mercredi 22 avril 2015

La cyberstratégie polonaise : une cyberstratégie en évolution



Lorsque les regards cyber se tournent vers l'Est, il est de coutume de songer directement à la Russie. Sans s'arrêter pour autant du côté de Varsovie, pensant que les terres polanes sont une zone en friche cyberstratégique.

Ce serait là une bien vilaine erreur. Car la Pologne, même si elle n'est pas au stade des principales puissances cyberstratégiques contemporaines, n'en entend pas moins peser à terme sur les affaires de cet espace par une politique spécifique.

C'est l'optique du document intitulé Politique de protection du cyberespace de la République de Pologne (Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej) daté du 25 juin 2013 et émanant du Ministère de l'administration et de la numérisation. 

L'introduction pose clairement les bases : oui le cyberespace est un espace stratégique et oui sa déstabilisation peut porter atteinte à un régime politique.
Très rapidement suivi d'un glossaire relativement réduit mais appréciable pour le béotien en la matière. L'on remarque à escient qu'il est fait mention de sécurité du cyberespace et non de cybersécurité.

Quel est l'objectif stratégique? Il est énoncé très rapidement : créer un cadre légal et organisationnel pouvant interagir avec les dispositifs européens.
Dans le détail, il est mentionné plusieurs objectifs que nous qualifierons de tactiques :
* augmenter l'état de sécurisation des réseaux étatiques
* améliorer les capacités de prévention et de lutte envers les menaces du cyberespace
* réduire l'impact des incidents pouvant survenir sur les réseaux
* création et utilisation d'un système cohérent de sécurisation du cyberespace pouvant être utilisé par les différents corps d'État
* création d'un système d'échange d'informations entre les différentes composantes organisationnelles de la sécurité dans le cyberespace
* augmenter la vigilance des utilisateurs du cyberespace

Il est précisé peu après que le terrorisme fait partie des risques inhérents au cyberespace (le propos n'est pas exhaustif mais il est symptomatique que ce soit le principal exemple cité). De même que les acteurs non-étatiques sont appelés à se sentir concernés par cette lutte dans le cyberespace à travers les mécanismes de prévention et de détection précoce des menaces.

S'ensuit une liste des administrations visées par la présente politique. Et le CERT (Computer Emergency Response Team) est désigné comme le principal interlocuteur au niveau civil, et le département de la gestion de la sécurité des réseaux et services télécommunications au niveau militaire. Est rappelé l'intérêt d'agréger la participation des utilisateurs de ces réseaux (ce n'est pas précisé mais il est très probable qu'il s'agisse du retour d'expérience et de la formation quant à la mise en application des procédures d'alerte).

Dans les actions à mener plusieurs sont détaillées :
* évaluation par chaque administration du niveau de dangerosité liée à l'emploi du cyberespace (risk assessment en anglais, désignant l'évaluation du risque sur les plans qualitatif et quantitatif).
* la sécurisation des portails entre l'administration et les administrés (à la fois pour éviter l'intrusion de menaces comme pour éviter la mise hors ligne de services)
* répertoire des lois existantes dans le domaine, rationalisation et mise à niveau de celles-ci le cas échéant, éventuellement préparation d'un cadre juridique spécifique si jugé nécessaire
* actions procédurales et organisationnelles : création d'une équipe chargée de mettre en place la nouvelle politique de sécurité et de la surveillance des réseaux, directement rattachée aux services du premier ministre ; obligation pour chaque administration de se doter à terme d'un réseau d'échanges des données sécurisé ; la désignation d'un responsable sécurité plénipotentiaire responsable pour l'ensemble des administrations gouvernementales.

L'éducation et la formation sont en ligne de mire de cette politique visée. Est prévue nommément à ce titre l'édification d'un système d'entraînement aux risques du cyberespace qui servira aux futurs experts. Concomitamment, les questions contemporaines relatives au cyberespace doivent être intégrées dans les cursus d'éducation supérieure afin de former les cadres de demain dans les secteurs publics et privés. Le texte insiste sur la pédagogie de formation des futurs développeurs pour ne pas délaisser la sécurisation du code au détriment des fonctionnalités ainsi que la sensibilisation à l'accès sécurisé aux ressources.
En parallèle les programmes de recherche dans ce domaine seront encouragés en partenariat entre les compagnies de télécommunications, les fournisseurs d'accès, les laboratoires et les administrations publiques, le tout coordonné par le Ministère de la science et de l'éducation supérieure.

