mardi 27 mars 2012

Cybersécurité USA : la NSA en fer de lance

En un seul trimestre, la NSA vient d'inaugurer deux nouveaux centres d'opérations dédiés au cyberespace et à la cybersécurité. Début janvier, c'est sur Oahu, la 3ème île (par la taille mais aussi la plus peuplée) de l'archipel d’Hawaï qu'a été inauguré par le NSA/CSS (National Security Agency/Central Security Service) le nouveau centre d'opérations régional "Capitaine Joseph J. Rochefort".

Pour un montant total de 358 millions de dollars, il s'agit plus cependant de travaux de rénovation et d'agrandissement car l'Agence disposait déjà de ce site depuis la fin des années 90 et les premiers bâtiments militaires dataient de la seconde guerre mondiale. Ce centre est principalement et officiellement dédié à des activités de cryptologie

L'information reste suffisamment floue pour ne pas penser que les activités de ce centre ne se cantonnent probablement pas qu'à des recherches mathématiques ou des concours de cassage de chiffrement. On peut parfaitement imaginer qu'il dispose de moyens et de ressources en ligne avec la stratégie américaine dans le cyberespace: développement de moyens de lutte offensifs, surveillance discrète mais active de la zone Asie-Pacifique en accord, là aussi, avec une stratégie et des accords discrets dans le cadre de l'ANZUS comme l'Australie via le DSD Australien (homologue de la NSA).

En début de ce mois (5 mars 2012), ce fut au tour du centre d'opérations régional "John Whitelaw" près d'Augusta, en Géorgie (sud-est des USA), d'être inauguré, toujours par le Général Alexander, directeur de la NSA et de l'U.S. Cybercommand. 286 millions de dollars ont été investis pour, là aussi, rénover et agrandir un centre plus modeste mais existant depuis le milieu des années 90. Également doté de spécialistes en cryptologie, ce centre aura vocation à mener des "opérations sur les signaux à fins de renseignement" (SIGINT), à former la communauté des cryptologues et à rendre "disponible les communications globales". On peut donc souligner que si la NSA communique parfaitement sur sa montée en puissance, elle ne dévoile cependant aucun détail sur ses activités, les outils ou les missions qu'elle met en œuvre dans et par rapport aux opérations de renseignement d'origine électroniques et électromagnétiques.

Par ailleurs, deux autres centres, au Texas et à Denver, dans le Colorado, sont aussi en cours de "mise à jour" et seront eux aussi inaugurés cette année. Restera alors à terminer puis à inaugurer LE futur centre américain de cybersécurité, opéré par la NSA et  qui se construit dans le désert de l'Utah, près de Salt Lake City. Ce devrait être fait au dernier trimestre 2013. J'ai également évoqué ce méga-centre dans l'analyse précitée pour l'Alliance Géostratégique. J'y reviendrai un peu plus tard car nombreux peuvent y être accolés les superlatifs (coût, surface, capacités de protections physiques et autonomie, mission(s)). 

Retenons pour le moment que la NSA est lancée dans un puissant mouvement de consolidation et de développement de ses capacités électroniques et qu'elle demeure sans équivalent, autant à l'international que du point de vue intérieur. Si des lignes de fracture historiques entre différents ministères et les agences qui leur sont rattachées (DoD + NSA / DoJ + DHS - récente - voire CIA) existent depuis de nombreuses années, le domaine cyber ne semble pas fait pour apaiser les contentieux ni les luttes d'influence et de "zones exclusives". Et ce, quels que soient le président et l'administration au pouvoir.

vendredi 23 mars 2012

RSA Conférence 2012 San Francisco : la sécurité face au déferlement de la consumérisation IT

Les conférences RSA San Francisco* font partie des grandes "messes" mondiales en ce qui concerne le domaine de la sécurité de l'information. Grand raout où se rencontre la fine fleur des...éditeurs de produits et de solutions (RSA, co-organisateur), les cabinets d'expertise, les généralistes (Microsoft, co-organisateur) ou les représentants des autorités américaines, chaque édition demeure toujours un événement intéressant duquel il est toujours possible de tirer quelques enseignements voire de dégager certaine(s) tendance(s).

