NIAC Cybersecurity Report February 2017

Le NIAC (National Infrastructure Advisory Council) vient de mettre en ligne un document de 47 slides daté du 16 février 2017 (?) traitant de la gestion des cyber-risques pesant sur les infrastructures critiques des Etats-Unis. Télécharger le document sur le site du DHS.  Le document aborde des questions désormais traditionnelles, procédant dans un premier temps par la formulation de constats ou postulats sur la situation sécuritaire (les risques cyber sont importants; il faut prendre des mesures de sécurité de toute urgence; il faut imaginer de nouvelles solutions de sécurité; etc.) puis se poursuit en énumérant les points de faiblesse et les principes qui doivent porter la nouvelle sécurité (partenariat public-privé notamment) On notera ici que si les auteurs du document en appellent à la nécessité de nouvelles solutions et nouvelles approches, celles qu'ils proposent ne sont pas pour autant révolutionnaires. En effet, quoi de plus conventionnel que l'idée d'un nécessaire partenariat public-privé, même s'il convient peut-être d'en redessiner les contours? 

ENISA - Report on cyberthreats 2016

ENISA - Threat Landscape 2016 Report. Download the report. 

Conference on Cybercrime - Nottingham, 13 May 2017

Conference: "The Changing Face of Crime", Nottingham, Saturday 13 May 2017. More information. 

Les entreprises du FTSE et la prise en compte de la cybersécurité

Une nouvelle étude publiée par Deloitte[1] affirme que seules 5% des entreprises du FTSE (voir liste des entreprises)[2] ont intégré un expert en cybersécurité au sein de leurs équipes de direction. Paradoxe car dans le même temps, 87% des entreprises identifieraient les cyberattaques comme l’un des risques majeurs pour leur activité. Un tel décalage (un risque majeur reconnu mais absence de prise en compte) méritera une analyse plus approfondie. L’absence d’experts cybersécurité dans  les hautes sphères du management de l’entreprise signifie-t-elle pour autant que la question ne soit pas traitée ? Si oui par quels échelons au sein de l’entreprise, selon quelle logique, etc.

---

[1] http://www.thetradenews.com/FinTechQ/Only-5--of-FTSE-100-firms-have-cyber-security-board-expert-in-place/

[2] http://www.londonstockexchange.com/exchange/prices-and-markets/stocks/indices/summary/summary-indices-constituents.html?index=UKX&page=1

DoD Cybersecurity Discipline Implementation Plan

Le Département de la Défense américain a décidé de rappeler à ses personnels l’importance de l’application des principes basiques de cybersécurité. Leur respect aurait permis d’éviter de nombreux incidents au cours des dernières années. Des enquêtes internes ont semble-t-il révélé de nombreuses lacunes ou failles dans les pratiques qu’il convient de corriger rapidement. Fidèle à ses méthodes de gestion, le Département a donc lancé un nouveau plan (décembre 2016), intitulé « Cybersecurity Discipline Implementation Plan »[1]. Il est structuré autour de 4 types de mesures élémentaires :

-          assurer une authentification forte

-          renforcer les outils (machines bien configurées, mises à jour… notamment pour rendre plus difficile les attaques)

-          réduire la surface d’attaque (réduire le nombre d’opportunités d’attaques en limitant autant que possible toute connexion à l’internet grand public

-          détecter et répondre aux intrusions potentielles (identifier les incidents plus rapidement pour une réponse plus rapide et efficace).

Notons donc tout d’abord que la Défense américaine ne cherche pas à masquer ses vulnérabilités et affirme au contraire haut et fort que ses personnels peuvent être le maillon faible de la cybersécurité : « This analysis revealed systematic shortfalls in the ways in which the Department is taking care of its basic cybersecurity requirements ». On comprend que nombre de personnels ou services (s’ils n’étaient pas nombreux, un plan ne serait sans doute pas nécessaire) ignorent les consignes de sécurité, ne respectent pas les méthodes de connexion sécurisée ; que les logiciels ne sont pas tous mis à jour ; que nombre de services, réseaux, serveurs, sont peut-être encore trop exposés aux vulnérabilités de l’internet grand public… Le plan prévoit des évaluations régulières afin de mesurer les progrès réalisés.

