Après l’attaque massive de déni de service (DDoS) qu’a subi l’Estonie entre les mois d’avril et mai, les Etats-Unis essaient de tirer des leçons de ces événements pour mieux se préparer à un tel scénario. Le gouvernement américain avait envoyé sur place des spécialistes en sécurité informatique pour assister les autorités estoniennes à rétablir la situation dans un premier et pour analyser les flux de données générés par les attaques par la suite. L’US Air Force avait annoncé en septembre 2006 la création de l’USAF Cyber Command. Cette entité devrait être complètement opérationnelle d’ici octobre 2009 pour maintenir et défendre les infrastructures informatiques américaines en cas de guerre électronique (elle sera aussi capable d’attaquer des systèmes adverses). Elle devrait être partiellement opérationnelle dès cet été et devrait bientôt disposer de nouveaux bâtiments dans la Barksdale Air Force Base… grâce à des subventions des autorités locales.
Parallèlement, des débats ont eu lieu le 27 juin dernier au Sénat par la commission sur la sécurité intérieure à propos du budget alloué à la R&D dans le domaine de la sécurité informatique au sein du ministère de la sécurité intérieure (Department of Homeland Security, DHS). Jay Cohen, secrétaire d’état en charge de la science et de la technologie au sein du DHS, a été questionné sur les fonds jugés insuffisants pour la recherche dans le domaine. 37 millions de dollars sont prévus d’ici 2011 pour la R&D en sécurité informatique, soit 1 seulement du budget du DHS pour l’année 2007. Jay Cohen a également été invité à créer un centre d’excellence en cyber sécurité et à mettre en place des indicateurs sur les programmes en cours pour mesurer leur efficacité. L’objectif du gouvernement est clairement d’établir un plan national d’expertise pour faire face à une situation de cyber terrorisme.
Cette audition intervenait à la veille de la publication de la première version du rapport sur la recherche en cyber sécurité du conseil national pour la recherche, rapport longtemps attendu (voir brève « Rapport du conseil national de la recherche sur la cyber sécurité » [1]). Il ne fait guère de doute que les préoccupations exprimées dans ce rapport ne sont pas sans lien avec l’audition convoquée par la commission sur la sécurité intérieure du sénat.
Enfin, au-delà de la R&D, on peut noter qu’en avril dernier le DHS s’est vu attribuer par la commission parlementaire sur la réforme du gouvernement et son évaluation (House Committee on Oversight and Government Reform) un D en matière de sécurité informatique, après avoir eu un F, la plus mauvaise note, les trois années précédentes. D’une manière générale, on peut percevoir une amélioration très progressive et limitée dans l’ensemble des administrations. Le DHS lui-même ne se distingue pas particulièrement et avait d’ailleurs été récemment critiqué par le Government Accountability Office (voir BE Etats-Unis 74 [2]).
Source :
– US government prepares for cyber war games
https://arstechnica.com/news.ars/post/20070705-us-government-prepares-for-cyber-war-games.html
– Moseley: Cyber Command could become majcom by end of summer, 23 Mars 2007
https://integrator.hanscom.af.mil/2007/March/03292007/03292007-17.htm
– Leaders laud push for Cyber Command headquarters
https://www.shreveporttimes.com/apps/pbcs.dll/article?AID=/20070703/NEWS01/707030318/1060/NEWS01
– « A Roadmap for Security? Examining the Science and Technology Directorate’s Strategic Plan », audition au Sénat du 27 Juin 2007
https://hsc.house.gov/hearings/index.asp?ID=66
– BE Etats-Unis 86 – Rapport du conseil national de la recherche sur la cyber sécurité
<
– Agencies’ cybersecurity scores on the rise
https://www.govexec.com/dailyfed/0407/041207p1.htm
Pour en savoir plus, contacts :
– [1] « Rapport sur la cyber sécurité du conseil national de la recherche » – BE Etats-Unis 86 (13/07/2007) : https://www.bulletins-electroniques.com/actualites/43610.htm
– Estonia recovers from massive denial-of-service attack, 17 Mai 2007
https://www.infoworld.com/article/07/05/17/estonia-denial-of-service-attack_1.html
– When Computers Attack New York Times, 24 juin 2007
https://www.nytimes.com/2007/06/24/weekinreview/24schwartz.html?ei=5070&en=e1123761662817d8&ex=1184299200&pagewanted=print
– Seventh Report card on computer security at Federal Departments and Agencies Overall Grade: C-, April 12, 2007
https://republicans.oversight.house.gov/Media/PDFs/FY06FISMA.pdf
– Méthode d’attribution des notes
https://republicans.oversight.house.gov/Media/PDFs/FY06ScoringMethodology.pdf
– Sixth Report card on computer security at Federal Departments and Agencies Overall Grade: D+, March 16, 2006
https://republicans.oversight.house.gov/FISMA/FY2005FISMAreportcardFULLREPORT.pdf
– Federal Computer Security Grades, 2001-2005
https://www.washingtonpost.com/wp-srv/business/documents/fismachart.html
– BE Etats-Unis 66 – Le responsable fédéral de la sécurité informatique annonce ses priorités, 15/02/2007
https://www.bulletins-electroniques.com/actualites/041/41364.htm
– [2] BE Etats-Unis 74 – Sécurité de l’infrastructure de l’Internet : discours au Hudson Institute, 17/4/2007
https://www.bulletins-electroniques.com/actualites/42310.htm
Code brève
ADIT : 43609
Rédacteur :
Vincent Reboul [email protected] – Jean-Philippe Lagrange, [email protected]
