J’ai lu « La cybersécurité » de Nicolas Arpagian. Le livre est très bien écrit et se lit facilement. Le plan est limpide. Cela faisait peut-être 20 ans que je n’avais pas lu un Que-sais-je ? Le dernier doit certainement être La veille technologique de Daniel Rouach. Voici quelques notes de lecture. Loin d’être un résumé ou une synthèse, ce billet est plus proche de la prise de notes de quelques détails que je voulais retenir :
Chapitre 1 : Définition et historique de la cybersécurité
L’auteur commence par un rappel de la création d’internet. Cela ne fait jamais de mal, et chaque auteur a sa vision et apporte des éléments nouveaux. J’ai bien aimé le rappel de l’association étroite entre les sphères politiques, économiques et militaires. Nicolas rappel que Marissa Mayer, alors PDG de Yahoo ! reconnaissait en 2003 que « désobéir à la NSA serait comme un acte de trahison ». Citation à garder …
En introduisant les notions de cyberguerre et de cyberterrorisme, l’auteur rappelle qu’Internet incarne parfaitement le principe des conflits dits asymétriques. Les parties prenantes n’y sont pas nécessairement de même nature juridique ni de même taille.
Chapitre 2 : Les attaques sur les réseaux informatiques et téléphoniques
Parmi les éléments qui m’ont intéressé, il y a le rappel des solutions d’interception de la NSA. Keith Alexander, patron de 2005 à 2014, a donné la consigne « il me faut la totalité des données ». Le ton est donné ! Le programme UPSTREAM, complémentaire de PRISM, vise à collecter les données directement sur les câbles sous-marins.
Chapitre 3 : Les attaques informationnelles
Puissance de Google
L’auteur présente un élément intéressant sur la puissance de Google. Une étude de l’Université de Notre Dame publié en 2009 assure qu’il y a une corrélation entre le nombre de recherche sur Google d’une entreprise commerciale et les performances boursières court terme de celle-ci. (pour avoir d’autres exemples de ce type, on pourra lire mes notes sur le livre de Seth Davidovitz)
Dans la partie sur la « mémoire collective » l’auteur insiste sur la souveraineté des données. Internet est un outil à double tranchant : « A aucun moment dans l’Histoire, les activistes de tous bords n’ont eu accès à une telle capacité de production et de diffusion de leur vérité. Sans filtre éditorial préalable ni barrière financière à l’entrée ».
La propriété des données fait débat. Si on connait tous l’histoire de la revue Le Tigre qui a diffusé la vie de Marc L, un internaute vivant près de Bordeaux, on sait sans doute moins que le site néerlandais d’information De Correspondant a ouvert en février 2005 une boutique en ligne éphémère où il a commercialisé des tasses sur lesquelles figuraient des photos d’enfants postées par leurs parents sur Flickr (p59).
Il rappelle les amendes reçues par Google, et mentionne deux structures (que je ne connaissais pas) Open Internet Project et Fair Search.
Clairvoyance d’Orwell
Et comme il le rappelle, la clairvoyance d’Orwell est toujours utile : « Celui qui contrôle le présent, contrôle le passé Et celui qui contrôle le passé, contrôle le futur ». Nicolas continu : « Gardons-nous de confier notre patrimoine numérique commun à des prestataires qui pourraient occulter ou survaloriser des données au détriment de l’intérêt général. Et de la réalité historique. La qualité de notre futur en dépend ».
Bien sûr, le thème central est la cybersécurité.
– Il rappelle par exemple la performance du chercheur argentin Cesar Cerrudo qui a démontré « comment il était en mesure de prendre le contrôle des feux rouges avec des moyens techniques assez limités. »
– Il rappelle le site INSECAM qui donne accès à 70 000 caméras de surveillance mal sécurisées.
Les parties prenantes de la cybersécurité
Le Chapitre 4, sur Les parties prenantes de la cybersécurité est particulièrement intéressant. Il liste tous les acteurs (Etats, organisations internationales, …) engagés dans la cyber.
Le chapitre suivant présente les modèles d’organisation selon les pays.
– Concernant la France, il rappelle notamment que nous disposons depuis 1986 d’une délégation interministérielle pour la sécurité des systèmes d’information. Point de départ d’un investissement qui aujourd’hui échoit à l’ANSSI.
– Concernant les États-Unis, il rappelle à nouveau l’étroite collaboration entre le privé et le public. Ainsi, sous la présidence d’Obama, les dirigeants de Google se sont rendus à la Maison Blanche 427 fois ! Sachant qu’une année comporte 365 jours, je vous laisse faire le calcul !
– Concernant l’Allemagne, il rappelle que le BND a de longue date partagé avec la NSA ses interceptions. Au passage il glisse que le BND participait à l’espionnage des dirigeants politiques et économiques français.
Nicolas conclut, et on ne peut qu’être d’accord avec lui, qu’il convient « de diffuser une culture de la cybersécurité auprès de l’opinion publique non pas pour transformer chaque citoyen en informaticien, mais bien pour en faire un consommateur de technologies responsable, conscient de l’ampleur de la menace potentielle et de la valeur de l’information ».
A lire !
Jérôme Bondu
Auteur de « Maîtriser Internet, … avant qu’internet ne nous maîtrise » Editions Inter-Ligere
Directeur du cabinet de conseil en Intelligence Economique Inter-Ligere.fr