---

[1] http://dodcio.defense.gov/Portals/0/Documents/Cyber/CNDSP%20Plain%20Language%20Overview%20-%20DISTRO.pdf?ver=2017-01-31-125734-897

Un hacker attaque 10000 sites du Dark Web

Un hacker aurait réussi à faire tomber quelques 10 000 sites du dark web au cours du week-end dernier. Lors de ce piratage des contenus pédopornographiques ont été découverts et transmis à la justice.   

Détection de cyberattaques contre des drones volant en formation

“Distributed Unknown-Input-Observers for Cyber Attack Detection and Isolation in Formation Flying UAVs”, by Lebsework Negash, Sang-Hyeon Kim , and Han-Lim Choi. 23 january 2017, 26 pages. Read the article. 

Cybersécurité des infrastructures d'énergie électrique américaines

Audition de Gerry W. Cauley, directeur de la NERC (North American Electric Reliability Corporation), qui est en charge de la définition de normes, d'actions de veille et de sensibilisation à destination des acteurs du secteur de l'énergie électrique des Etats-Unis. La réflexion se focalise sur les questions de cybersécurité. 

Testimony of Gerry W. Cauley, President and Chief Executive Officer North American Electric Reliability Corporation Before the Subcommittee on Energy of the House Energy and Commerce Committee, “The Electricity Sector’s Efforts to Respond to Cybersecurity Threats”, February 1, 2017, 12 pages[1].

---

[1] http://docs.house.gov/meetings/IF/IF03/20170201/105497/HHRG-115-IF03-Wstate-CauleyG-20170201.pdf

Colloque "Du discours de haine en ligne au cyber-terrorisme"

La Faculté de Droit et de Science Politique de Montpellier organise le 8 février 2017 un colloque intitulé "Du discours de haine en ligne au cyber-terrorisme. Liberté d'expression vs sécurité: quelles régulations possibles?".  Programme et inscription. 

La cybersécurité en chiffres

A parcourir: une nouvelle étude de PwC sur la cybercriminalité, le marché de la cybersécurité... le tout présenté en quelques diagrammes et en chiffres. Le document n'offre certes aucune analyse approfondie et encore moins critique des chiffres présentés, mais le lecteur y trouvera là quelques données utiles, à confronter à d'autres sources. "Cyber Security: European Emerging Market Leaders" (janvier 2017, 16 pages)  

Cyber… menace existentielle ?

Le dernier numéro du « Bulletin of the Atomic Scientists » de janvier 2017[1], intitulé » « It is two and a half minutes to midnight », s’inscrit dans la veine des précédents, nous décrivant une humanité qui, inexorablement, court à sa fin. Une fin qu’elle construit elle-même. Comme le rappellent les premières lignes du document, en 1947 une seule technologie avait le potentiel de détruire la planète. Ce sont ajoutés depuis l’exploitation des ressources naturelles, les dangers du changement climatique, les risques liés aux nouvelles technologies. De citer l’intelligence artificielle, la biologie, et le cyber. Le rapport intègre les derniers aléas de la vie politique américaine (ingérence russe dans le processus électoral via le cyberespace, guerre de l’information) illustrant les capacités d’atteinte aux démocraties, et donc constituant des risques de conflits internationaux. Voilà donc les NTIC placées au même rang de potentiel destructeur que l’arme nucléaire…  Le principe d’association de la technologie à des récits de fin de civilisation n’est guère nouveau. Mais avouons avoir un peu de mal à comprendre comment on peut mettre sur le même niveau destruction nucléaire et menaces cybernétiques, c’est-à-dire faire de ces dernières des menaces existentielles.  