Les puristes plus technophiles que business préféreront sans doute les frissons d'autres conférences plus "pointues" où ça parle octets et bits avant de parler dollars. J'en profite d'ailleurs pour saluer l'un des experts français et globe-trotteur de ces conférences :) qui préfère s'envoyer en l'air autrement ces derniers mois. Pure provocation et clin d’œil amical à Sid, quand il lira ce billet ! Mais revenons à la 21ème conférence RSA SF.

Passés les premier affres de la mode où San Francisco fut également contaminée par le cyberespace devenu un champ de bataille, où les autorités U.S. se livrèrent à quelques évidences masquant mal certaines contradictions et où le Cloud et le BYOD, tout comme les "classiques" virtualisation et chiffrement, étaient sur nombre de lèvres (gercées ?), pour ne retenir que le cœur même du grand barnum.

Ce qui semble bousculer les repères, c'est le développement massif et plus rapide que prévu de la consumérisation IT (Information Technology - Technologies de l'Information ). Ce néologisme, dans ce cadre, signifie que de plus en plus de salariés sont dotés d'outils de communication personnels et professionnels (ordinateurs portables, smartphones, tablettes) qu'ils ont de plus en plus tendance à utiliser indifféremment. La barrière de l'utilisation entre les deux mondes (le personnel dans la sphère privée, le professionnel dans la sphère...professionnelle) tend à disparaître, l'usage devançant les règles des deux sphères ou les supplantant, quand elles existent (et sont, dans ce cas, déjà obsolètes).

De fait, les modèles traditionnels de sécurité, déjà mis à mal**, vont devoir être rapidement repensés face à l'impressionnante rapidité de ce déferlement. Une façon comme une autre de ramener les rétifs vers les fondamentaux, la protection des données, comme l'alpha et l'oméga de cette révolution. Sans oublier les sacro-saintes analyses de risques, ainsi que l'identification et la classification des assets et donc, bien évidemment, la maîtrise la plus complète des flux de données. Au lieu d'essayer d'empêcher un phénomène, peu si ce n'est pas maîtrisable, il vaut sans doute mieux l'accompagner.


* les conférences RSA se déroulent également en Europe et en Asie.
** La problématique et ses enjeux sont traités avec le blog allié Cidris dans une série publiée sur le site de l'Alliance Géostratégique : 1, 2, 3, 4

mardi 20 mars 2012

DuQu : équipe old school et code sophistiqué passe-partout

Expert et éditeur de logiciels de sécurité, Kaspersky est l'un des principaux contributeurs à l'analyse du maliciel offensif Stuxnet et de sa lignée, le moins destructeur mais néanmoins sophistiqué DuQu. En début de mois, une anomalie sur l'un des composants (le Payload DLL) avait attiré l'attention et l'aide à la communauté des développeurs mais aussi des passionnés avait été sollicitée.

On peut dire que la moisson aura été bonne puisque plus de 150 commentaires sur le blog d'Igor Soumenkov ainsi qu'une soixantaine de mails ont été reçus et analysés par le chercheur de Kaspersky. De Java à Python en passant par ADA et même LISP, tout le monde aura tourné autour du pot jusqu'à se rapprocher de la solution. Il aura tout de même fallu tester durant quelques jours les nombreuses combinaisons langages / compilateurs.

Finalement, la solution semble du coup un peu moins sexy car le composant "mystérieux" en charge de la communication avec les serveurs de C&C (Contrôle et Commande) a été écrit en langage C compilé avec Microsoft Visual Studio Compiler 2008 (les options 01 et OB1* utilisées pour réduire un peu plus le code). Cette spécificité est à mettre en regard des autres parties de code de DuQu développées en C++ et compilées avec Microsoft Visual C++ 2008.

Pour Costin Raiu, le directeur de la recherche et de l'équipe d'analyse chez Kaspersky, l'utilisation du langage C au lieu du C++ peut avoir deux significations majeures. La première, à peu près sûre, est liée à un besoin d'optimisation de la vitesse d'exécution et de la taille finale de la charge logicielle (taille du code la plus petite possible). L'autre serait que l'on a affaire à une sorte d'équipe "old school" car le C n'est plus guère utilisé dans l'élaboration de maliciels.

