mardi 8 avril 2014

La War R@M, lettre d’information mensuelle sur la cyberdéfense et la cybersécurité

Née en début 2014 et invitée d'Electrosphère, la WAR RAM est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (oiv, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le slide share (war ram). La lettre se décompose en quatre parties majeures : 1/ les experts, catégorie qui traite autant de sécurité que de stratégie de défense, 2/ 360°, qui est une veille consacrée au sujet, 3/ pimp my opsec, qui revient en détails sur une faille de sécurité, 4/ out-of-the-box, qui donne la parole à un intervenant qui sort du cadre habituel de la défense


Internet, architectures du Web et enjeux de puissance

Dans « La Cité des Permutants », l’auteur australien Greg Egan décrit un monde futuriste où l’immortalité est rendue possible grâce à une technologie sauvegardant entièrement notre configuration neuronale à l’intérieur d’un monde virtuel – atteignant, de fait, une sorte d’« immortatilité ».  Mais l’éternité a un tribut : la survie de leur copie dépend du support informatique et des infrastructures réelles.

On pourrait longuement débattre de ce livre (qui va en réalité bien plus loin que ce simple postulat), mais l’argument fait sens. Les infrastructures du Net sont la colonne vertébrale sur lequel s’articule le colosse virtuel que forme « l’Internet ». A l’occasion de l’annonce du Plan Cyber français et à la faveur des révélations polémiques d’Edward Snowden, l’attention s’est reportée sur ces infrastructures sensibles (les Data Centers, les câbles sous-marins et les supercalculateurs) et l’intérêt stratégique qu’elles représentent.



A l’origine de termes aussi forts que cloud souverain ou gouvernance de l’internet, on retrouve la question de technologies physiques dont le développement et la pérennisation sont d’une importance capitale.

Les data centers, futurs coffre-fort numériques ?

La question de la maîtrise des données personnelles par le biais de data centers a déjà été posée par Dilma Rousseff. En revanche, celle de son application technique est plus contestable quand on sait à quel point les données personnelles (et le cloud) peuvent rebondir d’un data center à un autre au niveau planétaire.

Choisir de conserver la mainmise sur ses données, toutes ses données, est utopique. A l’heure actuelle, la copie et l’industrialisation de la copie font que le cloisonnement à l’échelle des données d’un pays révèle du secret des anges. De même que le projet d’un « Internet européen » ou autre vœu pieu : créer une autarcie numérique est un doux rêve dont certains devraient se départir. En revanche, il est possible d’assurer la protection des données sensibles via des data centers dédiés, dans un pays où les conditions géopolitiques sont stables, les avancements technologiques suffisantes et le tissu juridique protecteur.

Certains États peuvent très vite réutiliser ces éléments pour devenir des paradis à data, à l’image de la Suisse qui se redirige vers la sécurisation des données dématérialisées. Pour un pays, devenir un coffre-fort numérique peut représenter un avantage géopolitique déterminant. Si, en France, il est peu crédible que l’on se dirige vers un dispositif aussi cadenassé que le dispositif helvète, le développement d’un maillage et d’un Cloud relativement sécurisé est une condition sine qua none du développement des entreprises tricolores sensibles.

En ce sens, elle constitue un enjeu géopolitique et économique fort, qu’il convient de soutenir en privilégiant les acteurs nationaux et en relevant le niveau des prestataires de sécurité, notamment pour bénéficier aux OIV. Le récent risque de black out sur l’Internet français démontre à quel point cette architecture est à la fois un facteur de puissance mais aussi une cible de choix.

La Loi de Programmation Militaire n’a d’ailleurs pas suffisamment creusé la question essentielle des standards de sécurité [1], mais l’ANSSI viendra certainement jouer les régulateurs sur ce point.

Câbles sous-marins et supercalculateurs et: vitesse et puissance des infrastructures
Parallèlement, la France a un ascendant technologique net dans deux domaines : les câbles sous-marins (Alcatel-Lucent) et les supercalculateurs (Bull).

Les premiers ont gagné une notoriété imprévue à l’occasion de l’affaire Snowden, pour leurs liens avérés avec la surveillance des réseaux. Pour autant, disposer de la technologie permettant la pose, l’entretien et la sollicitation des câbles, clef de voûte du cyber espace, demeure une activité stratégique car elle revient à contrôler ses lignes de communication, un facteur essentiel de la stratégie de puissance (si l’on accepte l’analogie avec les théories navales de l’amiral Corbett [2]). Le projet de Dilma Rousseff aurait-il été possible sans cette technologie ? La réponse est clairement non.

Parallèlement, les supercalculateurs sont moins connus, mais appartiennent à ces technologies en avance sur leur temps et potentiellement déterminantes. Un supercalculateur, c’est un ordinateur capable d’effectuer en quelques secondes des opérations qui nécessiteraient 150 ans à un ordinateur classique. La France est la première en Europe pour ces technologies, mais la course au niveau mondial est acharnée.

Pourtant, les questions de Big Data et de Cloud sont inéluctablement liées à la puissance de calcul, et si l’on part du principe, très galvaudé mais qui tient une part de vérité, que la data sera le pétrole de ce siècle, il faut des supercalculateurs. Sur ce point, il faut admettre que l’État a pris la mesure de l’importance stratégique de ces derniers [3].

Pourquoi il importe de conserver et pérenniser ses savoirs ?

L’actualité récente a démontré l’importance de conserver des technologies souveraines ou, à défaut, de remplacer ces dernières par des technologies open source (encore une fois, cette solution de rechange est sous-exploitée…). L’omniprésence des GAFA et l’hégémonie de Microsoft dans les systèmes d’exploitation sapent encore la conduite d’opérations sensibles et la protection des données des entreprises, premières victimes de l’espionnage industriel étatique (je n’évoque pas ici à dessein la surveillance des citoyens, car l’espionnage de la tentaculaire NSA a moins comme objectif de connaître Madame Michu que de piller les secrets technologiques).

Il devient déterminant pour nous de pouvoir dire que l’on « sait faire ». Il est impossible de revenir en arrière. On ne peut pas récrire l’histoire. Mais tout comme nous possédons des avions de chasse, des sous-marins nucléaires ou des unités spécialisées comme le GIGN, il faut cultiver nos savoir-faire dans le cyber, car dans dix ans il sera trop tard.

A l’heure de services liant réalité et cyberespace comme les technologies de Machine to Machine ou le Cloud et de vers informatiques capables de détruire des centrifugeuses, on sait désormais que le « réel » et le « virtuel » ne sont plus deux mondes dissociés.

Le numérique change profondément tous les aspects de notre vie : une déclaration sous forme de lapalissade qui rendrait notre inaction que plus dommageable.


[1]« OIV : Protéger les Opérateurs d’Importance Vitale : une ambition nationale », Mag Securs n°41 – 1er trimestre 2014

[2] Lire aussi « Mahan and Corbett on Maritime Strategy », O’Lavin, Brian, Naval War College, 2009

[3] Rapport gouvernemental sur la France en 2020


Aucun commentaire: