Total Pageviews

Friday, December 5, 2014

La cyberdéfense: quel territoire, quel droit?

Didier Danet et Amaël Cattaruzza, La Cyberdéfense - Quel territoire, quel droit ? Economica, 286 pages, novembre 2014. 

Le programme de recherche de la Chaire Cybersécurité & Cyberdéfense  est aujourd’hui structuré autour de six thèmes directeurs : territorialité dans le cyberespace ; cyberdéfense et ressources humaines ; stratégies et politiques de cyberdéfense des grandes nations ; mesure de la cybermenace ; cyberconflictualité et forces armées ; dimension juridique de la cybersécurité et cyberdéfense. Les réflexions sont menées au travers de groupes de travail qui se réunissent régulièrement depuis la création de la Chaire en juillet 2012, ainsi que lors de colloques nationaux et internationaux organisés par la Chaire ou auxquels les membres de celle-ci sont amenés à participer.
Cet ouvrage propose les résultats de travaux menés plus spécifiquement dans deux de ces thèmes : territorialité dans le cyberespace ; dimension juridique de la cybersécurité et cyberdéfense. Rappelons également que deux journées d’études avaient été organisées, l’une à Rennes le 4 juin 2013, l’autre à Paris le 8 octobre 2013, portant respectivement sur les frontières du cyberespace et sur le droit et l’éthique face aux défis de la cyberconflictualité.
L’ouvrage offre des perspectives multiples sur ces deux objets, grâce à l’apport de spécialistes de diverses disciplines, issus des mondes académiques et non académiques, selon une logique de partage de connaissances à nos yeux indispensable pour traiter d’objets aussi complexes que ceux liés au cyberespace.

Les frontières du cyberespace
S’interroger sur la frontière dans le cyberespace c’est essayer de mieux comprendre comment le cyberespace se structure, fonctionne, comment les acteurs s’y organisent, comment …
Face à ceux qui voient dans le cyberespace la disparition des frontières, s’opposent les partisans de l’affirmation nécessaire de ces dernières, voire d’un morcellement de ce nouvel espace en autant de cyberespaces que d’Etats (on parle alors de balkanisation du cyberespace). Les réflexions sur les notions de frontière dans le cyberespace, de territoire et de ses délimitations dans le cyberespace, s’intègrent dans le cadre plus large des travaux actuels sur la nature et le rôle de la frontière au 21° siècle, sa nature, sa définition. Peuvent y contribuer des disciplines telles que la géographie, la géopolitique, la science politique, le droit, mais encore les études stratégiques ou les sciences et technologies de l’information, comme le démontre le panel des intervenants ayant participé au colloque du 4 juin 2013.
La démarche consiste ici à poser des définitions (Qu’est-ce que le cyberespace ? Qu’est-ce qu’une frontière ? Que pourrait être une frontière dans le cyberespace ?) et aborder les enjeux qui sont directement liés à la frontière dans le cyberespace : les notions de territoire, d’espace, de pouvoir, d’Etat, de souveraineté sont-elles remises en question dans le cyberespace ? Quel avenir pour la frontière ? Le cyberespace affaiblit-il les frontières ? Qu’est-ce qu’un territoire dans le cyberespace ? En crée-t-il de nouvelles ? Peut-il véritablement y avoir un espace national dans le cyberespace ? Comment assurer la souveraineté dans cette dimension ? Quels sont les enjeux en matière de cyberdéfense : comment gérer les menaces, comment sécuriser les données, les réseaux, assurer la sécurité et la défense nationale ?

