Total Pageviews

Tuesday, July 26, 2016

Candidats à la présidentielle américaine et lacunes de cybersécurité

Au cours de ces derniers mois de campagne électorale, les candidats ont été confrontés à des problématiques de cybersécurité. En voici quelques exemples médiatisés :  

Hillary Clinton, Bernie Sanders, le parti démocrate
Hillary Clinton a utilisé sa boite e-mail personnelle et un serveur non sécurisé pour échanger des courriers relevant de sa fonction, alors qu’elle était Secrétaire d’Etat. Nombre de ces mails étaient sensibles et contenaient des informations classifiées. Cette affaire a pesé sur le cours de la campagne d’H. Clinton, qu’une enquête du FBI n’a dédouané que tardivement, début juillet 2016.
- Le DNC (Democratic National Committee) s’est fait pirater des milliers de mails. La divulgation de ces courriers a mis en évidence les pratiques à l’intérieur du parti tendant à favoriser H. Clinton au détriment de son adversaire démocrate. Des hackers russes, ou oeuvrant pour le Kremlin, sont soupçonnés d’être à l’origine de cette opération.
- Des personnels du candidat Bernie Sanders sont accusés d’avoir accédé à la base de données d’électeurs d’H. Clinton (décembre 2015)[1]
La Bill, Hillary and Chelsea Clinton Foundation aurait été pirate par des hackers russes, les mêmes qui s’en seraient pris au DNC[2]

Donald Trump, le parti républicain
Des hackers russes auraient également ciblé les communications de D. Trump et les ordinateurs de quelques membres du parti républicain[3]
En mars 2016, Anonymous affirme avoir dérobé des informations personnelles de Donald Trump (numéro de portable, numéro de sécurité sociale)[4] . Anonymous déclare également la « guerre » à D. Trump, et lance l’opération #OpWhiteRose[5].
- Anonymous déclarait aussi la guerre à D. Trump en décembre 2015, lançant l’opération #OpTrump, en réaction aux propos tenus par Trump sur l’islam. A l’actif de cette opération il y aurait une attaque DDoS ayant touché le site internet des New York City's Trump Towers
- La chaine d’hôtels de D. Trump est victime de hackers, deux fois en l’espace de 6 mois (fin 2015 et avril 2016)[6]

Les défis pour la défense à l’horizon 2035 : le point de vue américain

Le Département de la Défense américain vient de publier le 14 juillet 2016 un document intitulé « Joint Operating Environment – JOE 2035. The Joint Force in a Contested and Disordered World »[1]. Ce document traduit la vision de la Défense américaine à l’horizon 2035 : sa vision du monde, des défis et la manière d’y faire face. Il s’inscrit dans le droit prolongement, pour sa dimension cyber, de la cyberstratégie du Département de la Défense, dont nous rappelons les principes :


Liste reconstituée à l’aide du document de synthèse « Fact Sheet : The Department of Defense (DOD) Cyber Strategy. April 2015 »[2]

L’article que nous proposons résume les principales lignes et argumentaires développés dans le document JOE 2035.

I - Les grands principes

Cette prospective se décline en quelques points clefs : mes relations entre les USA et leurs adversaires, actuels et futurs, prendront la forme de conflits ouverts, violents ; l’environnement et la forme de la guerre subiront des transformations qu’ils convient de préparer, accompagner, anticiper, tant sur les plans capacitaires qu’opérationnels. Les conflits auront pour cause et terreau des sociétés désorganisées, des Etats désireux d’en découdre pour imposer leurs normes aux autres nations (remettre en cause l’ordre du système international et s’y affirmer), les évolutions de la géographie humaine (« Human Geography »), ou le rattrapage technologique de certains acteurs qui leur permettra de défier les Etats-Unis (« Science, Technology and Engineering »). Les guerres seront plus complexes car leurs causes et enjeux interagiront, en rendant la lecture, la compréhension et la résolution plus complexes.  Dans un tel contexte la Défense a pour mission  de protéger les intérêts nationaux, d’éviter les conflits, de punir les agressions, de vaincre les adversaires.  La guerre en 2035 dépendra de 6 contextes majeurs :



II – Défense et cyberespace

2.1. Cyberespace souverain et non souverain : une frontière floue source de conflits

La distinction entre parties souveraines et non-souveraines du cyberespace est une problématique propre aux acteurs étatiques ; les acteurs non-étatiques quant à eux ne s’en soucient guère. Les Etats-Unis doivent défendre leur cyberespace souverain, et protéger l’utilisation du cyberespace non-souverain, en sa qualité de Global Commons. La frontière entre souveraineté et non-souveraineté pose problème dans le réel, ayant entraîné dans l’histoire de nombreuses guerres. La reconnaissance de la souveraineté des Etats s’inscrit dans un très long processus, nombreux étant les acteurs étatiques et non-étatiques à remettre en cause les souverainetés. Dans le cyberespace la problématique n’en est pas moins sensible. Il y manque des règles, des normes, et des conflits pour la définition et la reconnaissance des espaces souverains sont fortement probables. La Défense estime donc essentielle la définition des espaces souverains et communs, et leur distinction.

Le rapport précise que les Etats-Unis doivent « contrôler les parties essentielles du cyberespace (à la fois souveraines et non-souveraines) ». Il y aurait donc 3 niveaux à considérer :
-          la partie souveraine
-          la partie non-souveraine
-    et une partie à l’intersection des deux premières (ou les recoupant intégralement ?) qualifiée d’essentielle (« key parts »)


Cyberespace souverain
Cyberespace non-souverain (global commons)
Parties essentielles (key parts)
Modalité d’action étatique sur chaque partie
Défense
Protection
Contrôle
Implication du militaire
Oui
Oui
Oui
Moyens employés
Cyber et non cyber
Cyber et non cyber
Cyber et non cyber


La guerre pourrait à l’avenir résulter de la lutte que se livrent les Etats pour protéger leur souveraineté dans le cyberespace. Les probabilités de conflits seront d’autant plus élevées que le nombre d’Etats disposant de capacités militaires cyber ne cessera de croître.