Cette explication ne me semble pas vraiment convaincante et je pencherai plutôt pour l'explication rationnelle et technique : les développeurs de DuQu, brillants et expérimentés, savent que le langage C++ produit parfois des résultats imprédictibles. Ce qui n'est évidemment pas tolérable dans le cas d'une cyber-opération sensible de pénétration, de reconnaissance et d'extraction de donnés d'un système-cible censé être plus protégé et surveillé que la moyenne. De plus, le langage C possède une caractéristique, la versatilité, qui ne le lie à aucun compilateur en particulier. 

Ce qui fait dire à Costin Raiu que les développeurs ont intégré dès la conception de DuQu la possibilité que des variantes puissent fonctionner sur un téléphone mobile ou tout autre média, quel qu'il soit. Une équipe old school qui produit une code sophistiqué passe-partout : si un coin du mystère est levé, de nombreux autres demeurent.

* Bloc d'Organisation qui détermine la structure du programme avec une classe de priorité 1

Source : http://m.wired.com/threatlevel/2012/03/duqu-mystery-language-solved/ 

Edit : je remercie le lecteur attentif qui nous signale "qu'il ne s'agit pas de C pur utilisant un compilateur particulier, mais d'une façon d'utiliser le C pour faire un code orienté objet (custom object-oriented C dialect, generally called "OO C" sur l'article original de securelist.com)".

jeudi 15 mars 2012

Iran, Syrie : guerre de l'information, lutte dans le cyberespace

Il est indéniable de constater qu'Internet puis les réseaux sociaux ont apporté une dimension nouvelle ces dernières années à l'ensemble des activités humaines. Parmi celles-ci, les mouvements d'opposition, de rébellion ou plus simplement d'activisme (aussi appelé dans ce cadre hacktivisme) ont tous pu et su s'appuyer sur ces nouveaux média pour augmenter considérablement la diffusion de leurs revendications tout en alertant l'opinion publique mondiale de l'oppression plus ou moins intense à laquelle ils ont pu être soumis ou continuent de l'être.

La révolte iranienne de 2009/2010 comme prémices aux révoltes du bassin méditerranéen de 2011 n'ont pas échappé à l'usage massif d'outils numériques avec cependant des conséquences aux fortunes diverses : en Tunisie et en Egypte, ces outils ont servi les tenants des révolutions respectives, les pouvoirs renversés n'ayant pas eu vraiment le temps de mettre en œuvre les contre-mesures malgré des tentatives. En Libye, le pouvoir disposait d'outils sophistiqués de surveillance de type Deep Packet Inspection avec à la clé un beau scandale ayant touché une société française qui cherche depuis à étouffer l'affaire. En attendant, nul ne sait si ce système fonctionne toujours ou s'il a depuis été démantelé.

Prenons maintenant le cas de l'Iran : l'affaire du nucléaire iranien, les effets du ver/virus Stuxnet et la montée en puissance des USA et d'Israël dans le cyberespace obligent le régime de Téhéran à réagir depuis plusieurs mois en dotant le pays de moyens de lutte informatique défensive (LID) mais aussi, plus discrètement, de lutte informatique offensive (LIO).

Il ne serait pas étonnant d'en constater les effets réels jusqu'en Syrie, pays allié et supporté par Téhéran. C'est en tout cas ce qu'il en ressort d'une analyse effectuée par des membres du projet Tor. Des maliciels ayant ciblé et attaqué des activistes anti-régime en Iran mais aussi en Syrie ont pu être analysés. Il en ressort qu'ils n'ont pas été détectés sur le moment par la plupart des anti-virus, qu'ils installent un keylogger ainsi qu'un troyen : le parfait attirail pour surveiller l'activité de la machine visée (récupération des informations saisies au clavier), pouvoir en extraire toutes les informations intéressantes (voire les détruire) ou rendre définitivement inopérante la machine.

Deux modes d'action semblent utilisés : l'envoi d'un mail avec pièce jointe piégée et, plus original, un faux site YouTube également piégé. Notons enfin que les maliciels pointaient vers un serveur d'un opérateur de télécommunications gouvernemental en...Syrie. Une mise à jour ultérieure est ensuite intervenue pour pointer vers un serveur à Londres. 