Le droit et l’éthique face aux défis de la cyberconflictualité
L’une des phrases de l’article écrit par Didier Danet me semble parfaitement résumer la mission qui peut être assignée à la réflexion éthique-juridique, laquelle doit selon lui « permettre de donner aux acteurs chargés de mettre en œuvre la lutte informatique défensive et offensive un cadre d’action stable et reconnu, compatible avec les inévitables contentieux nés de la juridicisation et de la judiciarisation croissante de l’action des forces armées et de police […] Le Droit doit conduire à préciser ce que les acteurs peuvent ou ne peuvent pas faire afin de doter notre pays des moyens de sa cybersécurité». Les contributeurs s’attachent alors à soulever de nombreuses questions et tenter d’y apporter des réponses : y a-t-il aujourd’hui vide ou trop plein juridique ? Le cyberespace introduit-il de nouvelles questions éthiques ? Le droit des conflits armés est-il applicable en l’état, doit-il être modifié à la marge ou au contraire en profondeur ? Qu’en est-il de l’applicabilité des Conventions de Genève, du DIH (droit international humanitaire), du jus ad bellum, du jus in bello, de la légitime défense, ou encore de la définition du principe de proportionnalité, d’un acte de force, du combattant ? Il est indispensable de clarifier ce que les acteurs peuvent faire ou non, tenter de préciser dans quelles mesures cette forme de violence « cyber » doit ou peut être contenue. Bien évidemment les réflexions doivent envisager deux cadres : national et international, l’un des objectifs devant être la définition de normes internationales partagées. Mais aujourd’hui est-il vraiment dans l’intérêt et la volonté des Etats disposant de capacités cyber-offensives, de définir des règles contraignantes ? En effet, en l’absence d’autorités définissant quelles cyberattaques constituent des actes de force ou des agressions, ces Etats ont toute liberté d’agir, assurés que leurs actes ne pourront pas faire l’objet de sanctions, assurés de pouvoir définir eux-mêmes, à leur convenance, les règles du jeu. 

Thursday, December 4, 2014

Fiche de lecture: Big, Fast, Open Data

Big, Fast, Open Data. Sous la direction de Yannick Lejeune, EPITA Edition, Paris, 191 pages, octobre 2014. Fiche de lecture rédigée par Daniel Ventre. 3 Décembre 2014  

Sous la direction de Yannick Lejeune, 23 auteurs traitent de la notion de « données » dans un ouvrage structuré en 5 chapitres. 
  •  L’humain et ses données, le « quantified self »
  •  L’informatique des données et les mondes numériques
  • Société et gouvernance : le citoyen et la cité
  • Les entreprises et le business des données
  •  La science à l’ère des mégadonnées

Nous retenons de cette lecture quelques arguments qui nous paraissent refléter l’essentiel des principaux messages véhiculés au travers du livre. 

Sur les modifications, conséquences, voire révolutions induites par la data (big, fast, open) 
  • Les rapports qu’entretient l’homme avec ses données sont modifiés. Les big data, fast et open data, transforment le rapport à soi.
  • Le big data transforme notre manière de vivre et de penser. Il révolutionne notre rapport au monde : on ne collecte plus ni ne traite de petits échantillons, des sous-ensembles de données. Le changement d’échelle entraîne nécessairement changement de point de vue.
  •  Aujourd’hui tout autour de nous produit des données. Ces données se réfèrent aux comportements humains. Les données sont partout : directes, ouvertes, prédictives… Explosion du volume de données produites car explosion des relations individus-systèmes, du nombre de capteurs, senseurs. Cette quantité de données permet de voir le monde sous un angle nouveau : on lit le monde au travers de données. Mais davantage que la masse de données, c’est la complexité qui définit le big data (p.151). Le big data se définit grâce aux trois mots : analyser, prédire, réagir (p.137).
  • Le big data montre des corrélations (connexions apparentes entre des données) et non une relation de causalité
  • La capacité à collecter, traiter, produire des masses énormes de données nous libère des contraintes existant jusqu’alors. On peut désormais s’appuyer sur des quantités de données bien plus massives. Mais quel que soit le volume de données, celles-ci ne sont jamais le reflet de l’entière réalité, elles sont toujours incomplètes, imparfaites (p.20)
  • Les problèmes, enjeux, défis liés au Big Data sont multiples : surveillance (p.51) ; risque d’abus dans l’utilisation des approche probabilistes, prédictives ; risque de dictature de la donnée. Doug Laney a défini les problématiques propres à ces données sous le célèbre principe des 3V : volume, vélocité, variété. D’autres attributs peuvent être ajoutés : véracité, variabilité, valeur…
  • Importance de l’accessibilité à la donnée
  • Malgré le big data, les prévisions ont toujours leurs limites
  • Le problème n’est pas tant la production et la collecte des données, que leur manipulation et leur interprétation, leur utilisation.