Des campagnes de prévention des dangers seront initiées auprès de trois publics : les enfants, les parents, les éducateurs. Les médias de masse seront mobilisés ainsi que les médias régionaux et locaux.

Il est mentionné l'existence d'un système d'alerte déjà mis en place, lequel nécessite cependant une mise à jour régulière en raison de l'évolution des menaces : la précision a un gros mérite, celle de ne pas laisser les individus se reposer sur un outil qui reste faillible, ce que l'on comprend en filigrane.
Dans le même état d'esprit en relation avec la mise en place d'équipes ad hoc, des exercices seront réalisés pour se maintenir à niveau et les résultats comme enseignements seront publiés et diffusés pour viser à l'amélioration du personnel comme des systèmes.

La répartition des tâches fait l'objet d'un chapitre à part entière avec la stratification en trois niveaux permettant la synergie entre les CERT et les services gouvernementaux. Le niveau II notamment implique la coordination des équipes de la sécurité civile et militaire. Le niveau I étant le ministre de tutelle de l'administration et le niveau III les administrations en elle-mêmes.
Ce qui nécessitera la mise en fonctionnement d'un système d'échange des données entre les acteurs gouvernementaux, militaires et civils.

Le partenariat public-privé énoncé subrepticement auparavant est plus clairement dévoilé dans le chapitre 4.5 où les entreprises officiant dans cinq secteurs stratégiques sont visées : les transports, la finance, les réseaux numériques, le transport et la gestion d'énergie, les communications. Les modalités de coopération ne sont pas très explicites en revanche, tout juste est-il conjecturé un échange de méthodes et de solutions entre les acteurs préoccupés par cette thématique.
Les industries d'ingénierie logicielle et les manufacturiers de matériel informatique bénéficient d'un intérêt appuyé par le texte en raison des outils qu'ils peuvent mettre à disposition.
Les sociétés de télécommunications sont invitées à coopérer avec le Bureau des communications électroniques est-il laconiquement indiqué.

De façon très surprenante, il est attesté que le problème de la sécurisation du cyberespace est mondial mais seul un très court chapitre, par ailleurs rempli de banalités, évoque la coopération internationale. Sans citation de pays ou d'institutions.

Plus détaillées en revanche sont les parties dédiées au financement et plus encore sur l'état d'avancement de l'intégration de la présente politique de sécurisation du cyberespace selon quatre domaines : le degré d'avancement de sécurisation des administrations en relation avec le nombre d'employés en chacune ; le degré d'intégration de la politique de sécurité ;  le degré de standardisation des procédures ; le degré d'équipement des postes avec les outils nécessaires (antivirus, pare-feu, anti-pourriel) dès lors qu'il y a une relation avec les administrés.
Des statistiques devront être établies, tels : le prorata des dossiers incidents par rapport aux incidents corrigés ; les incidents rapportés par une tierce personne à ceux qui ont été traités ; l'impact d'une menace sur les systèmes visés avec en sus le temps pour la détection et celui pour la résolution ; l'étude du sentiment de sécurité d'Internet par la population.

En conclusion, la cyberstratégie polonaise a plusieurs spécificités que l'on peut relater comme suit : 
  • une vision sur le moyen terme principalement avec des mesures, des outils et des formations à mettre en place, complétant le travail déjà effectif du CERT
  • une politique rationnelle, très portée sur l'aspect technique, la sécurité
  • une importance accordée à la formation et aux échanges entre experts gouvernementaux, militaires et du secteur civil
  • une désignation du cyberespace très fréquente et bien plus rarement d'Internet, ce qui semble impliquer une différenciation lexicologique notamment parce que le cyberespace est indiqué avoir des effets civils et militaires
  • une très faible importance portée à l'aspect international des cybermenaces même s'il n'est pas omis
  • la prise en considération nommément des actes de cyberterrorisme et de cybercriminalité
  • la création de postes de plénipotentiaires chargés des affaires cyber
En définitive, une cyberstratégie qui pare au plus pressé en posant les jalons pour l'avenir. Rien de fondamentalement révolutionnaire sur le plan cyberstratégique (hormis l'introduction de plénipotentiaires dont l'efficacité se devra d'être justement mesurée ainsi qu'en terme de réactivité) mais un plan de route très cadré sous la férule des autorités.

Le lien officiel de la CERT polonaise (version originale et anglaise) :

---

Le site Sivispacem m'interpelle sur des éléments pertinents, et je l'en remercie, auxquels je me dois de répondre pour une compréhension générale :

Merci pour cette analyse de ce qui me parait ressembler davantage à des concepts et des bonnes pratiques qu'à une véritable cyberstratégie.

