Entre stratégie US de lutte dans le cyberespace et fuite de données

Enfin. Après des mois d’attente, le DoD, le ministère américain de la Défense, vient de dévoiler (le 14 juillet) sa stratégie de lutte dans le cyberespace. A télécharger ici. C’est évidemment la version déclassifiée du document.

Le cyberespace y est officiellement désigné comme un espace à part entière (comme l’air, la terre, la mer ou l’espace).

Though the networks and systems that make up cyberspace are man-made, often privately owned, and primarily civilian in use, treating cyberspace as a domain is a critical organizing concept for DoD’s national security missions. This allows DoD to organize, train, and equip for cyberspace as we do in air, land, maritime, and space to support national security interests.

La stratégie US (19 pages) se décline en 5 initiatives stratégiques.

La stratégie US met en avant, dans un premier temps, l’amélioration de ses défenses contre les cyber-attaques. Le DoD vise à mettre en place un système de défense dynamique qui passera par l’amélioration de sa “cyber-hygiène” en suivant les bonnes pratiques en matière de cyber-sécurité et par une amélioration gobale de sa capacité de prévention, de détection, de communication et de gestion des tentatives d’intrusions sans ses systèmes et réseaux militaires.

The implementation of constantly evolving defense operating concepts is required to achieve DoD’s cyberspace mission today and in the future. As a first step, DoD is enhancing its cyber hygiene best practices to improve its cybersecurity. Second, to deter and mitigate insider threats, DoD will strengthen its workforce communications, workforce accountability, internal monitoring, and information management capabilities. Third, DoD will employ an active cyber defense capability to prevent intrusions onto DoD networks and systems. Fourth, DoD is developing new defense operating concepts and computing architectures. All of these components combine to form an adaptive and dynamic defense of DoD networks and systems

A noter que les personnels militaires sont considérés comme la première ligne de défense du DoD. Une véritable culture de la sécurité informatique doit animer les utilisateurs pour limiter le risque d’intrusions externes et internes.

People are the Department’s first line of defense in sustaining good cyber hygiene and reducing insider threats.

La stratégie insiste également sur la nécessité pour le DoD de travailler en étroite collaboration avec les autres agences gouvernementales américaines mais également avec le secteur privé car la cyber-sécurité est un challenge qui concerne tous les secteurs de l’économie américaine et qui va au-delà des administrations publiques. Le traditionnel refrain sur l’importance du partenariat est bien présent. On notera que le DoD insiste sur les risques liés à la délocalisation des entreprises de haute technologie américaines (hardware et software).

Many U.S. technology firms outsource software and hardware factors of production, and in some cases their knowledge base, to firms overseas. Additionally, increases in the number of counterfeit products and components demand procedures to both reduce risk and increase quality. Dependence on technology from untrusted sources diminishes the predictability and assurance that DoD requires, and DoD will work with DHS and its interagency partners to better identify and address these risks.

La 4ème initiative stratégique de ce document revient sur l’effort qui devra être fait en matière de collaboration internationale à travers notamment des échanges d’informations avec ses alliés afin de renforcer leur capacité de dissuasion collective (mais également de légitime défense ?).

In support of the U.S. International Strategy for Cyberspace and in collaboration with its interagency partners, DoD will seek increasingly robust international relationships to reflect our core commitments and common interests in cyberspace. The development of international shared situational awareness and warning capabilities will enable collective self-defense and collective deterrence.

Enfin, la stratégie s’intéresse aux ressources humaines et à l’innovation. Le DoD se porte en catalyseur des ressources scientifiques américaines en matière de nouvelles technologies et d’innovation considérée comme indispensable pour garantir la sécurité nationale. La formation et le recrutement de personnel spécialisé en cyber-sécurité devient une nouvelle priorité. Les temps sont durs, le personnel qualifié et de qualité est rare. La concurrence entre secteur privé et administration est rude. A note que nous rencontrons le même problème en France. Nous avons un manque criant de personnel spécialisé en sécurité informatique.

The development and retention of an exceptional cyber workforce is central to DoD’s strategic success in cyberspace and each of the strategic initiatives outlined in this strategy. DoD will assess its cyber workforce, requirements, and capabilities on a regular basis. The development of the cyber workforce is of paramount importance to DoD.

La conclusion est sans équivoque. Le cyberespace est devenu un facteur clé de la sécurité nationale américaine. Les cyber-menaces et autres cyber-attaques sont devenus le quotidien du Pentagone qui se doit de faire face à ces nouvelles menaces en s’adaptant et en se transformant de plus en plus rapidement. Les cycles de vie militaires traditionnels (à5 ou 7 ans) sont dépassées par le cyberespace où tout évolue très rapidement : les menaces, les technologies, les compétences…

Une fuite de données pour illustrer tout cela

Quoi qu’il en soit la publication de cette stratégie tant attendue a été accompagnée par l’annonce d’une importante fuite de données concernant… des documents militaires classifiés américains. Le Pentagone a révélé que 24 000 documents sensibles avaient été volés par… un gouvernement étranger en mars dernier via une intrusion sur les ordinateurs d’une entreprise de défense.

Difficile de ne pas faire le lien encore une fois avec le piratage de RSA qui a eu lieu au même moment. L’affaire Lockheed Martin avait ensuite confirmé les soupçons qui pesaient sur le rôle des token RSA dans cette attaque. D’autres rumeurs suggéraient que d’autres entreprises avaient été impactées par des intrusions exploitant le piratage de données concernant SecurID. Northrop Grumman faisait partie des potentielles victimes. Doit-on y voir un lien avec cette dernière révélation de fuites de données ? Les données volées concerneraient un projet d’arme encore secret qui nécessiterait d’être re-développé .

The United States may be forced to redesign an unnamed new weapon system now under development – because tech specs and plans were stolen from a defence contractor’s databases.

Pour en savoir plus :