2.2. Les intentions étatiques et les capacités militaires

Le cyberespace est un lieu de compétition, d’affrontement, au même titre que les autres « global commons », où les adversaires tentent d’accroître leur espace d’action. L’élargissement de l’espace d’action des Etats est visible sur mer et dans les airs (établissement de nouvelles zones d’identification de défense aérienne – « Air Defense Identification Zones », ADIZ), ainsi que dans l’espace (où de nouveaux Etats peuvent projeter leur puissance, ne laissant plus cette prérogative aux Etats majeurs, en exploitant des produits commerciaux tels que moyens d’observation, moyens de communication).
Le monde ne cesse d’évoluer, et ce qui semble le plus inquiéter les Etats-Unis ici, ce sont les nouvelles puissances qui veulent s’imposer dans le monde, déployant pour cela ne nouveaux arrangements politiques, économiques et sécuritaires. Les tensions viennent des divergences fondamentales sur des sujets essentiels comme la gestion des ressources naturelles, les droits de l’homme, les responsabilités dans les Global Commons (mer, espace, cyberespace). Les projets de puissance de nombre d’Etats qui veulent s’imposer dans le système international risquent de mener à des conflits (ces Etats seront tentés de recourir à la force pour s’imposer). Les luttes idéologiques violentes, par les réseaux identitaires construits dans le cyberespace, défieront à l’horizon 2035 l’autorité des Etats, les fondements (institutionnels, sociaux, culturels) pacifiques de l’ordre mondial.
La prochaine décennie, toujours selon ce rapport, devrait voir se multiplier les capacités et forces cyber étatiques, que les adversaires emploieront pour essayer de contourner la puissance militaire conventionnelle américaine et influencer les calculs politiques et militaires. Les Etats seront ainsi de plus en plus nombreux à disposer de capacités cyber ; ces capacités seront offensives ; permettront de perturber le fonctionnement de tout système connecté, ou celui des sites pour provoquer des désordres sociaux, saper la confiance et l’intégrité des données, mettre en place de la surveillance stratégique, de l’espionnage industriel et scientifique. Si le texte est écrit au futur (« states will have… in the future, state military … will increasingly use… attacks will work… »),  les modalités décrites sont bien celles du présent, et d’une situation appelée à s’inscrire dans la durée.
Dans la société post-moderne, le pouvoir sera exercé via les réseaux, mobilisant des masses d’individus connectés et poursuivant des objectifs communs, capables de remettre en cause la bureaucratie verticale. Dans ce contexte le militaire doit savoir manipuler les perceptions, les comportements et les décisions de ses cibles (en combinant narrations, techniques de communication stratégique, propagande… et cyberattaques).
Le texte déroule tous les scénarios possibles impliquant l’usage du cyberespace, des nouvelles technologies (big data, biométrie, surveillance, etc.) : la lutte contre le terrorisme, la lutte contre des mouvements insurrectionnels, attaques et guerre sur le sol même des Etats-Unis, conflits internationaux contre des ennemis puissants pouvant se prolonger sur plusieurs années, actions de paix (« peace enforcement operations »).  

Pour la défense américaine, les cyber-capacités sont donc une dimension incontournable. Les efforts que vont consentir les adversaires pour accroître les capacités nécessaires à leur domination, régionale ou globale, iront en priorité aux cyber-capacités. Car c’est par le biais du cyberespace que seront menées les attaques stratégiques (contre les infrastructures financières, énergétique, du pays), affirme la défense américaine. Ces capacités seront complétées, ou viendront compléter, les capacités exprimées en termes de missiles, navires, sous-marins, etc. Le cyber est le complément des moyens physiques de la force, de la puissance. Certains Etats sont en mesure d’intégrer les capacités de cyberguerre aux niveaux tactiques et opérationnels de la guerre (pour, par exemple, attaquer les réseaux militaires adverses pour gripper le fonctionnement des armées déployées sur les théâtres d’opération). La structure physique du cyberespace présente l’une des vulnérabilités essentielles des systèmes d’armes connectés, parce que cette structure peut être attaquée au moyen d’armes cinétiques, ou d’armes lasers, ou électromagnétique. Cet environnement de combat sera d’autant plus transformé et complexe que viennent s’ajouter des armes hypersoniques, des robots, des intelligences artificielles. Vulnérabilités structurelles du cyberespace, intelligence, tempo opérationnel et décisionnel accéléré, sont les ingrédients de ces modifications.

Les Etats n’auront pas tous la même approche du contrôle du cyberespace. La Chine continuera l’installation de barrières pour protéger les cyber-infrastructures critiques, mais aussi pour assurer un contrôle à l’intérieur (surveillance, contrôle des flux d’information, visant à limiter toute opposition). L’avenir devrait laisser place à plus de pratiques autoritaires (limitation d’accès, barrières vis-à-vis du reste du monde…) Le rôle des cyber-forces militaires consistera à assister les autorités nationales dans la délimitation et la défense des frontières nationales dans le cyberespace. Les cyber-forces de nombre de pays, notamment aux tendances autoritaires, tenteront de déstabiliser la cohésion sociale et politique de leurs adversaires. Les pays hostiles mèneront des opérations de propagande, d’influence des perceptions, des comportements, des décisions, à grande distance, et pour un coût peu élevé. Les pays étrangers pourront cibler leurs adversaires américains, en attaquant spécifiquement des responsables politiques, militaires, industriels, à l’aide d’opérations de guerre de l’information. Pour mener leurs attaques, les Etats disposent de nouveaux types d’armements que sont les  « cyber-armes », dépourvues du caractère cinétique des armes et qui sortent des critères traditionnels de la guerre interétatique. Ces armes ouvrent de nouvelles possibilités, de nouvelles modalités actions s’inscrivant entre la guerre et la paix.
Les opérations offensives, visant à préserver la souveraineté américaine, attaquée dans le cyberespace, recouvrent :
- des opérations d’identification, ciblage, capture voire élimination des cyberagresseurs ennemis (« kill adversary cyber operatives »)
- la destruction des capacités et infrastructures cyber adverses (via des frappes cinétiques combinées à des actions de guerre électronique et cyberguerre) Le rapport insiste à plusieurs reprises sur cette facette de la lutte contre les capacités cyber ennemies : les actions physiques contre la dimension physique, matérielle du cyberespace.
- Des actions menées sur les prises de guerre, que recouvre la formule « captured adversary networks », et sur lesquelles l’armée américaine pourra alors imposer des règles et son droit (contrôle de noms de domaines, accès, administration de systèmes clefs). 

