« Sécurité Défense Microsoft: » : différence entre les versions

De April MediaWiki
Aller à la navigationAller à la recherche
m (transcription publiée page à supprimer. Merci au jardinier !!)
 
(11 versions intermédiaires par 4 utilisateurs non affichées)
Ligne 1 : Ligne 1 :
[[Catégorie:Transcriptions]]
[[Catégorie:Transcriptions]]


 
transcription publiée : http://www.april.org/cyberdefense-francaise-quelles-perspectives-apres-le-livre-blanc-et-la-lpm-quiestions-reponses
Titre : Amiral Coustillère, Sénateur Jean-Marie Bockel
 
Intervenants : Un étudiant,  Amiral Coustillère, Sénateur Jean-Marie Bockel
 
Lieu : Sénat
 
Date :
 
Durée :
 
Lien vers l'enregistrement : [http://www.april.org/sites/default/files/recording-20140121-120250.mp3]
 
 
== 46' 28 ==
 
'''Public :''' Bonjour, prénom et nom, étudiant en sécurité juridique et politique à Paris II. Je me suis renseigné un peu sur  la loi de programmation militaire et je suis tombé, par hasard, sur une conférence de Régis Chamagne,  ancien colonel de l'armée de l'air et auteur d'un ouvrage sur la stratégie aérienne, donc conférence qui avait lieu à la défense française. Ça m'a un petit peu intrigué et je me pose deux questions. Vous avez beaucoup parlé de souveraineté nationale, donc je me demande comment on peut concilier cette souveraineté avec un alignement sur l'Otan et le fait que  les USA, les États-Unis soient une des principales menaces en matière de cyberdéfense et est-ce que dans le contexte Prism, donc l'affaire Snowden. n'est-il pas temps de remettre en cause les contrats signés entre l'armée et Microsoft ?
 
'''Meneur :''' Alors, peut-être Patrick Hetzel.
 
'''Patrick Hetzel :''' C'est clair qu'on est là sur un sujet de nature politique. Vous mettez le doigt sur un point clef. Il est certain que si on veut s'assurer de la souveraineté nationale, il faut le faire sous tous les aspects. Tout à l'heure j'évoquais à la fois le problème du hard et le problème du soft. Il faut, là-aussi, faire évoluer un certain de nombre de nos pratiques. Je pense qu'un certain nombre de bons réflexes ont commencé à être pris, comme ça a pu être indiqué, maintenant il faut que ça diffuse dans l'ensemble, je dirais, de nos organisations publiques et privées d'ailleurs. Je pense qu'il y a encore un peu de travail dans ce sens. Je crois que Jean-Marie Bockel a aussi un éclairage à apporter suite à son rapport.
 
'''Jean-Marie Bockel :''' Merci. Sur l'Otan, je vais parler clair. L'Otan c'est une alliance. On peut être pour, on peut être contre. Moi je suis pour. Mais sur le plan cyber, je l'avais d'ailleurs développé dans le rapport en effet, c'est aujourd'hui une alliance, c'est un morceau de gruyère. Ils font des efforts, ils font des progrès. Je ne me situe même pas sur un plan politique, mais sur un plan, j'allais dire, technologique. Ce n'est pas le problème des américains déjà, c'est est-ce que, entre alliés de l'Otan, on peut avoir une stratégie commune en matière cyber ? A certains égards il le faut, parce que quand on est ensemble dans un conflit, de plus en plus cette dimension cyber, je le dis sous le contrôle de l’amiral, va apparaître de manière importante. A partir du moment où on est ensemble, alliés, sur un conflit ou sur une menace, il faut effectivement qu'on ait un partenariat, une stratégie commune. Mais par moments, elle peut mettre en jeu des enjeux de souveraineté, qu'on évoquait tout à l'heure, en simples termes de sécurité.
Je pense que, pour autant l'enjeu ce n'est pas Snowden, ce n'est pas la NSA, ça ça fait partie je dirais des consonances qu'on connaît, sur lesquelles on s'est déjà dit beaucoup de choses, l'enjeu c'est la cybersécurité à l'Otan.
 
