huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Comprendre les conflits : une nouvelle polémologie > Affrontements, stratégies et images
Cybersécurité I
La cybersécurité est-elle une question politique par nature ?
C'est, en tout cas, un préoccupation croissante des États qui, dans le cadre d'une stratégie de "homeland security" ou de "sécurité globale" comme dirait notre livre blanc, font de plus en plus de place à ce thème, que ce soit pour leurs citoyens, leurs entreprises et pour l'appareil d'État lui-même (armée et infrastructures dites vitales en tête). 

Un Bien Commun

Il semble logique que le souverain assure à ses citoyens, à son système économique et à sa propre infrastructure la même garantie contre des dangers qui se manifestent dans le monde réel mais par la médiation du monde virtuel que contre les périls plus anciens qui ont toujours pesé sur la vie, l'intimité, la possession paisible et l'exercice régulier de droits par l'individu, ou l'acteur économique etc. : crime, guerre violence, contrainte, désordres... Laissons pour le moment de côté la question de savoir si c'est bien à l'État de nous assurer ces biens ou si l'auto-organisation des cybercitoyens ne serait pas plus efficace.
Notons  seulement à ce stade que ledit État, garant à tort ou à raison de la cybersécurité, n'est pas le moins menacé par des atteintes numériques à sa capacité militaire, à sa souveraineté, à ses intérêts essentiels, par la contrante terroriste ou politique ou par le risque des dommages graves portant sur ses intérêts vitaux.
Récemment, Mme Hillary Clinton avait même rangé le "droit de se connecter" et notamment de s'exprimer en dépit de la cybercensure au nombre des droits de l'homme. Sans aller jusque là, il semble logique de raisonner par analogie avec les libertés et garanties civiles fondamentales.
Oui, le contrat social nous donne droit à la possession paisible de nos biens légitimes, qu'il s'agisse de biens matériels ou moraux telle notre liberté ou notre réputation et ils peuvent être menacés par des actions délibérées menées à travers le cyberespace comme ils peuvent l'être par des criminels en chair ou en os ou des acteurs économiques et politiques "dans la vraie vie".
Pour le dire en sens inverse, les principes généraux de sûreté s'appliquent aussi dans le cyberespace et le citoyen peut attendre de la Cité qu'elle le mette à l'abri de la crainte, de la contrainte ou d'une privation brutale ou par tromperie. Ceci vaut que ce soit derrière son écran ou dans la rue.
Il est donc licite d'envisager une définition négative de la cybersécurité : absence de dol, violence, menace, garantie contre des périls de perte ou de contrainte qui excèdent les dangers de la vie ordinaire et qui sont d'ailleurs délibérément produits dans le cybermonde par des gens qui usent d'une arme toute particulières : une connaissance technique.

Sécurité et confiance

Mais la cybersécurité pourrait aussi être considérée comme un état enviable auquel il faut tendre. Non seulement les particuliers et les entreprises seraient protégés, mais aussi cela instaurerait un cycle positif de confiance, lui-même générateur de croissance économique, de progrès, de nouvelles possibilités intellectuelles, culturelles et autres, voire de nouvelles libertés. Bref, la sécurité garantirait le développement de potentialités positives liées au binôme numérique plus réseaux.
Cette confiance positive est la condition de toute vie sociale - numérique ou pas - Nous ne saurions vivre sans un minimum de confiance
- dans des dispositifs et mécanismes techniques ou institutionnels (le courrier va bien arriver à l'heure, les salaires seront payés, les trains rouleront, la monnaie conservera sa valeur, le policier au feu rouge ne va pas racketter l'automobiliste, etc.)
- dans les gens en général et leur comportement "normal" (globalement : ils sont bien ce qu'ils prétendent être, ils vous donnent des informations exactes et sont de bonne foi, ils ne vous agressent pas brusquement, leur conduite en société est à peu près normée et régulière)
- dans l'avenir (nous pouvons faire des projets pour nos vacances ou notre retraite, cette entreprise ou cette institutions fonctionneront encore dans deux ans)
- donc au final en soi-même et dans le comportement que l'on doit adopter pour atteindre ses objectifs sauf accidents de la vie.