Il est proposé ou envisagé de créer un parapluie ou bouclier cyber pour le Département de la Défense, une patrouille des cyber-frontières nationales, conjointement à un renforcement du renseignement (une approche globale renforcée), à la contribution militaire à des cyber exercices nationaux, ou encore au développement de réseaux renforcés (« hardened networks »). 

2.3. Les responsabilités de la Défense

La responsabilité de la protection des réseaux critiques, des infrastructures de communication, des serveurs, des systèmes financiers, sont des composantes de l’espace souverain américain. Les forces armées dans leur ensemble doivent contribuer à leur protection, pour faire face à des adversaires multiples. Cette responsabilité de la défense s’étend à la protection des partenaires et des alliés, notamment en vue de contribuer à la cyber-résilience. Pour atteindre cette dernière, l’effort doit être conjugué avec celui d’organisations civiles, d’Etats alliés, de partenaires internationaux, d’entreprises privées, voire de cyber activistes. L’armée ne doit pas réduire son action de support à la défense des intérêts souverains, mais le prolonger aux espaces communs. L’objectif est d’y défendre le principe de libre accès, et les intérêts nationaux. La difficulté dans ces global commons consiste à faire face à des acteurs asymétriques, non conventionnels, à des approches asymétriques.

Conclusion

Ce rapport décline tout un ensemble de termes et expressions dérivés du terme « cyber » (voir tableau ci-dessous). A l’aide de ce vocabulaire et de ces concepts, qui ne sont d’ailleurs pas définis dans le rapport, et ne le sont pas davantage pour la plupart dans le dictionnaire du département de la défense, il pose les bases de la place du cyberespace dans le conflit moderne, et de son rôle opérationnel et tactique.  
Nous retiendrons de ce document que le militaire américain :
- conserve, pour penser l’avenir du conflit, le prisme de la pensée clausewitzienne. En attestent les citations insérées dans le document, en introduction de la Section I (“The first, the supreme, the most far-reaching act of judgment that the statesman and commander have to make is to establish… the kind of war on which they are embarking”), ou encore dans la conclusion du rapport (“The primary purpose of any theory is to clarify concepts and ideas that have become, as it were, confused and 
insiste sur, ou rappelle l’importance de la matérialité du cyberespace, en s’attachant à désigner son infrastructure physique comme l’une de ses facettes les plus vulnérables.
- désigne la frontière entre cyber souverain (ce qui n’appartient qu’à nous) et commun (ce qui appartient à tous) comme l’un des points de friction clefs, car s’y retrouvent Etats et acteurs non-étatiques. Les conflits ne naissent donc pas de n’importe quelle part du cyberespace, de n’importe quelle action. Il est des lieux plus essentiels que d’autres. Mais dès l’instant où tous les Etats viendraient à définir des zones de cyberespace souverain, la conséquence n’en serait-elle pas, à terme et de facto, la disparition de toute zone commune ?


Cyber actions
Cyber activist
Cyber activities
Cyber advocates
Cyber border patrol
Cyber campaign
Cyber capabilities
Cyber coercion
Cyber commons
Cyber defenses
Cyber denial measures
Cyber deterrence
Cyber domain
Cyber effort
Cyber exercises
Cyber forces
Cyber infrastructure
Cyber law
Cyber operations
Cyber operatives
Cyber power
Cyber resiliency
Cyber revolution
Cyber rules
Cyber strategies
Cyber support
Cyber systems
Cyber techniques
Cyber umbrella
Cyber vulnerabilities
Cyber warfare
Cyber warfare capabilities
Cyber weapons
Cyberattacks
Cyber-attacks
Cyber-capable
Cyber-connected
Cyber-dependent
Cyber-enabled
Cyber-military
Cybersecurity
Cyber-security
Cyberspace
Cyberspace disruption
Cyberspace sovereignty
Cyberweapons
Tableau : Liste des mots clefs  (termes, expressions) de ce rapport, déclinant le terme « cyber »




[1] Joint Chiefs of Staff,  Joint Operating Environment – JOE 2035. The Joint Force in a Contested and Disordered World, Etats-Unis, 14 juillet 2016, 57 pages, http://www.dtic.mil/doctrine/concepts/joe/joe_2035_july16.pdf
[2] Fact Sheet : The Department of Defense (DOD) Cyber Strategy. April 2015, Etats-Unis, 2 pages, http://www.defense.gov/Portals/1/features/2015/0415_cyber-strategy/Department_of_Defense_Cyber_Strategy_Fact_Sheet.pdf

Monday, July 25, 2016

Guerre de l'information et politique

La Russie est soupçonnée d’être à l’origine du piratage qui a récemment touché le parti démocrate américain. Si l’attribution venait à être confirmée, nous aurions là l’illustration de l’affirmation suivante, extraite du récent rapport de la Défense américain « Joint Operating Environment – JOE 2035. The Joint Force in a Contested and Disordered World » : “cyber activities by foreign states and hacker groups are likely to be extremely personal as adversaries attempt to influence key U.S. political, business, and military leaders through targeted information warfare”.

Tuesday, July 19, 2016

Les maux de Pokemon Go

L’utilisation de cette application, à peine ouverte, fait déjà débat sur plusieurs points. Outre les risques habituels liés à l’addiction qu’engendre le jeu vidéo, Pokemon Go s’illustre déjà par des problèmes de sécurité :
-  l’application inaccessible durant le week-end du 16 juillet aurait été victime d’une attaque par déni de service lancée par les hackers OurMine[1]
l’application serait un véritable aspirateur de données personnelles[2]. L’application nécessite plus de permissions que nécessaire pour fonctionner. Ce qui est l’un des points communs de toutes ces applications ludiques, à installer sur les iPhone, iPad ou autres tablettes…  Ceci donne accès aux créateurs, distributeurs des applications accès à quantités de données techniques et personnelles, dont on ignore l’usage et la finalité (les revendent-ils, les exploitent-ils pour de nouveaux développements…) mais qui apparentent ces pratiques à celles de la surveillance massive étatique pourtant décriée. Au motif qu’il s’agit de jeux, les utilisateurs sont disposés à accepter des collectes de données qu’ils refusent aux acteurs de la sécurité étatique. Or ces pratiques de collectes par des acteurs privés relèvent bien des pratiques de surveillance massive.
- en téléchargeant l’application en dehors du site officiel, les utilisateurs téléchargent des malwares[3]. Ce phénomène n’est pas propre au jeu Pokemon.  
- En jouant à Pokemon Go l’utilisateur perd ses repères : à l’image de ce français détenu en Indonésie pour être entré dans une zone sécurisée (militaire)[4] alors qu’il jouait à Pokemon Go. Visiblement trop concentré sur son sujet, il ne s’était pas rendu compte qu’il pénétrait une zone militaire.
- La rencontre entre monde virtuel et réel n’est pas sans poser de problèmes : les imams turcs auraient demandé l’interdiction du jeu, au motif que les créatures virtuelles s’incrustent sur fond d’espaces publics, dont des mosquées, portant alors atteinte à la culture turque[5].

