Cybersécurité, Cyberdéfense, enjeux stratégiques de Yann Salamon : avis, extraits, critique.

Couverture de Cybersécurité, Cyberdéfense : enjeux stratégiques de Yann Salamon. Avis, critique, extraits.

S’adressant à un panel de publics divers, cet ouvrage balaie un large panorama de sujets structurants liés à la sécurité numérique. Prenant comme point de départ la compréhension du cyberespace, il en décrit quelques propriétés importantes : tendances, enjeux, caractéristiques « topologiques », acteurs en présence. Il évoque la question de la souveraineté numérique, en tentant d’en donner des clés de compréhension. Le manuel s’attache ensuite à décrire la « menace cyber » et ses grandes tendances : sources, motivations et finalités des attaquants, cibles, modes opératoires. Cette description appellera naturellement une réflexion sur les approches, méthodes et outils permettant d’atteindre un état de cybersécurité, en gouvernant le risque cyber, en prévenant les cyberattaques et en s’organisant pour s’en protéger, les détecter et y réagir. Au-delà du niveau des individus et des organisations, sera abordée ici la question de la réponse des États et des pouvoirs publics au phénomène « d’insécurité numérique », en présentant l’approche, la doctrine et l’organisation françaises en la matière, et en explorant les questions internationales : coopérations bilatérales, organisations internationales et enjeux de régulation de la stabilité du cyberespace. Partant du principe que l’on ne peut savoir où l’on va qu’en sachant d’où l’on vient, une « brève histoire de la sécurité numérique en France » conclura ce tour d’horizon. S’inscrivant en complément d’une littérature abordant le sujet sous un angle plus spécifique ou plus technique, ce manuel propose une synthèse riche des enjeux structurants liés à la cybersécurité. Il est basé sur un point de vue rare et précieux : celui d’un agent ayant servi pendant plusieurs années au sein de l’autorité nationale de cyberdéfense à une période clé de la structuration des écosystèmes français, européens et mondiaux de la sécurité numérique.

A propos de l’auteur Yann Salamon

Yann Salamon est ingénieur, diplômé de Mines Nancy et de l’University College London. Il a occupé différentes fonctions en lien avec les relations internationales et la stratégie à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Il est par ailleurs responsable du module « cybersécurité et cyberdéfense : enjeux stratégiques » à Sciences Po Lille.

Table des matières :

Préface

Avant-propos

Chapitre 1. L’espace numérique

Introduction: un nouveau domaine d’opportunités…et de menaces

  1. Réseaux informatiques, Internet, cyberespace
  2. Topologie du cyberespace
  3. Les données numériques
  4. Ce qu’il se passe dans le numérique
  5. Enjeux de souveraineté

Chapitre 2. La menace d’origine cyber

Introduction: une menace élevée, croissante et protéiforme

  1. Comprendre la menace cyber
  2. Tendances générales associées à la menace d’origine cyber
  3. Quelques exemples récents d’attaques informatiques

Chapitre 3. La cybersécurité

Introduction: la difficile quête d’un état optimal de cybersécurité

  1. Le risque cyber: un risque stratégique qu’il faut « gouverner »
  2. Un processus itératif pour animer la gouvernance du risque cyber
  3. La réduction des risques grâce aux mesures de protection, de défense et de résilience

Chapitre 4. Le modèle français

Introduction: la sécurité numérique, une politique publique interminstérielle

  1. Organisation et gouvernance
  2. Les documents fondateurs
  3. Réglementation nationale de cybersécurité
  4. Aspects industriels

Chapitre 5. Les enjeux internationaux

Introduction: pourquoi parler d’enjeux internationaux en matière de sécurité numérique?

  1. Quelques grands acteurs
  2. La coopération internationale
  3. Paix, sécurité et stabilité stratégique du cyberespace

Chapitre 6. Une brève histoire de la sécurité numérique en France

Introduction: « celui qui ne sais pas d’où il vient ne peux savoir où il va »

  1. Cadrage de l’exercice: jusqu’à quand remonter ?
  2. Les temps anciens: de l’invention de l’imprimerie à la fin du XIXe siècle
  3. L’ère contemporaine « pré-électronique »
  4. La deuxième partie du XXe siècle et la numérisation

Remerciements

Glossaire des acronymes et sigles

Références

Mon avis sur l'ouvrage "Cybersécurité Cyberdéfense : enjeux stratégiques" de Yann Salamon :

Ce livre, préfacé par Guillaume Poupard, ancien directeur général de l’ANSSI, passe en revue les différentes postures de cybersécurité des grands acteurs en présence (États, organisations internationales…).

Cet ouvrage fait partie de la bibliographie cybersécurité recommandée dans le cadre de mon MBA Cybersécurité à l’ESG. Pourtant, je n’étais pas forcement convaincu de l’achat, d’autant plus que le livre n’est pas donné (29€). Comme souvent d’ailleurs pour des ouvrages hyper-spécialisés comme celui-ci. J’ai quand même décidé de me le procurer.

