Cybersécurité dans les États et les économies

Quelques définitions de la cybersécurité

En grec, « cyber » signifie textuellement « gouvernail ». Ce préfixe, appliqué au monde numérique, est en soi paradoxal : on parle de « cyberespace » (qui désigne, d’une manière générale, un ensemble de données, réseaux et utilisateurs ; et même, de cybercafé (bar ou café proposant, à titre onéreux, des connexions à Internet).

La « cybersécurité » désigne génériquement tout ce qui concerne la sécurité de l’Internet :

  • d’abord au plan des outils techniques (ceux qui concernaient, après 1990, la « sécurité des systèmes d’information » (par exemple, les antivirus, les sauvegardes, les pare-feux, les plans de reprise d’activité…) ;
  • mais, aussi et surtout, via l’organisation mise en place à cet effet en ressources humaines, locales, étatiques ou d’un continent.

Divers articles de ce site traitent de cybersécurité.

Comme on le voit, l’enveloppe du sujet est vaste. C’est pourquoi cet article ne l’abordera qu’en partie, et plus particulièrement :

  1. quelques rappels techniques ;
  2. la stratégie de cybersécurité des États dans le monde ;
  3. quelques grands thèmes de cybersécurité.

NB – par hypothèse, la « sécurité de fonctionnement » des dispositifs et réseaux, n’entre pas dans le domaine de la cybersécurité.

Principes techniques de base

La qualité de la protection dans le cyberespace d’une donnée ou d’un ensemble de données structurées (texte, notice, film, consigne militaire, ouvrage littéraire, contrat commercial, non exhaustivement) est directement liée à la sécurité de cette dernière protection.

La protection d’une information (et donc, d’une donnée) par son propriétaire légitime vis-à-vis d’individus ou d’entités éventuellement intéressés de façon malveillante ou crapuleuse, par son utilisation ou son détournement, résulte assez souvent de la mise en pratique de deux outils techniques :

  • un identifiant, souvent appelé « login », en général connu ou facilement détectable, par exemple le nom, le prénom, le numéro de sécurité sociale, le numéro de Carte Vitale, le numéro de plaque minéralogique, une photo…
  • un authentifiant ou mot de passe, qui est un code (ou un ensemble de codes), soit stable soit lié à une fréquence de temps (changement toutes les minutes par exemple).

Un premier exemple quotidien d’accès identifié et authentifié est constitué par le numéro et le code à quatre chiffres d’une carte bancaire en vue de retraits ou d‘achats en ligne. Un autre, apparu plus récemment, est le « QR code » ou « code barre », qui, associé à un nom ou un numéro de sécurité sociale, authentifie :

  • soit des documents confidentiels (applications médicales) ;
  • soit des références et des prix de produits de consommation ;
  • soit des titres de prestations (voyages, réservations d’hôtels, musées…).

On connaît tous, dans le Web, les « dispositifs pare-feux » (en anglais « firewall »), murs virtuels qui bloquent tous ceux qui tentent de pénétrer dans une machine ou un réseau dans un but malveillant.

Le pare-feu a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent. Le filtrage peut s’effectuer suivant :

  • l’origine ou la destination des paquets ;
  • les noms des données elles-mêmes (taille, correspondance à un motif, etc.) ;
  • les noms des utilisateurs.

Pour les ensembles de données complexes, on utilise les techniques de « codage » et de « chiffrement ». En général, cela consiste en des algorithmes et séries de chiffres, suivant des règles connues des seuls utilisateurs habilités.

En cybersécurité, à des systèmes sophistiqués de protection ou de chiffrement utilisés par ceux qui ont légitimement à en connaître, vient se confronter l’intelligence numérique de ceux qui veulent s’y introduire : cette course de vitesse est la base du « hacking », à petite ou grande échelle. Inversement, la cybersécurité est également un puissant levier de développement du marché des logiciels spécialisés. Le gouvernement des États-Unis y consacre un budget annuel compris entre 1 et 2 millions de dollars.

États

Depuis une vingtaine d’années, les États occidentaux (principalement les États-Unis et l’Union européenne) se sont dotés de normes, de lois et d’organisations humaines de nature à réglementer et organiser la cybersécurité au plan des données nationales, personnelles et économiques.