---

[1] https://thebulletin.org/sites/default/files/Final%202017%20Clock%20Statement.pdf

Les Etats-Unis confrontés aux campagnes cyber-économiques chinoises

La commission américaine pour la surveillance des affaires économiques et de sécurité chinoises, a entendu ce 26 janvier 2017 Jeffrey Z. Johnson, président de SquirrelWerkz[1] . L’intervenant focalise son analyse sur les campagnes cyber-économiques que mène la Chine.

Selon Jeffrey Z. Johnson :

- les Etats-Unis font fausse route lorsqu’ils espèrent voir la Chine devenir une économie de marché respectueuse des règles et normes internationales. C’est sans doute cet espoir qui incite l’Amérique à oublier les actions de l’adversaire, et ce malgré le volume de preuves et les dommages évalués présentés chaque année comme autant d’éléments révélateurs de la menace que constitue la Chine pour l’économie des Etats-Unis.

- les cyber-activités menées par la Chine :

o   sont soutenues par l’Etat

o   sont appuyées par des organisations criminelles

o   sont ciblées sur l’espionnage et le sabotage

o   relèvent de la fraude industrielle menée à grande échelle, de la manipulation des marchés

o   ont pour objectif d’accélérer l’entrée de la Chine et la domination de toutes les industries clefs.

o   sont persistantes, intenses

o   sont exécutées patiemment

o   s’insèrent dans une stratégie plus globale de puissance, dans le domaine économique, industriel et militaire

L’intervenant défend, et cela n’a rien de bien nouveau dans le discours sécuritaire américain, l’idée d’une Amérique exposée, vulnérable face à des acteurs hors-la-loi. Il est question, à propos de l’Amérique, de sa « grande faiblesse » dans les conflits cyber-économiques, et des raisons structurelles de cette vulnérabilité. Face à un acteur qui pense de manière centralisée, coordonnée, qui mène une guerre sans limites (« unrestricted warfare »), les Etats-Unis ne peuvent opposer qu’un manque de lois, une approche segmentée de la sécurité, des solutions, des acteurs, des politiques, etc.

Le rapport dénonce les efforts de la Chine pour infiltrer l’industrie américaine, par le biais d’investissements de capitaux étatiques ou privés chinois. Si les investissements directs contribuent à la croissance de l’industrie et de l’économie américaine en général, ils peuvent aussi constituer une menace par le pouvoir qu’ils confèrent à la Chine sur des secteurs industriels américains clefs (dans le secteur de la défense par exemple).  

---

[1] Texte intégral : http://www.uscc.gov/sites/default/files/Johnson_USCC%20Hearing%20Testimony012617.pdf

Arrestations en Russie dans les hautes sphères de la cybersécurité

Plusieurs médias se font le relais de l’annonce de l’arrestation en Russie, en décembre dernier, de Ruslan Stoyanov, pour des activités menées avant ses prises de fonction au sein de Kaspersky Lab (où il était le patron de l’unité d’investigations) et de Sergei Mikhailov, directeur adjoint du département de la sécurité de l’information au sein de l’agence de renseignement FSB. Ils feraient tous deux l’objet d’une enquête pour trahison. Bien que la société Kaspersky Lab se défende de toute implication dans cette affaire, certains analystes estiment qu’il s’agit là d’un coup porté à la collaboration, construite tout au long des deux dernières décennies, entre les renseignements russes et les entreprises privées de cybersécurité[1].

---

[1] http://www.usatoday.com/story/news/world/2017/01/25/top-manager-russian-cybersecurity-firm-arrested/97029796/

Cyberguerre. Revue DSI - Hors série n°52

"Cyberguerre. L'heure de l'action". Revue DSI, Hors-Série n°52. Janvier 2017.

Archives de la CIA en ligne

775 000 documents, 13 millions de pages accessibles en ligne sur le site de la CIA, dans le cadre du programme CREST. 

