Contribution du Dr. Isabelle Tisserand, Professeur à L’INSEEC
Le concept de cyberguerre : de la perte des illusions à la préparation
Disséquer le sens des mots et multiplier les définitions de concepts font partie des traditions intellectuelles latines. Cette diversité d’analyses, lorsqu’elle ne divise pas mais qu’elle fédère autour du traitement d’une problématique commune parce que les enjeux sont d’importance, permet d’explorer un concept au point d’en extraire tous les éléments qui permettront d’élaborer des modes opératoires. On passe alors de la théorie à la pratique, de la réflexion à l’action. Historiquement, l’appellation « Intelligence Economique ou « I.E. »» est l’un de ces concepts qui a fait couler beaucoup d’encre et débattre sans fin dans les colloques. C’est aujourd’hui au tour de la cyberguerre, sujet d’actualité abordé de façons totalement différentes selon que l’on écoute les citoyens, les experts sécurité privés, les chercheurs en sciences sociales et les autorités de l’Etat sur le sujet et dans différentes cultures. En Europe, le concept de cyberguerre fascine le grand public. Comprise globalement comme un conflit pouvant surgir dans le World Wild Web avec des effets plus ou moins dévastateurs, celle-ci attire en même temps qu’elle effraie. Elle stimule l’imagination, elle est une réalité pour certains, une activité ludique, délinquante ou légalement organisée pour d’autres, un faux problème ou encore un fléau à venir. On peut en dire tout ou rien, tout le monde à son mot à dire du fait de l’hyper-informatisation des environnements, du niveau de dépendance extrême aux systèmes d’information, de la dissolution des frontières entre sphère privée, sphère citoyenne, sphère professionnelle.
Aussi et si chacun peut se prononcer, c’est que chacun est potentiellement concerné par les effets d’une cyberguerre dans ses statuts d’internautes, d’infocibles ou de cybervictimes possibles ; ceci de près ou de loin, avec l’idée qu’il s’en fait, l’idée qu’on lui en donne ou les deux. Toutes ces possibilités de sens et de réalités peuvent cognitivement entretenir un état émotionnel suffisamment envahissant pour bloquer l’accès à un autre type de compréhension de la cyberguerre, plus rationnelle et plus concrète.
A l’inverse et parce qu’elle n’est pas comprise comme possible illusion mais comme fait avéré et mesurable, la cyberguerre ne fascine pas le monde militaire, elle le préoccupe. Les centres de recherches du monde entier ne cessent d’inventorier et d’analyser ses effets en termes de mutations non plus seulement conjoncturelles mais structurelles des cultures et des menaces pour nos activités civiles et militaires1.
Nous privilégierons par conséquent ici une typologie des domaines séparés qui constituent la cyberguerre publiée par l’Académie de Défense du Royaume Uni en 2011 de façon à comprendre clairement quels sont les sujets qui peuvent concerner les entreprises. Rappelons au préalable que la cyberguerre se caractérise essentiellement par l’usage d’ordinateurs et de l’Internet pour créer un conflit dans le cyberespace. Pour l’Académie de Défense anglaise, l’inventaire des cyberattaques (les expressions de la cyberguerre) possibles sont : le cybercrime qui consiste à attaquer des organisations pour des gains financiers, le cyber-espionnage qui a pour but la collecte des informations, le cyberterrorisme, c’est-à-dire toute action permettant de déclencher une cyberterreur puis la cyberguerre purement militaire (par exemple l’attaque d’infrastructures nationales afin d’atteindre des buts politiques). Alors, l’entreprise privée est-elle concernée par le risque de cyberguerre ? La configuration des environnements professionnels peut-elle être facteur de déclenchement, de contribution, de participation à celle-ci ?
Anthropologie numérique des entreprises privées
La reconfiguration des entreprises privées de 1980 à nos jours est, du point de vue de l’anthropologie numérique, intrinsèquement liée à l’intégration massive et accélérée d’une culture matérielle tout à fait caractéristique2. Celle-ci se compose de réseaux et systèmes informatisés, d’ordinateurs, d’instruments de téléphonie mobile, de caméras, de systèmes d’écoute, de cartes à puces, de clés usb, de lecteurs biométriques, etc. Ce type de patrimoine ne cesse d’augmenter. Ces innovations en matière de technologies, si fréquentes et si nombreuses dans le monde, finiront par former un horizon archéologique homogène sur la planète dans quelques siècles. On parlera alors de la « période historique numérique ».