L'absence de principes énoncés quant à une coopération internationale est soit une erreur majeure soit une attaque en intégrité sur le document initial ! :-)

Deux raisons possibles/plausibles : une ambition limitée à l'essentiel avec une clause de révision ultérieure et de discrètes (secrètes) collaborations via l'OTAN (CCD COE) et les USA.

Amicalement,
Si vis pacem para bellum

Éléments de réponse :

La cyberstratégie polonaise est embryonnaire, car il n'existe pas de texte réellement consacré au sujet mis à part un document intitulé Programme gouvernemental de protection du cyberespace (Rządowy program ochrony cyberprzestrzeni RP na lata 2009-2011) rédigé en mars 2009 et qui est le prototype de celui de 2013.
Fondamentalement, leur politique est celle du pas à pas. Des pratiques déjà usitées ailleurs, avec succès s'entend, avec une mise en fonctionnement partielle (le CERT). C'est une stratégie qui pourrait être peu ambitieuse, timide, restrictive mais qui tombe sous le bon sens en effet et doit constituer une base à de futurs développements. Le cas des plénipotentiaires serait intéressant à étudier dans les faits car ils sont considérés comme des commandants du cyberespace polonais.

Concernant l'étonnante omission de la coopération internationale, d'autant que la Pologne est membre de l'OTAN et du CCDCOE (le centre de cyberdéfense basé à Tallinn), m'a aussi intrigué. Un document tronqué comme celui émanant du ministère de la défense russe en 2012? Oui c'est plausible mais difficilement compréhensible au final car ce n'est pas un secret d'État que les autorités polonaises ont dès la fin du communisme rallié un maximum d'organisations internationales, y compris dans le domaine de la sécurité internationale, pour assurer la pérennité de leur existence. L'autre évoqué par Si Vis Pacem m'apparait autrement plus justifiée : celui d'une volonté de rationaliser les procédures internes et sécuriser le cyberespace polonais prioritairement avant de le connecter à d'autres systèmes. Et avec cet objectif en vue, se conformer aux standards occidentaux. C'est là je pense l'explication la plus crédible.

De plus, il faut savoir qu'une doctrine a été rédigée début 2015, dont je n'ai pas encore eu lecture mais qui saura trouver place sur ce blogue une fois tous les éléments en ma possession. Laquelle permettra de répondre plus en détail à ces interrogations.

MAJ 2017 :



Je n'étais pas revenu sur la doctrine de cybersécurité polonaise publiée en janvier 2015, et il me semblait utile de faire un résumé de celle-ci au regard des éléments qui ont été développés précédemment.

Long de 26 pages, le document (Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej)
contient en réalité 19 pages susceptibles d'analyse.

Le propos initial a le grand mérite de poser les bases en établissant que le cyberespace est un milieu conflictuel, tout en ajoutant que les éléments perturbateurs ne sauraient être qu'étatiques, évoquant le rôle potentiellement nocif d'organisations oeuvrant pour déstabiliser les structures étatiques nationales.

Tant l'Union Européenne que l'OTAN sont nommés en introduction comme fondamentaux de la cybersécurité polonaise.

S'ensuit une litanie de définitions sur le cyberespace, la cybersécurité, la doctrine et l'activité dans le cyberespace. L'on notera avec intérêt que les rédacteurs polonais évoquent les cyber-risques mais aussi les cyber-défis et même les cyber-probabilités. Cette exhaustivité est appréciable, et permet de bien cerner la problématique.
Concernant le cyberespace, la définition est la suivante :
« Traitement et échange d'informations générées par l'environnement du système des TIC (dispositifs de coopération à distance, logiciels fournissant le traitement, le stockage,
ainsi que l'envoi et la réception de données via des réseaux de télécommunications par les types d'équipements terminaux de télécommunications de réseau appropriés et conçus pour être connectés directement ou indirectement à la terminaison de réseau)
ainsi que des liens entre eux, et les relations avec utilisateurs ».

La suite du texte entre dans le vif du sujet et évoque la détection et la lutte contre les cybermenaces. La prévention par l'identification et la mesure des cyber-risques est évoquée, et de façon très symptomatique la résilience nécessaire des infrastructures susceptibles d'être impactées.

