Aller au contenu | Aller au menu | Aller à la recherche

MOOC questions stratégiques (cyber)

Le MOOC questions stratégiques (organisé par le CSFRS) entame sa deuxième édition. J'y avais participé pour la séance sur le cyberespace. EN voici ci-dessous la transcription. Pour le reste, deuxième session de diffusion du MOOC sur France Université Numérique du 9 mai au 26 juin 2016, avec les mêmes cours globalement, mais sous-titrés en anglais. Ci-joint le lien vers les inscriptions. On trouve également des éléments sur la page Facebook ou encore sur le site du CSFRS.

Général d’armée Watin-Augouard : En 1969, quatre ordinateurs étaient interconnectés, une première dans le monde. En 1989, il y en avait 100 000. En 2020, selon les experts, avec l’Internet des objets, la connexion des objets dits intelligents, on pourrait compter jusqu’à 220 milliards d’objets interconnectés. Le cyberespace n’est pas simplement un espace immatériel, il a une réalité physique, géographique, avec ses câbles sous-marins, avec ses fibres optiques, avec ses centres nerveux, avec ses data centers. Ce cyberespace a donc un territoire. En 1969, il y avait seulement quelques techniciens spécialistes ingénieurs qui dialoguaient. En 2020, il y aura 4 milliards d’internautes dont un milliard de chinois. Le cyberespace est désormais peuplé. Depuis l’Antiquité jusqu’en 2003, on a produit autant d’informations de données que ce que l’homme crée en 2 jours sur internet aujourd’hui. On est passé du kilo, du giga, du téraoctet aux « zettaoctets » et demain peut être aux « yottaoctets ». Tout cela pour vous montrer que ce cyberespace est en train de découvrir un or noir qui est celui des données. Alors, cet espace extraordinaire illimité, est un espace de liberté, un espace de croissance, un espace de création, un espace d’échanges culturels, c’est donc un espace porteur d’espoir pour l’humanité. Mais en même temps, comme tout espace nouveau, il est envahi par les prédateurs, par les criminels, les terroristes, il est envahi par les mafias, par les paramilitaires, et parfois utilisé par les Etats à des fins politiques parce qu’ils ont compris quels étaient les enjeux de ce cyberespace. Alors ces menaces, il faut les connaitre, pour mieux les connaitre et pour mieux les juguler par une stratégie. Je me tourne maintenant vers les experts, et d’abord vers Eric Freyssinet. On parle de cybercriminalité, de quoi s’agit-il exactement?

Eric Freyssinet : C’est une de ces cybermenaces, elle prend des formes très variées et elle concerne tous les acteurs, tous les objets, tous les réseaux que vous avez évoqués. Cela touche toutes les personnes, toutes les entreprises, toutes les organisations, tous les Etats et cela prend des formes que tout un chacun connait aujourd’hui ou peut être un peu moins pour les formes les plus techniques, des atteintes aux personnes effectivement, plus particulièrement vers les personnes les plus vulnérables ou des discriminations, donc les atteintes aux mineurs, la pédopornographie, l’expression de la haine raciale, mais aussi des atteintes à l’informatique et aux libertés, aux données personnelles qui sont mal protégées, mal collectées comme les courriers électroniques non sollicités (le spam), des attaques contre des serveurs informatiques qui sont connectés à internet, qui peuvent prendre des formes très variées, très agressives ou très simples parce que parfois ces systèmes sont mal protégés et souvent la motivation aujourd’hui est plus autour de l’enjeu financier, aller récupérer de l’argent, de la valeur directement dans des comptes bancaires, des comptes de paiement électronique et récupérer de l’information qui va pouvoir être monnayée. Techniquement, cela peut prendre des formes de plus en plus complexes avec les virus informatiques qu’on connait depuis quasiment les débuts de l’internet que vous évoquiez, depuis les années 1980 qui se sont sophistiqués, aujourd’hui qui s’interconnectent et qui permettent grâce au « botnet », à l’interconnexion de tout un ensemble de virus, de collecter des données personnelles, de réaliser des attaques coordonnées, et donc d’ailleurs on fait le lien ici entre des attaques criminelles et puis des attaques plus organisées qui pourraient relever du terrorisme ou des attaques provenant d’Etats.

