Cyberdefense Cyberpuiance au XXIeme siecle

J’ai lu « Cyberdéfense et cyberpuissance au XXIe siècle » de Guy-Philippe Goldstein. Guy-Philippe interviendra en distanciel le 25 mars 2021 de 18h à 19h au club IES en partenariat avec Sorbonne Competitive Intelligence & Strategy.

Guy-Philippe Goldstein est senior advisor sur les questions de cybersécurité pour le cabinet PwC et pour le fonds d’investissement ExponCapital. Il est enseignant à l'Ecole de Guerre Economique et expert sur les questions de cyberdéfense au sein du MBA Executive Management des Risques, Sûreté Internationale et Cybersécurité MRSIC. Il est également contributeur au journal académique de l’INSS à Tel-Aviv sur les questions de cyberdéfense. Il est enfin auteur de deux romans "Babel minute zéro" et "Sept jours avant la nuit". Ainsi que de l’essai "Cyberdéfense et cyberpuissance au XXIe siècle".

Voici quelques notes sur son ouvrage. Ce n’est pas un résumé et encore moins une synthèse…

Comprendre la révolution numérique
- J’ai beaucoup aimé le premier chapitre intitulé « Comprendre la révolution numérique ». L’auteur explique que nous assistons à une révolution du système de la prise de décision. C’était évident, mais il est un des premiers que je lis qui décrit aussi précisément le phénomène.
- Il évoque page 29 la révolution sémantique et l’illustre avec l’expression de « mots animés ». J’aime bien cette image, car elle revoit à la naissance de l’écriture. J’ai étudié les hiéroglyphes en licence d’histoire, et cette écriture était considérée par les Égyptiens comme vivante et animée. Parler de « mots animés » renvoie poétiquement à l’origine de l’écriture.
- Dans le cyberespace, les dommages le plus importants ne sont pas générés quand les données sont stoppées, car le réseau est bâti pour résister à une coupure. Mais quand les données sont corrompues. Comme cela a été le cas pour l’attaque sur Natanz avec le virus Stuxnet.

Problématiques du cyberespace

Il détaille les problématiques du cyberespace :
- L’attaquant a paradoxalement l’avantage du terrain. Si au Moyen-Age, un château fort était bien connu des défenseurs, à contrario, un système informatique est très difficile à connaitre parfaitement. L’attaquant qui va tester toutes les failles possibles a donc un avantage.
- L’attribution d’une attaque est toujours complexe. Il est très difficile de détecter les attaques sous fausses bannières.
- Pour les mêmes raisons, il est toujours délicat d’exercer des représailles.
- Les géants industriels d’un pays (comme les GAFAM pour les EU) peuvent se révéler être les idiots utiles d’une puissance adverses, comme cela a pu être le cas dans l’ingérence russe lors de l’élection de Trump.
- Il insiste sur le fait qu’une attaque informatique ne porte pas uniquement sur le fonctionnement technique des systèmes, mais porte aussi sur la crédibilité de l'entreprise qu'il faudra ensuite rétablir.

Tout ceci fait qu’en matière de cyber nous sommes dans une situation « doublement dangereuse » pour reprendre le tableau de Robert Jarvis. L’Etat non préparé sera dans ce que le stratège britannique Liddell Hart a appelé la paralysie stratégique

 jervis 2

Le propos de Guy-Philippe est de faire en sorte que nous sortions le cyber de la position « doublement dangereuse » pour aller dans « doublement stable ».

Faire passer le cyberespace d'une position "doublement dangereuse" à une position "doublement stable"

Guy-Philippe Goldstein présente de nombreuses pistes, applicables aux niveaux étatiques et de l’entreprise :
- Forger une doctrine du cyberespace.
- Augmenter les capacités de dissuasion.
- Augmenter les capacités d’attribution des attaques, et de compréhension des effets et des enjeux.
- Augmenter la capacité de formulation des représailles.
- Dominer les phases d'orientation et de décisions.
- Attaquer la première phase cognitive de l'assaillant.

