II. LA GESTION MONDIALE DES INCIDENTS DE SÉCURITÉ NUMÉRIQUE
A. LES SERVICES DE VEILLE
Depuis les années 1990, des services de veille à l'échelle institutionnelle ont été proposés ; la plupart de ces services résultent d'initiatives nord-américaines.
Le National Institute of Standards and Technology (NIST) dépend du département américain du commerce, il est aujourd'hui l'entité organisationnelle et opérationnelle chargée de favoriser la compétitivité des entreprises confrontées à l'usage de technologies complexes . À son origine, en 1901, laboratoire de sciences physiques, le NIST a étendu son périmètre, depuis la fin des années 1980, à la normalisation des technologies de l'information .
Le NIST est chargé par le gouvernement nord-américain d'héberger et de gérer la base de connaissance des vulnérabilités au niveau national ( National Vulnerability Database ), le NIST est un institut puissant à l'origine de l'emploi ou du développement de la plupart des normes à des fins de veille en sécurité (bulletins OVAL, CVE, CVSS ).
Il en résulte que toute la connaissance de la majorité des vulnérabilités est aujourd'hui concentrée et fédérée sur le Security Content Automation Protocol (SCAP) , l a plate-forme du NIST , née de l'idée d'une mise en réseau de connaissances de sécurité entre la recherche scientifique et industrielle. Au travers de la plate-forme SCAP , le NIST centralise et diffuse les événements de sécurité considérés comme dangereux afin de favoriser la coopération des efforts au niveau national et international. SCAP permet également de produire une connaissance unique et commune sur les vulnérabilités. Dans son standard, NIST SP800-126, le NIST propose une normalisation des vulnérabilités afin de les exprimer sous un même format.
Vers la fin des années 1980, à la suite d'une vulnérabilité qui avait touché plus de 10 % des ressources Internet, l'État nord-américain s'est également doté d'un centre de traitement des incidents informatiques, le CERT/CC ( Computer Emergency Response Team Coordination Center ) .
Le CERT/CC fut créé par le SEI , sous l'impulsion de la DARPA (Defense Advanced Research Projects Agency ) et du DoD (United States Department of Defense ), installé au coeur de la Carnegie Mellon University . Après cet incident fondateur, la mission du CERT/CC a été de fédérer des équipes mixtes, industrielles et scientifiques, pour freiner la multiplication des failles des systèmes . Cette stratégie devait préserver la compétitivité des entreprises utilisatrices de logiciel en opposant un acteur de poids aux éditeurs à l'origine des failles de sécurité toujours plus nombreuses.
C'est pourquoi, dès 1993, l'une des missions du CERT/CC a été de diffuser ces vulnérabilités au grand public sous forme des bulletins « bugtraq », mettant en quelque sorte les éditeurs de logiciels en demeure de corriger leurs failles . Depuis cette date, 60 000 vulnérabilités ont fait l'objet d'une analyse fine du CERT sur plus de 27 000 logiciels conduisant pour la majorité à des correctifs . Le CERT/CC est devenu une référence, publiant gratuitement au quotidien une liste des vulnérabilités accompagnées d'une analyse détaillée.
Le SCAP et l' US-CERT font partie de ces initiatives nord-américaines de nature communautaire soutenues par le Departement of Homeland Security ( DHS ), au lendemain des attentats du 11 septembre 2001. En septembre 2003, le DHS a annoncé la création de l' US-CERT, résultant d'un effort conjoint avec le Centre de coordination CERT . US-CERT s'appuie sur les capacités CERT/CC pour aider à prévenir les cyberattaques, protéger les systèmes et répondre à ces agressions.
Schéma n° 2 : Page d'accueil de l' US-CERT
Source : Internet
Le succès du CERT/CC a entraîné le développement d'un réseau à l'échelle mondiale permettant de fédérer les connaissances de sécurité scientifiques et industrielles et d' offrir un service aux usagers du monde entier .
Le CERT/CC a mis en place un mécanisme de certification ; chaque État ou entité, désireux d'être acteur de sa sécurité, peut rallier ce réseau.
Le CERT/CC délivre la certification à tous les CERT .
En France, une vingtaine de CERT sont actuellement en service , certains sont des CERT d'État comme l' ANSSI dont la page d'accueil figure ci-après, d'autres dépendent de secteurs professionnels.
L'intérêt opérationnel de tous ces CERT est d'être reliés entre eux à différents niveaux, national et international afin d'échanger leurs informations sur la découverte de nouvelles vulnérabilités. Toutes celles-ci sont centralisées par le CERT/CC et identifiées par le SCAP ; le rôle de ce dernier, à l'image de l' ICANN , est d'en dresser une identification unique à l'échelle mondiale.
Dans un contexte où le numérique constitue un enjeu stratégique, on peut s'interroger sur la neutralité et sur la pérennité du SCAP .
Schéma n° 3 : Page d'accueil de l'ANSSI
Source : Internet