Total Pageviews

Thursday, January 27, 2022

Quand le gouvernement américain veut adopter l'architecture de cybersécurité zero trust

Le gouvernement fédéral américain s'engage dans une stratégie d'architecture de cybersécurité zero trust (Mémo du 26 janvier 2022) (pour rappel de ce qu'est une architecture Zero Trust, voir la définition proposée sur le site Paloaltonetworks) Exit la défense périmétrique conventionnelle, l'approche zero trust doit s'imposer. Elle est un changement majeur: "It is a dramatic paradigm shift in philosophy of how we secure our infrastructure, networks, and data". Changement qui imposera bien sûr de nouveaux investissements massifs mais aussi de la patience, car la démarche sera longue à mettre en oeuvre.

Politique du DoD en matière d'acquisition et de développement de logiciels

Dans un Memorandum de ce 24 janvier 2022, le DoD rappelle les grandes lignes de sa politique d'acquisition, adaptation et création de logiciels. La question principale est celle du positionnement du DoD vis-à-vis des logiciels open-source. La ligne directrice est la suivante: lorsque le DoD a besoin d'applications il doit dans l'ordre 1) envisager d'adapter des logiciels qu'il possède déjà; 2) opter pour l'open source, 3) si les deux solutions précédentes ne sont pas en mesure de fournir de solutions, envisager alors l'achat de logiciels. L'open source n'est pas la solution miracle aux objectifs (de réduction des coûts de toute évidence), car leur adoption ne saurait se faire sans validation approfondie du code et sans contrôle strict de toute éventuelle redistribution du code.

Le concept Joint All-Domain Command and Control (JADC2)

Le Joint All-Domain Command and Control (JADC2) est un concept du Département de la Défense américain qui désigne la mise en relation de l'ensemble des systèmes de capteurs de l'Air Force, de l'Army, des Marine Corps, de la Navy et de la Space Force, en un seul réseau. Le projet part du constat que chaque branche a développé ses propres réseaux tactiques, chaque système étant incompatible avec les autres, et que la guerre moderne nécessite davantage de coordination pour des prises de décision accélérées.Pour fédérer et moderniser ses systèmes, le DoD prendrait exemple sur l'organisation des services Uber: "DOD uses ride-sharing service Uber as an analogy to describe its desired end state for JADC2."

Mais cette fédération de systèmes soulève des interrogations, tant en termes de maturité technique, que de commandement (une fois les systèmes coordonnés, qui assurera les prises de décisions?: "Analysts also ask who would have decisionmaking authority across domains, given that, traditionally, command authorities are delegated in each domain rather than from an overall campaign perspective".

Les citations sont reprises d'un récent document publié par le CRS américain: "Joint All-Domain Command and Control (JADC2)", Congressional Research Service, In Focus, January 21, 2022, 3 pages.

Wednesday, January 26, 2022

Iles Tonga, rétablir les télécommunications

L'OCHA (United Nations Office for the Coordination of Humanitarian Affairs) a publié le 25 janvier 2022 un premier rapport sur l'évolution de la gestion de la situation d'urgence dans les îles Tonga. Le rétablissement des communications est l'un des points clefs que doit traiter en urgence l'assistance qui s'organise. Le document nous éclaire sur la manière dont la coopération public-privé se met en oeuvre, sur la définition des priorités. 

Lire le rapport

Monday, January 24, 2022

Heat Index - suite

Le 14 janvier dernier nous avons publié un billet présentant le Heat Index. Nous pouvons prolonger l'analyse de ce baromètre, en exploitant les données qu'il propose. L'indice dresse une liste d'Etats agresseurs et attaqués. Dans l'illustration ci-dessous les Etats sont reliés entre eux par cette relation d'agression: les flèches en rouge signifient que les attaques sont menées dans les deux sens, les deux acteurs qui s'affrontent sont dans un duel. Ressortent ainsi 8 duels. Les flèches noires indiquent les  attaques qui n'auraient lieu que dans un sens (donc en l'absence de duel). 

La Chine et les Etats-Unis seraient impliqués dans 3 duels, la Russie dans un seul. La Chine apparaît plus agressive que n'importe quel autre pays, avec 7 adversaires, quand la majorité des Etats (13) n'en auraient qu'un seul, quand les Etats-Unis n'en auraient que 3, de même pour l'Inde et la Russie. Ce schéma qui résume les données que propose l'indice met en évidence les limites de l'exercice qui est réalisé par les auteurs de ce baromètre. La liste des Etats est probablement trop courte car même si l'indice vise à formuler des hypothèses sur les cyber-affrontements à venir, et non pas à refléter un état de la situation des attaques présentes et passées, manquent probablement des acteurs dans ce paysage (pays européens, asiatiques, africains, sud-américains). Les Etats-Unis ne sont-ils vraiment menacés que par 3 Etats et menaçants pour ces 3 mêmes Etats? La Chine est-elle vraiment le pays le plus agressif et n'est-elle pas menacée par davantage d'attaques? La base de données livre une vision sans doute réductrice des cyber conflits potentiels. Mais rappelons toutefois qu'elle s'intéresse aux scénarios les plus probables. Ce qui en fait déjà un nombre significatif. 

Wednesday, January 19, 2022

Military Innovation and Technological Change

Michael E. O'Hanlon signe ce mois de janvier 2022 un "policy brief" publié par la Brookings Institution sur le thème des innovations technologiques dans le domaine militaire pour faire face aux cyberattaques. La démarche est prospective et tente d'imaginer ce que seront ou devraient être les changements technologiques à l'horizon des 20 prochaines années. 

Michael E. O'Hanlon, Military Innovation and Technological Change: preparing for the next generation of cyber threats, Policy Brief, 12 pages, January 2022, Brookings Institution, USA. 

Selon l'auteur les évolutions technologiques seront plus rapides au cours des deux prochaines décennies qu'elles ne l'ont été au cours des 2 ou 3 précédentes, en particulier parce que désormais davantage de pays (Chine, Russie notamment) sont en mesure de concurrencer les acteurs traditionnels de l'innovation. Les efforts devraient d'autre part être plutôt concentrés sur les moyens permettant de bloquer les attaques, donc sur le sécuritaire/défensif (avec un focus sur le domaine cyber), que sur les pures technologies offensives, en particulier létales. 

CRS Report on Cybersecurity and Deterrence Policy

Chris Jaikaran, "Cybersecurity; Deterrence Policy", CRS Report, Washington, January 18, 2022, 29 pages. 

"Many policymakers have embraced deterrence as a driving policy position for addressing attacks in cyberspace. However, deterring attacks remains elusive as nations disagree on acceptable behavior and criminal groups proliferate. This CRS report examines the policy of deterrence, how it may be implemented, and options for Congress." ...