L'Agence de la s・urit?nationale ?nbsp;fait appel ?ses comp・ences sp・ialis・s pour ・aborer la technologie fondamentale qui ・ablira des capacit・ nationales de d・ection des cyberattaques et de riposte ?ces attaques ? d・lare le g・・al de l'arm・ de l'air Kenneth Minihan. Il souligne que ?nbsp;la sup・iorit?des moyens informatiques ?l'・e de l'information est de toute ・idence un imp・atif national ?

?nbsp;Nous sommes expos・ ?des risques. Les ・ats-Unis d・endent des ordinateurs. Ces derniers contr・ent l'alimentation en ・ergie, les communications, l'aviation et les services financiers. Ils servent ? archiver des informations vitales, telles que les dossiers m・icaux, les plans commerciaux et les casiers judiciaires. Malgr?la confiance que nous leur faisons, ils sont vuln・ables : vuln・ables aux d・auts de conception et ?l'insuffisance du contr・e de la qualit? vuln・ables aux accidents et, peut-・re est-ce l?le point le plus alarmant, vuln・ables aux attaques intentionnelles. Le brigand moderne peut voler davantage muni d'un ordinateur que d'une arme. Le terroriste de demain sera peut-・re capable d'infliger plus de dommages ?partir d'un clavier qu'au moyen d'une bombe. ? ?nbsp;Les ordinateurs en danger ? Conseil national de la recherche, 1991

Introduction

L'aspect le plus remarquable de la citation qui pr・・e est peut- ・re qu'elle a ・?・rite pratiquement ?l'aube de l'・e de l'information. Jusqu'?une date r・ente, nous n'avons gu・e pr・? attention ?la question. Les ・ats-Unis, et le reste du monde, poursuivent leur progression dans la r・olution de l'information ; la technologie de l'information s'infiltre chaque jour davantage dans la trame m・e de notre soci・?et de notre ・onomie en tant que pays membre de la communaut?mondiale. L'autoroute de l'information v・icule aujourd'hui, de mani・e tr・ r・lle, les principes vitaux de l'・onomie de notre pays.

S'ils sont ?l'avant-garde mondiale de l'・e de l'information, les ・ats-Unis sont aussi devenus particuli・ement tributaires des techniques de l'information, des ordinateurs et des r・eaux mondiaux qui les relient. Cette d・endance ・idente nous expose ?de graves menaces qui p・ent sur notre bien-・re ・onomique, notre s・urit? publique et notre s・urit?nationale.

Les r・eaux mondiaux, commun・ent d・rits comme constituant le ?nbsp;cyberespace ? ne connaissent pas de fronti・es physiques. Notre interconnexion croissante dans le cyberespace accro・ notre vuln・abilit??nos ennemis traditionnels et ?un groupe grandissant de nouveaux adversaires. Les terroristes, les groupes radicaux, les trafiquants de drogues et les associations de malfaiteurs se joindront aux ・ats ennemis pour utiliser une panoplie toute nouvelle d'instruments informatiques sophistiqu・ d'agression. Les attaques informatiques peuvent compl・er ou remplacer les attaques militaires traditionnelles, accro・re consid・ablement notre vuln・abilit? et compliquer d'autant les parades ?pr・oir et ?mettre en place. Les ressources expos・s ?ces dangers comprennent non seulement l'information emmagasin・ ou v・icul・ dans le cyberespace, mais aussi toutes les composantes de notre infrastructure nationale qui d・endent de la technologie de l'information et de la disponibilit?en temps voulu de donn・s exactes. Parmi ces composantes figurent l'infrastructure des t・・ommunications elle-m・e, nos syst・es banquiers et financiers, les r・eaux d'・ergie ・ectrique, les autres ・・ents d'infrastructure ・erg・ique tels que les ol・ducs et les gazoducs, nos r・eaux de transport, les syst・es d'alimentation en eau, les syst・es de soins m・icaux et de sant? les services d'urgence tels que la police, les pompiers et les op・ations de sauvetage, et les activit・ gouvernementales ?tous les niveaux. Tous ces ・・ents sont n・essaires au succ・ ・onomique et ?la s・urit?de la nation.