Revue Déviance & Société - Appel à contribution

La revue Déviance & Société a lancé un concours ouvert aux jeunes chercheurs (doctorants, ou post-doctorants ayant soutenu leur thèse après le 1° janvier 2011), Peuvent être soumis des articles traitant, entre autres, de cybercriminalité et cybersécurité. Voir le texte de l'appel à contributions sur le site du GERN. 

French-American Doctoral Exchange Seminar (FADEx) 2017 : Cybersécurité

French-American Doctoral Exchange Seminar (FADEx) 2017 : Cybersécurité. Dans le cadre du programme FADEx, centré cette année sur la cybersécurité, un appel à contributions destiné aux doctorants est actuellement ouvert, et clos le 10 mars 2017. Deux séminaires et une plénière seront organisés courant 2017 à Rennes, Nancy et Paris. Parmi les sujets d'intérêt: cryptographie, sécurité logicielle, méthodes et théories liées à la sécurité, etc. Liste des thèmes, informations détaillées sur l'appel d'offre, consultables sur le site de la Mission pour la Science et la Technologie de l'Ambassade de France aux Etats-Unis. 

Intervention sur France Culture

"Pirates!" / Du vol de données au ransomware: la naissance d'un modèle économique. Emission Culturesmonde, sur France Culture, le mardi 10 janvier 2017. Intervenants: Eric Delbecque (SIFARI, Amaëmme Guiton (Libération), Daniel Ventre (CNRS), Wauchula Ghost (hackers). 

ANR table-ronde Internet des Objets

Le jeudi 17 novembre 2016 s'est tenue une table-ronde "Sécurité des objets connectés" organisée dans le cadre des rencontres numériques de l'ANR (Cité des Sciences et de l'Industrie. Paris).
Ont participé au panel:
- Daniel Ventre, CNRS
- Christine Balagué, Institut Mines-Telecom
- Silvia Giordano, Networking Lab
- Thomas Gayet, CERT-UBIK, Digital Security.
La table-ronde était animée par José Araujo (ANSSI). 

Création de bases de données à caractère personnel et conscience des risques

Les citoyens sont fichés de mille et une manières, que ce soit par l’administration ou le secteur privé. Pour chaque individu, des données sont créées avant même sa venue au monde, et le processus le poursuit tout au long de sa vie et au-delà. Pourtant, toutes ces données sont très vulnérables. 

Les bases de données, fussent-elles créées et gérées par les Etats (ou leurs prestataires) ne sont pas des forteresses inattaquables. Les bases de données sont des objets extrêmement fragiles, vulnérables aux cyberattaques, aux vols, à la copie, à l’altération des données, au sabotage. Les exemples peuvent être cités, par centaines, d’atteintes aux bases de données un peu partout dans le monde. Les plus volumineuses des bases, qui regroupent les données de millions de citoyens, ne sont pas nécessairement les mieux sécurisées :

• En 2006, l’administration américaine des vétérans a vu les données de 26 millions de citoyens exposées suite à un vol d’ordinateur
• Au Royaume-Uni, en 2007, l’HM Revenue and Customs Department a perdu des supports contenant les données de 25 millions de personnes bénéficiant d’aides sociales
• En 2012, la police de Manchester perd une clef usb contenant les données personnelles d’un millier de témoins impliqués dans des enquêtes criminelles  
• Les systèmes du gouvernement américain ont subi des attaques se soldant par le « vol » de données de plus de 21 millions de citoyens du pays. L’affaire a été révélée en juillet 2015. Les données volées concernaient les citoyens ayant travaillé pour l’Etat. Les données contenaient numéros de sécurité sociale, adresses, noms, historiques médicaux et financiers, etc.
• En février 2016, des hackers piratent les bases de données de l’administration américaine et divulguent les données de 10 000 employés du DHS, puis celles de 20000 employés du FBI

Tous les secteurs sont concernés par les vols et pertes de données : banques, industries, éducation, santé, police, défense, secteurs sensibles…  Car tous les systèmes, toutes les organisations, ont leurs failles (techniques, humaines).  

