En introduction, le Brigadier général Richard Giguère (Commandant du Secteur du Québec de la Force Terrestre ), remarque que l’attaque récente (deux jours auparavant) contre la Corée du sud est plus qu’un hasard mais bien le signe de l’urgence et de l’acuité de ces réflexions.

Professeur Leman-Langlois (Université Laval, et chaire Dandurand de l’UQAM)) : « Cyberattaques et cyberdéfense : la fin de la sécurité ? ».

• Problématique : la cybersécurité n’est-elle pas une façon de réduire la sécurité ? Les analogies avec la guerre ne sont-elles pas trop poussées ? Cf. les analogies avec la MAD nucléaire, avec le 11 septembre (cyber Pearl Harbour). Ms aussi cf. guerre contre la pauvreté, la drogue, le cancer… illustrent le contenu métaphorique.
• Quelles sont les attaques dont on parle : celles contre l’information. Mandiant, DDOS, 13 serveurs DNS (mais en fait, 13 autorités, il y a 600 serveurs avec redondances), vers (Conficker, IloveYou, stuxnet….), web défacement. PDOS (permanent denial of service), SCADA (surtout fonctionnant avec un protocole internet).
• Deux contextes : celui du conflit (réaffirmation de souveraineté, mais dans l’espace virtuel). Mais s’exerce dans un espace « privé » et non un espace public qui serait son territoire. Dérapage de la pensée analogique, la carte physique et la carte numérique ne se renvoient pas l’une à l’autre. Réaffirmer la souveraineté, c’est pourtant nécessaire si on veut attribuer une attaque : ceux qui nous attaquent, sont-ils des hackers plus ou moins étudiants, ou sont ils instrumentalisés par le gouvernement chinois.
• La cybersécurité serait désuète, une sorte de ligne Maginot, ce qui justifierait l’attaque préalable (préemptive). Dans le cadre d’un conflit, oui. Quand le US Cybercommand passe de 900 pax à 4000, les 3000 supplémentaires sont prévus pour mener des attaques, mais aussi pour développer des Psyops et manipuler l’information. L’orateur dénonce cette vogue de l’attaque.
• Autre idée, fermer Internet. Kaspersky propose ainsi un passeport sur Internet, c’est la facebookisation d’Internet, qui contrôle de plus en plus et restreint la liberté. Cf. aussi l’ipadisation, où on n’a plus des systèmes ouverts (un PC) mais des systèmes propriétaires où l’on ne peut plus choisir ce qu’on veut. Bref, va à une cablo-distribution, avec beaucoup de filtrage et censure d’Internet. Cf. aussi Project X de la DARPA.
• options : rester au statu-quo. Défensive. Traités.

Professeur Hugo Loiseau (Université de Sherbrooke) « Le facteur humain, grand oublié du phénomène cyber ».

• Prend l’exemple du drone : n’est pas un avion sans pilote, mais un avion sans équipage, le drone est piloté. Mais l’être humain est tellement présent qu’on oublie sa présence.
• La littérature est essentiellement technique. Pourtant, on rencontre aussi des métaphores humaines (cerveau planétaire, conscience collective, noosphère de Teilhard) qui place l’humain au centre. Mais c’est difficile à démontrer empiriquement.
• Or, les cadres conceptuels sont écartés, on ne peut plus penser la guerre aujourd’hui de la même façon qu’il y a cinq ou six ans. Augmente le brouillage entre sécurité et défense.
• L’être humain dans le cyber a trois postures. L’EH agissant (créée, participe, web 2.0), l’EH figurant (ne contrôle pas le contenu : je mets une photo sur FB, je ne contrôle pas son usage par d’autres), l’EH subissant (devant son ordinateur et subit les risques et menaces).
• Trois aspects touchés : le droit international (cf. manuel Tallinn, jus ad bellum, jus in bello : le cybercontexte ne change rien, le droit s’applique ; mais cinq limites :
  • seuil clair de l’usage illégal de la force selon le droit international
  • riposte : à partir de quand un Etat peut-il déclencher une riposte ? une opération cinétique est-elle légale
  • quelle réponse à une cyberopération insuffisamment destructrice, mais justifiant l’auto-défense
  • quand un « échange » devient-il un conflit armé ?
  • ce qui constitue une attaque (car détermine le jus in bello : ne pas attaquer les hôpitaux, …)
• La culture stratégique. Comment absorber les innovations (Saaman 2008). Cyberguerre comme finalité ou moyen ? eg surenchère technologique (finalité) ou chantier d’organisations humaines. Transhumanisme et soldat du futur : le caporal stratégique, le web 4.0 ou symbiotique (moyen).
• la doctrine : Nécessité d’une doctrine : dissuasion ? guerre préventive ? contrôle et utilisation des cyber-armements. Logique de l’escalade et cyberpaix armée.
• Pistes de réflexion :
  • trois paradoxes : liberté totale vs standardisation – collectivité atomisée – quantité vs qualité
  • trois visions : cyber optimiste – cyber pessismite – banalisation
  • trois types de gouvernance : endorégulée, exorégulée ou mixte.

