs. l'EDI ,acronyme pour Environnement de Dévelopement Intégré, Qt ,à prononcer "cute" comme en anglais pour "joli", contient de très nombreux tutoriels très bien documentés. Des sites Webs proposent des tutoriels de très bonne facture pour les autodidactes . Une rapide recherche sur yahoo livre entre autres: www.siteduzero.com , www.developpez.com , tous deux en francais et que je recommande personnellement. Vous trouveriez là dans les forums suffisamment d'informations pour élargir votre recherche. Comptez au moins un an de travail régulier (i.e. bihebdomadaire) pour atteindre un niveau de maîtrise (et non contrôle ...)d'un langage particulier. Attention, l'apprentissage d'un langage informatique pour la première fois est susceptible de rendre fou. Prévoir un punching-ball à proximité de votre ordinateur.
3) Si la cyberguerre se déclenche un jour, nul doute que les cybersoldats seront aussi visés par des bombardements ciblés, des attentats derrière les lignes par des commandos, des enlèvements et des tortures pour leur soutirer les codes et procédures de sécurité
4) il y a bien des militaires spécialisés dans la cuisine, pourquoi pas dans l'informatique?
Bonne chance
cordialement
PS: quelqu'un connaît il une formule de salut spécifique aux soldats? du genre: "morituri te salutans"..., sauf que cette fois, ce serait :" je salue ceux qui peuvent mourir". Même si bien sûr, les civils aussi peuvent mourir de facon violente.
Il est assez comique de voir les sénateurs s'inquiéter de routeurs chinois... Alors que tous leurs ordinateurs sont truffés d'antivirus et autres "suites de sécurité" d'origine souvent américaine ou russe... parfois un peu plus proches avec les ex pays de l'Est (dont la loyauté va souvent plus vers les USA que l'Europe hélas). Ajoutons L'Allemagne avec laquelle les relations ne sont pas au beau fixe, d'autres au nord de l'Europe... le plus proche étant sans doute encore l'Espagne.
Aucun en France.
Il faut dire que le CP 323-3-1 n'est pas propice à ce genre d'éclosion... Mais quand on l'est, on l'est...
Au final, ils ont quoi sur leur PC ces braves gens? Et toute la planète est concernée, avec des pays qui ont un avantage stratégique certain à être ainsi placés sur un grand nombre de machines.