Il donne des conseils plus opérationnels :
- Ralentir l’action de l’ennemi, gagner du temps pour mieux l’observer. Mettre des leurres pour perdre le pirate dans des dédales numériques, pratiquer la tromperie défensive.
- Gérer l’écosystème global de l’entreprise, avec ses sous-traitants. Le code est de plus en plus le liant entre les différents acteurs d’un écosystème (glue code) qu’il faut protéger donc globalement.

En matière de formation / sensibilisation :
- Former des experts en cybersécurité à grande échelle.
- Promouvoir la sensibilisation via la simulation par des jeux sérieux, notamment au niveau de la direction des entreprises.
- Sensibiliser le plus grand nombre.
- Au niveau culturel, intégrer l’acceptation de l'erreur.

Bâtir des écosystèmes complets. Il prend l’exemple de l’Estonie :
- Promouvoir le financement par du « capital privé intelligent » et nous pas par du financement public piloté par de hauts fonctionnaires.
- Aider les startups, plutôt que les grandes structures économiques.
- Développer des formations de très haute qualité pour faire émerger les talents.
- Structurer une offre d’assurance cyber.

Il prend une certaine hauteur de vue :
- Il fait le lien avec les différentes armes : « Le cyberespace est un hyper domaine maritime. Il sera également une version très instable d'un domaine aérien permettant peut-être un bombardement stratégique ultra précis ».
- Il invite à une redéfinition de la notion de puissance des États : qui est passée successivement par la possession de la terre, du charbon et pétrole, dans certains cas de l’eau. Aujourd’hui, c’est la possession du cyber qui va être la mesure de la puissance des États.


Son livre est riche d’anecdotes :
- Il évoque par exemple le travail de Bernard Barbier dont on pourra écouter une belle interview sur France Culture).
- Il évoque aussi la citation attribuée à Saint Jean "vous connaitrez la vérité et la vérité vous rendra libre" qui est inscrire sur un des couloirs de la CIA.

En conclusion, un livre très intéressant à lire, qui fait partie de la culture intelligence économique. Guy-Philippe interviendra en distanciel le 25 mars 2021 de 18h à 19h au club IES en partenariat avec Sorbonne Competitive Intelligence & Strategy.

Jérôme Bondu

Acheter via la FNAC





Geopolitique des donnees numeriquesJe recommande le livre « Géopolitique des données numériques » sous-titré « Pouvoir et conflits à l’heure du big data » d’Amaël Cattaruzza.

L’auteur est chercheur, et le livre s’adresse plus à des spécialistes qu’à des néophytes. Il mérite d’être lu par ceux qu’une analyse géopolitique du big data intéresse. Voici quelques notes …

[Pour rappel, la prochaine conférence du Club IES traitera de "Cyberdéfense & Cyberpuissance au XXIème siècle" animée par Guy-Philippe Goldstein. Conférence gratuite en distantiel]

De quoi les données sont-elles le nom ?


Le premier chapitre est très conceptuel. Il rappelle que le big data est affaire de volume, vélocité et variété. Sur le volume, il a une image qui est très parlante. Il explique que dans les magasins, un code-barre permettait avant de suivre des catégories de produit dans leur globalité. À contrario, une puce RFID permet aujourd’hui de suivre chaque produit individuellement. Nous avons là un exemple parlant de l’augmentation de la précision de suivi (ce que l’auteur appelle indexicalité).

Il s’insurge contre une vision réductrice de la « donnée ». Il n’existe pas de donnée neutre, et toute donnée collectée est dépendante des idées, objectifs, et des outils utilisés pour la collecter … Il présente la pyramide des savoirs (reproduction personnelle ci-dessous) mais en nuance la portée. Et il rappelle qu’une donnée brute, neutre n’existe pas. Il propose à l’instar de Bob Kitchin de remplacer le mot « data » par « capta » ? Ce changement de nom rappelle que les éléments ont été captés, récupérés.