'''Meneur :''' Amiral
 
'''Amiral Coustillière :''' La question est difficile surtout qu'il y a un amalgame, mais je vais essayer d’être très clair. Bien sûr quand vous êtes responsable d'un grand organisme comme le Ministère de la Défense, qui doit comporter au bas mot plus de 250 000 postes de travail, que vous avez un certain nombre, du volume,  du personnel, ??? vous êtes appelé à faire des choix. Des choix c'est un rapport coût, efficacité et risque. Donc dans ces choix-là vous avez le choix entre des grands éditeurs de logiciels qui vous garantissent une certaine pérennité sur les logiciels, et qui vous garantissent un certain entretien de vos logiciels et qui vous garantissent, surtout, une certaine interopérabilité avec un ensemble de partenaires avec qui vous travaillez. C'est sûr que ça, ça demande une politique équilibrée et dans d'autres parties où vous avez moins de partenaires, vous êtes prêt à mettre davantage de ressources humaines pour faire évoluer les logiciels, vous faites des choix de logiciels différents.
En terme de sécurité vous avez le choix aussi entre un grand éditeur qui est obligé de faire évoluer ses logiciels parce que dès que quelqu'un a trouvé une faille, il est obligé de les faire évoluer, face à des communautés de développeurs libres, où, quand vous avez affaire à des services de renseignements, pénétrer une communauté d'éditeurs libres et aller se planquer à l'intérieur du code, ce n'est pas très compliqué, non plus.
Je veux simplement dire par là que la réflexion sur Microsoft, me paraît moi un peu élémentaire et quand vous êtes responsable d'un grand réseau d’information, il y a des tas de façons d'attaquer votre réseau avant d'aller s'en prendre à la couche logicielle du haut et vous pouvez rentrer dans le hard et je regardais les affaires Snowden aujourd'hui ou Prism, vous n'avez pas besoin d’exploiter les failles Microsoft pour pêcher tous les mails qui s'y promènent. Vous n'avez pas besoin de ça pour rentrer dans les sites web. Vous faites du ???, vous faites n'importe quoi, vous rentrez comme dans du beurre. Donc cette réflexion sur Microsoft elle doit être quand même un petit peu plus réfléchie et ne pas être que sur Microsoft mais bien sûr sur l'ensemble des éditeurs de logiciels qui disposent de ???.  Vous avez un des gros éditeurs qui s'appelle SA? aussi, qui est européen, qui pose un certain nombre de difficultés aussi.
Ensuite en terme de souveraineté. Je crois qu'il faut dépasser le terme souveraineté, il faut remettre un certain nombre de réflexions sur la table. Quand aujourd'hui, on regarde les opérations militaires depuis les 20 ou les 30 dernières années, elles se font principalement d'une façon quasi ??? sous mandat de l'ONU. Elles se font dans des cercles de partenaires issus d'une alliance historique avec l'Otan. Aujourd'hui vous avez des nombres de partenaires extrêmement importants. Donc si dans ces opérations militaires vous remettez en cause le cœur de l’opération militaire, vous remettez en cause la souveraineté de la nation. C'est bien dans la phase d'appréciation de situation qui va amener le pouvoir politique à décider « je vais intervenir ». Donc le cœur de souveraineté militaire aujourd'hui, elle réside bien sûr dans l'information nucléaire, dans des systèmes très compliqués, très bien commandés, très bien maîtrisés, mais elle réside dans l'appréciation de situation ou de renseignement, c'est-à-dire par le satellitaire d'un certain nombre de domaines.
Après quand vous êtes sur un théâtre d'opérations où, je n'en sais rien, au Mali, comment voulez-vous que je travaille aujourd'hui au Mali avec des Tchadiens si je n'utilise pas internet et des produits Microsoft. Vous croyez que les Tchadiens ont des développeurs de logiciels ? Qu'est-ce que vous pensez de la Centrafrique ? Qu'est-ce que vous pensez quand on fait des missions de contrôle de piraterie avec aujourd’hui un bâtiment chinois et un bâtiment ukrainien, pour chasser les pirates de la Somalie ? Quel est le meilleur logiciel pour être capables de se parler ensemble, de conduire des opérations ?
Donc la souveraineté elle a quand même beaucoup bougé et je voudrais revenir sur ce qu'a dit monsieur le député ???, les souverainetés aujourd'hui, il faut bien réfléchir à ça,  on a une propre souveraineté qui est la nôtre, celle de chacun individuellement dans ce cyberespace. Qu'est-ce que l'on fait de nos propres données ? Pourquoi on les donne à Google ? Pourquoi on les donne à je ne sais pas trop quel site ?  Bon j'ai des enfants, et ils visitent des tas de sites. On perd aujourd'hui des tas de souverainetés.
Alors ensuite on a la souveraineté de nos industriels français, de nos emplois en France. Quand une PME ne se protège pas et se fait vider et perd des contrats. Quand moi au Ministère de la Défense, dans le ??? je vous donne tous les ans 700 millions d'euros de recherche et développement à notre industrie préférée et que notre industrie préférée est complètement pénétrée et que tout cela ça part dans des pays étrangers, là on peut se poser des questions sur la vraie, la réalité de notre souveraineté. Mais je trouve que les questions qui se limitent uniquement à des problématiques comme Microsoft - ou vous vous voulez prendre tous les autres logiciels,  je n'en sais rien, il n'y en a pas d'autres qui me viennent - sont un petit peu limitées. Il faudrait élever un petit peu le débat et bien repasser sur un débat de la souveraineté des données dans les différents cercles. On a parlé de l’Europe tout à l'heure. Oui il y a des souverainetés à géométrie variable au sein de l'Europe. On n'a pas la souveraineté en matière d'échange de données entre nous et l'Italie, entre nous les allemands, entre nous et l’Estonie parc que c'est un pays avec qui on a des relations particulières et ce ne sera pas la même chose dans le domaine militaire que dans le domaine industriel, dans le domaine des ??? nucléaires. On regarde aujourd'hui Thalès, on a des tas de succursales, on regarde EADS, c'est une entreprise européenne. Donc ces notions de souveraineté dans le cyberespace aujourd'hui où les frontières se gomment, méritent une réflexion extrêmement importante, extrêmement approfondie.
 
