European Parliament resolution of 7 October 2021 on the state of EU cyber defence capabilities (2020/2256(INI))

Le Parlement européen a validé le 7 octobre 2021 une résolution sur les capacités de cyberdéfense de l'UE. 

Que doit-on retenir de ce document de 15 pages?  

- "... a common cyber defence policy [...] and also better, cyber defence capabilities are core elements for the development of a deepened and enhanced European Defence Union" ;

- "the substantial number and increasing complexity of cyberattacks, require a coordinated Union-level response" ;

- "Notes the 2018 CDPF’s objective to setup an EU Military CERT-Network; calls on Member States to significantly increase classified information sharing capacities"; 

- " stresses that it is essential to overcome the current fragmentation and complexity of the overall cyber architecture within the EU and to develop a common vision of how to achieve security and stability in cyberspace" ;

- " fragmentation is accompanied by serious concerns over the lack of resources and staff at EU level";

- "Recommends the establishment of a Joint Cyber Unit to increase cooperation with a view to responding to the lack of information sharing among EU institutions";

- "Reiterates that common strong attribution capabilities are one of the key tools for strengthening EU and Member State capabilities and are an essential component of effective cyber defence and cyber deterrence";

- "Calls for closer coordination on cyber defence between Member States, the EU institutions, NATO Allies, the UN and the Organization for Security and Co-operation in Europe (OSCE)";

- "Recalls its position on a ban on the development, production and use of fully autonomous weapons enabling strikes to be carried out without meaningful human intervention". 

Rapport du CRS : "Ransomware and Federal Law: Cybercrime and Cybersecurity"

Un court rapport publié le 5 octobre 2021 par le Congressional Research Service (CRS) américain traite des attaques par ransomwares : des dégâts qu’elles occasionnent et de leur volume (le centre IC3 du FBI aurait enregistré 2474 de victimes de ransomwares en 2020), et de la manière dont juridiquement le problème peut être traité. Les sanctions pénales peuvent bien sûr peser sur les auteurs de ces attaques, mais les victimes elles-aussi sont passibles de mise en cause : soit parce qu’elles payent les rançons - ce qui peut être interdit dans plusieurs Etats -, soit parce qu’elles n’ont pas rempli leurs obligations en matière de cybersécurité, plus précisément en n’ayant pas assuré la protection des données (clients, consommateurs, personnelles, etc.). Il ne semble guère y avoir aux Etats-Unis, pas plus qu’ailleurs, de véritable solution satisfaisante c’est-à-dire qui soit à même de bloquer le phénomène.

Accéder au rapport : Peter G. Berris, Jonathan M. Gaffney, Ransomware and Federal Law: Cybercrime and Cybersecurity, Congressional Research Service, R46932, 5 octobre 2021, 18 pages

Colloque "Substances et addictions à l’ère 2.0. Quand les drogues rencontrent les nouvelles technologies"

Le 21 octobre 2021 se tiendra au CNAM (Paris) un colloque intitulé "Substances et addictions à l’ère 2.0. Quand les drogues rencontrent les nouvelles technologies". Programme, information, inscription

À partir d’expériences concrètes de dispositifs faisant appel aux nouvelles technologies et d’une réflexion sur la littérature scientifique existante, les interventions auront pour but d’engager des débats sur la place de la technologie dans le développement du marché des drogues, de la consommation et des pratiques de soins et de prévention. L’enjeu d’une telle journée est d’essayer de saisir ce que les nouvelles technologies pourraient apporter, à plus ou moins long terme, au champ des drogues.

En cela, il s’agira d’identifier et de mettre en discussion les positions des participants au travers de leurs références théoriques et de leurs expériences de terrain. La matinée sera consacrée à l’évolution des pratiques concernant la consommation, l’achat, la vente, le contrôle de drogues, le soin et la prévention ainsi que le lien avec les innovations technologiques. L’après-midi discutera les réponses institutionnelles et les innovations technologiques en interrogeant leur pertinence mais aussi les défis et enjeux éthiques qu’ils posent.