Or toutes ces "confiances" symptômes ou conséquences de la sécurité sont par nature fragiles et menacées dans le cybermonde.
Les mécanismes de régulation et les dispositions psychologiques qui assurent la prévisibilité d'événements, de dispositifs, de gens, de relations sociales, etc. sont plus fragiles dans un monde où tout se passe par échange de signes et implique l'intervention de machines distantes.

Pour qu'il y ait cybersécurité, il faudrait donc que les acteurs légitimes puissent conserver durablement un certains droits et de biens sans craindre que, demain, une nouvelle cyberattaque ou une nouvelle escroquerie, un nouveau virus ou une nouvelle application "tueuse", un nouveau groupe de pirates, une officine ou un service d'État ne réduise à rien leur sûreté.

Biens et vulnérabilités

Il s'agit de conserver :

- des biens et des droits : ils peuvent être monétaires (p.e. le fameux vol de carte bleue sur la Toile), patrimoniaux (droits intellectuels ou autres) mais ils se présentent très souvent comme des secrets ou des connaissances garanties par des secrets (tel celui d'un mot de passe). Nous ne voulons pas que nos dossiers médicaux, nos opinions politiques, nos photos intimes, nos loggins et mots de passe soient sur la place publique. L'entreprise ne veut pas que ses données confidentielles, ses contrats, le résultat de sa recherche et développement ou ses plans stratégiques soient communiqués à ses concurrents. Le gouvernement ne veut pas que le secret d'État ou le secret militaire ou des millions de documents classifiés soient accessibles, etc..

- le contrôle de machines et dispositifs. Nous voulons que nos ordinateurs fonctionnent, que nos archives soient disponibles et non altérées, que les messageries soient accessibles au moment demandé, que les données représentant la réalité et sur lesquelles nous prenons nos décisions soient exactes et non faussées. Bref, il faut que le système fonctionne au moment voulu.

- la représentation. Ici, nous entrons dans le domaine plus sensible où la sécurité touche à l'opinion et à ce que serait une opinion vraie ou juste qu'il faudrait encourager ou les représentations faussées et dangereuses dont il faudrait empêcher la circulation. Mais nous ne connaissons aucun partisan du "il est interdit d'interdire" qui pousse ce principe jusqu'au point où il accepterait d'être diffamé sur la base d'images truquées, de voir circuler des photos pédo-pornographiques ou de pouvoir lire les pires mensonges politiques qui provoqueraient des émeutes, des incitations à la haine, au négationnisme, etc.

Dans la pratique, évidemment, les trois contrôles que nous venons d'évoquer peuvent être menacés par des attaques combinant les trois éléments : par exemple la violation d'un mot de passe secret pour saboter un système, la violation d'un système pour "défacer" un site adverse avec des messages provocateurs, etc.

Un des problèmes de la cybersécurité est d'abord la facilité technique qu'il y a à menacer anonymement, à faible coût, à distance, et à faible risque tout ce qui précède.
Mais il tient dans un facteur souvent aussi négligé au profit de l'analyse du risque technique : la motivation.
Nous en voyons trois principales : s'emparer de biens précieux, même et surtout si ces biens consistent en données ou connaissances, exercer une contrainte sur un acteur et l'empêcher de réaliser ses objectifs et enfin la destruction ou l'humiliation pures destinées à infliger un affront symbolique (souvent à une institution que l'on tient pour coupable d'un crime ou oppressive).
Capacités et enjeux d'intérêt, volonté politique ou stratégique et enjeux de force, vengeance symbolique et enjeux d'influence. C'est autour de ces trois éléments que s'articule un conflit dont on ne voit pour le moment pas ce qui pourrait en empêcher l'escalade.

 Imprimer cette page