La Maison Blanche, tout comme le Pentagone, multiplient ces temps-ci les études, plans, communiqués et perspectives stratégiques relatifs à l’organisation d’une défense des infrastructures informatiques (tant nationales qu’appartenant à de grands organismes privés). L’on parle même de « riposte » du côté des militaires. Trois documents sont à lire avec attention, véritables « normes ISO » de la sécurité informatique d’Outre Atlantique. A commencer par « Les 20 points de contrôle et métriques les plus importants pour une cyberdéfense efficace et une conformité Fisma » (Fisma pour Federal Information Security Management Act). L’on y apprend comment les CISO et responsables d’entreprises peuvent collaborer activement à cet « effort de défense passive », notamment en se tenant informé des alertes et communications diverses (alertes du Cert, classifications CVE, CPE, CWE etc) et en respectant les règles de conduite du Nist. La description de la structuration des équipes « sécurité » des infrastructures militaires et de celles des entreprises civiles sous-traitantes, ainsi que les procédures « point à point » d’assainissement d’un réseau informatique et d’entrainement des équipes d’intervention méritent à elles seules la lecture de ce rapport. De l’éradication des équipements et logiciels non référencés à la configuration des postes de travail, serveurs et équipements de commutation, en passant par le paramétrage des applications, l’analyse des logs, les tests de vulnérabilité… tout ceci a des relents de BS7799.
Richard Bejtlich va plus loin encore et commente 4 pages Powerpoint décrivant la Comprehensive National Cybersecurity Initiative (CNCI). C’est là une sorte de défilé du 14 juillet, où s’alignent les chars et les avions de cybercombat capables de protéger et défendre les Etats Unis contre une éventuelle répétition des récentes « cyber-attaques » Chinoises qui ont touché plusieurs pays occidentaux. Tout ceci, explique l’auteur du Tao de la Sécurité, se résume en une phrase : « Expect greater military involvement in defending private sector networks ». C’est tout de même ce que l’on avait crû comprendre à la lecture du premier document. Toute la question est de savoir dans quelle proportion interviendra le bras armé de l’Etat et ce que cette armée considèrera elle-même comme une menace lui donnant droit d’agir, voir de riposter.
Armée, cyberdéfense et plus si affinité. Dans un long article publié dans IANewsletter, le Colonel John “Buck” Surdu et le Lieutenant Colonel Gregory Conti posent la question « Army, Navy, Air Force, and Cyber—Is it Time for a Cyberwarfare Branch of Military »? L’Air Force, expliquent-ils, s’est constituée au lendemain de la seconde guerre mondiale, lorsqu’il est apparu que la guerre aérienne avait radicalement changé les tactiques de combat et la physionomie des champs de bataille. Aujourd’hui, il en va de même dans le domaine informatique, dont l’importance stratégique n’est plus à démontrer. Alors, pourquoi pas un corps constitué qui s’appellerait US-Bug Force, qui irait, la fleur au disque dur, combattre l’ennemi au côté de l’Army, de la Navy et de L’Air Force ? Et de tirer à boulets rouges (ou à coup d’obus-flèche, soyons moderne) sur le fait que les civils possèdent déjà un tel corps, la NSA, mais que ledit corps n’est pas du tout adapté à la vie militaire. C’est un problème culturel, affirment les auteurs. « Ne nous trompons pas, nous sommes déjà engagés dans une forme de cyber-guerre froide. Il nous faut dès à présent entrainer nos troupes à essuyer un feu informatique sur nos propres structures », à coordonner les efforts entre les différentes armes en fonction de leurs compétences internes en la matière, concluent en substance les deux auteurs.