Des mesures simples et économiques peuvent mettre les forces armées sur la voie de la cybersécurité
PERSONNEL D’ADF
Un employé qui passait l’une de ses innombrables journées devant un écran d’ordinateur a ouvert un e-mail et a cliqué sur un lien. Et l’invasion commença.
Cet employé était un technicien informatique de Saudi Aramco, grande société de pétrole d’Arabie saoudite. Il était censé avoir suivi une bonne formation sur l’utilisation prudente des ordinateurs. Mais ce ne fut pas le cas le 15 août 2012, pendant le mois sacré du Ramadan. Un clic sur ce lien était tout ce dont avaient besoin les hackers, qui se faisaient appeler le « Glaive tranchant de la justice », pour infiltrer l’une des sociétés les plus riches du monde.
En quelques heures seulement, 35.000 ordinateurs de la société furent détruits ou partiellement oblitérés, selon un rapport de CNN. Les écrans commencèrent à clignoter. Les ordinateurs s’arrêtèrent.
Les fichiers disparurent. Les employés de la société dans le monde entier tentèrent de se déconnecter des serveurs et de l’Internet en espérant stopper la marche destructrice du virus.
Saudi Aramco continua à produire ses 9,5 millions de barils par jour ; les forages et l’extraction se poursuivirent. Mais l’attaque plongea les fonctions administratives telles que la gestion logistique, l’expédition et les questions contractuelles dans l’âge de pierre du papier et des machines à écrire.
Il n’y avait pas d’Internet, pas de service d’e-mail de la société. Même les téléphones étaient silencieux. Si un contrat devait être signé, les employés l’envoyaient par télécopieur, une page après l’autre. La société a même dû refuser l’accès aux camions-citernes qui cherchaient à se ravitailler. Après plus de deux semaines de paralysie, Saudi Aramco a fait cadeau de son pétrole pour maintenir sa production nationale.
Immédiatement après l’attaque, la société acheta simultanément 50.000 nouveaux disques durs d’ordinateur, en payant plus que le prix du marché pour avoir priorité. Cet achat étrangla l’approvisionnement mondial en disques durs.
« Tous ceux qui ont acheté un ordinateur ou un disque dur entre septembre 2012 et janvier 2013 ont dû payer un prix un peu plus élevé », déclare à CNN Chris Kubecka, ex-conseiller de sécurité de Saudi Aramco.
Un seul e-mail. Un seul lien. Un seul clic. Cela suffit pour perdre un combat dans le cyberespace. Aucun pays n’est immunisé. Aucune armée ne peut être trop préparée.
La Chine, la Corée du Nord et la Russie ont déjà montré leur désir et leur capacité d’attaquer les autres pays dans le domaine cybernétique, en prenant pour cible les élections et l’infrastructure, entre autres. Bien qu’un grand nombre de pays africains ne semblent pas offrir de cible importante, ils ne peuvent pas s’abandonner à l’autosatisfaction, déclare le Dr Jabu Mtsweni, chef d’un groupe de recherche sur la guerre cybernétique au Conseil pour la recherche scientifique et industrielle d’Afrique du Sud. « Les menaces sont fortes, déclare le Dr Mtsweni, et je ne pense pas que nous soyons immunisés contre l’une quelconque d’entre elles. »
LA SOLUTION COMMENCE PAR LA FORMATION
L’établissement d’une formation solide et l’enseignement des meilleures pratiques offrent la meilleure façon d’assurer que les forces armées africaines soient prêtes à affronter les menaces cybernétiques. Les experts conviennent que tout le monde peut prendre des mesures pour réduire les risques d’un grand éventail de menaces cybernétiques, même si des spécialistes ou un matériel de haute technologie ne sont pas disponibles. Les pays peuvent fournir cette formation aux soldats et aux officiers dans des établissements pédagogiques militaires professionnels.
De telles académies de formation militaire existent dans l’ensemble du continent et beaucoup d’entre elles se concentrent sur toute une gamme de sujets, notamment le maintien de la paix et les stratégies de guerre. La cybersécurité n’a pas encore atteint la popularité des autres enseignements militaires plus traditionnels. Cela est dans une large mesure dû à un manque de sensibilisation, déclare le Dr Mtsweni, et à un manque de personnel possédant une formation, une expérience et un intérêt dans les questions de cybersécurité. La plupart des forces armées africaines, déclare-t-il, continuent à se concentrer sur les tactiques et les stratégies de guerre traditionnelles et cinétiques. La modification de cet état d’esprit nécessitera des changements, et du temps.
« Je pense que la première étape devrait commencer principalement au niveau du recrutement », déclare le Dr Mtsweni à ADF. « Autrement dit, lorsque l’armée recrute, elle doit commencer à recruter pour l’ère du numérique. »
C’est plus facile à dire qu’à faire. Où que ce soit, les gens qui possèdent des aptitudes en cybersécurité sont peu nombreux. Un certain degré d’intérêt et d’aptitude est essentiel, parce que l’intérêt et le talent technologiques ne sont pas à la portée de tous. Même la mise en place et la fourniture de la formation sont insuffisantes. Il doit exister une opportunité d’utiliser et de développer les nouvelles aptitudes. Les officiers et les soldats qui ont reçu une formation cybernétique deviendront découragés s’ils n’ont pas de moyen de pratiquer leur formation. Le Dr Mtsweni déclare que ceux qui sont formés devront être capables de mettre en œuvre ce qu’ils ont appris.
TROUVER UN CHAMPION
Le Dr Greg Conti, stratégiste en sécurité pour IronNet Cybersecurity aux États-Unis, a dirigé le Centre de recherche cybernétique de l’Académie militaire des États-Unis à West Point et son Institut cybernétique de l’Armée de terre. Il déclare à ADF que la meilleure façon de lancer une formation efficace en cyber-
sécurité est d’avoir « un cadre supérieur champion ». L’alternative consisterait à attendre que le changement se produise à partir de la base. Cela serait plus lent, et moins probable au sein d’une hiérarchie militaire.
Le Dr Mtsweni convient qu’il est crucial de trouver un champion. « Tous les succès et les échecs dépendent du leadership. S’il existe donc un chef qui est le champion de la cybersécurité, vous découvrez que les forces sur le terrain peuvent le suivre plus facilement, déclare le Dr Mtsweni. Dans un contexte africain, cela est plus rare car la plupart des colonels et des généraux ont été formés à la vieille école. En Afrique du Sud, nous disons qu’ils sont nés “BT” (avant la technologie). On les appelle des BT : ils sont nés avant la technologie en ce sens qu’il leur est très difficile de comprendre ce que vous dites lorsque vous parlez de la cyber-
sécurité, parce qu’ils ne l’ont pas apprise dans leur formation militaire. Ils n’ont jamais été vraiment introduits à la cybersécurité. »
Si un haut dirigeant s’intéresse à la cyber-
sécurité, ceux qui ont un grade inférieur le suivront. Il n’est même pas nécessaire que le dirigeant ait une compétence technique ou de bonnes connaissances du sujet, mais seulement qu’il réalise son importance et qu’il s’engage à y faire face avec de l’argent, des ressources, un espace et une attention continue. Ceci, déclare le Dr Conti, aidera les autres à comprendre l’importance de la cybersécurité et à s’y investir. La priorité du haut dirigeant se propagera vers le bas de la structure du commandement.
Ensuite, le dirigeant devra identifier, conserver et promouvoir le personnel possédant le talent et les aptitudes nécessaires. Si une unité peut identifier et responsabiliser un spécialiste en cybersécurité et l’aider à croître, les résultats « changeront la donne », déclare le Dr Conti.
Une fois que le personnel est identifié, il existe des options de formation qui peuvent fournir des résultats tangibles sans nécessiter de dépenses énormes. Par exemple, il existe tout un éventail d’informations gratuites en ligne sur la cybersécurité. Le personnel pourrait aussi travailler à partir de livres qui coûtent environ 30 dollars.
Si davantage d’argent est disponible, le Dr Conti déclare qu’une force militaire pourrait envoyer quelqu’un pour suivre une formation, lequel reviendrait ensuite pour donner des briefings à ses collègues et partager sa documentation. Une telle personne pourrait devenir l’« expert local » en cybersécurité, à un coût non récurrent de plusieurs milliers de dollars pour les frais de voyage et de scolarité.
UNE FORMATION EFFICACE À BAS PRIX
Les connaissances en cybersécurité et les bonnes habitudes sécuritaires peuvent être efficaces sans coûter trop cher. La formation peut être personnalisée pour les soldats et les officiers, selon leur expérience et leurs responsabilités. Le Dr Conti déclare qu’il est crucial de fournir une dose appropriée de formation en cyber-
sécurité aux personnes appropriées et au moment approprié de leur carrière. Les besoins d’un simple soldat sont probablement différents de ceux d’un sous-officier ou d’un officier.
Il déclare que la formation peut être ciblée pour un groupe important, pour quelques-uns ou pour peu de personnes. La formation la plus importante destinée au plus grand nombre traiterait de l’« hygiène cybernétique ». Cela concerne toutes les mesures fondamentales que tout le monde doit prendre dans le cyberespace. Sans elles, tout le reste échoue.
Elles incluent notamment le maintien du caractère privé des mots de passe, le changement fréquent des mots de passe et le refus de cliquer sur des liens ou des pièces jointes ouvertes dans les e-mails non sollicités ou suspects. Le simple fait de prendre un selfie avec un téléphone portable pendant une opération et de l’afficher sur les sites des réseaux sociaux peut compromettre une mission sensible.
Il est aussi important de s’assurer que les ordinateurs militaires exécutent des versions propres des logiciels populaires. Le Dr Conti raconte que les bazars d’Irak vendaient Microsoft Office pour 1 à 3 dollars. Il déclare que, sans aucun doute, ces logiciels étaient pleins de virus, de maliciels et autres codes malveillants.
La formation suivante est destinée à ce que le Dr Conti appelle le groupe des « quelques-uns ». Il inclut les intervenants qui travaillent de temps à autre en cybernétique, par exemple les avocats et les responsables politiques, les planificateurs militaires et ceux qui construisent et exploitent les réseaux informatiques. Une formation sur les 20 principaux contrôles de base du Centre pour la sécurité de l’Internet (CIS) serait utile pour ce groupe, selon le Dr Conti. Leur liste inclut l’inventaire et le contrôle du matériel et des logiciels, les protections des e-mails et des navigateurs Internet, les défenses contre les maliciels, le contrôle de l’accès sans fil, la surveillance des comptes, la réponse aux incidents et les tests de pénétration, entre autres.
La liste du CIS représente « l’ensemble canonique des meilleures pratiques [de l’industrie] pour sécuriser votre infrastructure TI », déclare le Dr Conti, en ajoutant que cette liste peut probablement protéger contre 80 % des menaces de niveau faible ou moyen. Les personnes qui appartiennent au groupes des « quelques-uns » pourraient aussi obtenir des certifications additionnelles telles que celle de Professionnel homologué de la sécurité des systèmes d’information.
La catégorie des « peu nombreux » inclut ce que le Dr Conti appelle les « vrais spécialistes de la cyber-
sécurité », tels que les opérateurs pratiques sur clavier qui gèrent les capacités cybernétiques offensives et défensives. Leur formation serait hautement spécialisée et inclurait probablement une expertise dans le renseignement d’origine électromagnétique et la façon de l’utiliser pour les opérations de guerre cybernétique, dans la politique et le droit cybernétiques, dans l’analyse du renseignement, dans la gestion des réseaux informatiques et dans la façon d’intégrer la cybernétique avec les opérations cinétiques et vice-versa.
LA CROISSANCE DE LA SENSIBILISATION
Le Dr Mtsweni déclare que plusieurs pays africains commencent à démontrer une sensibilisation croissante concernant l’importance de la cybersécurité. Il déclare que les pays tels que le Ghana, le Kenya, l’île Maurice, le Rwanda, le Sénégal et l’Afrique du Sud montrent un engagement envers la cybersécurité. Les forces armées suivent en général les gouvernements : à mesure que les gouvernements continuent à prioriser la cybersécurité, il est probable que les forces armées nationales suivront.
Toutefois, le développement des capacités nationales en cybersécurité prendra du temps, peut-être cinq ans ou plus, selon le Dr Mtsweni.
Le Dr Conti déclare qu’il en sera ainsi quel que soit le niveau de formation du personnel militaire. L’attention à la cybersécurité ne peut pas être passagère. « Elle doit faire partie d’une vision à long terme. »
Je suis intéressé par la formation