Q sur escalade de la violence :

• LL : aujourd’hui, ce qui prévient l’escalade c’est l’inattribution. Cf. l’exemple récent entre les deux Corées. Pour passer au physique, cela revient à dire que l’attaque a eu de telles conséquences dans la vie réelle qu’il faut réagir cinétiquement : proportionnalité. Mais parfois, cela part pour des raisons ténues, on cherche des prétextes pour une action.
• L : en fait, c’est pas escalade de la violence, mais un dilemme de sécurité. Est-ce de la violence, une cyberattaque ? est-ce un casus belli ? Repose la question du seuil.

CBA Michel Baud (IFRI) « la cyberguerre, mythe ou réalité ? ». Je n’ai pas pu prendre beaucoup de notes, étant sur la même table ronde que l'orateur.

• Cyber et vulnérabilités de défense
• Des opérations : Estonie 2007, Stuxnet 2010, Orchard (Syrie) 2007
• Avenir : ligne Maginot ? exemple des stratégies chinoise et américaine. Course aux armements.

O. Kempf (ScPo) « la prise en compte par la France des questions de cyberstratégie »

• Les origines et le dispositif construit à partir du LBDSN de 2008 (ANSSI, OG cyber)
• la doctrine (et notamment les extraits du LB)
• le débat stratégique (acteurs, livres, chaires, lieux, colloques, thèmes)
• L'avenir (difficultés, le futur LB, international, ...)

Questions

• Les puces électroniques chinoises ont un back door physique :que faire ?
• Ne manque-t-il pas une agence de renseignement dédie au cyber ?
• Le cyber ne remet-il pas l’Etat, justement ? quel contrôle peut-il avoir sur ce cyberespace
• Comment préserver sa souveraineté et intégrer des alliances ?

Dr. Detlef Puhl (OTAN) « Cyberdéfense : le rôle de l’Otan, limité mais crucial ».

• Concept de 2011 : « il y a un danger cyber immédiat et actuel auquel l’alliance doit faire face ». Mais le concept ne va pas plus loin : constate le défi, ne dit pas ce qu’il faut faire.
• Deux distinctions : I Distinguer pol de cyberdéfense en temps normal et en temps de crise. II Et celle de l’Otan par rapport à celle des alliés.
• I/ En temps normal, trois piliers : Premier pilier : protection des propres réseaux de l’Otan, la cyberdéfense demeure une responsabilité nationale. FOC du NCIRC prévue pour fin 2013. Le plan d’action prévoit une fin de programme en décembre 2014.
  • Deuxième pilier : intégrer la cyberdéfense dans le processus de planification de défense. D’où standardisation des normes de protection, au moins pour propres besoins de l’Alliance : d’où, les nations doivent mener leurs investissements de manière cohérente et compatible. Ce qui touche directement aux questions de souveraineté des Etats-membres.
  • Troisième pilier : assistance de l’Alliance aux Etats-membres. Notamment ceux qui ne sont pas au niveau requis. Inciter à faire développer des stratégies nationales de cyberprotection. Cf. aussi aide fournie par Centre de Tallinn, ou partage d’informations sur les incidents qui ont lieu quotidiennement. Aide aussi dans le cadre du Retex ou des exercices (cf. ex Cybercoalition, où des partenaires viennent).
  • Ainsi, le rôle de l’Otan est limité. Toutefois, rôle crucial : pas de communication sûre sans réseau sûr, besoin de compatibilité des normes de sécurité nationales, assurer la compétence des opérateurs.
• En temps de crise, la réflexion débute. Le dernier exercice de gestion de crise, CMX 12, a laissé voir beaucoup de failles, notamment en matière cyber : il faut en tirer les leçons. D’où la question de mise en place d’équipes de réaction rapide. Mais il y a encore des difficultés, certaines nations ne sont pas forcément enclines à demander à l’Otan une telle capacité. Pouvoir être capable de répondre aux demandes des Nations.
  • Enfin, choix entre la réponse politique (art. 4) et la réponse militaire (art. 5) : en 2007, le prédisent estonien n’a mobilisé que l’article 4.
  • Aucun rôle cyberoffensif de l’alliance
• Défis et questions.
  • Même en temps de crise, la cybersécurité va plus loin que la cyberdéfense : inclut le volet économique (cf. haute technologie), le volet sociétal (droits fondamentaux, liberté de l’Internet), volet politique (législations nationales, protection des réseaux), volet militaire.
  • Les Alliés n’ont pas demandé à l’Alliance d’élargir son rôle, hors de la protection des systèmes propres. L’Otan est l’instrument des Etats-membres. Ils ne sont pas encore parvenus à se mettre d’accord dans ce champ là. Surtout, on observe que les Etats-Unis et l’UE sont très intéressés à une coopération bilatérale, ce qui dépasse le cadre de l’Otan.