Cette affaire semble confirmer deux tendances intéressantes :
- le cyberespace est devenu un lieu d'extension de lutte politique et d'affrontements en tous genres;
- l'Iran développe ses compétences cyber et, c'est une hypothèse, peut-être avec l'appui discret d'autres États* dont l'intérêt est concevable d'un point de vue géopolitique.

* Indices : ces États pratiquent le billard à 3 bandes (minimum), sont férus de géopolitique et sont aussi membres permanents du Conseil de Sécurité de l'ONU.

mardi 13 mars 2012

ERTS² 2012 : des systèmes embarqués et temps réel comme révélateurs des contradictions de la gouvernance européenne

La conférence ERTS² 2012 s’est tenue durant 3 jours (1-3 février 2012) au Centre des Congrès de Toulouse. Quoi de plus logique, en effet, que d’accueillir la 6ème édition européenne bâtie autour des questions de systèmes embarqués et de logiciels temps réel (Embedded Real Time Systems…ERTS) dans la première région industrielle et économique européenne pour les activités aéronautiques et spatiales ? 

Sous le patronage de l’A3F Midi-Pyrénées et de la SEE, et avec de prestigieux partenaires comme Airbus ou le pôle de compétitivité Aerospace Valley, travaux de recherche, innovation et applications industrielles ont été présentés, discutés et partagés.

Il faut avant tout comprendre la problématique Embedded/Real Time (Embarqué / temps réel), qui a envahi notre vie quotidienne depuis des années : véhicule personnel, transports en commun, énergie, communication, etc. tous les domaines qui transportent quelque chose (énergie, données, personnes) sont concernés. La criticité de certains équipements mis en œuvre atteint même un paroxysme avec l’élévation du nombre des paramètres (donc des contraintes) lorsque l’on dispose d’un système qui transporte des dizaines de personnes sur la terre ferme (métro, train) ou dans les airs (avion).

La suite est à lire sur l'Alliance Géostratégique.

dimanche 11 mars 2012

Le(s) Software Development Forum de l'U.S. Air Force

L'AFNIC (Air Force Network Integration Center - Centre d'Intégration Réseau de l'Armée de l'air), à ne pas confondre avec l'AFNIC* en France, organisait le 7 février sur la base aérienne de Colorado Springs dans le Nevada, le premier forum du développement logiciel (Software Development Forum - SDF). S'y sont retrouvés pour échanger des représentants d'unités tant de l'USAF (Air Force Material Command, Air Force Software Assurance Center of Excellence) que de la DISA, du DoD et les partenaires industriels.

Premier d'une série de forums qui sont prévus tout au long de 2012, l'idée est de renforcer les partenariats déjà existants avec des industriels en un système collaboratif intégral : aux militaires d'introduire rapidement les nouveaux standards (issus du DoD, du NIST, de la DISA, etc.) auprès des industriels tandis que ces derniers leur donnent la primeur de leurs axes de recherche.

En vue du déploiement des futurs systèmes et logiciels sur les réseaux de l'USAF (U.S. Air Force) le but principal de cette initiative est de fournir les capacités d'un réseau sûr et sécurisé, tout en réduisant la durée des développements (entre l'identification d'une exigence et sa mise en œuvre capacitaire) et bien évidemment des coûts.

D'autres échanges par webinaires seront régulièrement organisés par l'AFNIC, et il est d'ores et déjà prévu que le prochain forum se déroule du 27 au 29 août sur la base aérienne de Maxwell-Gunter (Alabama) lors de l'Air Force Information Technology Conference. L'occasion de souligner les effets de dynamique à regrouper ces deux événements et des efforts de l'Air force pour maintenir voire creuser sa supériorité cyber vis à vis de la marine ou de l'armée de terre.