La protection de l'information : l'objectif national

Le 22 mai 1998, le pr・ident a sign?le D・ret pr・identiel 63 (PDD-63) sur la protection de l'infrastructure critique. Son objectif, d・lar?dans le texte, est le suivant : ?nbsp;J'entends que les ・ats-Unis prennent les mesures n・essaires pour ・iminer promptement tout point vuln・able important qui exposerait leurs ・・ents d'infrastructure essentiels, notamment leurs syst・es informatiques, aux attaques cybern・iques comme physiques.

L'objectif national est qu'au plus tard en l'an 2000, les ・ats- Unis se soient dot・ d'une capacit?op・ationnelle de d・art et que dans les cinq ans ?dater de ce jour, la nation soit en mesure de prot・er ses ・・ents d'infrastructure essentiels des actes intentionnels qui porteraient une atteinte significative ?la capacit?nbsp;:

du gouvernement f・・al de s'acquitter des missions essentielles ?la s・urit?nationale et d'assurer la sant?et l'ordre publics,

des gouvernements locaux de maintenir l'ordre et de fournir les services publics essentiels ?un niveau minimum,

du secteur priv?d'assurer le bon fonctionnement de l'・onomie et de fournir les services essentiels de t・・ommunications, d'・ergie, de finances et de transports. ?

La r・lisation d'un objectif d'une telle ampleur est une entreprise consid・able, qui exigera des efforts coop・atifs entre le gouvernement et les entit・ du secteur priv?qui g・ent les ・・ents vitaux de l'infrastructure. Le d・ret pr・identiel charge le gouvernement f・・al de donner l'exemple en assurant la solidit? des syst・es f・・aux, tout en pr・isant clairement que le secteur public ne saurait r・oudre ce probl・e de mani・e unilat・ale. Chacun des services et des organismes f・・aux est fortement tributaire des services fournis par le secteur priv?nbsp;: ・ergie, t・・ommunications, transports, etc. En cons・uence, le d・ret envisage un partenariat public-priv?pour ・aborer et mettre en application un plan exhaustif de protection de l'infrastructure nationale, pour parer aux menaces du terrorisme ・ectronique. La principale difficult?consistera ?amener le secteur priv?? envisager la protection de l'infrastructure dans une optique nationale. Dans l'environnement actuel hautement concurrentiel, le secteur priv? vise normalement ?s'assurer des avantages sur le march? notamment en ma・risant ses co・s d'exploitation, afin de maximiser ses b・・ices. Or le renforcement des mesures de cyberprotection exigera une augmentation des investissements et un ・argissement de la coop・ation avec les concurrents.

Composantes strat・iques essentielles

Toute strat・ie visant au renforcement des ・・ents vitaux de notre infrastructure doit comprendre trois composantes fondamentales : protection accrue contre les attaques cybern・iques ; capacit?de d・ecter les attaques au moment o?elles se produisent ; capacit? de riposte ou de reprise des activit・ une fois que l'attaque a ・? d・ect・.

Le renforcement de la protection contre les cyberattaques se fonde sur la technologie du cryptage, notamment les signatures num・is・s, afin de fournir les services d'authentification, de v・ification d'int・rit? de non-r・udiation, et de confidentialit? n・essaires. Un dispositif performant d'authentification ?base de signature num・ique utilis?pour contr・er l'acc・ est peut ・re la parade la plus puissante contre une attaque cybern・ique. La signature num・ique permet ・alement d'assurer l'int・rit?de l'information ・ectronique et la non-r・udiation des transactions cybern・iques. Le cryptage est appliqu?aux ordinateurs personnels, aux serveurs de fichiers et aux r・eaux pour assurer la confidentialit?des informations sensibles tant gouvernementales que commerciales et personnelles. Cette technologie, nagu・e presque exclusivement r・erv・ au secteur public, mais aujourd'hui largement disponible sur le march?commercial, est un ・・ent fondamental de la mise en ・uvre des strat・ies de protection de l'information. En fait, le 16 septembre 1998, le vice-pr・ident a annonc?une importante r・ision de la r・lementation des exportations des ・ats-Unis concernant les techniques de cryptage, ce qui indique clairement toute l'importance qu'elles rev・ent pour la protection de l'infrastructure vitale ainsi que pour le commerce ・ectronique mondial et la prosp・it?・onomique.