Saturday, July 16, 2016

Le Brexit peut-il avoir un impact sur la cybersécurité, au Royaume-Uni et ailleurs ?


Le 23 juin 2016 les britanniques étaient appelés à décider du sort de la présence du Royaume-Uni au sein de l’Union Européenne. Les résultats annoncés le 24 juin 2016 ont confirmé le succès des partisans du Brexit (52% contre 48%). Le 13 juillet, la conservatrice Theresa May était nommée premier ministre. Elle aura en charge la gestion de la procédure de retrait du Royaume-Uni de l’Union Européenne.
Bien avant les élections et leurs résultats, les analystes ont tenté de comprendre quels seraient à court, moyen et long terme, les effets de ce retrait tant pour le Royaume-Uni, que pour l’Union Européenne et le reste du monde, sur le plan économique, financier, commercial, ou encore social, migratoire[1].

Anticipant l’annonce des résultats, les chutes des indices boursiers ou de la parité de la Livre Sterling furent parmi les premiers effets. Suivit la baisse de la note accordée par Standard & Poor’s au Royaume-Uni. Suivit également une relativement courte période d’incertitude politique, les promoteurs du Brexit refusant de prendre alors le leadership du gouvernement.
Des interrogations doivent désormais être soulevées sur le sujet sécuritaire. L’un des arguments clefs des partisans du Brexit portait précisément sur la sécurité : quitter l’UE devait permettre au Royaume-Uni de retrouver son entière souveraineté et d’être ainsi mieux armé, ayant les mains libres, pour affronter le phénomène migratoire, défendre ses frontières, son espace national. Un peu comme si se retirer de l’UE protégeait des problématiques de la mondialisation, des effets de la globalisation.
Notre article pose la question plus particulière des effets du Brexit sur la cybersécurité, qui appelle des réponses très partagées, positives[2] chez les uns, ou au contraire pessimistes pour d’autres[3]. La cybersécurité est ici observée du point de vue économique (industrie, coût de la lutte contre la cybercriminalité), et politique (les perspectives du nouveau gouvernement, et les interactions entre les politiques nationales et le niveau international).

Effets du Brexit sur la cybersécurité : quelques points clefs à observer

1 – L’économie

1.1.          L’industrie 

Comme toutes les autres activités économiques, l’industrie de la cybersécurité, sera probablement soumise aux effets des transformations induites par le Brexit, que ce soit en raison des évolutions réglementaires au sein même du Royaume-Uni ou des modifications de la relation au marché unique. Quelques variables sont susceptibles de produire des effets :
-          l’industrie a pu bénéficier d’aides européennes, qui ne lui seront désormais plus accessibles. Pensons simplement aux subventions accordées par l’UE à la R&D par le biais des programmes cadres. Ces subventions feront autant défaut à l’industrie qu’à la recherche académique, et rien n’assure que le gouvernement britannique sache se substituer à ces sources de revenus conséquents.
-          l’industrie a profité des règles du marché unique et de la libre circulation des biens, des capitaux et des individus. Les restrictions qui s’appliqueront désormais constitueront autant de freins à cette liberté d’action, qui contribuait à alimenter l’industrie en ressources humaines (talents) notamment. Les restrictions rendent le Royaume-Uni potentiellement moins attractif.
-          L’attractivité du  marché et de l’industrie britannique sera pénalisée par l’augmentation des coûts qui va peser sur l’emploi et le commerce (nécessité de visas pour les étrangers, taxes, augmentation du coût des transactions avec les pays européens, etc.) [4] Si les entreprises actuellement localisées au Royaume-Uni décidaient de quitter le pays pour relocaliser leur activité ou leurs sièges dans l’Union Européenne, augmenterait alors le risque de pertes ou fuites de données. Les phases de licenciements et de réorganisations industrielles semblent en effet propices à de tels phénomènes[5].

Pour l’heure les entreprises ne paraissent pas avoir engagé de mouvement massif de délocalisation, relocalisation de leurs activités vers l’UE. Début juillet 2016 l’entreprise américaine KKR confirmait même sa décision d’investissement de 65 millions de dollars dans Darktrace, entreprise de cybersécurité créée à Cambridge en 2013. Cet investissement serait justifié, selon KKR, par la dimension internationale du marché de Darktrace[6], qui dispose par ailleurs d’implantations dans plusieurs pays.

Un haut fonctionnaire allemand rappelait récemment qu’en matière numérique, l’UE est fragmentée, composée de 28 (désormais 27) marchés distincts[7]. Le Royaume-Uni pourra donc continuer de prospecter les Etats européens individuellement à la recherche de marchés nationaux. La politique mise en place par les autorités britanniques depuis 2013, d’aide à l’exportation pour les entreprises de cybersécurité[8], se fixe pour objectif d’atteindre un chiffre d’affaire de 2 milliards de livres en 2016 et 4 milliards en 2020[9]. Les priorités géographiques définies dans le plan duUKTI (United Kingdom Trade & Investment) ne sont d’autre part pas européennes :
- les principaux marchés en 2011 étaient aux USA (31%), en Chine -19%), au Japon (10%), l’Inde 
- la stratégie d’exportation se focalisera sur les Etats du Golfe (où la France, l’Allemagne et les Etats-Unis demeurent les principaux concurrents du Royaume-Uni), le Brésil, l’Inde, la Malaisie[11]
sont considérés comme marchés déjà matures et de niche, les pays suivants : USA, Canada, Nouvelle Zélande, Australie, Japon, Chine, France, Allemagne, Pays-Bas, pays nordiques.
- des actions spécifiques seront ciblées sur ce que le rapport désigne « groupes non géographiques »,  à savoir l’OTAN, l’UE et les Nations Unies.