Le point de vue du juriste
Le droit à la propriété des données n’existe pas aujourd’hui dans le monde (p.105). Or si elles n’appartiennent à personne, il ne peut pas y avoir vol. Il faut créer le droit à la souveraineté, à l’autodétermination par l’utilisateur de ses droits (p.106), c’est-à-dire droit de pouvoir contrôler ses données et décider de leur utilisation. Les défis posés par le big data du point de vue juridique sont principalement les suivants : comment appliquer la règlementation informatique et liberté ; comment faire respecter le droit à l’oubli (tout en respectant le droit à l’histoire) (p.109). Le droit des algorithmes reste à inventer (p.110).

Le point de la vue de la Défense
Ce qui intéresse l’auteur, c’est la dimension humaine du big data : la donnée personnelle, qui explose. « La mission fondamentale de l’Etat est de protéger les citoyens, ici les données des citoyens » (p.87). Il distingue 3 cercles de souveraineté : sur la donnée personnelle, des entreprises/organisations, des Etats. Globalement le chapitre dédié au point de vue de la Défense ne traite guère du big data.
D’autres parties du livre évoquent (survolent) les usages du big data à des fins de sécurité (p.51 et suiv.) : le big data contribue à la surveillance, au « cyberint » (cyber intelligence) c’est-à-dire au renseignement de masse. L’une de ses méthodes consiste à collecter massivement des données, sur une longue période, et à mesurer les différences, puis tirer des conclusions, déclencher des signaux d’alerte, dès qu’une telle différence est identifiée.

Sur la définition des concepts
Ce livre est l’occasion, pour tous ceux qui sont peu familiers de ces sujets, de découvrir quantité de concepts : bio-informatique, dataïsé, homo-data-sapiens, algorithmiste, soi quantifié (quantifier tout
ce qui se passe à propos de soi-même), médecin data-scientist … La nouveauté (la révolution de l’humanité en cours ?) se dit visiblement  mieux en anglais: big data, open data, fast data, open access, data scientist, quantified self, quantified others (données qui portent sur les autres), sport-scientist, dispractices (mauvaises pratiques), frames (images par seconde), open government, etc.
  • Open data : données ouvertes par les administrations dans un premier temps. Ce processus n’est pas lisse, homogène, n’est pas naturel. Il y a de nombreuses résistances.
  • Open access : libre accès aux publications scientifiques
  • Open science : open access + open data + logiciel open source + recherche participative et contributive
  •  Open web : considérer les connaissances comme des biens communs
  • Les fast data : celles qui arrivent en temps réel. Peu de lignes sont accordées aux fats data elles-mêmes dans cet ouvrage, qui se concentre en réalité sur le big data et l’open data.

Sur la « valeur » de la donnée 
Il est à maintes reprises dans l’ouvrage question de la « valeur » de la donnée :
  • elle ne réside plus seulement dans l’objectif pour lequel elle a été collectée, mais dans les utilisations et réutilisations possibles ultérieurement (p.19)
  • la valeur des données réside avant tout dans la capacité à les utiliser intelligemment (p.182)
  • la notion de valeur a priori des données (n’a pas) beaucoup de sens. C’est la contextualisation qui confère de la valeur aux données (p.141).

Commentaires
Les regards portés sur les transformations induites par l’explosion des données hésitent entre un solutionnisme technologique, non pas simplement webcentré tel que le décrit et critique Evgeny Morozov par exemple, mais mathématico-centré, plus précisément centré sur l’algorithme. Les algorithmes (re)deviennent centraux. Ils permettent de faire parler les données et d’en produire de nouvelles. La généralisation du big data fait émerger de nouveaux algorithmes (p.151). Exit les outils de gestion de bases de données, traditionnels (les auteurs ne vont pas jusqu’à les qualifier d’archaïques). On s’interroge sur le pouvoir qui leur est conféré : « s’oriente-t-on vers la gouvernance algorithmique ? » (p.185)