・ant donn?le stade avanc?de d・eloppement de la technologie du cryptage, le d・i qui reste consiste ?l'appliquer de mani・e coh・ente et efficace pour prot・er tous les ・・ents d'infrastructure essentiels. Cela exige un cadre d'application adaptable ? diff・entes ・helles et interop・able, accompagn?d'un syst・e public de cl・ (SPC) de cryptage destin??fournir des signatures num・iques robustes et mondialement reconnaissables et des certificats de cl・ de cryptage, ?nbsp;l'identification ・ectronique ? individuelle unique de l'・e de l'information. Les services de SPC commencent ?se d・elopper dans le secteur priv?pour satisfaire la demande du commerce ・ectronique mondial et ils pourraient ・re mis ? contribution pour appuyer la protection de l'infrastructure vitale.

En revanche, face aux cyberattaques, les techniques de diagnostic, de d・ection et de riposte ne sont encore ni tr・ avanc・s ni tr・ efficaces. Les ・ats-Unis ont des capacit・ tr・ limit・s lorsqu'il s'agit d'identifier ou de reconna・re une attaque cybern・ique lanc・ contre le gouvernement ou contre l'infrastructure du secteur priv? et leur capacit?de riposte est encore plus faible. Or la capacit? d'identifier une cyberattaque strat・ique visant un ou plusieurs ・・ents vitaux d'infrastructure et d'y r・gir de mani・e appropri・ est ?l'・idence une question primordiale de s・urit?nationale. L'un des facteurs qui compliquent la situation est que les atteintes ? l'int・rit?des syst・es informatiques ont jusqu'ici ・? consid・・s comme des actes criminels, relevant des comp・ences des forces de police. Lorsqu'il s'est produit une intrusion, l'intrus (il faut l'esp・er) a ・?retrouv? arr・?et poursuivi. De plus, de nombreuses entit・ du secteur priv?h・itent ?partager les informations relatives ?ces intrusions, craignant des articles d・avorables dans la presse - des gros titres du genre ?nbsp;Effraction dans les ordinateurs de la Banque X : les pertes se chiffrent dans les millions de dollars ?ou ?nbsp;Des cyberpirates perturbent les r・eaux t・・honiques ?- et les r・ctions du public qui en d・ouleraient. Pour d・elopper des capacit・ de d・ense cybern・ique efficaces au niveau national, de nouvelles r・les d'engagement doivent ・re formul・s afin de permettre une collaboration ouverte et dynamique entre le secteur priv? les forces de l'ordre et les responsables de la s・urit?nationale.

Le nouveau r・e de l'Agence de s・urit?nationale en mati・e d'assurance de l'information

?l'・e de l'information, les missions traditionnelles de renseignement et de s・urit?des syst・es d'information de l'Agence de s・urit?nationale (National Security Agency, NSA) ・oluent et visent ?assurer la sup・iorit?de l'information aux ・ats-Unis et ? leurs alli・. Il faut pour cela une compr・ension profonde de l'infrastructure de l'information mondiale et de la vuln・abilit? des r・eaux informatiques aux cyberattaques. Du c・?d・ensif de la mission, la NSA a pris une s・ie d'initiatives destin・s ? ・ablir les fondations techniques de la protection de notre infrastructure vitale.