La stratégie commerciale du Royaume-Uni n’est donc pas axée sur l’UE si l’on s’en réfère à cette source. Elle serait essentiellement tournée vers les Etats-Unis, lesquels demeurent le principal investisseur dans le pays[12].

Les effets du Brexit pourront être visibles sur la capitalisation boursière des entreprises de cybersécurité britanniques.


Courbe de l’indice Nasdaq CTA Cybersecurity (NQCYBR) du 9 juillet 2015 au 9 juillet 2016.

L’indice CQCYBR (Nasdaq) a subi une baisse relativement faible et de courte durée suite au référendum sur le Brexit. La réaction est notable dès le 24 juin 2016 par une baisse de l’indice mais il  renoue avec une tendance haussière dès le 28 juin 2016. L’indice n’a pas décroché et demeure dans ses valeurs moyennes. Les évolutions des indices au cours des prochains mois pourront d’autre part avoir bien d’autres causes que le seul Brexit. 
Evolution de l’indice CQCYBR du 16 juin au 9 juillet 2016

Nous retrouvons cette même courbe[13] sur le site de  lISE Cyber Security® UCITS Index[14].   En annexe de cet article nous fournissons une liste indicative des principales entreprises britanniques de cybersécurité, dont l’avenir face au Brexit pourra être observé plus attentivement dans les prochains mois.

1.2.          Le coût de la lutte contre la cybercriminalité

La cybercriminalité aura pu se saisir de l’événement que constitue le Brexit : des hackers ont utilisé le terme « Brexit » pour leurs campagnes de spamming ou de phishing[15]. Mais au-delà de ce phénomène ponctuel, des perturbations structurelles, plus profondes, dans l’organisation des institutions et moyens de lutte contre la cybercriminalité, pourraient avoir un impact sur la cybersécurité. Le nouveau gouvernement va-t-il remettre en question l’architecture de cybersécurité étatique construite au cours des années passées ? Cela paraît peu probable à court terme. D’autres facteurs pourraient avoir des conséquences plus immédiates : la baisse de la monnaie britannique pourrait par exemple accroître le coût d’acquisition des solutions de cybersécurité.

 (baisse de la Livre Sterling à hausse coût des produits de cybersécurité à baisse des acquisitions de produits de cybersécurité à vulnérabilité accrue des systèmes des entreprises et de l’Etat)
+
(remise en question du partage d’information avec pays UE en matière de cybercriminalité à moins d’efficacité dans la lutte contre la cybermenace)
=
Hausse de la cybercriminalité au Royaume-Uni
Illustration : Quelques effets négatifs du Brexit sur la cybersécurité, du point de vue des anti-Brexit

2 – Politiques, stratégies : sécurité nationale et cybersécurité

2.1. L’interaction entre niveau national et international

Les partisans du Brexit sont convaincus de l’absence d’effet négatif sur la sécurité nationale, en raison du prima de la relation à l’OTAN d’une part pour les questions de défense[16], et d’autre part de la supériorité des initiatives nationales sur le niveau européen en matière de police et de justice par exemple[17]. Selon eux, être à l’intérieur ou à l’extérieur de l’UE ne changerait rien, parce que le niveau européen n’est définitivement pas celui où la sécurité se joue. D’autres ont une analyse radicalement différente, estimant que l’appartenance à l’UE est vitale pour la sécurité[18], car l’UE permet d’affronter les problématiques globales que les Etats seuls ne peuvent traiter. 
Si, effectivement, les politiques et stratégies de cybersécurité des Etats membres relèvent en priorité d’initiatives nationales[19], les niveaux européen et international n’en viennent pas moins interférer avec celles-ci.
La stratégie de sécurité nationale (publiée en 2010)[20] conditionne ainsi la sécurité et la défense du Royaume-Uni à l’existence de ses relations privilégiées avec les Etats-Unis, à son appartenance à l’Union Européenne ainsi qu’à l’OTAN ou encore au Conseil de Sécurité. L’alliance avec les Etats-Unis y est qualifiée d’alliance « clef », et la présence au sein de l’UE de « partenariat vital ».
La stratégie de cybersécurité de 2011[21] inscrit la coopération internationale au rang des moyens de lutte contre la cybercriminalité. Elle prévoit entre autre l’application de la convention de Budapest, de la directive européenne relative aux attaques contre les systèmes d’information, de la directive européenne sur la protection des données.
Le rapport d’avancement de la mise en œuvre de la stratégie de cybersécurité, publié en 2014[22], fait état de la contribution significative du Royaume-Uni dans la formulation d’une stratégie européenne de cybersécurité : « Le Royaume-Uni a soutenu avec succès la mise en forme de la stratégie de cybersécurité de l’UE, fournissant une base plus solide pour la coopération avec les autres états membres de l’UE »[23].
Le Brexit aura pour effet d’éloigner le Royaume-Uni de ce partenariat jugé jusqu’alors vital. Il n’aura en principe plus accès aux exercices de cybersécurité menés en Europe (comme par exemple l’exercice Cyber Europe qui entraîne les Etats membres à coopérer en cas de crise cyber). Il lui faudra donc privilégier le mode de relation bilatéral[24], qui prévaut d’ailleurs déjà en matière de cybersécurité entre les Etats, de façon générale, et s’appuyer sur ses relations spécifiques avec les Etats-Unis (sur le modèle de ce qui se pratique déjà, en matière de cybersécurité[25] et de cyberdéfense[26], et de renseignement entre la NSA, le FBI et le GCHQ ou le MI5)[27]. Selon Tim Edgar, chercheur au Brown University's Watson Institute, le retrait du Royaume-Uni signifie cependant la perte, pour les Etats-Unis, d’un allié proche et puissant au sein de l’UE, notamment sur les questions de renseignement, de cybersécurité et de contre-terrorisme[28]. Ce retrait pourrait selon lui avoir des impacts à long terme sur les alliances entre les Etats-Unis et de nombreux pays du monde.
Pour partager de l’information de cybersécurité et cyberdéfense avec l’UE, le Royaume-Uni pourra peut-être compter sur sa présence au sein de l’OTAN. En février 2016, l’OTAN et l’UE ont signé un accord[29] facilitant le partage d’information technique entre le NATO Computer Incident Response Capability (NCIRC) et le Computer Emergency Response Team - European Union (CERT-EU). Le Royaume-Uni devra également reconsidérer la participation qu’il avait jusqu’ici au sein d’Europol et du Centre Européen de Cybercriminalité (EC3)[30], organisations européennes de lutte contre la cybercriminalité[31].
En se retirant rapidement de l’UE, le Royaume-Uni n’aura pas à transposer dans son droit national la nouvelle directive NIS (Directive on security of network and information systems) adoptée par le Parlement européen le 6 juillet 2016 (et devant entrer en application en août 2016), qui vise à homogénéiser les capacités de cybersécurité des Etats membres[32] et à forger un cadre pour l’échange d’informations (les Etats membres disposent quant à eux de 21 mois pour transposer la directive dans leur droit national)[33]Mais il  devra se conformer à la nouvelle régulation européenne sur les données, la General Data Protection Regulation “GDPR” (règle qui devra s’appliquer à toutes les entreprises dans le monde, qui traiteront des données des citoyens européens).
Les changements induits par le Brexit s’apprécieront dans la manière dont le Royaume-Uni se positionnera sur les questions relatives à la protection des données, de la vie privée, à la cybercriminalité[34] ou encore à la cybersurveillance. 

