Sep 9, 2013 ASDNews Source : Northrop Grumman

 – Sept. 9, 2013 – Northrop Grumman Corporation (NYSE:NOC) has been retained by the Defence Science and Technology Laboratory (Dstl) to carry out a further phase of development of the N.Guru Cyber Situational Awareness System, the software application for the visualisation of cyber events for decision makers.

The research project awarded by Dstl will be carried out by Northrop Grumman in partnership with the Universities of Oxford and South Wales. This work is part of the MOD's Cyber Research Programme and is developing concepts, tools and techniques to provide cyber situational awareness for users.

"The ability to visualise cyber events in new ways will help create greater situational awareness and enable users to improve the speed and effectiveness of network defence decision making," said Danny Milligan, sector managing director, Northrop Grumman Information Systems Europe. "This research and the resulting capability it produces will be a key enabler in helping the MOD to defend its digital assets intelligently and maintain its core business processes."

The N.Guru project will develop techniques for the monitoring and mitigation of detected risks through the use of visualisations that enhance situational awareness and facilitate decision support for cyber defence. It will also explore the impact that a cyber-threat could have on business processes, look for more widespread anomalies and known threat patterns, and provide information that enables operators to develop mitigation actions.

Northrop Grumman in the U.K. has successfully supported a number of cyber research programmes following the commissioning of the Federated Cyber Range at its Fareham site in 2010. The company is also teamed with Finmeccanica for the NATO Computer Incident Response Capability, which is currently being rolled out to multiple NATO sites in Europe and North America.

06/09/2013 par Nicolas Laffont – 45eNord.ca

S’appuyant une nouvelle fois de documents remis par l’ancien analyste de la NSA, Edward Snowden, plusieurs médias viennent de publier une série d’articles mettant encore en cause les agences de renseignement américaine et britannique, qui seraient capables de décoder les systèmes de cryptage sur Internet censés sécuriser notamment les courriels et les transactions bancaires en ligne.

The Guardian, le New York Times et ProPublica affirment ainsi que la NSA américaine et son homologue britannique, le GCHQ, ont réussi à obtenir les «clés» des différents systèmes de cryptage grâce à leurs supercalculateurs et à la coopération des sociétés internet, parfois obtenue à la faveur d’injonctions judiciaires.

D’après ces documents, ce programme secret nommé Bullrun permet de décoder quasiment tout ce qui est crypté sur la Toile: dossiers médicaux, conversations téléphoniques, clavardage, …

Le programme Bullrun aurait conduit en 2010 à une percée technologique exceptionnelle, qui aurait permis à la NSA de rendre «exploitables» de grandes quantités de données interceptées grâce à des écoutes de câbles Internet, ce que leurs propriétaires ont toujours démenti. Le GCHQ, avec un programme similaire baptisé Edgehill, aurait ainsi décrypté le trafic des «quatre grands» d’Internet: Hotmail, Google, Yahoo! et Facebook.

D’autres documents obtenus par les trois publications mentionnent également l’accès prochain, dès 2013, aux données d’un «opérateur majeur de télécommunications», ainsi que d’un «service de communications de pair à pair de premier plan», qui pourrait être Skype.

Si cette capacité à passer outre les différents niveaux de cryptages peut aider à retrouver des terroristes et prévenir des attentats, elle peut également avoir des «conséquences non prévues en affaiblissant la sécurité des communications», note le New York Times.

Interrogé par le quotidien de New York, Matthew Green, chercheur en cryptographie explique que le risque d’avoir créé «une porte d’accès dérobée dans des systèmes est que vous ne soyez pas le seul à l’exploiter».

Le New York Times et ProPublica rapportent que des responsables américains du renseignement leur ont demandé de ne pas publier ces informations, craignant que leurs révélations ne conduisent des entités ciblées par ce programme à changer de méthodes de cryptage ou de mode de communication.

Défendant la publication, le Times affirme que «les médias n’ont pas mentionné certains aspects mais ont décidé de publier l’article en raison de l’importance d’un débat public sur les actions du gouvernement qui affaiblissent les outils les plus puissants censés protéger la vie privée des Américains et d’autres».