A la lumière de cette seule brève énumération d’incidents, ne semblerait-il pas plutôt recommandé d’opter pour d’autres stratégies que la mise en fiches de populations entières ? Et de lui préférer a contrario une segmentation des données, une réduction des volumes des bases, du nombre de données collectées et regroupées ? 

Programme Colloque "Economie de la Cybersécurité"

Colloque "Economie de la Cybersécurité". 14 novembre 2016. 9h00 – 17h30

(accueil à partir de 8h30)

Lieu : Paris, Hôtel des Invalides

Inscriptions (entrée gratuite mais inscription préalable obligatoire): invitations@chaire-cyber.fr 

9h00 - Introduction

• Daniel Ventre. CNRS (CESDIP). Titulaire de la Chaire. « Introduction : des liens entre cybersécurité et économie ».

9h15 - 10h45 : L’économie de la cybersécurité : ses indicateurs, ses règles, son organisation, son évolution. 1° Partie

  Modérateur : tbc 

• Jean-Marie Letort, Thales. «Cybersécurité et création de valeur économique. Le témoignage d’un industriel »

• Pierre-Luc Refalo. Directeur du Conseil Stratégique Cybersécurité – Capgemini Sogeti, "Dépenses en Cybersécurité et Cyber Assurance"

• Fabio Bisogni. Comitato Direttivo Fondazione FORMIT. “Are you (competitively) cybersecure?

10h45 – 11h00 : Questions/réponses

11h00 – 11h15 : Pause

11h15 - 12h15 : L’économie de la cybersécurité : ses indicateurs, ses règles, son organisation, son évolution. 2nde Partie

Modérateur: Daniel Ventre 

• Thierry Berthier. Membre de la Chaire cybersécurité. Prof. Univ. Limoges. « Lorsque l’intelligence artificielle uberise la cybersécurité ».

• Olivier Danino. Chercheur au sein de l'Institut français d'analyse stratégique (IFAS) et membre du Cercle des chercheurs du Moyen-Orient (CCMO), « Economie de la cybersécurité en Israël ».

12h15 – 12h30 : Questions/réponses

12h30 – 13h45 : Déjeuner

13h45 – 16h15 : Cybercriminalité et économie

 Modérateur : tbc

• Jart Armin. Founder - Stichting CyberDefcon Netherlands Foundation. “Measuring the Economic Cost of Cybercrime: No measure No solution”.

• Quentin Rossy. Université de Lausanne. "La vente de faux documents d'identité sur Internet".

• François Paget. Administrateur du CLUSIF. Membre de la Chaire Cybersécurité. « Darknet et économie souterraine».

15h15 – 15h30 : Questions/réponses

15h30 – 15h45 : Pause

15h45 - 16h15 : Des aspects juridiques de l’économie de la cybersécurité

• Cécile Doutriaux. Avocate, étude de Maîtres DOUTRIAUX-VILAR & Associés , Membre de la chaire cyberdéfense des écoles de Saint Cyr. « Droit et économie de la cybersécurité : quel impact de la règlementation sur l’économie de la cybersécurité?»

16h15 – 16h45 : Economie de cybersécurité et économie de défense

• Jean Belin. Univ. Bordeaux et Titulaire de La Chaire économie de la défense de l'IHEDN. «Approche économique de la cybersécurité: quels enseignements tirer de l'économie de la défense».

16h45 – 17h : Questions/réponses et conclusions

Appel à Communication Atelier Cyber - VII Congrès des associations francophones de science politique

Appel à communications

VII Congrès des associations francophones de science politique (COSPOF)

Flux et Frontières. Réponses politiques et identitaires / Montréal (UQÀM) 17-19 mai 2017

Atelier : Les théories de relations internationales et le cyber: une occasion manquée?