Comme je l'ai mentionn?plus haut, la technologie du cryptage est aujourd'hui largement disponible sur le march?commercial et c'est sur elle que repose la protection des syst・es d'information contre les attaques cybern・iques. La mauvaise nouvelle est que les nombreux produits disponibles n'interop・ent pas de mani・e s・e et sont d'une robustesse variable, et qu'il existe de multiples mani・es, souvent contradictoires, de crypter l'information. C'est ainsi qu'il existe un cryptage de courrier ・ectronique, un cryptage de fichier, un cryptage Internet, un cryptage de liaison, et un cryptage de r・eau priv? virtuel, pour ne citer que quelques-unes de ces variations. Pour rem・ier ?cette situation, la NSA a form?un partenariat avec les principaux fournisseurs de techniques de s・urit?de l'information pour ・aborer une matrice commune de services de cryptage afin d'offrir des solutions de protection de l'information au niveau de l'ensemble de l'entreprise. Cette matrice d・init une mani・e coh・ente d'appliquer la technologie du cryptage ?l'entreprise, et pr・ise la mani・e dont le cryptage se marie aux autres techniques et produits de s・urit?et les renforce, par exemple les filtres s・uritaires, les serveurs, les routeurs, les syst・es d'exploitation, les d・ecteurs d'intrusions, les instruments de v・ification des fichiers et les services de syst・es publics de cl・.

Un autre aspect du probl・e est celui des degr・ divers de robustesse des nombreux produits de s・urit?disponibles sur le march? Pour r・oudre la question, la NSA s'est associ・ ? l'Institut national des normes et de la technologie (NIST). Au titre de leur accord, la NSA et le NIST homologueront les laboratoires commerciaux qui ・alueront la s・urit?commerciale des produits consid・・, soit pour valider les affirmations de s・urit?des fournisseurs, soit pour d・erminer la conformit?des produits aux exigences du dispositif de s・urit?du r・eau. Les essais des produits seront effectu・ et v・ifi・ par les laboratoires homologu・ contre r・un・ation, les tarifs et les arrangements devant ・re n・oci・ entre le laboratoire et le fournisseur du produit.

Enfin, la NSA consid・e que le pays a besoin d'un syst・e partag? de dispositifs d'assurance de s・urit?de l'information et elle fait appel ?ses comp・ences sp・ialis・s pour ・aborer la technologie fondamentale qui ・ablira des capacit・ nationales de d・ection des cyberattaques et de riposte ?ces attaques. Ce syst・e est dot? d'une vari・?de capteurs qui peuvent ・re mis en place ?des points essentiels de l'infrastructure et dans l'infrastructure de t・・ommunications sous-jacente elle-m・e, ?l'aide de techniques analytiques sophistiqu・s de grande envergure, pour fournir un aper・ dynamique des menaces cyberspatiales auxquelles sont expos・s les ・・ents vitaux d'infrastructure. Ces techniques devraient ・re partag・s par tout un ensemble d'entit・ de s・urit?nationale, tant f・・ales qu'industrielles et r・ionales, pour permettre en simultan? les op・ations de d・ection, de d・ense, de reconstitution et de reprise des services vitaux.

Conclusion

La prosp・it?・onomique dont jouit notre pays aujourd'hui se fonde largement sur l'・e de l'information et sur notre pr蜑minence technologique mondiale dans ce domaine. Notre influence pr・ond・ante sur l'・onomie mondiale et notre prosp・it?pourraient fort bien d・endre de notre volont?nationale de prendre l'initiative en vue d'instaurer l'int・rit?et la responsabilit?- ?nbsp;l'assurance de l'information ?- dans l'environnement informatique mondial que nous avons contribu??cr・r. Par son D・ret pr・identiel 63, le gouvernement Clinton proclame qu'il est temps d'agir et la NSA est bien positionn・ et pr・e ?se charger de la mission, au service de laquelle elle mettra son savoir-faire technique. La sup・iorit? des moyens informatiques ?l'・e de l'information est de toute ・idence un imp・atif national.