Général d’armée Watin-Augouard : Merci. Vous avez parlé justement des attaques par botnet. En 2007, c’est justement ce qui a frappé l’Estonie puisque cette dernière s’est trouvée paralysée par une série de milliers de requêtes sur les ordinateurs des entreprises et administrations des banques et donc le pays a été totalement non pas anéanti, mais bloqué pendant plusieurs semaines. C’est à partir de ce moment-là, Olivier Kempf, qu’on a commencé à évoquer la cyberdéfense. Qu’est-ce que la cyberdéfense dans un Etat comme le nôtre, comme tous les Etats qui aujourd’hui cherchent à protéger ce domaine immatériel qu’est le cyberespace ?

Olivier Kempf : Vous mentionnez là à juste titre la date de 2007 parce que cette cyberdéfense française a été ébauchée dans un Livre blanc de la Défense de 2008, puis très précisée sur le Libre Blanc de 2013 qui est paru très récemment. Plusieurs axes, du plus près, du plus réduit au plus élargi. Le premier axe, c’est la protection des intérêts fondamentaux de l’Etat, puis les organisations de défense, puis les grandes administrations publiques. Après on va s’occuper de ce qu’on appelle les organismes d’importance vitale, tout ce qui fait fonctionner le pays, les centrales nucléaires, l’électricité, les services d’urgence. Et puis après on va s’occuper de protéger l’économie, protéger les citoyens et les libertés publiques et puis de façon encore plus élargie, une cyberdéfense consiste aussi à essayer de nouer des alliances, des partenariats avec des acteurs extérieurs. Voilà la démarche qui est celle de la France mais qui est, si vous regardez bien, celle de nos partenaires. Et puis en France, il y a eu un certain nombre de mesures qui ont été prises, création de l’Agence nationale de la sécurité des systèmes d'information, désignation d’un officier général de cyberdéfense, création d’un pacte de cyberdéfense, renforcement d’une base industrielle et technologique de cyberdéfense.