03.09.2013 par Marc Jacob - globalsecuritymag.fr

McAfee annonce l’ouverture de son premier centre de cyber-défense à Dubaï. Ce centre a pour objectif d’évaluer le risque des menaces, d’éduquer les clients et d’apporter des réponses rapides aux éventuels incidents qui se produisent dans les organisations de la région (Europe, Moyen-Orient et Afrique).

Ce nouveau centre arrive à point nommé pour les entreprises de la zone EMEA qui ont été les témoins de nombreuses attaques cette année. Il sera également un outil supplémentaire pour aider les économies émergentes à se protéger des menaces aussitôt qu’elles seront détectées. Les différents gouvernements de la région ont investi massivement dans de nouvelles solutions pour prévenir et minimiser l’impact des cyberattaques. Ces derniers travailleront en étroite collaboration avec le centre de cyber-défense de McAfee afin d’améliorer la protection.

Le paysage des menaces, en constante évolution, a stimulé l’émergence de services de sécurité sophistiqués alliant de solides compétences à une expérience reconnue sur le marché EMEA. Le centre fournira non seulement des services de réponses urgentes aux incidents détectés, des services de recherche et d’expertise (avec le soutien du nouveau laboratoire de recherche de McAfee récemment implanté à Dubaï), mais également des services stratégiques uniques : « Contextual Threat Intelligence », « Open Source Intelligence » enquête, évaluation des défenses contre les dénis de service distribués, recherche scientifique et analyse de la dangerosité des malware ciblés.

L’équipe du centre de cyber-défense est composé de consultants experts, cumulant plus de 70 ans d’expérience dans le traitement de réponses aux cyberattaques dans les secteurs public et privé.

L’ouverture de ce centre permet désormais à McAfee de disposer d’une présence importante dans la région EMEA, lui permettant ainsi de conseiller les entreprises sur les meilleures façons de protéger leurs actifs et de maximiser leurs objectifs d’affaires grâce à des mesures de sécurité renforcées.

En 2013, une augmentation considérable du nombre de logiciels malveillants et d’attaques ciblées contre les organisations présentes dans la zone EMEA a été constatée. À titre d’exemple, l’Ukraine et la Biélorussie ont toutes deux enregistré une augmentation du spam de plus de 200 % au 2ème trimestre 2013. Au Moyen-Orient, le centre de cyber-défense suit de près une famille de programmes malveillants visant à voler des données financières, type de programme très actif dans des pays comme l’Arabie saoudite, les Emirats Arabes Unis ou encore le Qatar.

Aug. 30, 2013 - By ZACHARY FRYER-BIGGS – Defense News

As the US moves toward intervention in Syria, blossoming American cyber capabilities are getting a hard look as a solution to one of the more difficult military problems: the Syrian air defense network. But much of the uncertainty that has plagued the use of cyber — both the legal concerns and the lack of verification for the effectiveness of attacks — is likely to limit its use in a conflict.

Though more a cobbled-together mass than a lean, precise system, the Syrian air defense network is far more advanced than what the US has confronted in any recent operation. The network, mostly composed of Russian hardware, is thought to pose a legitimate risk to aircraft. It remains one of the central concerns for military planners because a conflict is likely to be largely composed of an air campaign with little ground involvement.

Cyber strikes against missile batteries or radar installations have been possible for years, according to sources, but concerns about validating the effectiveness of a strike have limited their implementation into commanders’ plans.

Gen. William Shelton, the chief of Air Force Space Command who oversees the branch’s cyber capabilities, described the problem to reporters last year.

“When you develop a kinetic weapon, you do extensive testing to develop a probability of kill with that particular weapon,” Shelton said. “We don’t have that same assurance yet with cyber capabilities. There’s a little bit of a decision here on the part of combatant commanders as to how much he or she is willing to rely upon that particular objective being accomplished by a cyber capability.”

That ability to provide an evaluation of the effectiveness of a tool, or “battle damage assessment” in military speak, hasn’t progressed very far, said Jeff Moulton, a researcher with Gerogia Tech Research Institute.

“There’s very little that we can do, very little assurance that we can provide that a non-kinetic has had the desired effect,” he said.

Without confidence that a target has been eliminated — something that is fairly obvious in the case of kinetic weapons because of the crater left behind — commanders are hesitant to push forward with cyber attacks.

