lundi 22 décembre 2008

Quelques idées pour Obama sur la cyber-sécurité

L’un des principaux défis du president Obama, en matière de sécurité, sera certainement lié au développement et à la mise en œuvre de stratégies destinées à rendre le cyberespace plus sûr, aussi bien pour les institutions que pour les usagers. C’est en tout cas ce qu’affirme un rapport d’experts réunis par le Centre d’Études Stratégiques et Internationales, basé à Washington. Ce rapport organise ses constats et les recommandations qui en découlent en sept grandes orientations qui s’appuient sur trois principes fondamentaux :

  • La cyber-sécurité est maintenant devenu pour les États-Unis un enjeu de sécurité nationale majeur;
  • Les politiques et stratégies mises en œuvre devront respecter les libertés individuelles et la vie privée, ce qui semble marquer une rupture avec les mesures déjà adoptées par l’administration Bush;
  • Les politiques et stratégies qui seront privilégiées devront nécessairement inclure une dimension nationale et internationale, ce qui semble tomber sous le bon sens mais semble encore trop souvent négligé par les politiciens et les bureaucrates.

 Cinq des sept groupes de recommandations me semblent particulièrement intéressants pour leur lucidité, même si on ne peut pas vraiment dire qu’ils sont révolutionnaires :

  • Il est d’abord suggéré de repenser les partenariats public-privé en matière de cybersécurité, et notamment d’établir des plateformes permettant de cultiver la confiance entre les diverses organisations. Il est évident recommandé de faciliter le partage de l’information, non comme une fin en soi, mais comme un outil au service d’objectifs mieux définis et mesurables.
  • Dans ce qui pourrait être un changement majeur d’attitude, le rapport recommande aussi de recourir de manière beaucoup plus intensive à la règlementation (ou régulation), afin de s’assurer que la cyber-sécurité ne relève pas exclusivement de la bonne volonté des acteurs privés, dont la logique de marché est notoirement inadaptée à la fourniture d’un bien public. L’approche souhaitée est flexible, mais elle n’en constitue pas moins une réaffirmation de la prééminence de l’État dans les questions de sécurité en ligne, au même titre de la situation qui prévaut pour la sécurité physique.
  • Le gouvernement fédéral étant l’un des principaux acquéreurs de matériels, logiciels et services informatiques, il lui est conseillé d’utiliser cette position de force pour contraindre les fournisseurs à développer des produits qui respectent des standards de sécurité minimaux. L’objectif est à la fois de renforcer la sécurité des services gouvernementaux et d’initier un effet de diffusion ou de contagion aux autres organisations acquéreuses.
  • Les lois et les institutions chargées de garantir la sécurité des réseaux datent pour certaines d’une époque où ces derniers n’existaient pas encore, ou étaient réservés à l’usage de quelques scientifiques qui se faisaient confiance et ont intégré cette confiance aux technologies qu’ils ont développé. Le rapport recommande donc que les assemblages administratifs et légaux en vigueur soient adaptés à la société en réseau actuelle où la confiance est devenue une notion toute relative.
  • Enfin, les experts font le constat d’une recherche fragmentée et ne disposant pas des ressources pour faire face aux défis à relever (même si on parle quand même de 300 millions de dollars US pour la recherche en cyber-sécurité aux States en 2009). La possibilité de transformer la structure technique de l’Internet afin de la faire correspondre à son usage actuel (et non à ce que ses créateurs avaient imaginé dans les années 1970) est également évoquée.

 Dans le contexte de tourmente économique actuel, on peut aisément imaginer que ce rapport ne figurera pas très haut dans la liste de priorités du nouveau président des États-Unis, qui sera certainement déjà passablement occupé à créer des millions d’emploi et à maintenir le secteur financier et plusieurs autres industries à flots. C’est dommage, car il offre un constat de la situation dénué de complaisance ou d’un catastrophisme exagéré, en proposant des approches innovantes pour assurer la sécurité de l'Internet.