Général Watin-Augouard : Ce qui est intéressant en vous écoutant tous les deux, c’est qu’on voit bien qu’il y a un continuum défense-sécurité. C’est vrai qu’au bas du spectre dans la petite cybercriminalité, il y a l’atteinte à la personne, la petite escroquerie, et en haut du spectre, on est dans l’attaque de l’opérateur d’importance vitale, celui sans lequel la vie même de la société ne peut pas fonctionner. Et ce qui est très intéressant aussi, c’est de voir que finalement ce cyberespace qui initialement s’est construit un peu sans les Etats, sauf l’Etat américain qui a mis beaucoup d’argent, mais on peut dire que les Etats ont été relativement en retrait. Eh bien l’Etat revient, il revient pour quoi faire ? Pour développer une stratégie, parce que s’il ne peut pas seul assurer cette stratégie de cyberdéfense ou de cybercriminalité, il faut qu’il le fasse avec d’autres, mais sans lui on ne peut pas la réaliser. Alors en matière de cyberdéfense, quelle stratégie aujourd’hui ? Qu’est ce qui la caractérise, qu’est ce qui fait qu’on peut parler aujourd’hui d’une stratégie différente dans le domaine du cyberespace par rapport à la stratégie maritime ou la stratégie sur l’espace terrestre ? Olivier Kempf : Plusieurs choses, d’abord on va toucher plusieurs acteurs. Vous faites bien de mentionner le retour de l’Etat qui n’était pas forcément évident sur les 20 dernières années. Grâce au cyber, l’Etat retrouve des marges de manœuvre. Cela étant, il fait face à de nouveaux acteurs, les autres Etats bien sûr, toutes les collectivités, qu’il s’agisse de collectivités privées ou publiques, des ONG, des firmes multinationales bien évidemment, mais surtout et cela est quelque chose d’assez nouveau, c’est l’émergence de l’individu comme acteur stratégique. Tout le monde connait les noms d’Edward Snowden, ou de Bradley Manning ou de Julian Assange. Ce sont des individus qui vont avoir des affaires mais aussi il peut y avoir des actions collectives. Vous mentionnez l’Estonie, qu’est-ce que l’Estonie ? Ce sont probablement des cyber patriotes ou des hackers qui se sont collectivement groupés pour attaquer un pays. Donc plusieurs acteurs il va falloir différencier ces choses-là. Après la cyberdéfense, on a deux choses, on a deux grands axes. La première c’est comprendre qu’il y a le cyber dans la guerre. La guerre traditionnelle aujourd’hui, ce n’est plus simplement la guerre avec des fusils, des chars, et des avions, c’est aussi la guerre avec du cyber, un avion, c’est d’abord un ordinateur qui vole, un navire, c’est d’abord un ordinateur qui flotte, je fais très simple. Et donc, tous les militaires doivent prendre en compte cette dimension cyber pour améliorer leur action. Puis l’autre partie, c’est la guerre dans le cyber, c'est-à-dire comprendre que le cyberespace est un nouvel espace par lui-même, ce que M. Freyssinet mentionnait à l’instant, et que donc nous allons devoir développer des actions qui ne sont pas simplement militaires et c’est aussi pour ça qu’il va falloir conjuguer l’action entre l’Etat et les autres acteurs, pour avoir des stratégies générales qui seront forcément incomplètes mais adaptatives, le maître-mot, c’est l’adaptation. Le cyber, s’il y a de la cyberstratégie, c’est une cyberstratégie adaptative. Général Watin-Augouard : Alors ce qui est intéressant, c’est que quand on est dans le domaine de la cyberdéfense, de la stratégie de cyberdéfense, on a effectivement comme j’ai dit tout à l’heure un continuum avec des recoupements avec la stratégie de cybercriminalité, parce qu’en travaillant sur une infraction, on peut mettre en évidence un problème de nature cyberdéfense. Inversement quand on protège un opérateur d’importance vitale, on peut revenir sur une infraction du type atteinte au système de traitement automatisé de données. Alors Eric Freyssinet, cette stratégie de lutte contre la cybercriminalité, comment s’autonomise-t-elle en quelque sorte et comment se conjugue-t-elle avec la stratégie de cyberdéfense ? Eric Freyssinet : En matière de cybercriminalité, la stratégie s’est construite effectivement, s’est renforcée récemment comme de façon plus globale en matière de cyberdéfense ou de prévention des cybermenaces. Mais elle remonte à peut-être plus loin, elle a accompagné les victimes dès l’avènement des premiers délinquants sur les réseaux dès les années 1980, les années 1990. On connait tous l’aventure des hackers qui avaient parfois cette image un peu négative dans les films : c’est la réalité. Il y a eu des enquêtes, il y a eu la présence de prédateurs sexuels dès qu’il y a eu des enfants, dès qu’il y a eu la possibilité de faire des échanges sur les réseaux. Et dès que les échanges d’argent, les échanges financiers ont été facilités pour tout un chacun par les réseaux, ils s’y sont intéressés donc dès les années 1990, et jusqu’à aujourd’hui. Donc il a fallu accompagner tout ça, et donc les forces de police se sont petit à petit adaptées, la justice s’est petit à petit adaptée. Il y a des changements importants récemment, on peut noter qu’Europol a mis en place l’European cybercrime center (EC3) depuis un an et demi maintenant, donc au début de l’année 2013, et a regroupé ses forces et surtout s’est mis en capacité d’accompagner les services d’enquête sur de multiples enquêtes communes aujourd’hui, de l’échange d’informations très opérationnel. Nous, ce à quoi nous sommes confrontés, c’est s’adapter à l’évolution des techniques, de la tactique très opérationnelle. Par exemple, le fait que des groupes criminels vont profiter de la disponibilité de certains services chez les hébergeurs, qui permettent de louer des serveurs en quelques minutes et d’en changer régulièrement. Il faut qu’on soit capable en quelques jours, en quelques heures de les suivre dans ces investigations. C’est le problème de toutes nos enquêtes aujourd’hui. Et puis on parlait des partenariats, ils se construisent en France avec les acteurs institutionnels, la Gendarmerie est présente au sein du Ministère de la Défense au CALID, auprès de l’ANSSI, aux côtés de nos collègues de la Police Nationale aussi. Et on doit aussi développer ces échanges avec les partenaires techniques qu’on évoquait au début, les grands opérateurs, les enceintes où se discutent toutes les évolutions de l’Internet, il faut qu’on soit présent, qu’on partage, c’est comme cela aujourd’hui qu’on construit le futur de la formation de nos enquêteurs : un peu plus de 1300 personnes aujourd’hui ont été formées en Gendarmerie, on va continuer de développer ces formations, avec des partenaires industriels qui travaillent dans ce domaine ou du domaine bancaire aussi ou du domaine commercial sur les réseaux, et aussi avec le monde universitaire, qui est de plus en plus présent dans nos activités de recherche, de formation, et de prévention auprès du public. Général Watin-Augouard : Alors moi ce que je retiens de ce que vous venez de dire sur la stratégie, c’est que certes l’Etat revient, doit revenir, et a toute sa place, c’est sa fonction régalienne de sécurité et de défense. Mais aujourd’hui, il est obligé de rentrer dans une gouvernance multi-acteurs comme on dit, c'est-à-dire en fait associer à la fois des acteurs publics et des acteurs privés, administrations, collectivités locales, forces armées, police, gendarmerie, justice, et donc c’est une véritable « task-force » stratégique qui doit être mise en place et que l’Etat justement doit pouvoir animer. Et comme vous l’avez dit vous-même, cette task-force passe d’abord par la qualité des hommes et des femmes qui la composent, et donc qui ont été formés en vue de remplir les missions qui sont les leurs.