But there’s another problem: Once a cyber capability is used, it is usually discovered and remedied, with an adversary’s other equipment receiving prophylactic treatment and the ability to reuse the cyber weapon nonexistent.

“Cyber exploits are disposable,” Moulton said. “It’s not entirely a question of can you do it, it’s whether you want to.”

The only way to avoid that problem is to launch an attack that isn’t detected by an adversary, likely a temporary disabling of a system that might be confused for a power outage or something equally innocuous.

But because of the concerns about verifying the effectiveness of an attack, using expensive aircraft and risking American lives might be ill-advised. Instead, Moulton suggested that maybe drones do have a purpose in this environment: as a testing tool.

“You send in a drone or some other less valued asset, use it as a decoy,” he said.

Complicating matters even further, the US has been hesitant to use cyber weapons extensively for fear of setting a precedent for future combat. Cyber weapons were discussed for the Libya campaign, only to be turned down.

But that doesn’t mean there aren’t smaller applications where cyber might still be used, whether to disrupt Syrian intelligence gathering or otherwise tamper with systems.

If a cyber weapon can be used where there isn’t a pilot’s life at risk, a more targeted area, cyber could play a role, said a former senior government official. “At present it might be more likely to be used for a stand-alone covert op, rather than one on which a whole campaign hinges.”

But the former official said that when it comes to air defense, bombing targets or using cruise missiles remains far more likely.

“Cyber disablement may be less risky for a short-term disablement, but physical destruction is less reversible,” the former official said. “That might make it more appropriate if you want to establish, say, an enduring no-fly zone.”

Note RP Defense : read Strategic SAM Deployment in Syria

Technical Report APA-TR-2010-0103

Sean O'Connor, BA, MS (AMU)

January 2010

Updated April, 2012

Text © 2009 Sean O'Connor

Line Artwork, Layout © 2009 Carlo Kopp

27/08/201 Par Lucie Ronfaut – LeFigaro.fr

L'attaque, qui s'est déroulée dimanche, a paralysé une partie de l'Internet chinois pendant plus de 24 heures.

Le gouvernement chinois a révélé qu'il avait subi dimanche une attaque informatique de grande envergure. Une partie des sites internet du pays étaient inaccessibles aux internautes jusque lundi matin à cause d'une attaque par déni de service (DoS). D'après le gouvernement chinois, il s'agit de la plus grave atteinte à son réseau jamais subie.

L'attaque visait l'autorité chinoise en charge du domaine national .cn, une extension utilisée par beaucoup de sites internet dans le pays. Elle a débuté à 2 heures du matin dimanche, avec une réplique plus puissante menée vers 4 heures du matin. En conséquence, certains sites utilisant cette extension n'étaient plus accessibles aux internautes. Le Centre d'Information du Réseau Internet de Chine, qui gère le domaine .cn, a officiellement présenté ses excuses au sujet de cette attaque sur son site internet, indiquant qu'il allait travailler à «améliorer les capacités de son service».

 

Des attaques répétées

Les attaques par déni de service sont de plus en plus fréquentes sur Internet. Leur but est de rendre indisponible un service ou un site en particulier afin qu'il ne puisse plus être consulté par ses utilisateurs. Généralement, ces agressions numériques consistent en l'envoi d'un très grand nombre de connexions sur un site, résultant en un ralentissement de son activité voire sa panne. À leur origine, on trouve généralement un réseau d'ordinateurs dits «zombies» utilisés à l'insu de leur propriétaire, par exemple à l'aise d'un virus informatique.

Ces dernières années, les attaques par déni de service sont devenus l'outil principal des «hacktivistes», c'est à dire des personnes défendant leurs idées grâce à leurs compétences informatiques. Le groupe des Anonymous y a par exemple régulièrement recours. Mais cette arme n'est pas réservée aux simples citoyens. Le gouvernement chinois est lui-même accusé d'orchestrer des attaques par déni de service contre les systèmes informatiques des grandes puissances mondiales, notamment aux États-Unis.

Ces attaques informatiques interviennent à un moment délicat pour la Chine. Le procès de Bo Xilai, ancien membre éminent du Parti Communiste Chinois, vient tout juste de s'achever. De nombreux internautes ont commenté l'évènement en ligne, notamment sur le réseau social Weibo, résultant en des arrestations par les autorités chinoises. Pour le moment, les attaques de dimanche n'ont pas été revendiquées.

August 23, 2013: Strategy Page

Despite increasingly effective Internet defenses the biggest vulnerability remains human error. Case in point is the continued success of attacks via Internet against specific civilian, military, and government individuals using psychology rather than just technology. This sort of thing is often carried out in the form of official looking email, with a file attached, sent to people at a specific military or government organization. It is usually an email they weren't expecting but from someone they recognize. This is known in the trade as "spear fishing" (or "phishing"), which is a Cyber War technique that sends official looking email to specific individuals with an attachment which, if opened, secretly installs a program that sends files and information from the email recipient's PC to the spear fisher's computer. In the last year, an increasing number of military, government, and contractor personnel have received these official-looking emails with a PDF document attached, and asking for prompt attention.

The most recent example of the continued effectiveness of spear fishing can be seen in the repeated use of spear fishing by a group of Syrian hackers, calling themselves the Syrian Electronic Army (SEA) and are loyal to the beleaguered Assad dictatorship in Syria. The SEA has been using spear fishing to hack into media sites. Despite most media companies having in place software and personnel rules to block spear fishing attacks there are so many email accounts to attack and you only have to get one victim to respond for the SEA to get in (using the login data from the compromised account). The automated defenses are supposed to block the actions of the hacker software that is triggered when the victim clicks on the email attachment, but hackers keep finding exploitable vulnerabilities to the defenses and these make the defenses vulnerable, at least until the vulnerability is detected and patched. The SEA has enough cash and expertise to know where on the hacker underground the latest (and most effective) malware attachments can be found and purchased. With that, it’s just a matter of modifying the malware package, buying the email lists (of media company employees) and the services of an illegal network of hacked PCs (a botnet) to transmit your spear fishing emails.

China has been a major user of spear fishing and apparently the Chinese government and independent Chinese hackers have been a major force in coming up with new spear fishing payloads. The methods, and source of many spear fishing attacks have been traced back to China. Two years ago Internet security researchers discovered a China-based espionage group, called the Shadow Network, which had hacked into PCs used by military and civilian personnel working for the Indian armed forces and made off with huge quantities of data. Examination of the viruses and related bits of computer code indicated that most of this stuff was created by Chinese speaking programmers, and all movement of command and stolen data led back to servers in China. Since China is an ally of the Assad government, the SEA has access to the best spear fishing tools.

The SEA have been grabbing a lot of headlines in the last year for their increasing number of Internet based attacks. However, this tends to be low level stuff, like breaking into Twitter accounts. The Assads remained power for decades by favoring the most talented, best educated and wealthy families at the expense of everyone else and now many of those Syrians are supporting the Assads anyway they can. For the last two years the 80 percent who were left out have been in open rebellion and early on the SEA showed up to help their families hang on to their wealth and position in Syria.

The SEA has not made any really sophisticated hacks until the recent use of multiple spear fishing campaigns (against a large number of media companies and some of their Internet based suppliers). SEA has used these attacks to publicize their cause (via defacing of anti-Assad websites) and seeking to identify rebel leaders, especially those operating inside Syria. This intel collection effort does not get much publicity but it is probably more helpful than the low-level hacks. That’s because the Assad secret police are still very active inside Syria and have been effective in finding and capturing (or just killing) lots of rebels.

22/07/2013 de Guerric Poncet - Le Web en lignes / Le Point.fr

Gith propose un logiciel facile d'utilisation, pour chiffrer ses communications en un clic. Une révolution dans le monde imbuvable de la sécurité.

Alors que les révélations sur l'espionnage généralisé des internautes mis en oeuvre par les services secrets américains, mais aussi européens (France, Allemagne, etc.), font encore couler beaucoup d'encre, la société française Gith Security Systems est sur le point de proposer un logiciel très facile d'utilisation, pour le chiffrement des communications. Le but : permettre aux internautes "lambda" d'échanger gratuitement messages, documents et appels de manière protégée, en quelques clics au sein d'une même interface ergonomique. "Nous avons lancé le projet il y a un an, bien avant que ça devienne à la mode, et nous sommes donc parmi les premiers", explique le fondateur Benoît Girard, 32 ans, ingénieur et ancien des laboratoires de recherche du ministère de la Défense.