Sources :

http://www.afspc.af.mil/news1/story_print.asp?id=123289512
http://www.af.mil/news/story.asp?id=123289681 

* L'AFNIC est une association à but non lucratif qui le registre Internet des noms de domaine en .fr (pour la France) et en .re (pour l'île de la Réunion). Je lui ai consacré un article à propos de la gestion des incidents de sécurité le mois dernier.

mercredi 7 mars 2012

Cybersécurité USA : le volet normatif comme outil de puissance et de volonté stratégique

En quelques mois, la problématique de la sécurité et des enjeux liés au cyberespace est passée du statut d'émergente à majeure. Dorénavant, la plupart des puissances mondiales se trouvent embarquées dans un train disposant de plusieurs classes. Mais dans la locomotive se trouve un seul et même "patron" : les États-Unis d'Amérique.

Bien décidés à ne pas se laisser attaquer sans réagir ou, plus simplement, ne pas se laisser distancer technologiquement, la stratégie Obama officialisée en 2011 suivie de ses Executive orders a permis de concevoir cette locomotive. Déclinée en volets plus opérationnels et opératifs par le Pentagone, le DHS et l'ensemble de la machinerie fédérale, la mise en œuvre de moyens subordonnés assortie d'une montée en puissance constitue les premiers essais sur les rails (du cyberespace).

Pour autant, on peut avoir l'impression qu'il existe une certaine sous-estimation du sérieux et de la volonté avec lesquels l'administration américaine a décidé et d'investir et de s'inscrire dans le cyberespace en puissance dominante. Autant par héritage sociologique, historique et économique qu'en conséquence d'une plus vaste pensée stratégique voire d'une certaine ontologie relativement récente. 

Superpuissance depuis bientôt un siècle et désormais seule à l'être, les USA feront tout pour conserver cette position avec les avantages (les droits ?) que cela leur confère. Face à la Chine, et bien commodément, chacun voit en l'autre la justification de ses propres efforts dans un trouble jeu de poker menteur. Le rapport complexe est cependant d'une nature différente de celui qui eut cours durant la Guerre Froide, même si l'on retrouve des mécanismes similaires en plus d'une une animosité supposée, déguisée ou instrumentalisée.

Pour revenir cependant à l'objet de cet article, notons le travail en amont effectué au travers de programmes et de structures comme les "cyber-cadets du Pentagone" : il s'agit de détecter, développer et pérenniser un véritable vivier de compétences "cyber" à l'échelle nationale. Plus transversal est le fait de renforcer les aspects normatifs qui, là encore, sont perçus en deçà de l'importance qu'ils ont dans un dispositif global de leadership voire de contrôle, quelque soit le domaine visé. C'est en cela que la  déclaration plutôt discrète de la création d'un laboratoire dans l’État du Maryland, adossé au NIST et sponsorisé par le ministère du Commerce, est un événement qui est tout sauf secondaire.

Cette annonce est effectuée dans le cadre du programme NCCoE (National Cybersecurity Center of Excellence) qui est une collaboration de type PPP (Partenariat Public Privé) ayant pour principal objectif "d'accélérer l'adoption généralisée d'outils et de technologies intégrées de cybersécurité". Il s'agit donc d'accélérer l'innovation (volet recherche) et d'améliorer les dispositifs de protection au quotidien (volet défense).

Le fait de s'appuyer sur le NIST, qui est l'agence nationale des "normes et de la technologie", recèle un avantage compétitif et tactique primordial : l'appui d'un organisme d'experts internationalement reconnus, doté d'un capital intellectuel et technologique sans équivalent. Qui, justement, est l'une des références en matière de normes internationales. 

Pour ce qui concerne la sécurité (de l'information) et la cybersécurité, les praticiens connaissent tous la série des Special Publications SP-800. Unique, brillante et évolutive, elle sert depuis des années de référentiel mondial implicite très facilement adopté et/ou adapté "localement" (par pays). Le fait pour les États-Unis d'être également leader en matière de publications à vocation internationales et normatives participe aussi à l'établissement et au maintien de leur superpuissance.

samedi 3 mars 2012

Cybersécurité USA : débats et propositions au Sénat, vote avant la présidentielle ?