2.2. Le nouveau gouvernement

La nomination d’un nouveau premier ministre aura très certainement des conséquences sur les choix politiques et stratégiques en matière de cybersécurité. Mme Theresa May, qui a pris ses fonctions de 1° Ministre le 13 juillet 2016, est partisane de choix radicaux, car selon elle vouloir établir et maintenir un équilibre entre le droit à la vie privée et la sécurité est impossible[35].  Priorité doit donc être donnée à la sécurité, et ce faisant tous les moyens d’action nécessaires attribués aux acteurs de la sécurité. La loi qui concrétise cette vision, Loi sur les compétences de l'instruction surnommée IP Bill ("loi IP"), a été adoptée en mars 2016 par le Parlement britannique. On dit donc de Theresa May qu’elle a été le promoteur de la loi sur la cybersurveillance britannique. La politique de cybersécurité du Royaume-Uni, durant la phase du Brexit, sera celle du parti conservateur, dont les grandes lignes sont les suivantes[36] :
 maintien des moyens alloués à la lutte contre la cybercriminalité, développement de la cyber-police, et recours à des réservistes, volontaires, pour seconder les forces de police (les « cyber specials » ou « iPlods »)
- maintien des investissements en cyberdéfense pour construire des armées flexibles, modernes
- renforcement des moyens de lutte contre le terrorisme sur internet, appelant à un développement des pratiques et moyens de cybersurveillance
- faire du Sud-Ouest du Royaume-Uni un centre d’excellence en cybersécurité (et plus généralement affaires militaires).
création de nouveaux hubs de R&D

Pour comparaison, rappelons les priorités définies par les autres partis politiques au Royaume-Uni en matière de cybersécurité[37] :
- tous les partis politiques conviennent, mis à part le parti écologiste, de la nécessité d’investir en cybersécurité et dans la lutte contre la cybercriminalité
- les verts veulent soutenir la politique européenne de protection des données en s’opposant à la privatisation et marchandisation des données personnelles ; ils veulent s’opposer à la 
- les travaillistes souhaitent renforcer les obligations pesant sur les entreprises, les infrastructures critiques, les contraignant à déclarer les cyberattaques subies ; construire la cybersécurité en s’appuyant sur les compétences industrielles du pays ; comme les libéraux-démocrates veulent déployer un internet, des réseaux très haut-débit sur l’ensemble du territoire ; soutenir des clusters de 
- les démocrates libéraux défendent le droit de chacun sur ses propres données ; focalisent leur action sur la question des données personnelles, en accordant aux individus, aux entreprises, aux administrations publiques, le droit de recourir à de la cryptographie forte ; entendent investir dans la cyberdéfense (capacités pour contrer les cyberattaques). Mais si les pratiques de surveillance doivent être strictement encadrées, les libéraux démocrates affichent la volonté de maintenir les investissements dans les agences de sécurité et de renseignement pour contrer les menaces de cyberattaques.

Au Royaume-Uni, la question de la cybersécurité semble faire désormais partie des débats politiques, tous partis confondus. Le sujet s’est politisé, et nul doute que les révélations d’E. Snowden  auront joué un rôle essentiel dans cette accélération de l’intégration du cyber aux considérations politiques.

Conclusion

L’expérience du Brexit sera pour l’UE au moins aussi riche d’enseignements que tout processus d’élargissement, révélant notamment sa capacité d’absorption des chocs. S’il a pu être avancé que l’appartenance à l’UE renforce la sécurité intérieure de ses membres (l’UE créerait, apporterait de la sécurité à ses membres)[38] d’autres avis estiment au contraire que l’UE est de peu d’effet sur la sécurité intérieure des Etats membres[39].  Par comparaison entre un avant et un après, le cas du Royaume-Uni sera riche d’enseignements sur ces questions sécuritaires. Un travail sur le long terme mérite d’être engagé dès à présent, afin d’observer les transformations sécuritaires induites par le Brexit, pour les trois niveaux que sont la situation du Royaume-Uni, celle de l’UE et celle du reste du monde.
En observant ce que perdront ou gagneront chacun de ces niveaux, nous comprendrons mieux les implications réelles de la construction européenne sur les enjeux de sécurité.
Le Brexit crée un précédent pour l’Union Européenne. Mais il rappelle aussi qu’en matière de relations internationales rien n’est figé. La configuration du monde il y a un siècle était fort différente de l’actuelle, et il est évident que celle de demain diffèrera tout autant. Les constructions politiques, les frontières, les rapports de puissance sont animés de mouvements incessants, dont le Brexit n’est que l’une des manifestations.

ANNEXE : entreprises britanniques de cybersécurité

La liste ci-dessous est extraite, le 11 juillet 2016, de la liste des 500 entreprises de cybersécurité les plus importantes dans le monde, identifiées par le site cybersecurityventures.com  
31 entreprises  « britanniques » seraient ainsi identifiées.