Vision technocentrée utopique : le bonheur est à portée de main grâce à cette nouvelle évolution technologique (le même discours était tenu aux balbutiements de l’internet, des autoroutes de l’information, qui devaient rendre l’humanité prospère). Grâce aux données, aux mathématiques, « nous sommes aptes à découvrir le fonctionnement réel de notre société » (p.22) Les maîtres de ces données et technologies (les data scientists) seraient donc les nouveaux maîtres du progrès, si ce n’est de l’humanité ? Le big data apparaît comme une solution à bien des problèmes : avec les objets connectés, la société deviendra intelligente (smart cities, smart cars, smart phones, …), et le big data permettra « d’améliorer l’organisation du pays… rendre le système de télécommunications bien plus efficace… le système de santé bien plus robuste… améliorer les services de transport » (p.26). Le big data peut améliorer nos sociétés (p.26). La data redéfinit les rapports de force dans le monde commercial, industriel. Le big data est l’avenir du marketing (p.143). Le bonheur, le progrès, passent par les données : « tout peut être dataïsé » (p.27), l’ouverture des données c’est la démocratie (p.75).  L’un des auteurs rêve d’une société qui sera plus quantitative (p.29). Le bonheur et le progrès par la science, et surtout par les chiffres, les mathématiques. « Nous allons construire un monde meilleur » (p.36). On a déjà entendu cela… On y lit même que les sciences humaines, de « bonne science », c’est-à-dire essentiellement qualitatives, deviendraient véritable science, parce qu’elles vont désormais utiliser les données massivement, se servir du big data, devenir réellement quantitative (p.22) Les sciences humaines seront plus précises et plus prédictives (p.29), elles « deviennent une vraie science ».

L’ouvrage se termine sur des considérations plus humbles, plus retenues. Le big data ne fait pas tout. Il produit certes de la donnée, mais « un même savoir produit des effets bien différents » (p.188), accordant encore à l’être humain le choix, le pouvoir de décision. Car les algorithmes ne sont pas des entités autonomes : les résultats qu’ils produisent sont aussi le reflet des stratégies qui ont gouverné leur conception.

Wednesday, December 3, 2014

Opération Cleaver

Selon l’entreprise de sécurité Cylance[1], des hackers iraniens, liés au gouvernement, auraient mené depuis plusieurs mois des attaques contre des systèmes sensibles (SCADA) dans le monde, visant une dizaine de telles structures aux Etats-Unis. Si l’on s’en réfère à la cartographie des attaques réalisée (reprise sur le site Security Affairs)[2], des attaques auraient visé les infrastructures françaises (secteur de l’énergie). Le champ géographique de ces opérations est d’ailleurs extrêmement large puisqu’il touche Etats-Unis, Europe, Moyen-Orient, Chine (au total 16 pays identifiés). Les secteurs touchés sont multiples : armée, énergie, télécommunications, transport, aéroports, hôpitaux, éducation, industrie de défense, chimie, gouvernements…

Les formules clefs du rapport :
-          L’Iran est la nouvelle Chine (entendre que ses capacités de cyberattaques, sa stratégie, ses objectifs sont résolument agressifs et constituent une menace planétaire ; mais encore relation étroite entre entreprises privées et Etat, brouillage des frontières entre actions des entreprises légitimes et les équipes de hackers soutenues par l’Etat)
-          Les campagnes iraniennes actuelles peuvent être vues comme des opérations de représailles aux attaques que le pays a subies depuis 2009 (Stuxnet, puis Duqu, Flame, Gauss…).
-          Les capacités iraniennes ont évolué très rapidement au cours des dernières années. Finie l’époque où ces hackers menaient des actions relativement simples (type défiguration de sites).
-          Cette campagne met potentiellement en danger la sécurité des passagers des transports aériens, des systèmes de contrôle industriels, des systèmes SCADA, des infrastructures critiques
-          La démonstration des cyber-capacités peut être une manière d’imposer l’Iran sur la scène internationale
-          L’Iran a signé un accord de coopération technique avec la Corée du Nord : menace potentielle accrue contre les infrastructures sud-coréennes
-          L’attribution à l’Iran s’appuie sur l’identification des adresses IP utilisées par les agresseurs
-          Des individus sont identifiés, au moins par leur pseudo : Parviz, Nesha, Alireza, etc.