La nature des conflits armés contemporains a bien changé depuis l’émergence du cyberespace. En effet, les conflits armés actuels se déroulent de plus en plus grâce au cyberespace ou dans le cyberespace. Ces conflits participent également à la densification des flux transnationaux et au franchissement sans précédent des frontières. Si bien que le concept de cyberguerre a fini par être accepté par la communauté scientifique si non par les militaires.

Ainsi, depuis quelques années, le cyberespace devient un élément d’analyse incontournable dans l’étude des relations internationales. Si les dirigeants des plus grandes forces armées du monde ont mis en œuvre une conceptualisation pragmatique du cyberespace et de ses conséquences, il n’en va pas nécessairement de même pour les théoriciens des relations internationales. Le développement des théories des relations internationales ne semble pas avoir suivi le développement extraordinaire de leur objet privilégié, soit la guerre, depuis l’émergence du cyberespace. Ce décalage pose un problème analytique puisque les outils théoriques analysant le monde ne sont plus en mesure de l’évaluer tel que ce monde est réellement. Une fusion entre les théories de relations internationales et les études sur le cyberespace semble manquer.

Cette proposition d'atelier invite les conférenciers à passer en revue les principales théories des relations internationales en ce qui concerne plus spécifiquement les conflits armés, notamment leurs causes et leurs natures à la lumière de l'importance du cyberespace aujourd'hui et de la croissance du réseau Internet. Plusieurs questions animent cet atelier: Quelles sont les difficultés de transposition de ces théories dans le monde réticulaire? Est-ce que les notions importantes des principales théories, telles que l’anarchie, les acteurs, la nature du système international ou la coopération, doivent être revisitées? Quel regard critique doit être posé sur ces transpositions/adaptations théoriques et quelles sont leurs limites qu’elles soient de nature empirique et théorique?

Modalités de soumission et calendrier

• La proposition de communication comprendra un titre, trois à cinq mots-clés, un résumé (2 000 à 4 000 signes, Times 12), et une brève présentation de l’auteur (nom, coordonnées, affiliation institutionnelle). Elle est rédigée de préférence en français.
• 1^er décembre 2016 : date limite pour l’envoi de la proposition de communication.
• La proposition doit être envoyée, en document attaché (Word), aux responsables Hugo Loiseau (Hugo.Loiseau@USherbrooke.ca) et Daniel Ventre (daniel.ventre@cesdip.fr) par courriel (indiquer « Congrès COSPOF 2017 » comme objet du message).
• Le 9 janvier 2017 : sélection des communications et notification aux auteurs.
• 17 mars 2017 : date limite pour l’envoi des communications sous forme d’articles inédits en français (30 000 à 40 000 signes, Times 12, format de citation APA). 

Des frais d’inscription s’appliquent. Ils donnent accès aux trois jours d’activités du congrès, aux repas du midi, à des pauses-café ainsi qu’à deux cocktails. Un site transactionnel sera prochainement mis à disposition pour compléter en ligne l’inscription. La date limite pour l’effectuer est le 1° avril 2017.

o   50$CAN pour les membres réguliers de la SQSP ou de toutes associations sœurs (AFSP, ABSP, ASSP et Luxpol).

o   25$CAN pour les membres étudiants de la SQSP ou de toutes associations sœurs (AFSP, ABSP, ASSP et Luxpol).

o   150$CAN pour les participants non-membres.

o   75$CAN pour les étudiants non-membres.

