mercredi 23 mai 2012

De la cyberpuissance américaine à l'Europe de la cyberdéfense

L'énorme fascination qu'exercent le Cyber Command et la NSA sur de nombreux états européens ne doit guère masquer la nécessité de forger des stratégies et des solutions cybersécuritaires mieux adaptées aux réalités du Vieux Continent et aux réseaux numériques.



American Beauty

Récemment, le Fauteuil de Colbert faisait état de la volonté française de créer un super-service de cybersécurité et de renseignement électronique évoquant peu ou prou le Cyber Command, la NSA et/ou le GCHQ. Auparavant, le Colonel Chauvancy proposait que la France se dote de la pensée et des moyens nécessaires pour devenir une « puissance du cyberespace » avec les « instruments qui en découlent ».

Dans les deux cas, j'ai nettement ressenti l'influence cognitive d'Oncle Sam qui, en soi, n'a absolument rien de repréhensible ou d'hérétique.

Toutefois, la National Security Agency et le Cyber Command sont de purs produits américains, tant sur le plan historique, politique que stratégique.

En effet, la NSA est « une machine » pensée et conçue pendant et pour la guerre froide, qui s'est ensuite diversifiée (espionnage industriel, renseignement électronique pour la lutte anti-drogue/anti-terroriste, cybersurveillance domestique, cybersécurité) au point de devenir le noyau d'un Cyber Command bientôt érigé au rang d'Unified Combattant Command à l'image du Strategic Command ou du Special Operations Command (cf. CIDRIS Cyberwarfare).

Dans ce cas de figure, le pragmatisme américain a rapidement su fédérer l'existant (NSA, Army, Air Force, Navy, DHS, CIA, FBI, etc) afin de produire une solide entité fédératrice dédiée à la cybersécurité/cyberdéfense et qui, via ses composantes, bénéficie des retombées tous azimuts du « carré magique » reliant gouvernement fédéral, armées, universités et industries. Pour couronner le tout, l'Amérique demeure forte d'un colossal budget de la défense et d'industries militaires et informatiques sans rivales réelles à ce jour.

La cyberpuissance réelle ou potentielle que sont les Etats-Unis découle directement et indirectement de cette imbrication de facteurs et d'une stratégie de cybersécurité ayant largement les moyens de ses ambitions.

Last but not least, le Cyber Command est profondément imprégné d'un « hypertechnologisme rampant » (cf. Joseph Henrotin) inhérent à la culture américaine et doit énormément à cette idée quasi sacrée que les Etats-Unis se font d'eux-mêmes. D'une certaine façon, le Cyber Command se veut une forteresse électronique censée protéger et défendre « la nation indispensable » des malveillances du cyberespace.

D'où son « côté sexy, costaud et un tantinet mystérieux » et la fascination consécutive qu'il exerce sur maints officiers et fonctionnaires de la sécurité en Europe, en Asie et en Russie.

La cyberguerre relevant encore à ce jour de la fiction, de la prospective ou d'une imminente probabilité, il est difficile de savoir si cette approche très militaire « à la Fort Alamo » soit véritablement adaptée aux enjeux et perspectives propres au cyberespace. L'histoire de la guerre et de la sécurité rengorge de surprises technologiques, tactiques et stratégiques et je peux parier sans risques qu'il en sera de même dans un domaine aussi changeant et disruptif que le cyber.

Dans tous les cas, le business model typiquement américain du Cyber Command ou de la NSA me semble – sauf biais, erreur ou omission de ma part - difficilement applicable ou dérivable outre-Atlantique et outre-Pacifique.

European intelligence

Contrairement à l'Amérique, l'Europe n'a pas d'industrie d'informatique digne de ce nom – malgré des cerveaux et des SSII d'une remarquable qualité au niveau mondial – et n'a pas su (ou voulu) tirer pleinement parti des logiciels libres et de l'open source. En outre, ses budgets de la défense fondent comme neige au soleil depuis la chute du mur de Berlin et l'actuelle « grande récession » n'arrangent guère les choses.

Or, cette quasi virginité industrielle et cette dépression économique constituent une formidable fenêtre de tir pour des approches cybersécuritaires typiquement européennes et ayant de surcroît le mérite d'équilibrer les moyens et ambitions tant au niveau national que continental. La création d'une gigantesque entité ou d'un super-service spécialement dédié à la cybersécurité/cyberdéfense est certes très séduisante mais se révèlera vite gourmande en temps, en argent, en énergie... et en inerties administratives.

Ne l'oublions pas : nous sommes en Europe. Les technocraties sont coriaces et les bureaucraties civiles comme militaires ont la dent dure.

Dans une sphère cybersécuritaire où la vitesse d'adaptation et la capacité d'innovation font la différence, il convient de fédérer illico des structures existantes tant au niveau national qu'européen. Perpétuelles « versions bêta » d'elles-mêmes, ces structures fédérées sauront évoluer quotidiennement au contact des risques, des menaces et des enjeux globaux du cyberespace.