 Geopolitique des donnees numeriques 3


Vers une territorialisation des données


Loin d’être un réseau dans les « nuages », Internet est un réseau territorialisé.
- Les attaques sur des États (l’Estonie, la Géorgie, l’Ukraine, l’Iran) l’ont prouvé.
- Les datacenters renforcent la territorialisation des données. Au début de l’informatique les terminaux étaient passifs. L’information était centralisée. Puis, au fur et à mesure des progrès de la miniaturisation, les ordinateurs ont permis des travaux de plus en plus autonomes (décentralisation). Et avec le cloud (télématique) on assiste à une nouvelle centralisation.
- La géopolitique des câbles sous-marins accentue le rôle central des États-Unis. Ainsi 97% des échanges entre l’Europe et l’Asie passent par les USA (p85) !! Ce qui apparait comme une aberration totale dans une optique de souveraineté s’explique techniquement : « Les routeurs définissent automatiquement les trajectoires de données en fonction des délais les plus courts. La plupart du temps, ils sont donc incités à orienter les flux vers le territoire américain » car ils ont le meilleur équipement.
- Mais les acteurs publics rentrent dans la danse et Facebook et Google posent leurs propres câbles ce qui leur permettra, d’une part d’exploiter les flux de données qui y transitent, d’autre part de s’affranchir d’une supervision étatique.
- Le réseau câblier terrestre Transit Europe-Asia passe par la Russie ce qui donne au pays de Poutine d’importantes possibilités de captation de données.
- Le sujet est stratégique et l’Allemagne en 2014 avait promis un système d’e-mail qui ne sorte pas du territoire, de telle sorte qu’un mail envoyé entre deux clients de Deutsche Telekom ne traverse pas les frontières du territoire. L’auteur ne parle pas du cas de la France, mais il est certain que nos mails franchissent allègrement l’Atlantique, et ceci, dans la seule logique d’alimenter les bases de données de nos amis Américains.
- D’autres pays ont mis en place (ou le désire) un bouclier numérique. C’est le cas de la grande muraille numérique chinoise. L’Iran, la Malaisie, le Corée du Sud ou le Brésil s’y intéressent.
- Si certains analystes avaient présenté originellement internet comme « des terminaux (comprendre des internautes) intelligents reliés par un réseau stupide ». Il semble que nous assistions à une inversion. Internet serait plutôt aujourd’hui constitué d’internautes stupides reliés par un réseau qui sert des objectifs intelligents.
- Dans le triptyque États, entreprises privées et internautes, il semble que le plus perdant soit … le dernier. C’est-à-dire « nous » !
- Le droit américain a consisté à donner une justification juridique de ce que la NSA avait mis en place. Si le Patriot Act (voté après les attentats du 11 septembre) a été limité suite aux révélations de Snowden (Freedom Act), il faut noter que de nombreuses prérogatives de l’ancienne loi ont été prolongées. Et en 2018 Trump fait passer le Cloud Act qui facilite les procédures de collecte de données des administrations américaines.
- Il faut la ténacité d’acteurs de la société civile, comme Max Schrems, pour dénoncer l’illusoire « Privacy Shield » qui encadrait les transferts de données entre l’Europe et les États-Unis.
- Tout ceci amène à une réflexion nécessaire sur la souveraineté numérique. Les Américains luttent contre cette volonté d’indépendance européenne, et argüent que cela va fragmenter ou plutôt « balkaniser » internet. L’emploi du verbe « balkaniser » est employé à dessin pour relayer une image de désastre technologique. Cette sémantique est un bel exemple de soft power et plus précisément de novlangue orwellienne. Cela me fait penser au terme « conversion des forêts » employés par les producteurs de soja ou d’huile de palme pour masquer l’expression autrement plus douloureuse de « destruction des forêts ».