États -Unis

NSA et CIA

Ce sont les deux grandes agences américaines officiant dans le renseignement électromagnétique ou numérique, pour déjouer les menaces de nature à impacter la sécurité des États-Unis.

La NSA (National Security Agency) est l’agence spécialisée dans ce type de renseignement. Pendant la 2e guerre mondiale, elle officie surtout dans le domaine maritime, en particulier vis-à-vis de l’Union soviétique. Après la guerre, elle surveille les États où le communisme s’est développé ou menace de l’être.

Cybersécurité dans les États et les économies 1

Radômes de la NSA en Bavière

  • Elle coopère pour une part avec des services occidentaux. Elle est dotée de nos jours, d’un budget de 10 milliards de dollars (c’est-à-dire 20% du budget total de la Défense américaine). Le dispositif d’interception des communications via satellites et radômes au sol, (cf photo ci-contre), porte le nom d’« Échelon ».
  • Suivant le 4e amendement de la Constitution américaine, il est impossible d’espionner un citoyen américain sans mandat, mais cela ne s’applique pas aux non-américains. De fait, en France la surveillance par les services de la NSA d’hommes et femmes politiques tels que les Présidents Chirac et Sarkozy, a été officiellement dénoncée.

La CIA (Central Intelligence Agency) est l’une des 2 grandes Agences de renseignements et d’enquêtes américaines, l’autre étant le FBI (Federal Bureau of Investigation). Ces deux agences disposent, outre des services de renseignements très étroitement liés à la NSA au plan numérique, des équipes « opérationnelles » : la CIA pour la sécurité militaire et interétatique, le FBI pour les crimes et délits importants de la vie civile au plan fédéral. La CIA possède des bureaux dans la plupart des pays du monde occidental.

Le lanceur d’alerte Edward Snowden

De 2013 à 2015, cet ancien ingénieur issu des deux Agences américaines citées plus haut, par sa connaissance fine des algorithmes de la défense nationale américaine, révèle au grand jour nombre d’informations classifiées. Ces dernières concernent au départ les États-Unis, mais s’étendent à de nombreux pays occidentaux. À la suite de réactions des pays impactés, des actions judiciaires et demandes d’asile à l’encontre de cet individu, se succèdent.

Un texte fondamental : le « Patriot Act » américain

Ce texte est consécutif aux attentats du 11 septembre 2001 à New-York.

Après le 11 septembre, les États-Unis ont élaboré et appliqué des lois permettant une surveillance intense des déplacements intérieurs et extérieurs des citoyens, qu’ils soient ou non américains.

Pendant plusieurs années, le FBI, sans contourner l’esprit de ces textes, a élaboré plusieurs amendements lui permettant le déroulement de ses enquêtes « ordinaires » (crimes et délits fédéraux), en particulier les perquisitions. Finalement, après 2011, le texte trouve une forme pérenne en accord avec les libertés fondamentales.

Autres organismes internationaux (développés par les USA)

  • I.S.A.C.A. (Information Systems Audit and Control Association), organisation internationale basée aux USA et au CANADA, comprenant, au sein de plate-formes interconnectées, plusieurs dizaines de milliers de membres actifs dans tous les domaines du numérique (consultants, éducateurs, experts en sécurité, régulateurs, etc.).
  • S.O.C. (Security Operation Center), dispositif complexe rattaché aux systèmes généraux de sauvegarde en datacenters appelés CLOUDS, visant à la détection des incidents de sécurité par la surveillance continue et l’analyse de l’activité des données, face à l’ensemble des menaces telles que : malwares, chevaux de Troie, ransomwares, phishings. Un des principaux prestataires du S.O.C. est la Société ORACLE.

Union européenne

Avant les années 2010, les 28 pays de l’Union européenne disposaient de peu de textes réglementant la protection des données personnelles, a fortiori imposant des sanctions. Une exception notoire était constituée par la CNIL française, via sa Loi « Informatique et Libertés » de 1978, concernant tout d’abord des configurations classiques, puis s’étendant progressivement à l’Internet.

En 2016, après des années de négociations, le Parlement et le Conseil ont promulgué le RGPD (Régime Général de Protection des Données). Il s’agit d’un cadre juridique de dimension communautaire, assez complet, de protection des données. Il détaille les principes et préconise des organisations spécialisées. Il nécessite des transpositions dans les législations des États membres.