Quelques jours plus tôt, les Carnets de Clarisse et Si Vis Pacem suggéraient (dans le cas spécfiquement français) une « optimisation du rapport puissance/efficacité au travers d’une certaine forme d’agilité (technique, organisationnelle), organisée autour d’une structure déjà établie¹ (“au hasard” l’ANSSI) disposant des compétences, de l’expérience et d’un Centre Opérationnel (le COSSI). Par la suite et en fonction des évolutions économiques, possiblement positives à moyen terme, les forces armées pourraient être dotées de leur propre agence, qui entretiendrait une relation riche et privilégiée avec l’ANSSI, puisqu’il s’agirait d’un essaimage partageant un génome commun ».

Les officiers, les fonctionnaires et les industriels spécialisés dans la cybersécurité/cyberdéfense seraient-ils passablement décus ou « refroidis » par l'Europe de la défense ?

Pourtant, l'Europe comporte une richesse trop souvent oubliée que je résumerais dans l'équation suivante : 27 états = 27 approches différentes de la (cyber)sécurité et de la (cyber)stratégie. Cette pluralité culturelle et philosophique est un gisement totalement inexploité.

Les frontières n'ayant aucune consistance au sein d'un cyberespace très prompt aux effets domino et aux risques systémiques, les états européens feraient bien de s'extirper de leurs obsessionnelles sécurités nationales et de leurs cultures cybersécuritaires plutôt consanguines, puis mettre en réseaux leurs compétences au sein d'une entité fédératrice et de hubs numériques. Pour peu que des locomotives telles que la France, l'Allemagne et le Royaume-Uni entreprennent ces démarches, « l'Europe de la cyberdéfense » équilibrerait de facto ses ambitions et ses moyens sans débourser des sommes colossales.

Je m'étonne que les administrations du Vieux Continent n'aient guère songé à développer leur NIPRNet de cybersécurité/cyberdéfense ou quelque plate-forme collaborative dédiée...

À l'ère informationelle, les services de cybersécurité doivent également s'inspirer des réseaux sociaux et exploiter savamment les réseaux numériques plutôt que focaliser sur les traditionnelles structures étatiques ou industrielles. Cette nécessaire transformation prendra sûrement forme lorsque des officiers et des fonctionnaires plus natifs que migrants des réseaux numériques (les fameux Millennials) composeront la majorité des effectifs militaires et administratifs.

Verra-t-on des virtual teams européennes de cybersécurité/cyberdéfense ? L'entreprise virtuelle agile doit-elle être réservée aux hackers et aux cybercriminels ?

2 commentaires:

égéa a dit…

D'accord avec la différence de modèle entre Europe et US, et le constat de cette fascination européenne pour le modèle (jargonnons, le paradigme) américain.
En revanche, le chant habituel à la coopération européenne me semble bien mignon mignon. IL oublie la notion d'intention stratégique, qui ne se partage pas, d'autant plus que le cyber permet (par sa discrétion) justement de regagner de la souveraineté.

Electrosphère a dit…

@EGEA,

Comme je l'ai mentionné dans l'article, l'Europe de la défense ou toute autre organisation étatique ne doit pas/plus uniquement servir de modèle à l'Europe de la cyberdéfense.

Le Web 2.0, les réseaux sociaux et les plate-formes collaboratives et autres sont désormais des modèles d'organisation plus agiles et plus labiles qui peuvent d'autant plus inspirer l'Europe de la cyberdéfense. Il faudra de toute façon que l'Europe de la cyberdéfense se construise illico car les "impacts logiques" d'une cyberattaque d'ampleur s'étendront très probablement à plusieurs pays, et ce, d'autant plus que les sociétés, les économies et les industries du Vieux Continent sont aussi proches physiquement que très interconnectés numériquement.

Du fait de l'inconsistance des frontières dans le cyberespace et de la "pervasivité" des protocoles de communication, le risque cyber obligera tôt ou tard les états européens à sacrifier un peu de souveraineté (numérique) pour plus de cybersécurité (nationale et donc européenne, dans ce cas de figure). Intention stratégique ou pas (sur ce point, tu as tout as fait raison mais...), il vaut mieux que les pays européens préparent leurs virtual teams de cybersécurité/cyberdéfense à travailler étroitement dans la durée (en prenant tôt les bonnes habitudes) età ne pas attendre qu'une menace "cyber" majeure survienne.

Scénario de cyberattaque : des hackers d'un pays non-européen déclenche une cyberattaque d'ampleur sur les réseaux mobiles de X pays européen via Y pays européen (l'attaque indirecte ou reroutée étant un classique du hacking). L'effet domino se propage rapidement à l'Internet mobile et aux systèmes de paiement par mobile, et de facto affecte très probablement d'autres opérateurs télécoms européens (autant liés sur le plan économique que technique. Exemple : SFR-Vodafone) et même le système bancaire.

L'invocation de ta souveraineté ne te sera alors d'aucune utilité. Dans un tel cas de figure, il vaut mieux vite être préparé afin que l'économie/la société ne soit pas trop longtemps paralysée...

Je crains que les gouvernements européens, dominés ou dirigés par des individus plus "migrants que natifs" des réseaux numériques, n'aient guère appréhendé pleinement la réalité des risques cybersécuritaire et soient enfermés dans leurs bonnes et vieilles "souverainetés"...