La géopolitique à l’épreuve des données


On assiste forcément à une numérisation du champ de bataille, notamment dans l’optique pour une armée de pouvoir identifier des personnes (adversaires) clés. Plusieurs exemples illustrent ce point :
- Le projet Maven visait à utiliser les ressources de Google pour aider le Pentagone à faire de la reconnaissance faciale.
- En Afghanistan en 2007, des groupes irréguliers avaient réussi à contacter individuellement des membres de l’armée danoise pour menacer leur famille.
- On se rappelle du scandale Strava qui avait permis de détecter des bases militaires secrètes.
- Enfin, un journaliste français a réussi à identifier des agents de la DGSE à partir d’un croisement de données multimédias.


Le réseau internet est loin de notre référentiel terrestre, que nous savons mesurer en distance (kilomètre), en surface et en altitude. Avec internet, nous devons faire preuve d’une abstraction difficile :
- Dans un référentiel terrestre, on parle de territoire, proximité et localisation.
- Dans un référentiel numérique, on parle de réseau, connexité, communication.
- La numérisation des passages de frontière va aussi poser des problèmes éthiques.

Amaël Cattaruzza conclut sur l’idée du data power, continuation du hard power, du soft power et du smart power. Sa démonstration est convaincante. C’est une lecture qui me semble obligatoire pour les professionnels de l’information, de la veille et de l’intelligence économique.

Jérôme Bondu

- Acheter à la FNAC.
- Sur Google Books



kai fu lee i a la plus grande mutation de l histoireJ’ai lu et apprécie le livre de Kai-Fu Lee : Intelligence Artificielle. La plus grande mutation de l’histoire.

Dans une première partie, l’auteur fait l’éloge de la puissance de la Chine en matière d’Intelligence Artificielle. Il explique que la position prise par la Chine dans ce domaine est liée :
- Aux conditions mises en place par la puissance publique.
- A la culture entrepreneuriale.
- A l’esprit conquérant des entrepreneurs, cet esprit de « gladiateur » acquis par la concurrence féroce qui existe dans l’Empire du Milieu.

Il reconnait que pour l’instant les États-Unis sont leaders dans le domaine. Mais il affirme que cela va changer rapidement.
- Kai-Fu Lee rappelle que si les révolutions (les technologies de rupture) viennent des « génies », leurs déploiements viennent des « bricoleurs », c’est-à-dire des personnes qui savent copier, adapter, déployer cette technologie.
- Pour ce qui est de l’IA, il reconnait que les génies sont actuellement de l’autre côté du Pacifique, dans la Silicon Valley. Mais peu lui importe. Car il souligne que ce dont a besoin le monde aujourd’hui c’est des « bricoleurs ». Or ceux-ci sont en Chine. D’où sa certitude que la Chine sera le prochain eldorado de l’IA.

Concernant l’impact de l’Intelligence Artificielle, il pense que cela sera cataclysmique. Mais plus encore pour les professions intellectuelles que pour les professions manuelles. Il présente p243 deux cadrans : le premier pour les tâches intellectuelles, et le second pour les tâches manuelles.
Chaque quadrant a deux variables : sociabilité (élevé ou faible) créativité/stratégie (élevé ou faible). Cela lui permet de distinguer les métiers dans quatre zones :
- zone de sécurité : ces métiers ne seront pas impactés par l’IA, par exemple les concierges.
- zone de vernis humain : ces métiers seront légèrement modifiés par l’IA, par exemple organisateurs de mariage.
- zone d’infiltration lente : par exemple artiste.
- zone de danger : par exemple radiologue.

Il pense que la Chine va dépasser les États-Unis sur bien des points en matière d’IA. Et ne parle que de ce duopole. L’Europe est quasiment absente de son livre, si ce n’est pour mentionner deux ou trois fois qu’il y a de bons centres de recherche, et citer Yann LeCun.