Responsables

• Hugo Loiseau, professeur agrégé, École de politique appliquée, Université de Sherbrooke, Codirecteur Observatoire des Amériques, CEIM-UQÀM
• Daniel Ventre, CNRS (Laboratoire CESDIP - UMR 8183), Titulaire Chaire Cybersécurité & Cyberdéfense (Saint-Cyr, Sogeti, Thales) 

Colloque "Economie de la Cybersécurité" - Paris - 14 novembre 2016

Colloque "Economie de la Cybersécurité", Paris, le 14 novembre 2016. Organisé par la Chaire Cybersécurité & Cyberdéfense.
Inscriptions (gratuites) : invitations@chaire-cyber.fr
Programme: sur le site de la Chaire

Le premier débat entre D. Trump et H. Clinton, candidats à la présidence américaine. A propos de la cybersécurité

Le premier débat télévisé entre les deux candidats à la présidentielle américaine a eu lieu le 27 septembre 2016. Lors de ce débat la question « cyber » fut évoquée et nous avons identifié 7 sujets essentiels : l’importance de la cybersécurité/cyberguerre ; les formes de menace (catégories d’agresseurs) et les sources des attaques (attribution) ; les capacités américaines ; l’utilisation des moyens et la posture défensive ; la lutte contre le terrorisme en ligne ; l’affaire des e-mails d’H. Clinton. Le tableau ci-dessous reprend les arguments des deux candidats sur chaque point.

 

		Hillary Clinton	Donald Trump
1	Définir l’échelle des priorités. Cybersécurité, cyberguerre	L’un des plus grands défis pour le futur président	Pas le plus grand défi. La plus grande menace reste nucléaire
2	Catégoriser. Quels types de menaces	Distingue les deux catégories d’adversaires : -          les groupes de hackers indépendants (objectif : gagner de l’argent) -          les Etats hackers	Des cyberattaques de toutes parts sont bien sûr possibles (Etats, et acteur non-étatiques)
3	Attribuer. Qui constitue la menace	La Russie, Poutine : pour H. Clinton il ne fait aucun doute que les hackers russes sont les auteurs des cyberattaques contre le DNC (Democratic National Committee). Les actions de la Russie sont perçues comme une phase de test des limites de la résistance et de la patience américaine. La Chine L’Iran Aucun autre pays n’est désigné nominativement.	Rappelle la problématique de l’attribution des attaques : -          «it could be Russia, but it could also be China. It could also be lots of other people. It also could be somebody sitting on their bed that weighs 400 pounds, OK?”
4	Evaluer les rapports de force. A propos des capacités de cybersécurité/guerre américaines :	Les Etats-Unis sont bien supérieurs à tous leurs adversaires : -          “The United States has much greater capacity”.	Les Etats-Unis devraient être supérieurs mais ne le sont sans doute pas. Mes USA sont faibles en l’état des choses : -          “when you look at what ISIS is doing with the Internet, they're beating us at our own game. ISIS.” Les capacités ne sont pas ce qu’elles devraient être en raison des choix politiques : -          “under President Obama we've lost control of things that we used to have control over.”
5	Définir la posture, face aux cyberattaques	Les Etats-Unis réagiront aux cyberattaques. Mais les Etats-Unis n’ont pas l’intention de se servir de toute la puissance à leur disposition : -          “We don't want to use the kinds of tools that we have.” L’arsenal permet donc des actions puissantes, qu’il est préférable de ne pas engager.	Les Etats-Unis doivent faire mieux qu’actuellement : -          “We have so many things that we have to do better, Lester, and certainly cyber is one of them.”
6	Contrer le terrorisme en ligne	Il faut exploiter internet pour traquer et vaincre l’Etats-Islamique	L’Etats Islamique se joue sur internet de la puissance américaine
6	Exploiter l’affaire des e-mails d’H. Clinton	H. Clinton reconnaît avoir commis une « erreur » : - « I made a mistake using a private e- mail.”	D. Trump attend la publication des 33 000 emails effacés par H. Clinton (en échange de quoi il publiera ses revenus). N’accepte pas la qualification d’erreur. Il affirme qu’il y a eu acte intentionnel.