Quelques commentaires :
-          Les opérations de représailles iraniennes (Shamoon, opération Ababil,compromissiond e certificats de Comodo et DigiNotar, opération Saffron Rose, opértion Newscaster…) auraient commencé dès la prise de conscience par l’Iran des attaques subies.  Ce que nous subissons aujourd’hui est donc d’une certaine manière, le fruit des cyberattaques américaines/israéliennes (et autres ?) lancées contre l’Iran. On prend ici la mesure des risques, des conséquences des cyberopérations. Les représailles font partie de l’arsenal dont disposent les Etats qui estiment être victimes d’actes de force, de menaces à la souveraineté nationale. Les attaques ne peuvent toutefois toutes être considérées comme actions de représailles. Nombre d’entre elles volent des données, testent les résistances, préparent le terrain pour de futures opérations, etc. Dans ce feu continu, on ne sait plus qui a commencé, réagi, qui est légitime…  
-          La mise en lumière au travers de tels rapports de l’intérêt que portent les hackers aux systèmes critiques, ne peut que conforter les Etats qui comme la France inscrivent dans la loi des mesures spécifiques (même si contraignantes) applicables aux OIV.  La page d’accueil du site de Cylance affiche d’ailleurs une citation en ce sens : "Hopefully the Operation Cleaver report serves as a wake up call for global critical infrastructure providers." (attribuée à Stuart McLure, CEO). Selon Stuart McLure, la meilleure des protections consiste à disposer d’un avantage compétitif sur l’adversaire, et renforcer la cible de telle sorte que le coût de l’opération soit prohibitif pour l’attaquant[3] (principe de la dissuasion). Le signal d’alerte est donné, il faut savoir l’entendre, et savoir agir en conséquence. Tel est en substance le message véhiculé au travers de ce rapport, qui n’est pas sans rappeler la démarche du rapport Mandiant, s’intéressant plus spécifiquement aux opérations chinoises. Le préambule du rapport Cylance, rédigé par Stuart McLure, rappelle d’ailleurs que bien des catastrophes auraient pu être évitées, si les mesures de correction avaient été prises alors que les dangers étaient déjà identifiés (de citer ici l’accident du vol 811, le 24 février 1989, à bord duquel il se trouvait). Il est des désastres que l’on peut prévenir. Ce discours est toutefois discutable pour au moins deux raisons : la personne qui le prononce a des intérêts commerciaux (son discours est-il alors si objectif qu’il y paraît ?) ; le discours est quelque peu formaté et le catastrophisme sur fond de cyberattaques majeures est distillé depuis près de 20 ans (phénomène d’accoutumance, d’usure). Il a peu de chances de prendre, pour plusieurs autres raisons : les acteurs concernés sont préoccupés par d’autres contraintes, commerciales, financières/budgétaires en situation de crise, le souci de la rentabilité (investir dans la cybersécurité est-il rentable ?). Le poids de ce que j’appellerai la double peine, à savoir l’impact des cyberattaques elles-mêmes, et le coût de la sanction imposée par l’Etat (la victime est criminalisée, passible d’amendes du fait de n’avoir pas informé l’Etat des attaques subies, ou de n’avoir pas pris les mesures de sécurité suffisantes) seront-t-ils suffisamment incitatifs ? Les entreprises vont-elles pour autant acheter davantage de solutions de cybersécurité ?




[1] http://www.cylance.com/assets/Cleaver/Cylance_Operation_Cleaver_Report.pdf
[2] http://securityaffairs.co/wordpress/wp-content/uploads/2014/12/Operation-Cleaver-targets.png
[3] http://blog.cylance.com/operation-cleaver-prevention-is-everything

Tuesday, December 2, 2014

Ashton Carter, nouveau secrétaire à la Défense américain ?

Ashton Carter pourrait remplacer Chuck Hagel à la tête du Département de la Défense. Il fut jusque-là numéro deux du Département de la Défense et connaît donc bien les dossiers. Il a notamment été impliqué dans les questions de cybersécurité, portant la nouvelle stratégie de cyberdéfense et les stratégies d’investissement du Département avec les entreprises de cybersécurité. Il considère les investissements en cyber comme la phase nécessaire d’une transition majeure, à mener à bien même en période de difficulté budgétaire. Comme il le déclarait lors d’une conférence à Aspen (Colorado) en juillet 2013, la mission cyber pour le Département de la Défense relève selon lui de trois volets[1]:

