J’ai lu « Cyberdéfense et cyberpuissance au XXIe siècle » de Guy-Philippe Goldstein. Guy-Philippe interviendra en distanciel le 25 mars 2021 de 18h à 19h au club IES en partenariat avec Sorbonne Competitive Intelligence & Strategy.
Guy-Philippe Goldstein est senior advisor sur les questions de cybersécurité pour le cabinet PwC et pour le fonds d’investissement ExponCapital. Il est enseignant à l’Ecole de Guerre Economique et expert sur les questions de cyberdéfense au sein du MBA Executive Management des Risques, Sûreté Internationale et Cybersécurité MRSIC. Il est également contributeur au journal académique de l’INSS à Tel-Aviv sur les questions de cyberdéfense. Il est enfin auteur de deux romans « Babel minute zéro » et « Sept jours avant la nuit ». Ainsi que de l’essai « Cyberdéfense et cyberpuissance au XXIe siècle ».
Voici quelques notes sur son ouvrage. Ce n’est pas un résumé et encore moins une synthèse…
Comprendre la révolution numérique
– J’ai beaucoup aimé le premier chapitre intitulé « Comprendre la révolution numérique ». L’auteur explique que nous assistons à une révolution du système de la prise de décision. C’était évident, mais il est un des premiers que je lis qui décrit aussi précisément le phénomène.
– L’auteur évoque page 29 la révolution sémantique et l’illustre avec l’expression de « mots animés ». J’aime bien cette image, car elle revoit à la naissance de l’écriture. J’ai étudié les hiéroglyphes en licence d’histoire, et cette écriture était considérée par les Égyptiens comme vivante et animée. Parler de « mots animés » renvoie poétiquement à l’origine de l’écriture.
– Dans le cyberespace, les dommages le plus importants ne sont pas générés quand les données sont stoppées, car le réseau est bâti pour résister à une coupure. Mais quand les données sont corrompues. Comme cela a été le cas pour l’attaque sur Natanz avec le virus Stuxnet.
Problématiques du cyberespace
Guy-Philippe Goldstein détaille les problématiques du cyberespace :
– L’attaquant a paradoxalement l’avantage du terrain. Si au Moyen-Age, un château fort était bien connu des défenseurs, à contrario, un système informatique est très difficile à connaitre parfaitement. L’attaquant qui va tester toutes les failles possibles a donc un avantage.
– L’attribution d’une attaque est toujours complexe. Il est très difficile de détecter les attaques sous fausses bannières.
– Pour les mêmes raisons, il est toujours délicat d’exercer des représailles.
– Les géants industriels d’un pays (comme les GAFAM pour les EU) peuvent se révéler être les idiots utiles d’une puissance adverses, comme cela a pu être le cas dans l’ingérence russe lors de l’élection de Trump.
– Il insiste sur le fait qu’une attaque informatique ne porte pas uniquement sur le fonctionnement technique des systèmes, mais porte aussi sur la crédibilité de l’entreprise qu’il faudra ensuite rétablir.
Tout ceci fait qu’en matière de cyber nous sommes dans une situation « doublement dangereuse » pour reprendre le tableau de Robert Jarvis. L’Etat non préparé sera dans ce que le stratège britannique Liddell Hart a appelé la paralysie stratégique
Le propos de Guy-Philippe est de faire en sorte que nous sortions le cyber de la position « doublement dangereuse » pour aller dans « doublement stable ».
Faire passer le cyberespace d’une position « doublement dangereuse » à une position « doublement stable »
Pistes et conseils
Guy-Philippe Goldstein présente de nombreuses pistes, applicables aux niveaux étatiques et de l’entreprise :
– Forger une doctrine du cyberespace.
– Augmenter les capacités de dissuasion.
– Améliorer les capacités d’attribution des attaques, et de compréhension des effets et des enjeux.
– Promouvoir la capacité de formulation des représailles.
– Dominer les phases d’orientation et de décisions.
– Attaquer la première phase cognitive de l’assaillant.
Il donne des conseils plus opérationnels :
– Ralentir l’action de l’ennemi, gagner du temps pour mieux l’observer. Mettre des leurres pour perdre le pirate dans des dédales numériques, pratiquer la tromperie défensive.
– Gérer l’écosystème global de l’entreprise, avec ses sous-traitants. Le code est de plus en plus le liant entre les différents acteurs d’un écosystème (glue code) qu’il faut protéger donc globalement.
En matière de formation / sensibilisation :
– Former des experts en cybersécurité à grande échelle.
– Promouvoir la sensibilisation via la simulation par des jeux sérieux, notamment au niveau de la direction des entreprises.
– Sensibiliser le plus grand nombre.
– Au niveau culturel, intégrer l’acceptation de l’erreur.
Ecosystèmes complets
Bâtir des écosystèmes complets. Il prend l’exemple de l’Estonie :
– Promouvoir le financement par du « capital privé intelligent » et nous pas par du financement public piloté par de hauts fonctionnaires.
– Aider les startups, plutôt que les grandes structures économiques.
– Développer des formations de très haute qualité pour faire émerger les talents.
– Structurer une offre d’assurance cyber.
Il prend une certaine hauteur de vue :
– Il fait le lien avec les différentes armes : « Le cyberespace est un hyper domaine maritime. Il sera également une version très instable d’un domaine aérien permettant peut-être un bombardement stratégique ultra précis ».
– Guy-Philippe invite à une redéfinition de la notion de puissance des États : qui est passée successivement par la possession de la terre, du charbon et pétrole, dans certains cas de l’eau. Aujourd’hui, c’est la possession du cyber qui va être la mesure de la puissance des États.
Son livre est riche d’anecdotes :
– Il évoque par exemple le travail de Bernard Barbier dont on pourra écouter une belle interview sur France Culture).
– Il évoque aussi la citation attribuée à Saint Jean « vous connaitrez la vérité et la vérité vous rendra libre » qui est inscrire sur un des couloirs de la CIA.
En conclusion, un livre très intéressant à lire, qui fait partie de la culture intelligence économique. Guy-Philippe interviendra en distanciel le 25 mars 2021 de 18h à 19h au club IES en partenariat avec Sorbonne Competitive Intelligence & Strategy.
Jérôme Bondu