J’ai particulièrement apprécié l’exposition des différentes doctrines entre les États. L’analyse des dynamiques sécuritaires et partenariales entre les grandes puissances est précise, mesurée et bien documentée. L’auteur explique de manière concrète les postures de certains pays et les remets dans leur contexte historique.

En ce sens, la différence d’approche en matière de cybersécurité et de cyberdéfense entre un pays comme les États-Unis et la France est flagrante et s’explique notamment par les missions données aux différentes institutions. Alors qu’aux USA, la NSA couvre les services d’attaque et de défense, la doctrine française attribue à l’ANSSI un rôle uniquement défensif et de conseil, et non offensif. Les deux modèles, leurs avantages et leurs inconvénients sont clairement exposés par l’auteur.

Le parallèle effectué par l’auteur entre les stratégie de dissuasion nucléaire versus  une dissuasion cyber est tout à fait pertinent.

Cet ouvrage, qui est d’ailleurs plus un manuel, à d’après moi à vocation à être consulté régulièrement lorsque l’on souhaite revoir les doctrines, les organisations, les structures ayant des responsabilités cyber dans les différents pays, notamment en France et en Europe. En effet, l’écosystème cyber est extrêmement complexe à appréhender dans son ensemble. Ce livre aide à y voir plus clair dans les rôles et objectifs de chacun. Une sorte de « qui fait quoi, où, comment, avec qui, et avec quels moyens ». 

J’y ai également découvert de nombreuses anecdotes assez incroyables, comme le « ver de Morris », ou encore la machine Myosotis . Mais pour les connaitre, je vous invite à vous rendre chez votre libraire préféré pour faire l’acquisition de ce bel ouvrage destiné aux personnes intéressées par la géopolitique du cyberespace et afin de mieux comprendre les enjeux cyber d’hier, d’aujourd’hui et de demain.

Les concepts, idées et extraits ayant retenu mon attention dans l'ouvrage de Yann Salamon

Baisse de la pression de la conflictualité armée entre les États mais hausse des conflits numériques

Après 1945, l’on constate plusieurs phénomènes concomitants qui ont participé à faire « descendre » la pression de la conflictualité entre les États : l’augmentation du coût de la guerre (les armements coûtent cher, les « retombées » de la guerre également), la baisse des profits permis par la guerre (les richesses étant de plus en plus immatérielles, mener des guerres « classiques » n’est plus un moyen efficient pour s’en emparer), l’augmentation de la rentabilité de la paix (dans les économies capitalistes modernes, le commerce extérieur et les investissements sont essentiels et fonctionnent d’autant mieux que la paix est assurée de façon pérenne) et le glissement dans la culture politique mondiale, qui donne de façon assez majoritaire, une priorité à la désescalade et au règlement pacifique des différends […] Malheureusement, la conflictualité numérique (pour ne pas dire la « guerre numérique ») a certes des coûts, mais nettement moindres que ceux de la guerre « cinétique ». (p.52).

 

Dilemme du régulateur sur la divulgation des failles informatiques

Lorsque la puissance publique a connaissance d’une vulnérabilité, doit-elle la publier, pour que l’éditeur puisse chercher à la corriger; ou doit-elle la garder secrète, au profit de certaines fonctions régaliennes comme le renseignement ? […] Dans les pays anglo-saxons tels que les États-Unis et le Royaume-Uni, au sein desquels les fonctions de renseignement et de cyberdéfense sont remplies par des organisations intégrées, le besoin se cristallise autour d’une question essentielle : lorsqu’un service de renseignement comme la NSA a connaissance d’une vulnérabilité informatique, quel est le processus qui lui permet de décider entre la publication de celle-ci à des fins de correction ou son utilisation à des fins de renseignement ? (p.80)

 

La dissuasion cyber vs dissuasion nucléaire

L’arme nucléaire est parfois qualifiée « d’arme de non-emploi » […]. Les doctrines de dissuasion nucléaire reposent, la plupart du temps, sur une rhétorique et une crédibilité sur le long terme, ainsi que sur la possibilité d’engager des « escalades » tout au long desquelles se trouvent des points de rupture qui permettent, le cas échéant, des arrêts nets. Le premier piler consiste à disposer de moyens crédibles permettant une réponse graduée, proportionnée et maîtrisée, soit pour riposter vers l’attaque, soit pour jouer sur la résilience des entités ciblées. Ces moyens peuvent être très variés : mécanismes de protection et de défense cyber, capacités d’attaques numériques, moyens militaires « cinétiques », mécanismes de sanctions économiques, procédures diplomatiques, moyens judiciaires, etc. Le deuxième pilier, particulièrement complexe, consiste à, d’une manière ou d’une autre, faire comprendre à de potentiels agresseurs qu’il existe une « ligne à ne pas franchir ». On peut s’interroger sur l’opportunité de définir un ou plusieurs seuils formes, et de les rendre publics. Enfin, le troisième pilier d’une démarche de découragement consiste à indiquer, de manière publique ou non, directe ou non, que la « ligne à ne pas franchir » l’a été. (p.119).