Vus d'Europe et plus précisément de France, les États-Unis apparaissent très souvent comme une nation bourrée de paradoxes. A juste titre, sans doute. S'il y a bien un système qui mérite pourtant un examen attentif, c'est le système politique américain. Ses origines historiques, son organisation, ou le mode pour l'élection présidentielle au suffrage indirect nous surprennent nous, Français, habitués à notre République monarchique. La répartition des pouvoirs et des contre-pouvoirs entre l'exécutif et le législatif est, par exemple, de nature à inspirer tout système dont le déséquilibre serait patent. A l'inverse, blocages et obstructions (vis à vis de l'exécutif) sont le pendant d'un contre-pouvoir législatif fort.

Si l'on prend le cas du puissant Sénat américain, on s'aperçoit pourtant que celui-ci cultive une certaine culture du compromis, au nom de des intérêts supérieurs de la nation. Si les débats et les échanges peuvent y être aussi musclés (sinon plus) que sur le Vieux Continent, un système de "navette" informel existe cependant entre les deux principaux partis et, assez souvent, les Républicains, les Démocrates et l'administration au pouvoir parviennent à des accords tout au long d'une mandature et quels que soient les équilibres. 

Mieux, les questions ayant trait à la sécurité nationale sont généralement le creuset d'une certain concorde, même si les arrières-pensées ne sont jamais éloignées. De surcroît, lorsque le pays entre en période électorale présidentielle. La cybersécurité, en ce moment, me semble parfaitement illustrer le fonctionnement résumé précédemment. Le débat est passé ces derniers mois de l'exécutif au législatif et les discussions sont vives, animées par des oppositions d'approche tactiques mais aussi idéologiques

Dernière en date est l'initiative menée par le Sénateur John Mc Cain (l'adversaire républicain malheureux de B. Obama en novembre 2007) qui promeut, avec 7 autres sénateurs, un projet de loi intitulé SECURE-IT (Strengthening and Enhancing Cybersecurity by Using Research, Education, Information, and Technology - Renforcement et Amélioration de la Cybersécurité par l'usage de la Recherche, de l'Education, de l'Information et des Technologies).

Dans la veine de la tendance que j'avais évoquée il y a quelques semaines, ce projet de loi se fonde sur la nécessité de ne pas créer plus de contraintes et de coûts (financiers, emplois, mises au normes) que nécessaires. Cette contre-offensive intervient en regard des critiques portant sur le Cybersecurity Act, déposé mardi 28 février par des sénateurs démocrates.

Ce dernier a été vertement critiqué sur le volet "Infrastructures critiques" puisqu'il permettrait au ministre de la Sécurité intérieure (DHS) de désigner certains réseaux privés comme infrastructures critique. De fait, ils deviendraient soumis à de nombreuses exigences réglementaires, comme par exemple l'établissement et le maintien de plans de sécurité relatifs à cette classification.

A l'inverse, SECURE-IT vise davantage à encourager en lieu et place d'un cadre réglementaire qui contraindrait. L'accent est mis sur le secteur privé avec un meilleur partage d'information des autorités fédérales en ce qui concerne les cyber-menaces. Cette thématique se base sur la réciprocité puisque les entreprises privées qui partageraient leurs propres informations seraient juridiquement protégées. L'idée est donc de créer un écosystème de partage d'informations concernant les cyber-menaces et basé sur les multiples "capteurs" autant gouvernementaux que privés.

Le volet répressif n'est pas oublié puisque les peines prévues pour les actes de malveillance sont fortement alourdies. On retiendra, par exemple, celle qui condamnerait toute intrusion dans un système d'information comprenant des informations classifiées de Défense (national defense information). La peine est doublée et passerait de 10 à 20 ans d'emprisonnement*.

Enfin, et d'après ses détracteurs, le Cybersecurity Act donnerait davantage de pouvoir au DHS et au détriment de la NSA en termes de surveillance des réseaux nationaux. Un point d'achoppement auquel les initiateurs de SECURE-IT semblent avoir prêté particulièrement attention en proposant de limiter de manière symptomatique les prérogatives du DHS. Celui-ci reste une entité chargée de la coordination fédérale, dépendant du bon vouloir des autres agences en ce qui concerne le partage d'informations. Ces agences sont d'ailleurs regroupés sous l'appellation de "Cybersecurity center" et comprennent l'ensemble des unités militaires et de renseignement du Pentagone au premier desquelles la NSA et le Cybercommand. Cette charge illustre bien les lignes de fracture à peine souterraines qui parcourent aussi la communauté du renseignement U.S. à propos de la cybersécurité.