CV Sebastien Gourtay (CICDE) « La réponse des armées françaises au défi cybernétique »

• Enjeux : les SI en réseau sont devenus vitaux, constituent de nouvelles vulnérabilités, dans un nouvel espace, le cyber.
• Risques et menace : la gravité des conséquences, augmente simultanément avec la complexité de l’attaque : l’utilisateur est souvent le plus dangereux, souvent par ignorance. Après, progression du cybercrime vers le cyber-activisme puis les cyber-organisations.
• Prise en compte du cyber : interministériel et défense : passer de la SSI à la Défense des SI, aux opérations dans le cyber (classifié).
• Doctrine : fondements et principes de la CD : approche globale, légalité et légitimité de l’action, posture permanente de sûreté cybernétique.
• Aptitudes à détenir : dvpt d’une capacité de « renseignement d’intérêt cyberdéfense ». Anticiper les cyberattaques potentielles, surveiller et apprécier la situation, se protéger en permanent, investiguer et se défendre, restaurer les capacités, commander la défense des SI.
• Fonctions de cyberdéfense, organisation et responsabilités (OG Cyber, CALID, SOC, C2 LID, chaîne cyber, rôle DPSD vàv industrie, relations avec ANSSI.
• Conduite de la LID : deux volets. Une chaine spécialisée : le CERT défense (= le CALID) avec les opérateurs qui doivent avoir des NOC (network operation center) et SOC. Surveillance, investigation, intervention, mesures techniques. Et une chaine opérationnelle, qui dépend du CPCO (gestion de crise SIC, etc).
• Cycle de la cyberdéfense : veille, détection, identification, réaction, restauration, veille.

Bcp de questions sur l’OTAN, (article 5, OTAN à deux vitesses) : mais l’OTAN ne mène pas d’offensive….

Luc Beaudoin (CCRIC, Ottawa) « La coordination des incidents cybernétiques au niveau national »

• Centre son intervention sur les aspects civils, évoquant notamment toutes les variétés de cybercrime, avec un écosystème assez évolué. Evoque les MPA (Menaces persistantes avancées, cf. APT).
• Stratégie nationale de cybersécurité du Canada. Trois piliers : les systèmes gouvernementaux (direction générale de la cybersécurité nationale), les infrastructures essentielles (ou critiques), le grand public.
• CRIC : Centre canadien de réponse aux incidents cybernétiques.
• Traduction de BYOD : APVA (apporter votre propre appareil). Q des appareils mobiles et de l’informatique en nuage.

Col. André Boucher (NDHQ, Ottawa : directeur de développement de la force cybernétique des FC) « La défense du cyberespace, une mission en évolution constante ».