-          La défense de l’intégrité des réseaux du Département de la Défense car toutes les fonctions militaires, dépendent désormais du cyber. Cette protection est vitale.
-          Développer, déployer, mener à bien des actions de renseignement pour annihiler toute possibilité d’avantage cyber de la part des adversaires. Une nouvelle dimension de l’affrontement. Mais toujours dans un cadre légal, et d’une manière conforme aux valeurs de la population (respect de la vie privée, qui n’est pas, précise-t-il, la priorité de l’adversaire...). Il s’agit d’utiliser le cyber, de mener des cyberattaques par exemple, mais il faut toujours s’interroger sur les effets de ces opérations. Toucheront-elles uniquement les cibles visées ou bien auront-elles des conséquences plus larges ?
-          Contribuer à la défense des réseaux de la nation, même si l’armée n’est pas leader dans cette action. Il s’agit d’aider les forces d’application de la loi, la sécurité intérieure. Pour cela, la défense s’appuie sur la NSA.

Il a notamment travaillé avec le général Alexander à la création de 40 équipes (composées de 4000 personnes) de cyberdéfense au sein du Cyber Commandement (27 pour la défense, 13 pour les opérations offensives)[2].



[1] http://www.defense.gov/Transcripts/Transcript.aspx?TranscriptID=5277
[2] http://www.defense.gov/Transcripts/Transcript.aspx?TranscriptID=5277

Nouvel article sur le site de la Chaire : "Etat islamique: un cyber-terrorisme médiatique"?

"Etat islamique: un cyber-terrorisme médiatique"? par Thomas Flichy et Olivier Hanne. Cet article est extrait du livre : Olivier Hanne et Thomas Flichy de la Neuville, Etat islamique, anatomie du Califat, Editions Bernard Giovanangeli, 2014. 

Journée d'étude "Cyberdéfense et cybersécurité: cas pratiques juridiques"

La Chaire Cyberdéfense & Cybersécurité vous propose une journée d'étude intitulée "Cyberdéfense et Cybersécurité: cas pratiques juridiques". Paris, 3 février 2015. 9h-18h. 

Séminaire "Accélérations et Régulations: les défis de la vitesse pour la politique et le droit"

Séminaire "Accélérations et Régulations: les défis de la vitesse pour la politique et le droit". Co-organisé par Christopher Pollmann Professeur agrégé de droit public, Université de Lorraine – Metz et Hartmut Rosa, Professeur de sociologie, Université d’Iéna (Allemagne). 

Ce séminaire qui s'adresse aux étudiants et aux chercheurs ne traite pas directement de nos problématiques cyber. Mais il n'en demeure pas moins très pertinent pour l'étude de nos objets. Rappelons que l'un des postulats qui alimente tout le discours sur le cyberespace, voire sous-tend la formulation de stratégies et tactiques cyber, traite du temps et plus précisément de la vitesse: avec le cyberespace, le temps serait réduit, voire pour certains disparaîtrait. 

Le séminaire proposé permettra donc de s'interroger sur : 

- « Immédiateté, instantanéité, urgence : quels défis de la vitesse ? »
- « Accélération de la vie et accumulation du capital »
- « L'individu hypermoderne : obligation de performance, exaltation, dépression »
- « La technicisation de la politique et du droit »
- « La bureaucratisation et le management du monde »
- « Vers une résponsabilité pour les générations futures ? »
- « Le décalage grandissant, à l'échelle individuelle et collective, entre besoins et capacités de régulation »
- « Dialectique temporelle et pétrification de l’histoire »

Dates : les lundis suivants de 18h30 à 20h30 : 9 fév., 2 et 16 mars, 20 avril, 11
et 18 mai, 1er et 15 juin 2015.

Lieu : École supérieure de commerce de Paris – Europe (ESCP), 79 av. de la République,
Paris 11e, Métro Rue St.-Maur.

Contact : pollmann@univ-metz.fr, tél. [#33] (0)3 87 76 05 33. Affiches et programme détaillé sur http://arche.univ-lorraine.fr (chercher “pollmann”). En partenariat avec l' « Atelier international et interdisciplinaire pour la réflexion philosophique », Berlin (http://iiaphr.eu).