Dans une seconde partie, rédigée dans un style beaucoup plus personnel et humain, il parle de son cancer et de sa rémission. Il explique que cela lui a fait prendre un énorme recul face aux apports de l’intelligence artificielle. Que cela lui a fait prendre conscience que l’IA ne pourra jamais remplacer l’humain, les notions de familles et d’amour. Cela lui permet d’envisager une coexistence réussie entre l’IA et l’humanité.

Un ouvrage à lire ! C’est un parfait complément des ouvrages précédents que j’ai lus sur l’IA :
-Luc Julia : L’intelligence artificielle n’existe pas.  
-Aurélie Jean : De l’autre côté de la machine
-Cécile Dejoux : Ce sera l’IA et Moi.

On pourra lire aussi la critique du Monde.

Jérôme Bondu





bsmart ecosystème geotrend bonduJ'ai eu le plaisir d'accompagner Thomas Binant, CEO de Geotrend, lors de son interview sur la chaine BSmart - Ecosystème. Le format de l'interview est très court : 7 minutes. Mais le principal est dit.
En substance : Avec la présentation cartographique, la capacité à détecter les liens entre acteurs, la capacité à accéder aux extraits (sources en ligne), la capacité à interroger un moteur de recherche interne à la carte ... et j'en passe ... Geotrend est un outil très intéressant pour la collecte et l'analyse d'informations.

On pourra lire deux précédents billets qui illustrent des utilisations de Geotrend :
- Au cœur de la souveraineté numérique : cartographie de Geotrend
- Cartographie sur la déforestation amazonienne. Carte réalisée avec Geotrend pour EarthWorm.

Le replay est disponible sur Bsmart ou  Youtube.

Bon visionnage,
Jerome Bondu







logo Club IES Guy Philippe Goldstein Image association sorbonne

 

Le jeudi 25 mars 2020 à 18h
Le Club IES de l’IAE de Paris Alumni
Et l’association Sorbonne Competitive Intelligence & Strategy

Vous invitent à la 155ème conférence-débat sur le thème :

Cyberdéfense & Cyberpuissance au XXIème siècle

Par Guy-Philippe Goldstein

 

Préinscription obligatoire. Evenement gratuit

________________________________
THEME :
La révolution numérique est une révolution des systèmes de décision. Cela se marque par la montée en puissance des grands acteurs du numérique qui aident à la prise de prises de décisions, individuelles (par exemple Google Search, Waze, …) autant que collectives (par exemple les outils de stockage d’AWS). Parallèlement, les attaques cyber visent justement à dégrader la qualité les prises de décisions adverses.
Dans ce cadre Guy-Philippe Goldstein analysera
- Les caractéristiques de la cyber-guerre.
- Les impacts, depuis l’échelon de l’entreprise, jusqu’aux échelons stratégiques des gouvernements et des nations.
- Les moyens de se préparer dans une optique de cyber-puissance.

________________________________
INTERVENANT :

Guy-Philippe Goldstein est senior advisor sur les questions de cybersécurité pour le cabinet PwC et pour le fond d’investissement ExponCapital. Il est enseignant à l'Ecole de Guerre Economique et expert sur les questions de cyberdéfense au sein du MBA Executive Management des Risques, Sûreté Internationale et Cybersécurité MRSIC. Il est également contributeur au journal académique de l’INSS à Tel-Aviv sur les questions de cyberdéfense.
Il est enfin auteur de deux romans "Babel minute zéro" et "Sept jours avant la nuit". Ainsi que de l’essai "Cyberdéfense et cyberpuissance au XXIe siècle".

________________________________
DÉROULEMENT DE LA SOIRÉE :
18h00 - 18h10 : Accueil des participants par Jérôme Bondu (Club IES) et Adrien Raymond (SCIS)
18h10 - 18h45 : Conférence de Guy-Philippe Goldstein
18h45 - 19h00 : Débat

_______________________________
LIEU :
Réunion virtuelle

______________________________
INSCRIPTION OBLIGATOIRE :
Préinscription obligatoire. Evenement gratuit


Jerome Bondu