• On a le même diagnostic de l’environnement que ce qui a été présenté par mes collègues français.
• Le MDN et les FC ne sont qu’un des joueurs de la cybersécurité. Applications militaires. Domaine nouveau en discussions, pas en existence. Les FC, on a une vision spéciale.
• Stratégie de cybersécurité du Canada, FC : capa de défendre leurs propres réseaux – travailler avec autres ministères – échanger avec les alliés sur les pratiques – collaborer avec les alliés pour les cadres stratégiques et juridiques régissant les aspects mili de la cybersécurité. Le plus imp c’est le premier pilier.
• On a une assez longue tradition de déf des réseaux. Déf de l’environnement cybernétique inclut les infra, les réseaux, les SI, les logiciels et l’information qui y réside. Cf. mot latin de reticula, mot réseau au sens plus large que réseau informatique.
• le cyberespace n’est pas nouveau, rien de spécial, pas unique. Est un environnement ds lequel les FC doivent fonctionner. Sécant à tous les autres milieux.
• Etre d’’abord technologiquement apte à se défendre. Opérations défensives cyber – Opérations intégrées cyber (opérations cyber intégrées aux opérations interarmées des FC : force cyber 2015, : IOC 2015) – Gouvernance, opérations et activités de soutien cyber-synchronisées (architecture et gestion GI/GT synchronisé avec les opérations de la défense).
• Quatre piliers : Gouvernance, évolution des doctrines, évolution des capacités, ressources humaines.
• Difficulté : intégrer les conditions/contraintes cyber dans le processus de planification et conduite des opérations.

Guy Turcotte (RDDC, Valcartier) « Le programme de science et technologie pour la défense cybernétique »

• RDDC (recherche et développement pour la défense du Canada) : 37 scientifiques, 10 M$ annuel. Effort. Un labo à Valcartier (Québec), un autre à Ottawa.
• De la protection des réseaux et SI du MD à la protection des systèmes militaires.
• Evolutions des cyberattaques : vandalisme, propagande, collecte de données, sabotage informatique, attaque d’infra critiques, attaque robotisée à scénario d’exécution.
• Nouveau modèle mental requis : tempo, distance (parcours par segment), non-physique (arme logicielle), non-géographique, complexité (logiciel et connectivité), terrain (constamment changeant) : le cyberespace n’est pas intuitif.
• Initiatives en protection logicielle (TFOSS, polytracing, …), initiatives en protection des réseaux (JNDMS, SAMSON, MANets, …).

Lieutenant Jacques Ouellet (Sûreté du Québec) « Le printemps érable 2012 et le mouvement Anonymous ».

• Printemps 2012 : février, début de la crise étudiante, et en mai, loi 178. Motive une action anonymous.
• Projette la vidéo mise en ligne. « Nous sommes anonymous, nous sommes légion, nous n’oublions pas ». Allusion au « Je n’oublie pas » devise Québec. Accent français, pas accent québécois.
• Les manifestants portent le masque de Guy Fake ne arrière de la tête, ou se maquillent totalement : est-ce un masque ? Est-ce contraire à la loi ?
• Attaques revendiquées : dès le lendemain de la loi, l’AN, le ministère de l’éducation, parti libéral. 21 mai : ministère sécurité publique, d&tonologie policière. 23 mai, ville d’Alma. Puis ville de Montréal, ville de Longueuil, Caisse police, Sécurité du Québec, grand prix de Montréal, etc.
• Leçons du traitement de cette affaire par la Sûreté du Québec. Lors d’attaques : le temps est maître. Eviter d’avoir trop d’intervenants à l’intérieure de votre orga (donc pas forcément trop de CR, subsidiarité aux gens près du terrain). Identifier les partenaires. Avoir le courage de décider. Se rappeler que le tems jour contre nous.

• Q sur l’imputation à la source des arrestations ? réponse : base du « méfait » : c’est un méfait, d’où arrestation/condamnation. Pas monstrueux, car question subsidiaire : à combien ça s’élève, le « méfait » ? défaçage de page web, ça coûte combien ?
• On a bénéficié de la barrière de la langue, mais aussi du décalage horaire avec l’Europe. Ça aurait été en Ontario, le bassin aurait été beaucoup plus important.
• on n’aurait pas réussi nos enquêtes si on n’avait pas eu Facebook : les gens se vantent… C’est aussi une sorte d’hygiène cybernétique : faire attention à ce qu’on écrit sur Internet, et aux traces qu’on laisse ds le contexte public.

Au final, une rencontre fort intéressante, avec une assistance curieuse, de bon niveau, et de longs temps d'échange. A coup sûr, un lieu d'influence réciproque, et d'enrichissement intelelctuel.

O. Kempf