Upload
securityvibes
View
395
Download
0
Embed Size (px)
Citation preview
Risque & Securite Informatique:“Babel Minute Zero” ouLe cas extreme du Cyber-conflit
Guy-Philippe Goldstein
Jeudi 1er Decembre, 2011
© Guy-Philippe Goldstein, Decembre 2011
Pourquoi une fiction?« Babel Minute Zéro », le point de départ
« Ce qui est improbable n’est pas impossible »
© Guy-Philippe Goldstein, Decembre 2011
Pourquoi une fiction?“La Romance Scientifique” comme reservoir d’hypotheses0
Bombe Atomique
1914 1984
Cyberspace Hackers
© Guy-Philippe Goldstein, Decembre 2011
Pourquoi une fiction?0Particulierement adaptee aux cyberconflits
“Whether hacker warfare is a useful instrument of
policy is a question that defense analysts and science
fiction writers may be equally well placed to answer.”
Martin Libicki, « What is information operations? », 1995
© Guy-Philippe Goldstein, Decembre 2011
Analyse du Risque
Probabilité de réalisation du risque au cours de la période
Impacts du risqueSi risque réalisé
T
100%
€
Faible FortModéré
Cout de l’impact
+
Temps écoulé
Court
terme
Long
terme
Moyen
terme
© Guy-Philippe Goldstein, Decembre 2011
� Impact
� Incidence
� Mitigation du risque
© Guy-Philippe Goldstein, Decembre 2011
Sibérie, 1982
Source: Thomas C. Reed, At the Abyss: An Insider's History of the Cold War, Presidio Press, 2004
© Guy-Philippe Goldstein, Decembre 2011
Estonie, 2007 – Estonie vs. Patriotes Russes (et Kremlin?)
Blocage des operations de e-Banking des principaux groupes bancaires du pays
© Guy-Philippe Goldstein, Decembre 2011
Brésil, 2008
“We know that in other countries, cyber attacks have plunged entire cities into darkness”
President Obama, May 2009
Source: CBS, 60 Minutes, 8 Novembre 2009
© Guy-Philippe Goldstein, Decembre 2011
Syrie, 2007- Operation Orchard
Suppression du systeme radar syrien
Avant Apres
© Guy-Philippe Goldstein, Decembre 2011
Virus Stuxnet – 2009(?) – 2010(?)
Sabotage de systemes de controle industriel:Destruction de centrifugeuses pour l’enrichissement d’Uranium a Natanz en Iran (?)
© Guy-Philippe Goldstein, Decembre 2011
L’État-major U.S. prend la menace au sérieux
� General James E. Cartwright, Former Commander of the U.S. Strategic Command, Vice-Chairman of the Joint Chief of Staff:
Report to Congress, U.S.-China Economic and Security Review Commission, 11/2007
© Guy-Philippe Goldstein, Decembre 2011
Les raisons: La révolution digitaleEn 2007, le monde a été englouti par le Cyberespace
© Guy-Philippe Goldstein, Decembre 2011
Analyse du Risque
Impacts du risque si risque réalisé
€
Faible FortModéré
Cout de l’impact
Probabilité
€
Faible FortModéré
Cout de l’impact
Probabilité
1990-2000 2020-2030?
© Guy-Philippe Goldstein, Decembre 2011
� Impact
� Incidence
� Mitigation du risque
© Guy-Philippe Goldstein, Decembre 2011
La paix peut dépendre des armes nouvelles Exemple 1: Les Fortifications Vauban (1650)
© Guy-Philippe Goldstein, Decembre 2011
La paix peut dépendre des armes nouvelles Exemple 2: Les armes nucleaires (1960)
© Guy-Philippe Goldstein, Decembre 2011
La paix peut dépendre des armes nouvelles Exemple 3: Les forces blindees et aeriennes (1930)
© Guy-Philippe Goldstein, Decembre 2011
Les cyberarmes et leurs risques
� Pas de designation claire de l’agresseurE
� E mais des armes fabriquees par les Etats-Nations
� Des effets strategiques – sans paliers d’escalades claires
� Des armes de premiere frappe
� E qui creent un risque d’escalade
© Guy-Philippe Goldstein, Decembre 2011
BLACKOUT >10 jours?
?
?
?
Les cyberarmes et leurs risques:Pas de designation claire de l’agresseur0
© Guy-Philippe Goldstein, Decembre 2011
7 million d’ordinateurs infectes dans plus de 200 pays
Exemple: Conficker (2008)
Les cyberarmes et leurs risques:Pas de designation claire de l’agresseur0 surtout quand TOUT LE MONDE est attaque !
© Guy-Philippe Goldstein, Decembre 2011
Les cyberarmes et leurs risques
� Pas de designation claire de l’agresseurE
� E mais des armes fabriquees par les Etats-Nations
� Des effets strategiques – sans paliers d’escalades claires
� Des armes de premiere frappe
� E qui creent un risque d’escalade
© Guy-Philippe Goldstein, Decembre 2011
Explosif (RDX)10 ans
Les cyberarmes et leurs risques d’utilisationLes cyberarmes sont-elles reellement assymetriques?......
© Guy-Philippe Goldstein, Decembre 2011
VBS/Loveletter ILOVEYOU Virus10 ans
Explosif (RDX)10 ans
Les cyberarmes et leurs risques d’utilisationLes cyberarmes sont-elles reellement assymetriques?......
© Guy-Philippe Goldstein, Decembre 2011
.
� Effort continu de R&D
� Acces au meilleur talent
� Acces a un financement large
� Acces a du renseignement et acces privilegie aux industries IT
ETAT
Les cyberarmes et leurs risques d’utilisationLes cyberarmes les plus dangereuses ne peuvent etre developpees que par des Etats-Nations
Les Pirates ont besoin des Etats
© Guy-Philippe Goldstein, Decembre 2011
PFLPTHE BLACK HAND FARC
Lashkar-e-Taiba Hezbollah Al Qaeda
Kingdom of Serbia Soviet Union Venezuela
Pakistan Iran Saudi Arabia/ Pakistan
Les cyberarmes et leurs risques d’utilisationLes pirates ont TOUJOURS eu besoin des Etats
© Guy-Philippe Goldstein, Decembre 2011
Les cyberarmes et leurs risques
� Pas de designation claire de l’agresseurE
� E mais des armes fabriquees par les Etats-Nations
� Des effets strategiques – sans paliers d’escalades claires
� Des armes de premiere frappe
� E qui creent un risque d’escalade
© Guy-Philippe Goldstein, Decembre 2011
?
Les cyberarmes et leurs risques d’utilisationLe potentiel strategique
© Guy-Philippe Goldstein, Decembre 2011
5
4
3
2
1BLACK-OUT:
• APRES COMBIEN D’HEURES/JOURS Y A T-IL UN NOMBRE SIGNIFICATIF DE VICTIMES?....
Les cyberarmes et leurs risques d’utilisationOu se trouvent les lignes rouges?......
© Guy-Philippe Goldstein, Decembre 2011
Les cyberarmes et leurs risques
� Pas de designation claire de l’agresseurE
� E mais des armes fabriquees par les Etats-Nations
� Des effets strategiques – sans paliers d’escalades claires
� Des armes de premiere frappe
� E qui creent un risque d’escalade
© Guy-Philippe Goldstein, Decembre 2011
Les cyberarmes et leurs risques d’utilisationPas d’alertes avancees0.
• ZERO DAY: IMPACT IMMEDIAT
• ULTRA SPECIALISEE
• PAS DE DETECTION AVANCEE
© Guy-Philippe Goldstein, Decembre 2011
UNITE DE DEFENSE UNITE D’ATTAQUE
Les cyberarmes et leurs risques d’utilisationPas de distinctions fonctionnelles observables sur les capacites
© Guy-Philippe Goldstein, Decembre 2011
� Ultra Precise
� Aggresseur inconnu
� Pas d’alerte avancee
� Pas de surveillance/controle
� Effets strategiques
“First Strike Weapons”
Les cyberarmes et leurs risques d’utilisationDes armes de premiere frappe
© Guy-Philippe Goldstein, Decembre 2011
Les cyberarmes et leurs risques
� Pas de designation claire de l’agresseurE
� E mais des armes fabriquees par les Etats-Nations
� Des effets strategiques – sans paliers d’escalades claires
� Des armes de premiere frappe
� E qui creent un risque d’escalade
© Guy-Philippe Goldstein, Decembre 2011
Doubly Dangerous
Doubly Stable
Avantage à l’Attaque Avantage à la Défense
Posture de l’Ennemi pas claire:Offensive
ou Défensive???
Robert Jervis “ Security Under the Cooperation Dilemma” Model (1978):
Posture de l’Ennemi claire
(Perception)
CYBERWAR
Les Cyber Armes augmentent le risque de conflit mondial
© Guy-Philippe Goldstein, Decembre 2011
Robert Jervis “ Security Under the Cooperation Dilemma” Model (1978):
Doubly Stable
Doubly DangerousEurope, June 1914
Avantage à l’Attaque Avantage à la Défense
(Perception)
Posture de l’Ennemi pas claire:Offensive
ou Défensive???
Posture de l’Ennemi claire
Les Cyber Armes augmentent le risque de conflit mondial
© Guy-Philippe Goldstein, Decembre 2011
Les Cyber Armes augmentent le risque de conflit mondialHier
© Guy-Philippe Goldstein, Decembre 2011
?
Brouillard de la
CYBER-GUERRE
Les Cyber Armes augmentent le risque de conflit mondialAujourd’hui
© Guy-Philippe Goldstein, Decembre 2011
L’escaladeDemain?
General Kevin Chilton, US Strategic Command (Forces Stratégiques US):
“Toutes les options sont sur la table s’il faut répondre a une cyber attaque contre les Etats-Unis d’Amérique.”
Mai 2009
Confirme par le Wall Street Journal en Juin 2011
© Guy-Philippe Goldstein, Decembre 2011
Analyse du Risque
Probabilité de réalisation du risque
100%
Tension politique
Probabilite
Seuil ?
Escalade
© Guy-Philippe Goldstein, Decembre 2011
Analyse du Risque
Probabilité de réalisation du risque
100%
Tension politique
Probabilite
Seuil ?
Escalade
TECHNOLOGIESANS DOCTRINE
Seuil ??
© Guy-Philippe Goldstein, Decembre 2011
� Impact
� Incidence
� Mitigation du risque
© Guy-Philippe Goldstein, Decembre 2011
Mitigation1. Integrer aux processus de decision strategiques
EN DEVELOPPEMENT
Source: Stuart STARR, Daniel KUEHL, Terry PUDAS, « PERSPECTIVES ON BUILDING A CYBER FORCE STRUCTURE”, 2010, NDU
© Guy-Philippe Goldstein, Decembre 2011
Mitigation2. Mise en place dispositif technique
COMPUTING & STORAGE HARDWARE
ELECTRO-MAGNETIC SPECTRUM/
TELCO HARDWARE
HUMAN BRAIN (EMETTER &
RECEPTER)
DIGITAL INFORMATION SYSTEM
DIGITAL DATAINSTRUCTIONS &
PROTOCOLS HUMAN BRAIN (DEVELOPPER)
SOFTWARE (VIRTUAL /SEMANTIC DOMAIN)
HARDWARE PHYSICAL DOMAIN
(b. XIX th)
(b. Late XIX th)
(b. 1950s – 1960s)
(b. 1940s)
HUMAN
COMPONENT
© Guy-Philippe Goldstein, Decembre 2011
Mitigation3. Mise en place de nouvelles doctrines
DOCTRINE: DISSUASION NUCLEAIRE
© Guy-Philippe Goldstein, Decembre 2011
Mitigation4. Alertes avancees, reporting, echange d’information
INTERNATIONALNATIONAL
PARTENARIATSPUBLICS-PRIVES
Exemple:
IN-Q-TEL
GCHQ
© Guy-Philippe Goldstein, Decembre 2011
1930 1940 1950 1960 1970 1980 1990 2000 2010 2020
Mitigation: Les 10-20 prochaines annees
Zuse Z1
Colossus 1
Cray Jaguar
Floating point
operations
per second
Tianhe IA
Target
2020
X50 to x350Tous les 10 ans
10^2
10
1
10^3
10^4
10^5
10^6
10^7
10^8
10^9
10^10
10^11
10^12
10^13
10^14
10^15
10^16
10^17
10^18
K Computer
© Guy-Philippe Goldstein, Decembre 2011
1988
2007
2010
2025-2030+
?
Morris Worm
Estonia E-Riot
StuxnetSCADA
penetration
Mitigation: Les risques emergents – “Known unknwown; Unknown unknown”5. Imaginer & Simuler
© Guy-Philippe Goldstein, Decembre 2011