Ces objets ont été produits par l’humain, motivé dans cette période de son histoire par l’extension de son champ de pouvoirs en termes de communications orale, écrite et visuelle dans un espace temps culturel modifié : le World Wide Web ; l’usage d’espaces spécifiques (Cloud, data Centers), la dématérialisation de nombre de ses activités quotidiennes professionnelles, citoyennes et privées.
Les cinq grands changements socio-structurels irréversibles et notables dans la plupart des entreprises privées sont :
- l’hyper-informatisation des sites professionnels,
- le développement de la cyberdéfense (lutte anti-virale, tests de robustesse, Plan de Continuité des Activités en cas de sinistre informatique, sensibilisation des ressources humaines, Infrastructures de gestion de clefs, etc.)
- l’intégration des Digital Natives (enfants du numérique3),
- l’usage ininterrompu, voire addictif des technologies d’informations et de communications pour la production professionnelle,
- L’utilisation mixte et quasiment incontrôlable d’outils personnels et professionnels dans l’environnement de travail.
L’entreprise concernée
Ces mutations matérielles et comportementales sont actuellement sous observation par les sciences humaines et sociales. L’étude de ces mutations révèlent que l’entreprise peut subir les impacts d’une cyberguerre qui pourrait ne pas la viser au premier plan mais qui pourrait l’atteindre, comme une onde de choc, du fait des échanges multiples entre organisations4 et de la multiplicité des terrains d’actions innervés de systèmes d’information en contact. Cette possibilité est aussi liée à l’interopérabilité ainsi qu’aux mutualisations encouragées par la crise économique, l’intrication non impossible des enjeux privés et étatiques français, européens et internationaux en matière de sécurité des informations. Il suffit de penser aux Opérateurs d’Importance Vitales ou encore aux Sociétés d’Activités d’Importance Vitale pour le comprendre. Ajoutons que les infrastructures dont dépendent des organisations privées et d’Etat peuvent être pour partie reliées aux mêmes systèmes d’information terrestres et spatiaux et qu’elles ont besoin des mêmes énergies pour assurer leurs fonctionnements.
Il faut également réfléchir au fait que si l’environnement professionnel informatisé n’est pas intelligemment éduqué et réglementé, il propose, par les moyens techniques, énergétiques et surtout humains qu’il confine, des possibilités de participations à une cyberguerre. Il semble donc, au regard de ces nouveaux éléments, indispensable d’insister toujours et encore sur la nécessité d’actualiser les méthodes de sélection, recrutement, formation des Ressources Humaines mais également de moderniser les pédagogies d’éducation des équipes informatisées.
En conclusion, l’entreprise est concernée à plusieurs titres par la cyberguerre :
1 – sa production participe à l’équilibre économique et social : cela en fait une cible,
2 – elle abrite des instruments de production par le biais d’utilisation d’outils informatiques mais aussi de destruction potentielle (botnets),
3 – elle est active du fait de la présence de personnalités qui peuvent ne pas avoir été formées aux bonnes pratiques en environnements informatisés ou encore ne pas avoir compris les enjeux et les effets dominos de l’hyper-informatisation du monde.
Notes
1 http://csis.org/publication/cyber-events-2006 : catalogue raisonné des cybers attaques de systèmes d’information depuis 2006. Ajoutons aux cyber-attaques inventoriées récemment celles survenues au MINEFI et au MAE.
2 Les matières premières qui permettent de les fabriquer sont d’ailleurs un sujet de préoccupation actuel.
3 Isabelle Tisserand : livre : Hacking à cœur, les enfants du numérique, e/DITE, Paris 2002.
4 Si une organisation est en panne, elle n’assure plus la communication avec ses partenaires ou ses clients
Bonsoir,
Par rapport à vos conclusions :
1/ Si vous définissez la “cyberdéfense” comme le fait de (tenter de) se prémunir contre les “cyberattaques”, alors bien évidemment toutes les entreprises sont concernées.