De nombreux autres textes sont soit votés, soit en préparation ; c’est le cas du DSA et du DMA.

Pour mémoire, en France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est un service français créé par décret en juillet 2009. Il est directement rattaché au Premier ministre (Secrétariat Général pour la Défense et la Sécurité) et assure un service de veille, de détection des menaces sur le territoire et d’assistance sécurité dans les services publics et privés.

Quelques thèmes d’attaques massives et de cybersécurité

Cyberguerre et guerre économique

Les dispositifs et Agences décrits plus haut protègent les États et les acteurs économiques des risques d’attaques terroristes, de détournement par l’ennemi de renseignements dans les domaines non exhaustifs de défense, concurrence économique illicite, protection juridique des brevets et contrats, etc.

De nos jours, dans n’importe quel pays du monde, une équipe de quelques dizaines d’ingénieurs en informatique suffit à créer, à maintenir et à faire évoluer, des programmes d’attaque qui agissent jusqu’à ce que l’entité attaquée ait mis au point les parades appropriées, également informatiques. Les exemples sont légion :

  • en 2007, un virus d’origine israélienne a rendu inopérants les systèmes de défense sol-air de la Syrie ;
  • en 2011, sont attaqués les systèmes de contrôle de drones américains en Afghanistan ;
  • en 2013, les sites de la haute finance américaine (Bloomberg News, Wall Street) dévoilent la fortune d’un dirigeant chinois de l’époque.

Les infox ou « fakes » politiques, économiques

La Lettre d’ADELI n°114 d’avril 2019 est consacrée à ce thème, qui a explosé avec l’existence des réseaux sociaux de plus en plus couramment utilisés comme outils de médias, dont les rédacteurs sont la plupart du temps anonymes et n’ont aucun engagement de véracité des informations diffusées et du contrôle de leurs sources.

Par exemple, lors de la campagne présidentielle de 2017 d’Emmanuel Macron, des sous-entendus de la candidate du RN Marine Le Pen ont été proférés, entre les deux tours, sur une présomption de lien avec une société domiciliée dans un paradis fiscal. Emmanuel Macron ayant déposé plainte pour faux et propagation de fausses nouvelles, ces infox de campagne ont disparu du quotidien.

Cette prolifération d’informations, non recoupées volontairement ou erronées, a entraîné, dans les divers médias « officiels » mais également dans certaines entités de pédagogie journalistique et de communication, des cellules de recherche et d’identification des infox en citant les informations véridiques et analysant les écarts.

Depuis fin février 2022, l’invasion de l’Ukraine par la Russie donne lieu chaque jour à des dizaines de manipulations, dans les domaines du renseignement militaire, des fausses nouvelles du front, infox de propagande de l’agresseur, etc.

La cybersurveillance

Dans la plupart des démocraties (Union européenne, États-Unis, Royaume-Uni), les données relatives à la vie privée sont protégées, comme la vie privée elle-même. En France, à cet égard, la CNIL a longtemps été l’autorité de référence, régulatrice des bonnes pratiques. Cependant, l’utilisation généralisée et constante des PC, tablettes, smartphones individuels sur les lieux de travail, ne permet pas toujours de distinguer ce qui est professionnel de ce qui est privé.

Dans le même ordre d’idée, les dispositifs de sécurité publique de vidéosurveillance sont soumis à des règles certes de bon sens, pas toujours applicables, en particulier en ce qui concerne les données historisées.

Conclusion générale

Du détournement de brevets techniques ou commerciaux, des informations techniques, financières, à l’intégrité des gouvernements, jusqu’à la paix mondiale, la cybersécurité est devenue une spécialité dans le domaine des Systèmes d’Information.

Les domaines de la cybersécurité sont divers : administration des systèmes, audit, conseil, conseil et maîtrise d’ouvrage, la direction des systèmes d’information, études et développement. On se reportera avec profit à l’article sur les métiers de la cybersécurité.

Print Friendly, PDF & Email
Partager cette page
Publié dans Technologie.

@@CE MAIL SE SUBSTITUE A patrick.kineider@hotmail.fr@@
Retraité
Ex expert en securité des SI à EDF
Loisirs : jeu d'Echecs -