L’atelier Cyberstratégie a réuni plus de quarante personnes, motivées et venues d’horizons variés. Nous avons seulement regretté l’absence de représentants du peuple souverain ou des autorités de la République, à l’intention desquels nous avons néanmoins formulé quelques recommandations qui nous semblent de nature à améliorer la position de notre pays face aux enjeux stratégiques du cyberespace.

Cyberstratégie : quelle gouvernance pour quels risques

L’animateur de l’atelier (LB) introduit la séance en rappelant que si l’intitulé initialement prévu pour cet atelier évoquait la cybersécurité, le groupe de préparation avait souhaité en élargir le propos à la cyberstratégie. En effet, si la protection des personnes contre la cybercriminalité est bien sûr une préoccupation à ne pas négliger, les enjeux de la gouvernance concernent au premier chef les actions à entreprendre par les institutions et par les entreprises pour assurer le maintien de la prospérité et de la position internationale du pays dans les nouvelles conditions qui sont celles du cyberespace. Si l’on parle de gouvernance, les questions de cybersécurité sont à considérer dans cette perspective, en prenant en compte les nouveaux rapports de puissance engendrés par la réorganisation de l’économie mondiale autour de l’Internet.

D’autre part, les révélations d’Edward Snowden, dont certaines ont surpris même les experts du domaine, remettent sérieusement en cause la confiance que l’on a pu avoir dans les institutions de l’Internet, plus précisément l’ICANN. Comme en outre toutes les investigations montrent l’impossibilité de découper le cyberespace selon des frontières nationales à l’intérieur desquelles pourrait s’exercer une souveraineté dite « westphalienne », se pose la question d’une nouvelle conception de la souveraineté nationale. Un exemple notable est la question des monnaies virtuelles : la monnaie est la prérogative régalienne par excellence, or les monnaies virtuelles, dont Bitcoin n’est que la plus célèbre, se jouent des frontières et des autorités tant politiques que judiciaires ou économiques, avec toutes les dérives criminelles qui peuvent en résulter.

Enfin, le groupe de travail préparatoire propose, pour représenter le cyberespace, un modèle en quatre couches :

1. couche physique : les infrastructures, fibres optiques transocéaniques, IXP...
2. couche commande et contrôle (C&C) : le DNS, BGP, les tables et les protocoles de routage, les logiciels qui les implémentent ;
3. couche logique : les données publiées, les logiciels qui permettent d’y accéder et de les transformer ; serveurs Web, moteurs de recherche, navigateurs, Contents Delivery Networks, systèmes de chiffrement...
4. couche cognitive : l’esprit et l’intellection des internautes.

La résilience, par Mohsen Souissi

Mohsen Souissi, de l’AFNIC, intervient pour introduire un sujet crucial : la résilience, qui concerne autant les grandes infrastructures de l’Internet que les dispositifs mis en œuvre par les entreprises et par les particuliers pour y accéder.

La résilience, telle que la définit le Livre blanc sur la défense et la sécurité nationale, 2008, c’est « la capacité de fonctionner pendant un incident et de revenir à l’état nominal ».

La résilience n’est pas une situation que pourrait atteindre un acteur isolé, une fois pour toutes, par ses seuls moyens. Elle ne peut résulter que d’une action exercée de façon continue par un ensemble d’acteurs qui se conforment à un triple mot d’ordre : « 3C : Communication, Coordination, Coopération ».

Dans ce travail sans cesse renouvelé, comme celui de Pénélope, pour atteindre une situation de résilience supérieure, un certain nombre d’acteurs jouent un rôle clé, ce sont les opérateurs. La panne de Telehouse 2, à la veille du Forum, en est une illustration. Par opérateurs il faut entendre les FAI, qui sont les plus visibles, mais aussi les CERT (Computer Emergency Response Teams), les registres de noms de domaine (tels que l’AFNIC pour .fr), les Contents Delivery Networks tels Akamai ou Level 3, les exploitants de l’informatique en nuage et des centres de données, etc. Ce sont eux en effet qui occupent les points d’observation stratégiques du cyberespace, d’où ils détectent les attaques et les dysfonctionnements, bien souvent, avant les victimes. Retenons aussi que le DNS et BGP sont les pierres angulaires de la résilience de l’Internet global.

« Le réseau ne naît pas résilient, il le devient », et cela par l’effet de choix et d’actes conscients, accomplis par de multiples acteurs qui coopèrent à l’établissement de conditions, non suffisantes, mais nécessaires :

 des choix conscients d’architecture et de conception ;
 des décisions d’investissement et de mise en œuvre de solutions ;
 des procédures et modes opératoires d’actions/réactions concertées entre plusieurs acteurs internes et externes (cf. les 3C énoncés ci-dessus).

Sans cette dimension collaborative maintenue dans le temps, point de résilience.