Petit à petit, la législation cybersécurité découlant des initiatives majeures prises par l'administration Obama prend corps. Au train où vont les discussions et, surtout, la volonté générale, il serait à peine surprenant qu'un texte final amendé autant par les Républicains que les Démocrates, et avec la bénédiction de la présidence, soit voté avant les élections de novembre 2012 ! Ce qui serait une gageure chez nous est une exigence de résultats et d'intérêt supérieur aux USA. Paradoxes, écrivais-je en introduction : seulement aux États-Unis ?!

* France : 5 ans d'emprisonnement et 75000€ d'amende (Article 413-11).


Sources :
http://www.csoonline.com/article/701305/republican-senators-introduce-their-own-cybersecurity-bill

jeudi 1 mars 2012

Protéger l'information pour protéger l'emploi

En cette période d'incertitudes sociales, économiques et même politiques, il ne parait pas inutile de faire certains rappels. Le premier d'entre eux est de souligner que traiter de protection de l'information et, plus précisément, du patrimoine informationnel ne relève pas de la posture pseudo-savante ou d'un monologue abscons qui serait réservé ou confisqué par ses seuls membres !

Le rappel suivant est de marteler, encore et toujours, que les Systèmes d'Information et l'écosystème des données qui y "vivent" sont, depuis des années, un éléments stratégique de l'entreprise, un moteur participant à la création de richesses et un pourvoyeur d'emplois directs et indirects.

Dernier rappel, les agents économiques avec, dans une moindre mesure, l’État et ses administrations, sont plongés dans le grand chaudron appelé "mondialisation". Pour ma part, je préfère plutôt parler de globalisation économique et financière mondiale. Celle-ci est caractérisée par d'énormes volumes d'échanges de flux (financiers, de marchandises, de personnes) et un basculement des lieux de décisions et de pouvoir (vers l'Asie). Auxquels se mêlent des enjeux de suprématie et de territorialité réels, supposés et/ou virtuels (cyberespace).

A la concurrence exacerbée et à la guerre économique que nous subissons, mais à laquelle nous participons également, l'espionnage économique et industriel est une arme efficacement redoutable et redoutablement efficace. Efficace car elle peut permettre d'annuler voire de s'emparer d'une innovation ou d'un procédé technique, technologique voire normatif. Redoutable car, en bout de course, il y aura toujours des conséquences fortes et parfois dramatiques, en termes économiques, financiers, de compétitivité et, souvent, humains.

Je ne sais pas s'il existe une étude sérieuse qui quantifie assez précisément les coûts en termes de destructions d'emplois liés à des malveillances d'origine cybernétique ? Je ne serais pas surpris d'y trouver une accélération des destructions d'emploi. En France comme en Europe et ailleurs.

Je profite de cette tribune pour saluer l'ensemble du personnel de l’État* dont la mission est de protéger, conseiller, sensibiliser et accompagner (cas de malveillance avérée) les entreprises, quelles que soient leurs tailles ou leur capitalisation boursière (une PME a les mêmes droits qu'une multinationale !). Ces femmes et ces hommes ont en commun d'être au service d'une cause qui dépasse les seuls intérêts personnels et transcende tous les types de clivages et de dépendances

A l'heure de l'individualisation de la société, des oppositions entretenues et du développement de pratiques dévoyées** au sein de l'entreprise, ce dévouement admirable au bénéfice du bien commun contribue, entre autre, à sauver des emplois. Il me semblait important de s'en souvenir mais aussi de le rappeler.

* Parmi lequel : DCRI, DPSD, ANSSI, OCLCTIC, BEFTI
** Carriérisme outrancier (quant il n'est pas grossier), "management" par le pilotage de la rentabilité et des marges (donc l'absence de management), double langage, disparition de l'esprit d'équipe, etc. etc.

Note : cette réflexion m'a été inspirée par cet article de l'Est-Éclair