Cyber Power - intervention d’Eviatar Matania (papa de la Cyber en Israël)
Le livre d’Eviatar Matania se nomme Cyberpower (éditions Les Arènes). Il a débuté par donner une définition de cette notion, selon 3 principes :
Propos introductifs
De manière générale, pour les Nations et les gouvernements dans le monde, Stuxnet en 2010 fut un déclencheur stratégique. La capacité cyber offensive est désormais considérée comme une source de Pouvoir. De manière corollaire, les militaires ne savaient pas grand chose de ce nouveau domaine cyber en 2010. Et ce sont les agences de renseignement techniques qui ont clairement pris l’ascendant sur la pensée et l’emploi de cette nouvelle capacité stratégique au sein des États. (Ndr : on peut clairement le vérifier aux USA avec la NSA, aux UK avec le GCHQ ou encore en Russie avec des capacités cyber offensives réparties entre GRU, SVR et FSB).
Évidemment, on ne peut pas parler de cyber sans évoquer la notion de territorialité ou de géographie. Sur ce point, M. Matania rappelle qu’il n’y a pas de frontière dans le cyberespace. Par voie de conséquence, nous sommes tous voisins les uns des autres. Il soulève un point intéressant en précisant que dans un environnement traditionnel, un État se doit de préparer son arsenal de défense face à ses propres voisins et les voies d’accès possibles, par nature terrestres ou maritimes.
Être une cyber puissance, de quoi s’agit-il ?
Partant de constat, comment organiser la réflexion d’un État (Ndr : avec pour exemple ce qui a été réalisé en Israël) pour s’organiser et être une cyber puissance ?
Identifier un ennemi
L’étude traditionnelle d’identification d’ennemis et des vecteurs d’accès n’a pas cours dans le cyberespace. Les voies d’accès sont multiples et tout groupe, pays, compétiteur, est mon voisin. Mon ennemi peut donc changer rapidement et chercher à les désigner comme tel (Ndr : un ennemi) n’a pas forcément de sens. Il convient donc de se préparer à se défendre contre tous.
Les nouvelles frontières
Dans le cyberespace, il considère que les sociétés privées sont les nouvelles frontières des nations. Le secteur privé a un rôle clef dans La défense de la Nation.
Le rôle de gouvernent
Recommandé par LinkedIn
On peut imaginer que si les sociétés privées ont un rôle majeur, en étant à la fois cibles et acteurs (Ndr : au sens développement de capacités et d’investissements), quel pourrait bien être le rôle du gouvernement ? Est-ce un sujet qui doit rester au niveau du PDG des sociétés concernées ou est-ce un problème pour le chef du gouvernement ?
La réponse apportée en Israël fut de développer une stratégie en 3 couches (Ndr : on aime bien les modèles en couches en informatique quand même ! ^^) :
— Durcissement. L’état ici est un régulateur. Le principe est qu’au travers de mesures de sécurité bien pensées, appliquées et contrôlées, alors 95% des attaques sont empêchées. (Ndr : on notera que ça ressemble fortement à ce que defend le SANS Instituter depuis 15 ans avec l’implémentation des Critical Security Controls).
— Résilience. L’état ici est un partenaire. Il s’agit là, de manière dynamique à pouvoir continuer d’opérer des systèmes, dans un mode dégradé tout comme la mesure de la capacité à restaurer le dit système dans un état fonctionnel (Ndr : comprendre faites des sauvegardes et entraînez-vous à les restaurer…).
— Défense nationale. L’état ici est un opérateur. C’est le principe des CERT et capacités de réponse à incidents des gouvernements. C’est d’ailleurs difficile, notamment au regard de la compétition qui s’installe avec le secteur privé, qui paye mieux en général. Il est donc nécessaire de concentrer ses efforts sur les attaques du haut du spectre.
Focus conflit Russo-Ukrainien
Alors que nous attendions un conflit riche en évènements cyber, nous observons finalement des combats de tanks, d’avions et la mort de milliers de soldats. C’est finalement un conflit très “années 90 !”. Selon Eviatar, la Russie a depuis longtemps intégré les cyber attaques dans une logique de puissance et qu’ils n’ont pas attendu le conflit “traditionnel” pour l’utiliser contre l’Ukraine. (Ndr : ce n’est pas qu’il n’y a pas de cyber guerre, c’est juste que nous n’avons pas compris que l’affrontement cyber se déroule “sous le seuil” et que son avantage est justement de pouvoir être employé dans le cadre typique d’une déclaration de guerre. Pourquoi donc réserver l’emploi de telles attaques quand tout le monde s’y attend et que leur attribution en seras grandement facilitée…).
Eviatar évoque un élément particulièrement intéressant du conflit (Ndr : faisant d’ailleurs le lien avec ses propos plus tôt sur le rôle du secteur privé) en commentant la prise de position de Microsoft, société privée ( ! ) dans le conflit. Microsoft a ainsi attribué (oui, oui attribuer) des attaques à la Russie dans un récent rapport. La firme de Redmond a également proposé aux fonctions étatiques ukrainiennes d’héberger leurs données dans le Cloud Azure, ayant bien conscience que pour la Russie, il est plus compliqué d’attaquer l’infrastructure MS que des réseaux Ukrainiens protégés de manière très inégale.
Concept de souveraineté
La France comme Israël sont très attachés à ce concept. Eviatar avance ici une théorie audacieuse (Ndr : en tout cas, je n’avais jamais entendu de tels propos en France) selon laquelle laquelle la souveraineté peut être assurée même si les outils ne sont pas nationaux. Ainsi, le contrôle de l’espace aérien israélien est un souci de souveraineté, de survie même pour cet état, pourtant les missiles, les avions employés pour en assurer le contrôle sont américains.
Ainsi, il exhorte la France à ne pas s’arc-bouter sur une souveraineté de bout en bout mais de la nécessité de trouver des partenaires pour construire cette souveraineté.
Sur cette réflexion profonde… Je vous laisse méditer !