Donald Trump reste fidèle à sa ligne, reprenant les principaux arguments déjà présentés lors de discours précédents[1] et exploitant l’affaire des e-mails, mais aussi la manière dont l’Etat Islamique a investi le cyberespace, ou encore l’ensemble des cyberattaques subies par les Etats-Unis au cours des dernières années, pour dépeindre un gouvernement démocrate faible, faillible, impuissant, inapte à gérer les questions de sécurité et de défense avec la fermeté qu’il se doit. A ces arguments, H. Clinton au contraire oppose la description d’une Amérique puissante dans le champ de la cybersécurité, et ferme dans ses choix stratégiques.

Mais ni l’un ni l’autre n’a tout à fait tort ou raison. Car en matière de cybersécurité, plusieurs points de vue sont acceptables. Ainsi, l’appréciation de la puissance reste-t-elle relative (les Etats-Unis disposent sans nul doute d’une organisation et de moyens tant défensifs qu’offensifs majeurs, mais sont en même temps exposés et vulnérables à des attaques que peuvent mener des acteurs bien inférieurs en termes de moyens : dans ce cas, doit-on louer la puissance ou au contraire la faiblesse et la permanence de failles ? Les deux points de vue sont acceptables, chaque candidat adopte celui qui sert ses arguments). L’appréciation de la menace elle aussi demeure imprécise. L’attribution des attaques, la désignation des responsables reste une problématique majeure, malgré tous les progrès qui ont pu être réalisés dans ce domaine. Aucun des deux candidats ne propose de véritable solution aux défis. H. Clinton désigne la Russie, la Chine et l’Iran ; D. Trump demeure plus évasif ; mais les réponses concrètes sont absentes. D. Trump ne dit pas comment il retrouvera la puissance supposée perdue par B. Obama. Quand à H. Clinton elle non plus ne donne guère d’indice, quand elle avance ne pas vouloir utiliser la puissance des moyens dont l’Amérique dispose. Quelle est cette puissance, quels sont ses substituts ? Rien n’est dit non plus de la lutte contre le terrorisme dans le cyberespace. Le grand public en a sans doute déjà entendu assez, de grandes lignes suffisent, toute précision deviendrait sans doute rapidement trop technique. Il faut dans cet exercice schématiser.

Globalement, la présence du thème « cybersécurité » dans le débat doit être soulignée. La cybersécurité était encore absente des dernières campagnes menées par B. Obama par exemple. Il y a donc une prise de conscience, une intégration de la problématique. Remarquons toutefois que plusieurs sujets relatifs au « cyber » ont été ignorés lors du débat. Peut-être le seront-ils lors de confrontations prochaines. Il s’agit notamment des problématiques qui depuis les révélations d’Edward Snowden se sont affirmées dans le débat public : les pratiques de surveillance américaines, le rôle de la NSA et plus largement des agences de renseignement, la cybersurveillance des citoyens américains via la collecte systématique de leurs données et les atteintes qu’elle constitue à la vie privée, aux droits fondamentaux ; la cybersurveillance des puissances étrangères, adversaires et alliées. Au-delà des seules questions sécuritaires, rien n’a été dit non plus de l’économie numérique, de la société connectée, des innovations technologiques et des transformations sociales annoncées avec les objets connectés, les villes intelligentes, etc. Tous ces sujets sont écartés du discours des candidats. Le renseignement ne fait pas débat (est-il consensuel ? interdit ?), la vie privée non plus, les transformations sociales ou le progrès technologique pas davantage. Laisse-t-on le soin aux acteurs concernés (les agences, les entreprises marchandes de technologies) de réguler leur propre domaine ?

---

[1] Voir l’analyse que nous en proposions il y a quelques semaines : « Le candidat Donald Trump et les questions de cybersécurité et cyberdéfense », Daniel Ventre, 28 juillet 2016. http://econflicts.blogspot.fr/2016/07/le-candidat-d-trump-et-les-questions-de.html