Quand on a parlé de cette cyberstratégie, on a parlé effectivement de cette place de l’Etat, la place de tous les acteurs, on parle du présent, on parle de l’avenir immédiat, mais parlons du futur. Comment voyez-vous le cyberespace en termes stratégiques dans 5, 10, 15 ans ? Les choses vont trop vite aujourd’hui. Eric Freyssinet, Olivier Kempf, en quelques mots chacun, pouvez-vous nous donner votre vision dans la boule de cristal ? Olivier Kempf : Je crois que ce qu’on a vu n’est qu’une petite partie de ce qu’on va voir. On croit qu’on a déjà vécu une révolution, certes on l’a vécue, mais celle qui reste encore à venir est énorme. Ce qu’on peut dès à présent discerner c’est, en tout état de cause pour moi mais il y en a certainement d’autres, 3 grands facteurs qui vont changer, ce qu’on appelle l’Internet des objets, le fait que n’importe quel objet, voiture, vêtement, frigidaire, ce que vous achetez à l’intérieur de votre frigidaire sera connecté, et donc avec des objets qui vont parler entre eux. Or, cela va forcément avoir des grandes conséquences non seulement sur notre vie mais sur la protection de l’Etat et sur la façon de conduire les opérations. La deuxième chose est la conjonction, la combinaison et la fusion avec la robotique. La robotique pour l’instant est quelque chose qui est séparé, et on voit bien que cela va fusionner, que les robots vont devenir de plus en plus nombreux, de plus en plus petits, fonctionner de plus en plus en essaim, consommer de plus en plus d’échanges d’information et devenir de plus en plus autonomes. Donc le vrai sujet est : quelle action autonome par rapport à quelle action de l’homme ? Puisqu’on arrive à l’homme, cela sera la troisième étape de la fusion, celle de l’homme connecté parce qu’aujourd’hui on a des prothèses de la hanche et des amalgames dans les dents, donc on a déjà l’habitude d’avoir des choses extérieures dans nos corps, mais demain cela sera des objets informatiques, cela sera des objets cybers et donc on va avoir une intégration du corps humain avec ce cyberespace. Et alors là, cela va toucher à la vie humaine, et donc à la mort, et avec des enjeux stratégiques, moraux, éthiques gigantesques et cela si ne n’est demain, après-demain.