Rang dans la liste des 500 entreprises
Nom de l’entreprise
Secteur de Cybersécurité
8
Security & Risk Management Solutions
London, UK
10
Anti-Virus & Malware Protection
Abingdon, UK
12
Cybersecurity Risk Management
Surrey, UK
24
Cloud Enabled DDoS Mitigation
San Francisco CA
32
Cybersecurity Consulting & Advisory
London, UK
42
Cybersecurity Advisory Services
London, UK
67
IT Security & Compliance
St. Albans, UK
87
Data Encryption & Security
Milwaukee WI
89
PC, Mobile & IoT Security
London, UK
95
Cyber Risk Management
London, UK
129
Information Assurance Services
Manchester, UK
135
PKI, Access & Identity Management
Hagersten, Sweden
140
Endpoint Security
Cupertino CA
176
Privileged User Management
Berkshire, UK
179
Mobile Identity Management
Leicestershire, UK
191
Data Loss Prevention
Reading, UK
197
Risk Based Authentication
Wetherrby, UK
219
Cyber Intelligence Feeds
East Sussex, UK
250
Unified Threat Management
Leeds, UK
258
Mobile Device & Data Security
London, UK
298
Content Control & Inspection
Malvern, UK
301
IT Governance, RIsk & Compliance
London, UK
311
Cyber Threat Prevention
London, UK
314
Endpoint Security Software
Cheshire, UK
332
IT Governance, Risk & Compliance
Dublin, Ireland
350
Web Vulnerability Scanner
Kingston Upon Thames, UK
354
Web Application Security Testing
Knutsford, UK
358
Secure Mobile Gateway
London, UK
433
Cyber Consulting & Services
Farnborough, UK
449
Fraud Detection & Prevention
Chandler AZ
487
Two Factor Authentication
London, UK