 L'environnement des cybermenaces est détaillée peu après. Il est notable que les notions de cyber-démonstrations et de cyber-protestations trouvent grâce auprès de ceux qui ont élaborés cette doctrine. Toutefois, ces deux notions sont découplées du cybercrime et du cyberharcèlement, ce qui est à saluer car la portée politique de ces deux notions est de fait suggérée et consignée, non sans éluder leur dangerosité.

Les infrastructures critiques étatiques sont mentionnées, civiles et militaires, mais celles relatives aux activités économiques et sociales ne sont pas oubliées pour autant. De même que le rôle des fournisseurs d'accès dans cette lutte est reconnu, et leur protection considérée comme vitale pour assurer la continuité des communications privées comme publiques. L'aspect des cyber-risques financiers est relatée dans un alinéa à part, dénotant une prise de conscience des autorités pour cette problématique grandissante.

Il est pris acte que l'informatisation des activités civiles et militaires ainsi que l'automatisation algorithmique sont inéluctables dans la société contemporaine, mais que cette réalité engendre obligatoirement une ouverture vers des risques critiques. Plusieurs options sont évoquées, en cherchant un équilibre où les mesures de cybersécurité ne porteront pas atteinte aux droits des citoyens et à l'économie nationale. L'encouragement d'une filière scientifique liée au développement de la cryptographie est suggérée.

Sur un plan externe, il est écrit que la survenance d'une cyberguerre (le terme est sans ambiguïté bien que les notions de cyber-risque et cyber-conflit sont aussi cités) est rendue possible en raison du caractère désormais hybride des conflits actuels. Le danger pouvant provenir des autres États comme d'organisations non-étatiques structurées. L'idéologie, la religion, la politique, l'économie et la criminalité sont les causes principales des atteintes potentielles.

Un développement conséquent est dédié à l'entraide internationale, notamment par l'OTAN et l'Union Européenne, pour s'entendre sur des défintions communes, à commencer par celles de cyberconflit et surtout de cyberguerre. Puis par des mesures de défense communes, à commencer par l'identification des cybermenaces et des auteurs susceptibles de passer à l'acte, et par l'échange de bonnes pratiques et d'informations stratégiques entre pays membres.
Les secteurs publics comme privés sont tenus de participer à cette cyberveille, et si possible de nouer des partenariats en ce domaine de la cybersécurité.
Le soutien à la formation, notamment la filière en cryptologie, est à encourager.
La mise à niveau des systèmes informatiques est impérative, selon les standards de cybersécurité européens et en concordance avec les normes OTAN.

Il est recommandé de mettre en place des centres techniques de gestion de cybersécurité sous la coupe des différents ministères, et de prévoir des formations du personnel quant à la gestion des cybermenaces.

Les forces armées doivent disposer à terme d'un système de gestion des cyber-risques afin de dissuader et de confiner les menaces spécifiques à ce milieu. Il est précisé à cette fin que les actions des forces armées peuvent tout aussi bien être défensives qu'offensives.
Derechef, il est précisé que les standards OTAN en la matière doivent être respectés pour bénéficier d'une synergie avec les alliés, y compris en matière d'outils technologiques. Du reste la souveraineté cyber de la Pologne doit passer par la possession du code source de logiciels étrangers employés dans la conduite des systèmes informatisés. À terme des certifications nationales doivent être élaborées ainsi que des politiques favorisant l'autonomie dans le domaine des technologies importées.

L'éducation doit permettre de former ou de détecter les meilleurs talents en cybersécurité susceptibles de renforcer la lutte contre les cybermenaces. Une force de surveillance des réseaux, non militaire, doit être considérée.

Il en ressort du texte une volonté plus globale de renforcer la cybersécurité du pays en l'arrimant à celle de ses alliés (Union Européenne et OTAN). De nombreux aspects sont traités, beaucoup demanderont du temps (formation), de l'argent (infrastructures) et de la volonté (politique) pour aboutir à des résultats variables selon les moyens octroyés et la stabilité des mesures. Cette doctrine vient par conséquent compléter utilement la politique de protection du cyberespace de 2013 en se focalisant plus sur les aspects stratégiques que sur la technique, ce qui est le propre de ce type de document. À défaut d'éléments novateurs, le texte fait montre d'un souci d'embrasser l'ensemble de la problématique des cybermenaces. L'on relèvera que la notion de cyberguerre est spécifiée et qu'il est attendu des autres alliés une définition commune : cette insistance n'est pas anodine puisqu'elle enclencherait de jure l'article 5 du Traité de l'Atlantique Nord, et une réaction en chaîne envers un État jugé coupable d'actes de guerre, y compris dans le cyberespace.

Aucun commentaire: