Les réseaux n’ont jamais été aussi fragiles. Les outils de sabotage sont en libre accès sur Internet, les entreprises encore trop peu sensibilisées à la sécurité. Le cocktail peut être détonnant. Dans un contexte de dérégulation, les points d’attaques se multiplient.
«N’importe quelle personne avec un ordinateur et un modem peut devenir un terroriste potentiel». Ce diagnostic de Louis Freeh, directeur du FBI, a de quoi inquiéter. D’autant que la situation actuelle, sur le plan de la sécurité des réseaux, est loin d’être rose pour la plupart des entreprises. En matière de sécurité des réseaux, on entre dans la quatrième vague.
La première, qui correspond aux années 1970, ne posait guère de problèmes sur le plan de la sécurité. Il s’agissait alors d’incidents matériels entraînant des pertes de disponibilité. Le faible taux d’équipements en réseaux locaux dans les entreprises a fait que l’essentiel des problèmes de sécurité concernait les réseaux de télécommunications, que les monopoles de l’époque savait parfaitement gérer. Seuls quelques phreakers (les pirates du téléphone) défraient la chronique, outre-Atlantique, avec leur «boîtes bleues» permettant de ne pas payer leurs communications téléphoniques
La seconde phase, dans les années 1980, voit entrer en scène la communication intra-entreprise. C’est le début du règne de l’informatisation du poste de travail en réseau. Les préoccupations, sur le plan de la sécurité évoluent vers la garantie de l’intégrité des informations, notamment avec la dissémination des mots de passe.
La troisième vague correspond à l’arrivée en force de la communication au sens large, c’est-à-dire l’interconnexion des réseaux locaux et étendus, qui permet les communications inter-entreprises. Dans ce contexte, se posent avec plus d’acuité les problèmes de respect de la confidentialité, qui s’ajoutent évidemment aux préoccupations liées à la disponibilité des réseaux et à l’intégrité des données qui y circulent.
Enfin, la quatrième vague, dans laquelle de plus en plus d’entreprises ont déjà un pied, forme le socle de la société de l’information. C’est, pour reprendre le titre du récent ouvrage de Manuel Castells, l’avènement de «la société en réseaux» (Fayard), avec son cortège de mondialisation et de concurrence.
Dans ce contexte, la problématique de la sécurité change radicalement. D’abord parce qu’Internet est passé par là. Ensuite, parce que l’interpénétration des réseaux fragilisent non seulement les systèmes d’information d’entreprises mais tout leur environnement.
Les points d’attaques se multiplient : selon la dernière enquête de l’ASIS (American Society for Industrial Security), Internet est cité comme point d’attaque par près de la moitié des entreprises américaines.
Enfin, parce qu’il faut acquérir de moins en moins de compétences pour fragiliser les réseaux. Les outils de destruction sont en libre accès sur Internet. On comprend mieux pourquoi la directeur du FBI se montre inquiet.
Les architectures de réseaux hors de contrôle ?
Car protéger les réseaux relève de la mission impossible. Il suffit d’observer avec quelles difficultés les réseaux du Pentagone résistent aux attaques de hackers équipés d’un simple modem. Il est vrai qu’il est difficile de contrôler une telle infrastructure : le département de la Défense américain compte pas moins de 2,1 millions d’ordinateurs, dix mille réseaux locaux, une centaine de réseaux à longue distance, 200 centres de commandement, et 16 gigantesques centres informatiques. Derrière cette artillerie informatique lourde, travaillent deux millions d’utilisateurs, auxquels s’ajoutent deux autres millions parmi les sous-traitants du Pentagone.
Après la publication, en 1996, d’un rapport alarmiste selon lequel les ordinateurs militaires avaient subi 250 000 attaques en 1996, le Pentagone avait engagé un programme d’investissement de 750 millions de dollars sur cinq ans pour améliorer la sécurité de ses systèmes d’information.
Début 1997, un rapport du Département de la Défense chiffrait à trois milliards de dollars le budget nécessaire pour améliorer la sécurité des systèmes d’information militaires. Le Defense Science Board, qui effectue le recensement des actions urgentes, estime qu’il faut 965 millions de dollars pour créer un centre d’urgence, sorte de Samu de la sécurité, 455 millions pour améliorer la prévention, investir 190 millions en produits de sécurité, plus 375 millions pour définir une stratégie, pas moins, plus 580 millions pour investir dans la recherche et le développement en sécurité.
A terme, le problème de la sécurisation des réseaux deviendra-t-il un problème insoluble ? Probablement, car se superposent trois tendances de fond :
- D’un problème ponctuel, la sécurité des réseaux devient un problème de stratégie d’entreprise. L’arrêt ou la compromission des résaux signifie la fin d’une entreprise. Ce qui était vrai il y a quelques années seulement pour certaines fonctions stratégiques l’est aujourd’hui pour toutes les fonctions, même les plus banales.
- D’un problème privé, la sécurité des réseaux devient un enjeu de politique publique. La sécurité des infrastructures de réseaux se positionne désormais sur le même plan que la sécurité militaire. C’est la signification des initiatives prises aux Etats-Unis. En 1996, le gouvernement américain a mis sur pied une commission de protection des infrastructures critiques (IPTF, Infrastructure Protection task Force). Son objectif : cordonner la protection des infrastructures des Etats-Unis contre les « cyber-attaques ». Autrement dit, éviter que des terroristes, des gangs mafieux ou même des pays étrangers ne prennent pour cible les réseaux de télécommunications, de distribution d’électricité ou tout autre infrastructure vitale pour l’économie américaine, comme par exemple le contrôle aérien. Afin de prévenir de telles menaces, l’IPTF se voit chargée de coordonner les actions des différentes agences gouvernementales, telles que le département du trésor, de la Justice, de l’Energie, ainsi que la CIA et les organismes privés qui agissent dans le domaine de la sécurité, en particulier liées à Internet.
- D’un problème technique, la sécurité des réseaux devient un problème managérial. Autrement dit, rien ne sert d’empiler des outils de sécurité, par exemple des firewalls ou des outils de contrôle d’accès, sans cohérence d’ensemble, et, surtout, sans principes organisationnels.
Ces trois mouvements s’inscrivent dans un contexte de dérégulation, qui multiplie le nombre d’opérateurs, les interfaces entre eux, les boucles locales, etc. Standardisation et protocoles ouverts font le reste : les points d’attaques possibles prolifèrent.
Winn Schwartau, l’un des experts dans le guerre de l’information qui dirige Interpact, une société américaine de conseil en sécurité, l’affirme : «si vous me recrutez, moi ou mes collaborateurs, pour mettre à genoux ne partie des Etats-Unis, nous pourrons le faire». Le cyberterrorisme sera autrement plus dévastateur pour les réseaux que les catastrophes naturelles ou les pannes.