Eric Freyssinet: On partage le même constat. Les objets connectés, par exemple les véhicules qui vont très vite communiquer entre eux, qui sont une source d’informations et donc des choses que vont pouvoir exploiter les délinquants, peut-être bloquer des routes ou réaliser de nouvelles formes de menaces. On est aussi face à des choses qui sont complexes à évaluer. L’informatique quantique peut briser complètement tout ce qu’on sait en matière de cryptographie et donc révolutionner la sécurité des échanges, il va falloir réinventer des choses. Les usages, la façon dont les personnes appréhendent les nouveaux outils. Twitter qui a émergé il y a 5-6 ans, c’était non imaginable à l’époque, a complètement émergé parce que les usages ont accroché. Les gens s’y sont intéressés, ont développé et du coup les usages criminels se sont aussi adaptés, diffusion de messages malveillants via ces réseaux sociaux de façon très efficace. Donc il faut qu’on soit attentif aussi bien aux évolutions technologiques qu’aux évolutions des usages, et puis à des petites touches au niveau du droit qui doit d’adapter petit à petit à ces évolutions, par exemple la nécessité pour nous de pouvoir faire des enquêtes sous pseudonyme, c'est-à-dire d’être au contact des personnes qui commettent des infractions ou qui sont soupçonnées de les commettre, là où elles dialoguent, là où elles échangent, pour pouvoir mener des enquêtes. Ce sont des évolutions qui sont nécessaires.

Général Watin-Augouard :

Merci. Vous l’avez compris, nous ne vivons pas une évolution, pas une révolution, mais une véritable métamorphose, la chrysalide devient papillon. Notre société est en train de se transformer avec une vitesse extraordinaire. Le cyberespace va nous faire changer de dimension, il va nous obliger à travailler davantage ensemble, à inventer de nouvelles solidarités, à retrouver le sens de la confiance, et ça c’est quelque chose qui est absolument indispensable. Et vous avez parlé tout à l’heure, Olivier Kempf, de l’humain, ça je crois que c’est la grande nouvelle qu’on peut annoncer à toutes celles et tous ceux qui nous écoutent et qui pensent que le cyberespace est réservé aux spécialistes, aux techniciens. Oui, il en faut des spécialistes ! Oui, il en faut des techniciens ! Il faut des ingénieurs ! Mais ce ne sont pas simplement les scientifiques qui auront le monopole du cyberespace et de sa gestion. Il faudra que l’on parle de l’homme, replacer l’humain dans la transformation numérique, faire en sorte que demain, cette nouvelle société qui est en train de se développer devant nous à vitesse extraordinaire, que cette nouvelle société ne soit pas contre l’homme mais pour l’homme, pour le valoriser. Et vous voyez donc qu’on rejoint à la fois des questions juridiques, mais aussi des questions philosophiques, des questions de société. Nous aujourd’hui, on doit dire « nous » ! Nous tous ensemble ! Vous toutes et vous tous, vous devez être des missionnaires de la stratégie de cybersécurité. Pourquoi ? Parce que c’est votre vie quotidienne, la vôtre, celle de vos enfants, c’est l’avenir de notre société qui est en cause. C’est pour cela que ce n’est pas un choix de choisir la stratégie comme matière, c’est une nécessité parce que la stratégie nous oblige à poser la question « pourquoi ? » avant de répondre à la question « comment ? ».

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://www.egeablog.net/index.php?trackback/2091

Fil des commentaires de ce billet