Il faut commencer par rappeler que B. Obama a été le premier candidat à la Maison Blanche à évoquer dans sa campagne l'importance de la cybersécurité. D'après D. Sanger, correspondant du New York Times à la Maison Blanche, le candidat Obama envisageait le problème plutôt candidement. Toutefois, le CSIS avait déjà publié un rapport destiné à tirer la sonnette d'alarme sur l'état de la situation aux US. Aussi, lorsque débute son premier mandat et que G.W.Bush lui parle de l'opération Olympic Games (révélée par...D. Sanger en 2012) en cours, Obama comprend toute la dimension et tous les aspects autour du cyberespace.

Et il décide d'en faire un élément central de l'outil de défense américain (respectant ainsi une longue tradition de pensée stratégique).

Dès lors, il fallait régler plusieurs questions:

1/ qui fait quoi dans le cyberespace? Détermination des acteurs : étatiques/non-étatiques + détermination des menaces en fonction des conséquences des différents types d'attaques croisées avec la nature des acteurs.

2/ comment protéger les intérêts américains dans le cyberespace : quelles capacités à disposition (défensives et offensives) + quelle organisation au niveau militaire (intégration dans les différents corps d'arme, commandement des opérations dans le cyberespace à définir, application opérationnelle et tactique, intégration des agences de renseignement), gouvernemental (qui fait quoi? avec quels moyens? ici on aborde les luttes inter-ministères), avec le secteur privé (collaboration volontaire? obligation d'appliquer des standards et normes de SSI définies par le gouvernement fédérales? responsabilités en cas d'attaques?).

3/ quelle stratégie adopter pour intégrer tous ces éléments rapidement et efficacement? comment intégrer le "cyber-power" dans la panoplie politique, diplomatique, économique, et militaire américaine? quelle rhétorique pour quels adversaires? et la question de l'intégration des enjeux cyber dans les alliances existantes des US?

A partir de là (on est en 2009), les choses sont allées vite, et les rapports/déclarations/opinions se sont enchaînés à une vitesse hallucinante.

Pour faire le tri, il faut commencer par les sites des ministères fédéraux : WhiteHouse, DoD, DHS, qui répertorient les principaux textes. Sans avoir à les lire tous en entier, cela donne déjà un aperçu de la vitesse à laquelle les documents officiels se sont succédés. Si on préfére une lecture critique, je recommande de fouiller les blogs CIDRIS et Si-Vis.

La Presidential Policy Directive 20 étant confidentielle, je ne peux que renvoyer vers l'article d'E. Nakashima.

J'en profite pour suggérer que lire dans l'ordre chronologique les articles du Washington Post, du New York Times, etc. permet d'avoir une vision globale sur l'évolution de la situation dans tous ses aspects (enjeux politiques, économiques, commerciaux, luttes inter-agences fédérales, état des lieux juridique, etc.). En effet les quotidiens nationaux ont souvent de très bons contacts avec des officiels de l'administration, ce qui permet d'avoir des infos intéressantes et fiables.

Pour l'Executive Order, on peut le lire ici en intégralité ; ce qui me ramène aux tentatives ratées de législation depuis le premier mandat d'Obama. Pour comprendre rapidement pourquoi les deux textes ont échoué, jetez un coup d’œil ici, et fouillez en conséquence. Pour info, CISPA a été votée par le Congrès début avril, Obama menace de mettre son veto si le Sénat la valide, et la Maison Blanche renonce à imposer des normes plus strictes au secteur privé (se retranchant vers un système basé sur le volontariat --> voir dans le Washington Post).

On arrive à l'activité des lobbys; outre celle liée à la défense des intérêts des multinationales affectées par un Cyber Act contraignant (comme ce fut le cas avec CISPA, SOPA/PIPA), trois "secteurs" dans lesquels ils travaillent activement se révèlent à mes yeux. Le rôle du lobby militaro-industriel pour la prégnance d'une réponse militaire dans le cyberespace (la militarisation du cyberespace, avec accroissement du rôle et des budgets du DOD par rapport aux autres institutions fédérales), le développement d'un marché de solutions de sécu/défense en conséquence (marché estimé entre 6,5 et 7 milliards de dollards/an, même si les bases de calcul sont discutables), et de la création d'une "Menace" ; le rôle des lobbys du secteur privé contre une régulation contraignante (càd contre une intrusion du gouvernement dans les affaires des entreprises).

La "Menace" enfin ; elle regroupe sous cette appellation différents risques, vulnérabilités, et menaces, agissant chacune à des niveaux différents de l'infrastructure du cyberespace, avec des objectifs et des motivations différentes. Mais elle permet surtout de désigner un adversaire pour justifier une augmentation de budget par la distillation de la peur (méthode déjà largement éprouvée aux US). En l'occurrence la Chine et l'Iran. Pour la construction de la menace chinoise, on peut lire ce bouquin, court, clair, avec des éléments biblio utiles. L'auteur n'a pas inclus l'aspect cyber, mais vous verrez en le lisant à quel point les arguments utilisés et les éléments de langage pour d'autres outils de la menace chinoise font écho à ce qu'on entend et lit dans les médias US (et occidentaux).

Voilà, je pense avoir fait déjà un premier tour des infos. Il y a énormément d'aspects à couvrir, donc il faudra que vous fassiez le tri. Je vous encourage à lire les livres de J. Henrotin & JL Samaan dans un premier temps, de survoler les résumés des textes officiels, et de passer en revue les articles des principaux médias (nb: lors de la lecture de ces derniers, gardez bien en tête leur couleur politique pour avoir un recul nécessaire sur ce qui est dit).

V. Joubert