Elles sont toutes concernées, sans pour autant être ciblées : dans le monde IPv4, l’immense majorité des attaques n’est que le simple résultat d’un balayage plus ou moins exhaustif des 4,5 milliards d’adresses possibles (ça a déjà été fait). Que vous soyez connu ou pas, entreprise ou particulier, vous êtes logé à la même enseigne.
Si maintenant on parle de “cyberguerre” ou de “cyberterrorisme” (un peu fatiguant tous ces cybermachins…), c’est à dire d’activités émanant d’Etats ou d’organisations diverses, là ça ne concerne plus beaucoup d’entreprises, ne serait-ce parce qu’il ne faut pas gaspiller bêtement une technique d’attaque en s’en servant trop fréquemment.
2/ La plupart des entreprises n’abritent pas “d’instruments de destruction potentielle (botnets)” ! Le biotope idéal du botnet est plutôt l’ordinateur de particulier dont la sécurisation, n’en déplaise à l’HADOPI, est bien au-delà des capacités techniques de l’immense majorité de la population.
3/ Ce n’est pas qu’une question de “personnalités” non formées, mais de personnel (au sens large) qui n’a pas été sensibilisé (à partir d’un certain niveau on n’ose plus parler de formation).
Et même cela ne suffit pas. Un scénario d’attaque typique est par exemple de cibler l’équipement bureautique de base mis à la disposition de n’importe quel collaborateur d’une entreprise ou administration, qui est fondamentalement non sécurisé. La messagerie notamment est le principal vecteur d’attaque sur un réseau interne. Le personnel RH doit ouvrir les pièces jointes de parfaits inconnus, prétendument candidats. Grâce à l’inconscience de nos chers éditeurs, la confusion est totale entre données et traitements. Voilà donc des traitements hostiles qui s’exécutent sur un poste de travail situé sur les réseaux internes de l’organisation, bien souvent pour rouvrir un canal de contrôle chiffré vers un site Web externe. L’attaquant pourra alors en profiter pour poursuivre tranquillement son intrusion à partir du poste piraté…
Pour revenir sur votre conclusion, l’entreprise n’est donc que rarement concernée par la cyberguerre, mais elle est tout à fait concernée par l’insécurité informatique.
Bien souvent par inconscience des risques, faiblesse technique, préférence pour la fonctionnalité plutôt que pour la sécurité, paresse, voire négligence crasse, elle tend elle-même le baton pour se faire battre !
Elle n’a pas encore pris acte du fait :
– que les mesures de sécurité qu’elle prend au niveau de ses postes de travail sont largement inopérantes (anti-virus, prévention de l’installation d’applications ou des fuites de données, application des correctifs, etc.),
– que bien souvent sa sécurité se joue en dehors de ses réseaux et des contrôles qu’elle met parfois en place (mobile, réseaux sociaux),
– que les modèles de “défense périmétrique” sont aujourd’hui largement caducs (voir mon exemple ci-dessus) et qu’à l’ère de l’ubiquité, il va falloir protéger informations et traitements sensibles “au plus près”, “en profondeur” comme on dit dans le jargon de la sécurité des SI…
Bien cordialement,
Monsieur Tournier. Je suis d’accord avec votre avis, constitué -somme toute- d’assez peu d’enrichissement sur le texte proposé mais qui pourrait faire l’objet d’un article. Prenez la plume!
Jean-Paul Pinte, tu es un pirate! amitiés. IT
Pour tout avoir sur les domaines de la cybercriminalité, cyberguerre, etc.
Consultez mon blog :
http://cybercriminalite.wordpress.com
Bonjour,
L’article est ancien ici, je ne l’avais pas vu, je l’aurais je pense sinon exploité, en tout cas indiqué. Je m’interrogeais tout récemment sur l’usage des mots, et plus spécifiquement du terme ‘cyber’ à l’occasion d’échanges publics que j’ai eu l’occasion de lire et écouter. Peut-être est-il intéressant de le porter à votre attention en commentaire ?
Cybermachin, Histoire de mots : http://lamaredugof.fr/blog/2013/11/cybermachin-histoire-de-mots/
Cordialement,