 

Origine du concept de CSIRT/CERT, « le ver de Morris »

En novembre 1988, un logiciel de type « ver » se propage sur Internet depuis le MIT. Le créateur du logiciel, Robert Tappan Morris, a affirmé que sa fonction initiale était d’être une preuve de concept de la possibilité de se propager à travers un réseau. Malheureusement, une erreur de programmation a, en plus d’être virale, rendu le programme dangereux. (p.128).

 

Les différentes doctrines cyber : USA, Russie, Chine

Pays profondément ancré dans une culture libérale, l’on constate par exemple à quel point il est difficile pour Washington de légiférer, ou plus largement d’imposer des contraintes à son secteur privé, notamment sur les questions de cybersécurité. On lit également dans la doctrine américaine des éléments de vision et de posture très allants, ayant régulièrement une portée largement extraterritoriale, et avec un véritable primat à l’offensive. En matière de doctrine, la vision générale des autorités russes sur les questions de sécurité numérique mérite une attention particulière. Celle-ci présente en effet la particularité – que nous retrouverons également en Chine – d’adopter une approche consolidée des trois couches du cyberespace au travers du concept de « sécurité de l’information ». Ainsi, là ou la doctrine française distingue assez nettement la protection et la défense des SI et la lutte contre la manipulation de l’information, la vision russe englobe l’ensemble dans une seule et même approche. En Chine, une doctrine relativement alignée avec celle de Moscou, qui déploie notamment une rhétorique forte autour des enjeux de souveraineté et d’un « cyber-territoire chinois » que la Chine doit pouvoir contrôler, et qui traite simultanément les questions de sécurité des SI et de surveillance des contenus […] le « Grand pare-feu de Chine » est une illustration frappante de la volonté de Pékin de sanctuariser les limites de son espace numérique national, en cohérence avec ses frontières physiques. (p.214-221)

 

La cybersécurité dans l’Union Européenne

Chaque institution, organe ou agence de l’UE est en charge de sa propre cybersécurité. Les capacités déployées dépendent de plusieurs facteurs, notamment de la taille de l’entité concernée et de la sensibilité des enjeux qu’elle est amenée à traiter. (p.237). […] Un premier exemple extrêmement structurant de politique publique européenne qui donne corps à cette approche est sans doute la directive européenne sur la sécurité des réseaux et de l’information, dit « directive NIS ». (p.239).

 

Le dilemme de l’application de l’article 5 du Traité de l’Atlantique Nord (OTAN)

En 2007, l’Estonie subie une vague massive de cyberattaques à la suite d’une décision des autorités de déplacer le monument du « Soldat de Bronze » […] et décide d’invoquer  l’article 5 du TAN, qui prévoit que les alliés de l’OTAN assisteront la nation victime d’une agression armée. Plusieurs problèmes doctrinaux se posèrent immédiatement : une attaque cyber peut-elle être considérée comme une « agression armée » au sens de l’article 5 du TAN ? Le cas échant, ouvre-t-elle un droit à la « légitime défense »?  (p.248)

 

Régulation internationale du cyberespace possible ? Vers une Cyberpaix?

Un peu plus de cinquante ans après la création d’Internet, le constat d’une augmentation croissante de la menace cyber ne fait pas débat. […]. A l’echelle internationale, une telle action [de politique publique] de la part des États est-elle souhaitable pour enrayer et réduire le niveau de menace cyber qui pèse sur eux, sur les sociétés, sur les économies et sur les citoyens ? Le cas échéant, quelle(s) forme(s) doit prendre cette régulation ? Par ailleurs, l’écosystème numérique a favorisé l’émergence d’acteurs privés d’importance significative […], dès lors, il est probable qu’une régulation pertinente du cyberespace ne saurait être le fruit de travaux uniquement interétatiques. Est-il possible, en s’inspirant de l’esprit de la Charte des Nations unies, d’assurer la sécurité numérique de tous par tous »? Peut-on atteindre et maintenir un état de « cyberpaix »? Comment assurer la stabilité du système stratégique que constitue l’espace numérique? (p.253). Les prochaines étapes de la régulation internationale du cyberespace impliqueront nécessairement le secteur privé, et plus largement la société civile, le monde académique et la communauté technique de la cybersécurité (p.265), au travers d’outils juridiques contribuant à la recherche et à la préservation de la paix et de la sécurité au niveau international (voir le CGE), le renforcement de la coopération entre les États, relancer la régulation au sein des enceintes multilatérales variées (ONU, Appel de Paris, OCDE, convention de Budapest, travaux de Wassenaar, OSCE, G7, G20…)

 

Myosotis

La machine Myosotis est la première machine à chiffrer entièrement électronique, à base de transistors (inventés à la fin des années 1940) au germanium […] Elle permet à la France de se placer dans le premier cercle des « puissances cryptographiques » au niveau mondial.

Fiche technique du livre

Titre : Cybersécurité cyberdéfense : enjeux stratégiques
Auteur :  Yann Salamon
Éditeur : Ellipses
Pages : 334
Année : 2023
ISBN : 978-2340042414

 

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

trois + 10 =