Afin d’aider les acteurs français du cyberespace à augmenter leurs compétences et leurs actions pour améliorer le fonctionnement global de l’Internet dans notre pays, l’AFNIC et l’ANSSI, en collaboration, ont créé officiellement en 2012 (sur la base de travaux commencés en 2010) l’Observatoire de la résilience de l’Internet français (ODRIF). L’ODRIF publie un rapport annuel, basé sur une série d’indicateurs :

• Résilience sous l’angle du protocole BGP :
  • Identification automatique des AS français ;
  • Connectivité des AS français ;
  • Usurpations de préfixes ;
  • Cohérence des objets route ;
  • Filtrage via les objets route ;
  • Utilisation de la RPKI.
• Résilience sous l’angle de l’infrastructure DNS :
  • Dispersion topologique des serveurs DNS faisant autorité ;
  • Taux de résolveurs vulnérables à la faille Kaminsky ;
  • Taux de pénétration de DNSSEC ;
  • Taux de pénétration d’IPv6 ;
  • Résolveurs les plus demandeurs.

Le rapport de l’ODRIF est une contribution significative à la qualité de fonctionnement de l’Internet en France, et une source d’informations quantitatives et qualitatives précieuses.

Pour une vraie stratégie, par Kavé Salamatian

Jusqu’à une époque récente, les ingénieurs système et réseau considéraient l’Internet comme leur terrain de jeu et d’expérimentation privé, beaucoup d’ailleurs le croient encore d’ailleurs. Cette position ne peut résister au rôle que tient aujourd’hui le réseau non seulement dans l’économie mondiale, qui en dépend totalement, mais aussi dans les relations internationales, dans la culture, ainsi que dans les conflits internationaux et civils.

Dans un tel contexte, aucun pays soucieux de tenir son rang dans le concert des nations ne peut faire l’économie de la définition d’une stratégie articulée et cohérente dans le cyberespace. Il est clair que les États-Unis en ont une (y garder l’hégémonie, y compris au prix de quelques concessions symboliques), la Chine aussi (contrôler son pré carré, empiéter sur celui des États-Unis autant que possible), la Russie aussi (maintenir les pays de son ex-empire dans une situation de souveraineté diminuée et de faiblesse opérationnelle). Le silence de la France et de l’Europe, hormis quelques jérémiades platoniques, n’en est que plus assourdissant.

La France (et l’Europe) ne manquent pourtant pas d’atouts :

 compétences ;
 position géographique et qualité du territoire ;
 longue pratique de coopération internationale ;
 des entreprises dynamiques dans les secteurs informatique et des réseaux ;
 institutions favorables, telles que le Parlement européen.

Ces éléments favorables devraient permettre à la France et à l’Europe de définir des objectifs, de faire le bilan des forces nécessaires pour les atteindre, et de mettre en œuvre les politiques adéquates. Ce qui semble manquer le plus, c’est la prise de conscience des milieux dirigeants, et la volonté qui devrait en découler.

Kavé Salamatian mentionne des recherches en cours, qui ont trait à la topologie de l’Internet. On a pu ainsi définir un indice de centralité, qui correspond, pour le pays dont on cherche à calculer la centralité, à la probabilité qu’une communication entre deux points quelqconques du réseau passe par son territoire. Les États-Unis ont une centralité de 0,74, la France de 0,14, la Chine de 0,07 et le Pakistan de 0,0002. Un pays ayant une centralité importante peut facilement observer ou perturber les communications d’autres pays, cependant qu’un pays à faible centralité peut difficilement éviter l’espionnage et les perturbations causées par d’autres pays.

Propositions à l’adresse des autorités de la République

Après que Frederick Douzet ait souligné la nécessité d’élaborer une politique de sécurité collective internationale pour limiter les risques d’escalade en cas de conflit, que Dominique Lacroix ait attiré l’attention de l’auditoire sur les dimensions culturelle et sociétale de la conflictualité dans le cyberespace, et que Godefroy Jordan ait fait remarquer le caractère anormal de l’absence de tout représentant des autorités de la République, il a été décidé d’adresser néanmoins aux dites autorités un certain nombre de recommandations qui nous sembleraient de nature à renforcer la position de la France (et de l’Europe) dans le cyberespace :

 développer l’enseignement de l’informatique et des réseaux, de l’enseignement primaire au supérieur, et dans les dispositifs de formation continue (il s’agit de l’informatique au sens propre, c’est-à-dire la programmation des ordinateurs, pas de ses usages) ;
 favoriser l’activité des entreprises, grandes et petites, qui développent vraiment des choses novatrices en informatique et réseaux, pas des habituels abonnés à la collecte de subventions publiques et de marchés protégés ;
 tenter de remédier à l’analphabétisme des milieux dirigeants pour tout ce qui concerne l’informatique, les réseaux, le cyberespace ;
 favoriser les 3C : Communication, Coordination, Coopération, évoqués ci-dessus par Mohsen Souissi, pour tous les acteurs du cyberespace.