'''Meneur :''' Merci
 
'''Patrick Hetzel :''' Très rapidement pour réagir à ce que dit l'amiral Coustillière, il a utilisé un terme que nous connaissons tous, celui de l'interopérabilité, mais on voit bien que la règle même pour pouvoir fonctionner d'un point de vue cette fois-ci opérationnel à l'intérieur de l'Otan, c'est l'existence d'une certaine interopérabilité.  Et il y a un vrai paradoxe. C'est-à-dire que l'interopérabilité est absolument nécessaire pour être efficace, mais en même temps, plus vous allez pousser cette interopérabilité, plus potentiellement, vous augmentez l’exposition et donc la possibilité à un moment ou à un autre de développer des vulnérabilités. Donc il y a un équilibre à trouver. Je crois que le mot clef, c'est une fois qu'on a conscience de l'existence d'un tel paradoxe, quel équilibre va t-on pouvoir établir ? Et là il ne faut pas être naïf, il ne faut pas être un enfant de cœur comme le disait Jean- Marie Bockel, il faut voir conscience du fait qu'il y a des maillons d'un côté qui sont des maillons forts et par ailleurs peut-être des maillons faibles. Il faut surtout s'appuyer sur les maillons forts et essayer d’être plus prudent à l'égard de certains maillons faibles.

Dernière version du 24 avril 2014 à 13:32