Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
19 mars 2013 2 19 /03 /mars /2013 18:48

 

 

 

Ce 19 mars fut présentée la note d'analyse du Centre d'Analyse Stratégique intitulée Cybersécurité, l'urgence d'agir. Cette institution d'expertise et d'aide à la décision vise à conseiller notamment le premier ministre et le gouvernement.

 

Nous pouvons tout d'abord nous féliciter de voir un service gouvernemental s'emparer de cette question. La numérisation du monde que nous constatons de plus en plus impose de repenser les réponses ou d'en proposer de nouvelles. Mais cette note dispose d'un défaut majeur celui de la confusion et du mélange. Cybersécurité, cyberdéfense et cybercriminalité y sont joyeusement mélangés sous la même terminologie de cybersécurité. Nous retrouvons ainsi des évocations des Opérateurs d'importance vitale ainsi que des ordinateurs de particuliers ou d'entreprises. Car cette erreur n'induit pas que des conséquences textuelles mais aussi pratiques. Ces sujets ayant différents modes et différents cadres juridiques et sociaux. Pour autant nous ne saurions juger le travail accompli à l'aune de cet élément surtout pour une note d'analyse de 12 pages.

 

Une autre point est bien plus gênant par contre l'orientation du dicours vers celui des organes de cybersécurité. Les sources données sont celles de Norton, l'ANSSI mais aussi du CLUSIF, la note oubliant de préciser que l'organe est une réunion des entreprises de sécurité informatique. Une certaine dramatisation que nous avons pût nous-mêmes voir dans le discours de Patrick Pailloux est en transparence dans cette note. Au risque de quelques erreurs. Ainsi il n'est mentionné nulle part que l'Internet des objets est encore pour l'instant des intranets des objets pour beaucoup d'entre eux. L'accès est donc limité et surtout à proximité physique. L'exemple du contrôle du pacemaker est le même. Là aussi il fallait être à côté de l'objet pour en prendre le contrôle. Les sources extérieures semblent dérisoires voir inexistantes.



La réponse de la note apparaît finalement via ses propositions très similaire au guide l'hygiène informatique de l'ANSSI. Les premières réactions médiatiques montrent d'ailleurs que le Centre d'Analyse stratégique appelle à un renforcement des capacités de cette dernière. Et si l'on retient de cette note le sens et la direction du guide le contenu est alors honorable. Surtout qu'elle présente quelques propositions intéressantes. Elle commence notamment à discuter la répression et l'interdiction exercée sur le « full disclosure ». Si nous avons déjà vu ceci dans le rapport Bockel, qui semble avoir été une des références, c'est la même proposition de solution qui est ouverte, celle d'autorisation particulière pour les chercheurs ou société de sécurité informatique. Et non pas l'ouverture complète ou tous sans limitation du « full disclosure ».



Une note timide dans le bon sens donc, une nouvelle publication de conseils en la matière malgré quelques erreurs. Ainsi, une note en demi-teinte pour cette analyse du Centre d'Analyse Stratégique selon nous.

 

------------------------------------------------------------------------------------------------------------------------------------------------------

 

Ce billet fait suite à la lecture du rapport et ne comporte pas d'éléments de la présentation à laquelle nous n'avons pas assister.

Partager cet article

Repost 0
Published by Respolitica - dans NTIC
commenter cet article

commentaires