Article "RedHerd: Offensive Cyberspace Operations as a Service"

 “RedHerd: Offensive Cyberspace Operations as a Service », Signals 2021, 2, 619–636. https:// doi.org/10.3390/signals2040038 

Giovanni Pecoraro, Mario D’Amico et Simon Pietro Romano, chercheurs à l'Université de Naples, présentent l’outil RedHerd, open source et collaboratif, dont la fonction principale est d’orchestrer les différentes variables qui contraignent la réalisation des opérations cyber offensives (en anglais Offensive Cyberspace Operations – OCO). Ces principales contraintes sont le temps, la portée (« scope »), le coût, la connaissance, la formation des personnels. L’outil peut être utilisé pour la formation, pour la simulation des affrontements cyber.

Les auteurs rappellent ce qu’est le cyberespace, ce que sont ses caractéristiques et ce que sont les cyber opérations offensives (des actions agressives qui exploitent principalement la seconde couche, à savoir couche logique, mais qui peuvent emprunter les deux autres - la couche physique et celle des individus ou « cyber-persona). Ils formulent également plusieurs postulats sur la nature du cyberespace et ce que l’on peut y faire, soulignant notamment à quel point les opérations agressives y sont facilitées en raison du faible coût d’accès : « Adversary offensive activities persist because opportunity costs are low, and accesses, platforms and payloads can remain useful for extended periods of time » (ce qui signifie que les cibles sont à portée de main). Mais cette facilité n’est que relative, car préparer et mener des cyberattaques est une opération parfois longue, complexe et donc coûteuse : «the most dangerous cyber attacks are not randomly performed, but are complex and structured operations ».

L’outil RedHerd est conçu pour aider à préparer de telles cyber opérations offensives. Ce type de simulateur est centré sur les variables techniques de l’action, du déroulement de la kill chain. Mais rien n’est dit par exemple des contraintes ou variables juridiques ou éthiques, qui sont susceptibles de limiter le champ des possibles lors du déroulement de ces actions offensives. ».

Digital Economy Report 2021. Rapport de l’UNCTAD (United Nations Conference on Trade and Development).

Les Nations Unies viennent de publier un rapport sur l’importance de la prise en compte des flux internationaux de données, appelant à une coordination internationale des règles, dans un monde qui est pour l’instant essentiellement dominé par des intérêts particuliers, nationaux, éventuellement régionaux, mais peu propices à favoriser une économie planétaire autour du numérique, qui soit profitable au plus grand nombre : "The current landscape is a patchwork of national regulations based on objectives on economic development, protection of privacy, and other human rights and national security concerns" ; "The current fragmented data landscape risks us failing to capture value that could accrue from digital technologies and it may create more space for substantial harms related to privacy breaches, cyberattacks and other risks". 

Pour les auteurs de ce rapport une approche globale (« holistic ») s’avère indispensable, la seule qui permette la prise en compte des intérêts de chacun et une juste répartition des ressources. “Data are multidimensional, and their use has implications not just for trade and economic development but also for human rights, peace and security. Responses are also needed to mitigate the risk of abuse and misuse of data by States, non-State actors or the private sector". 

Les données sont en effet un produit essentiel, au cœur de nos sociétés numériques, mais manquent pourtant encore de véritables politiques de gestion internationale des dites ressources : "The particular characteristics of data suggest that they need to be treated differently from conventional goods and services, including in their international transfers. In the new context of the data-driven digital economy, concepts such as ownership and sovereignty are being challenged. Rather than trying to determine who “owns” the data, what matters is who has the right to access, control and use the data". 

En s’appuyant sur des sources diverses, le rapport propose à la fois statistiques et constats sur l’état de l’Internet. Nous n’en retiendrons ici que quelques uns: 

- “Available information also suggests that international bandwidth use accelerated during the pandemic, and that such traffic is geographically concentrated in two main routes: between North America and Europe, and between North America and Asia.” 

- "Only 20 per cent of people in least developed countries (LDCs) use the Internet; when they do, it is typically at relatively low download speeds and with a relatively high price tag attached.” 

- "In terms of capacity to engage in and benefit from the data-driven digital economy, two countries stand out: the United States and China. Together, they account for half the world’s hyperscale data centres, the highest rates of 5G adoption in the world, 94 per cent of all funding of AI start-ups in the past five years, 70 per cent of the world’s top AI researchers, and almost 90 per cent of the market capitalization of the world’s largest digital platforms". 

- “despite its free market focus, the United States has taken steps towards restricting some foreign data-driven companies from entering its market, and banning related domestic data outflows. Meanwhile, China is hinting towards some openness to data flows. The final outcome is hard to predict" . 

Lire le rapport: Digital Economy Report 2021. UNCTAD