Le comité pour la recherche en cyber sécurité du conseil national de la recherche a enfin publié son rapport sur la recherche en cyber sécurité. Ce comité avait été mis en place… le 27 novembre 2002, pour mener cette étude suite à un vote du congrès.
Ce long rapport, "Toward a Safer and More Secure Cyberspace" – 380 pages, considère trois sortes de risques pour le pays en matière de sécurité informatique :
– le risque d’une catastrophe de grande ampleur résultant d’une attaque contre les Etats-Unis
– celui de la perte d’efficacité résultant de l’investissement croissant nécessaire pour que les acteurs économiques se protègent, au détriment d’investissements productifs
– enfin le risque que l’insécurité se perpétuant, l’usage de l’Internet en pâtisse, au détriment des bénéfices attendus.
Il renouvelle par ailleurs les critiques usuelles : absence de vraie prise de conscience par la plupart des décideurs, sous évaluation des risques et, finalement, effort insuffisant, notamment en matière de recherche.
Le comité en conclut qu’il faut un investissement renouvelé en matière de R&D, qui ne se contente pas de chercher des solutions ad hoc problème par problème, mais qui s’attaque aux questions structurelles de manière systémique. Il préconise également une politique à long terme de recherche, avec assez de continuité pour permettre à la recherche de base de se développer et en visant à balayer l’ensemble du champ et non seulement les menaces connues actuellement.
Il propose un agenda de recherche articulé autour de 6 domaines :
– contenir et limiter l’impact des attaques (cryptographie, verrouillages automatiques, etc.),
– l’attribution des actions et la responsabilisation (authentification, attribution, traçabilité, etc.),
– le déploiement des contre mesures (outils et techniques qui en facilitent le déploiement, facilité d’emploi et interfaces des systèmes de sécurité, etc.),
– dissuasion (mesure légales mais aussi mesures de contre attaque,
– applications transversales de ces quatre axes de recherche (à des types de systèmes particuliers),
– recherche amont spéculative.
Cet agenda de recherche très détaillé et illustré de nombreux exemples constitue le coeur de ce rapport.
Son découpage et les axes qui se dégagent sont sensiblement différents de ceux du "Federal Plan for Cyber Security and Information Assurance Research and Development" de 2006 (voir BE Etats-Unis 31), même si les items prioritaires de recherche sont largement communs.
Par ailleurs, le comité met en avant cinq priorités à court terme :
– la sensibilisation à l’urgence qu’il y a à traiter ce problème,
– un accroissement immédiat et substantiel des dépenses de R&D dans le domaine (en ne se limitant pas à l’informatique),
– une politique de ressources humaines concernant les chercheurs du domaine, qui repose d’abord sur un plan budgétaire à long terme et non une "prioritarisation" de l’effort (ce qui peut être lu à la fois comme une critique voilée à l’égard de la Maison Blanche et de son directeur pour la science et la technologie, John Marburger ou comem un contre-pied par rapport au rapport du PITAC en 2005),
– la mise en place d’un mécanisme de suivi et d’évaluation de l’effort de recherche,
– la mise en place d’une cyber infrastructure pour ce domaine de recherche.
On peut également relever la proposition d’une "Cybersecurity Bill of Rights", qui est une sorte d’énoncé de politique générale en matière de cyber sécurité (pp 3-1 à 3-9).
Source :
– "Toward a Safer and More Secure Cyberspace". Rapport du National Research Council (Computer Science and Telecommunication Board, Committee on Improving Cybersecurity Research in the United States), 29 juin 2007
https://books.nap.edu/catalog.php?record_id=11925
Pour en savoir plus, contacts :
– Improving Cybersecurity Research in the United States
https://www7.nationalacademies.org/cstb/project_cybersecurity.html
– Le site du Computer Science and Telecommunication Board du NRC
https://www7.nationalacademies.org/cstb/
– The National Strategy to Secure Cyberspace (octobre 2002)
https://www.whitehouse.gov/pcipb/
– Cyber Security Research and Development Act, 27 novembre 2002
https://thomas.loc.gov/cgi-bin/bdquery/z?d107:HR03394:|TOM:/bss/d107query.html
– Cyber Security: A crisis of prioritization, PITAC, février 2005
https://www.nitrd.gov/pitac/reports/20050301_cybersecurity/cybersecurity.pdf
– BE Etats-Unis 31 – Un plan pour le renforcement de la sécurité informatique aux Etats-Unis, 20/04/2006
https://www.bulletins-electroniques.com/actualites/33206.htm
– Federal Plan for Cyber Security and Information Assurance Research and Development, avril 2006
https://www.nitrd.gov/pubs/csia/csia_federal_plan.pdf
Code brève
ADIT : 43610
Rédacteur :
Jean-Philippe Lagrange [email protected]