FIC, sixième édition, troisième période. Après des débuts confidentiels réunissant quelques enquêteurs Ntech et spécialistes de la sécurité des S.I. dans l’enceinte spartiate d’une caserne, après quatre ans de lente maturation, d’ouverture au monde industriel et politique, le Forum International de la Cybersécurité entame peut-être son âge de raison, celui de la confrontation des idées et de l’opposition des opinions. Oubliées, les visions manichéennes des hordes de Black Hat Russo-Chinois égorgeant nos fils réseau et nos campagnes marketing. Depuis, l’affaire Snowden et l’ombre de la NSA sont passées par là. D’hypothétique, le danger et le risque sont devenus tangibles, la grande peur de l’an 2013 a frappé, les politiques ont réagi en promulguant lois sur lois et conseils avisés et recommandations officielles. Peu étonnant donc de d’entendre, à l’occasion de la séance plénière, Jeremy Zimmermann (la Quadrature du Net), affirmer l’échec de cette cybersécurité, focalisée plus sur les systèmes que sur l’humain. « Il faut replacer le citoyen au centre des politiques de cybersécurité, lui offrir des outils de protection qui ne soient pas biaisés, des outils open-sources pouvant assurer précisément cette sécurité de bout en bout. Face à lui, Patric Pailloux, encore Directeur de l’ANSSI pour quelques heures (il sera nommé Directeur Technique de la DGSE avant que ne s’achève le FIC) et le général Watin-Augouard de la Gendarmerie Nationale, qui représentaient et défendaient une position plus conservatrice, plus organisationnelle, dans la droite ligne du « back to basics » et de la logique de la LPM. Le général insiste sur la nécessaire mutation d’une sécurité capable de mieux anticiper les menaces, attitude d’autant plus nécessaire que ne s’étend l’emprise de l’Internet des objets.
Une logique des conseils fondamentaux contestée par les interventions assassines de David Lacey, (IOActive) : « la cybersécurité ne peut être une suite de recettes normatives, d’applications dogmatiques de contrôles de conformité. La religion de la « compliance » nous fait perdre de vue que la sécurité des S.I. est une mission qui demande énormément de réactivité, d’anticipation » dit en substance Lacey. C’est là la seule recette selon lui pour espérer contrer les attaques polymorphes et l’inventivité constante des cyber-attaquants. Il faudra un électrochoc, un « 11 septembre numérique » pour que les professionnels puissent s’en rendre compte ? S’interroge Lacey. Il faudrait alors que le coup soit très dur, si l’on en jure les réactions apathiques des différents gouvernements d’Europe après les révélations Snowden. Le discours n’est pas nouveau, la cybersécurité se soldera par un échec cuisant tant que ces trois visions ne se combineront pas : approche normative et technique, respect, confiance et protection de l’élément humain, analyse et anticipation des renforcements de défense à géométries variables. Reste l’équation à n inconnues de l’Internet des objets, cette course au raccordement IP à tous prix sous prétexte de développement commercial et d’économie d’échelle. Elle oppose les nécessités d’une diffusion à grande échelle de mécanismes aux configurations souvent figées, produits rapidement pour répondre aux demandes du marché, directement connectés à des serveurs (dont certains d’importance sinon vitale, du moins d’indéniable nécessité). Il y a là ce que les politiques appellent un « défi », les responsables sécurité « de l’inconscience », les opérateurs de services « une hâte injustifiée » et les acteurs du monde des affaires « une opportunité à ne pas manquer ». Cyberdéfense et consumérisme ne signifient pas tout à fait la même chose selon les visions à court ou long terme des différents intéressés.
Certains points continueront, sans le moindre doute, à tirailler les différents partis. La défense de l’Open Source si chère à Jeremy Zimmermann, par exemple, qui s’oppose à la signature du récent accord-cadre entre Microsoft et l’armée Française (surtout à la lumière du programme Prism de la NSA). Mais le ver du doute est dans le fruit. A la question-sondage « la cybersécurité est-elle un échec ?», la grande majorité des personnes assistant au FIC ont répondu « oui ». Une assistance composée de gendarmes, de policiers, de responsables de collectivités locales et d’entreprise, bref, un public que l’on peut difficilement accuser de défaitisme et d’esprit frondeur.
1 commentaire