[1] Vaughne Miller, « Exiting the EU : impact in key UK policy areas”, Briefing Paper, n°07213, 12 février 2016, 161 pages, House of Commons Library, http://researchbriefings.files.parliament.uk/documents/CBP-7213/CBP-7213.pdf
[2] « Cyber Brexit : the chance for a cybersecurity renaissance”, 25 juin 2016, site ThreatGeek, http://www.threatgeek.com/2016/06/cyber-brexit-the-chance-for-a-cybersecurity-renaissance.html
[4]  Agamoni Ghosh, India Ashok, “How will Brexit affect cybersecurity in the UK? What the experts are saying about leaving the EU”, 23 juin 2016, site International Business Times, http://www.ibtimes.co.uk/how-will-brexit-affect-cybersecurity-uk-what-experts-are-saying-about-leaving-eu-1567008
[5] Pierluigi Paganini, “Brexit’s effects on cyber security”, 7 juillet 2016, http://resources.infosecinstitute.com/brexit-effects-on-cyber-security/
[6] Simon Clark, «Despite Brexit, KKR Buys Stake in U.K. Cybersecurity Company”, The Wall Street Journal, 6 juillet 2016, UK, http://www.wsj.com/articles/despite-brexit-kkr-buys-stake-in-u-k-cybersecurity-company-1467830534
[7] Marco Mayer, Luigi Matino, “Cyber Defense and Cyber Security Policies in the UK and Germany », 5-6 mai 2015, 32 pages, http://www.rise.unifi.it/upload/sub/eu-conference--may-6_mayer.pdf
[8] UK Trade & Investment, “Cyber Security. The UK’s approach to exports”, avril 2013, UK, 24 pages, https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/275566/UKTI_Cyber_Security_Brochure.pdf
[10] UK Trade & Investment, “Cyber Security. The UK’s approach to exports”, avril 2013, UK, 24 pages, https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/275566/UKTI_Cyber_Security_Brochure.pdf
[11] page 14 et suiv. du rapport : UK Trade & Investment, “Cyber Security. The UK’s approach to exports”, avril 2013, UK, 24 pages,
[12] page 15 du rapport : HM Government, “A strong Britain in an age of uncertainty: the national security strategy”, octobre 2010, 39 pages, Londres,
[14] ISE – ETF Ventures, « Cyber Security », 2 pages,
[15] Chris Baraniuk, « Spike in Brexit email spam following referendum result”, BBC News, 5 juillet 2016, http://www.bbc.com/news/technology-36714384
[16] « The fact is that our security depends on NATO, not the EU, and if we leave the EU, we will be just as safe as we are now.” (Sir Edward Leigh (Gainsborough) (Con). Citation extradite de : “EU Withdrawal: effect on national security”, 18 avril 2016, https://hansard.parliament.uk/Commons/2016-04-18/debates/1604186000015/EUWithdrawalEffectOnNationalSecurity#contribution-1604186000098
[17] « National military and police intelligence networks are not dependent on the EU, though they may be enhanced by the EU, such as through Europol. Cooperation with other European security institutions is not determined by membership of the EU. […] Being in or out may have major effects on many areas of life, but national security is unlikely to be one of them, at least in the short term.” Professor David Galbreath, Professor of International Security, Associate Dean (Research). Citation extradite de : “Professor David Galbreath on: Security in, secure out: Brexit’s impact on security and defence policy”, 24 mars 2016, http://blogs.bath.ac.uk/iprblog/2016/03/24/professor-david-galbreath-on-security-in-secure-out-brexits-impact-on-security-and-defence-policy/
[18]In the areas of serious organised crime, counter-terrorism, money laundering and drugs and people trafficking, there is hugely fruitful EU-wide cooperation recognising the cross-border nature of the threats”. Citation extradite de : Mark Field, “Mark Field: Remaining in the EU is vital to our national security”, site conservativehome.com, 27 janvier 2016, http://www.conservativehome.com/platform/2016/01/mark-field-remaining-in-the-eu-is-vital-to-our-national-security.html
[19] Une étude de l’ENISA relative au partage d’information de cybersécurité, publiée en décembre 2015, relève essentiellement les pratiques d’échange à l’intérieur même des Etats, entre institutions collectant de la donnée de cybersécurité, sur les menaces, risques, attaques, croisant les approches sectorielles, favorisant le partage d’informations public-privé. L’étude ne dit rien des pratiques de partage d’information au sein même de l’Union Européenne. ENISA, « Cyber Security Information Sharing: An Overview of Regulatory and Non-regulatory Approaches”, décembre 2015, 64 pages, Grèce,
[20] HM Government, “A strong Britain in an age of uncertainty: the national security strategy”, octobre 2010, 39 pages, Londres,
[21] Cabinet Office, “The UK cyber security strategy. Protecting and promoting the Uk in a digital world”, novembre 2011, Londres, 43 pages,
[22] Cabinet Office, “The UK cyber security strategy. Report on Progress and forward plans”, décembre 2014, 24 pages, Londres,
[23] Page 16 du rapport.
[24] Pour les pays européens, les effets du Brexit s’apprécieront aussi de manière individuelle, l’intensité des relations avec le Royaume-Uni variant fortement d’un Etat membre à un autre. Une étude réalisée par Global Counsel en juin 2015, tentait d’apprécier le degré d’exposition de chaque Etat membre aux effets négatifs du Brexit (notons que ce rapport ne fait jamais mention de la cybersécurité). Les Pays-Bas, l’Irlande et Chypre constituaient alors le trio de tête des pays les plus exposés. Venait ensuite un groupe de  pays exposés de manière significative, puis un groupe caractérisé par des expositions ponctuelles (, pays) dans lequel on retrouve la France et l’Estonie ; enfin un dernier groupe à faible exposition.  La métrique utilisée s’appuie sur des variables économiques et financières essentiellement. Global Counsel, « Brexit : the impact on the Uk and the EU”, Juin 2015, 44 pages, https://www.global-counsel.co.uk/sites/default/files/special-reports/downloads/Global%20Counsel_Impact_of_Brexit.pdf
[25] - Robert Hutton, “UK. and U.S. banks plan joint cyber security attack test”, 16 janvier 2015, http://www.bloomberg.com/news/articles/2015-01-16/u-k-and-u-s-banks-plan-joint-cyber-security-attack-test
-   US, UK plan cyber ‘war games’ to boost defense against hackers”, site RT.com, 16 janvier 2015,  https://www.rt.com/usa/223175-usa-uk-cyber-war-games/
[26] Voir le annexes 3 et 4 du document suivant : Cabinet Office, « 2010 to 2015 government policy : cyber security », Policy Paper, 8 mai 2015, Londres,  https://www.gov.uk/government/publications/2010-to-2015-government-policy-cyber-security/2010-to-2015-government-policy-cyber-security#appendix-6-promoting-economic-growth-in-the-cyber-security-sector
[27] The White House, « US – United Kingdom cybersecurity cooperation”, 16 janvier 2015, Etats-Unis, https://www.whitehouse.gov/the-press-office/2015/01/16/fact-sheet-us-united-kingdom-cybersecurity-cooperation
[28] Watson Institute for International and Public Affairs, « Tim Edgar explains the security implications surrounding the Brexit vote”,  video, https://www.youtube.com/watch?v=nCtDNEdEAdc
[29] Press Release, « EU and NATO increase information sharing on cyber incidents”, 10 février 2016, Bruxelles, http://www.eeas.europa.eu/statements-eeas/2016/160210_01_en_en.htm
[30] European Cybercrime Centre
[31] http://resources.infosecinstitute.com/brexit-effects-on-cyber-security/
[32] L’association BSA publiait en 2015 une étude comparant le niveau de maturité en cybersécurité des pays de l’UE, appuyant cette comparaison sur un ensemble de critères (toujours teinté de subjectivité), tels que les fondements juridiques, l’existence d’entités opérationnelles, de mesures de partenariat public-privé, de plans spécifiques à la cybersécurité, et de formation. 25 items sont considérés. Le Royaume-Uni satisfait 16 de ces items (11 pays répondant à plus de 12 items ; 17 pays à moins de 12 items) et se situe donc plutôt dans la catégorie des bons élèves, aux côtés de l’Autriche, la République Tchèque, l’Estonie, la Finlande, l’Allemagne, l’Italie, la Lettonie, les Pays-Bas, l’Espagne. BSA, « EU cyberecurity dashboard”, 2015, Washington, 20 pages,
[33] “The Directive on security of network and information systems (NIS Directive)“, https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive
[34] David Fidler, “The implications of Brexit on UK cyber policy”, 28 juin 2016, site Net Politics, http://blogs.cfr.org/cyber/2016/06/28/the-implications-of-brexit-on-uk-cyber-policy/
[35]« GB: la secrétaire d'État à l'Intérieur favorable à la surveillance des services secrets », 11 juin 2015, https://fr.sputniknews.com/international/201506111016523667/
[36] - “The next five years of Cyber Security”, https://www.templarexecs.com/the-next-five-years-of-cyber-security/
- Mike Hine, « UK General Eection 2015: what the major parties promise on security”, site infosecurity, article non daté, http://www.infosecurity-magazine.com/news-features/uk-general-election-2015-security/
[37] Ces constats sont repris d’une courte analyse publiée sur le site ncchroup  (« How do the UK’s political parties view cyber security? », mai 2015, https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2015/may/how-do-the-uks-political-parties-view-cyber-security/) et sur le site http://www.infosecurity-magazine.com/news-features/uk-general-election-2015-security/
[38] - Bartosz Sklodowski, « The membership in the EU and the internal security of Poland. Benefits, Costs, Perspectives”, 27 pages, http://en.oapuw.pl/wp-content/uploads/2013/03/Sklodkowski-B-The-membership.pdf
- Carmen Stoian, « The Benefits and Limitations of European Union Membership as a Security Mechanism”, 29 pages, https://kar.kent.ac.uk/3139/1/paper_jei.pdf
- Márton Csanády, Csaba Törő, « The Effects of EU Membership on Hungarian Foreign and Security Policy Perspectives, Perceptions and Practices – A Brief Impact Assessment”, Foreign Policy Review, 2013, 19 pages, http://kki.gov.hu/download/5/3a/c0000/FPR_Beliv_003.pdf
- “Row as ex-intelligence chiefs say EU membership protects UK security”, BBC News, 8 mai 2016, http://www.bbc.com/news/uk-36239741
[39] "The union is not a natural contributor to national security of each of the entity states and in some ways gets in the way of the state providing security for its own citizens." Citation extraite de l’article: “EU membership 'sometimes gets in the way' of national security, says ex-CIA chief”, Heraldscotland.com, 25 mars 2016, http://www.heraldscotland.com/news/14384423.EU_membership__sometimes_gets_in_the_way__of_national_security__says_ex_CIA_chief/?ref=rss