Si vous avez déjà essayé de chiffrer une communication, comme un courriel ou un document, vous savez à quel point c'est compliqué pour un profane. Pour un message, il faut en général installer un logiciel ou une extension, générer un jeu de clés et se procurer la clé publique du destinataire, avant de pouvoir envisager tout envoi. Pour les documents, il faut là encore installer un logiciel (différent du premier), choisir un algorithme en faisant semblant de comprendre la différence entre AES, Twofish ou encore Serpent, et enfin le stocker à un endroit où il ne sera pas accessible à tous les curieux. Le défi relevé par Gith est donc pertinent, et la version bêta publiée le 11 juillet a déjà séduit un millier d'utilisateurs.

Hébergement en France

L'installation de Gith, disponible pour Windows, Mac OS et bientôt Linux, prend quelques instants. L'utilisateur doit créer un profil, et la seule donnée qu'il est obligé de fournir est son nom d'utilisateur qui peut être un pseudonyme. Le logiciel génère automatiquement un jeu de clés de chiffrement et ajoute le compte à l'annuaire de Gith. Deux personnes voulant communiquer doivent d'abord s'approuver comme contacts, ce qui interdit tout courrier indésirable, mais oblige à passer par l'annuaire pour se "trouver".

Une fois lancé, Gith ouvre un bureau par-dessus l'interface du système d'exploitation. On y trouve un client de messagerie, une messagerie instantanée et un système de partage de documents, à la manière de DropBox ou SkyDrive. Les fichiers envoyés sur les serveurs de Gith sont hébergés en France exclusivement, chez OVH, un acteur à la réputation très sérieuse. Chaque document dispose d'un historique de modification et de transfert, qui permet à l'utilisateur de savoir exactement quand et où son fichier a été transmis. De quoi agacer les services de police qui utilisent au quotidien les données personnelles des internautes, mais cela n'effraie pas Benoît Girard. "Les tensions avec les autorités sont inéluctables, mais si on joue le jeu des gouvernements ce n'est plus de la sécurité !" juge-t-il.

Fermé, mais prometteur

Le logiciel est gratuit avec 100 méga-octets de stockage, ce qui n'est rien en comparaison avec les giga-octets offerts par Google, Microsoft ou Yahoo. Mais "le modèle n'est pas le même, ces géants piochent dans vos données !" explique Benoît Girard. Un forfait "intensif" permettra bientôt, pour 15 euros par an, de disposer d'un espace de stockage plus décent. La jeune start-up proposera aux entreprises des services payants, afin d'interfacer leurs serveurs mail avec ceux de Gith, par exemple, permettant ainsi d'envoyer des messages à des personnes non inscrites sur l'annuaire. Car c'est l'un des défauts du logiciel : il est fermé sur lui-même et il n'est possible de communiquer qu'avec les autres membres, via les outils fournis, un peu à la manière d'un réseau social.

Le modèle économique est fondé sur les services aux professionnels, et l'entreprise va demander sa certification auprès de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Mais Benoît Girard espère en outre séduire des investisseurs. Il a notamment participé au concours de Marc Simoncini, Jacques-Antoine Granjon et Xavier Niel pour le financement de 101 entreprises. En attendant, Gith va devoir prouver que son concept est viable en recrutant un nombre conséquent d'utilisateurs, pour atteindre la masse critique qui rendra le service attractif.

10 juillet 2013 - Commission de la défense nationale et des forces armées

Compte rendu n° 85 Séance de 16 heures 30 Mercredi 10 juillet 2013

Audition de l’ingénieur en chef de l’armement Guillaume Poupard, responsable du pôle de sécurité des systèmes d’information à la Direction générale de l’armement, sur le rôle et l’organisation de la DGA en matière de cyberdéfense, ainsi que sur les perspectives ouvertes en la matière par le Livre blanc.

La séance est ouverte à seize heures trente.

Mme la présidente Patricia Adam. La cyberdéfense sera l’un des grands enjeux des années à venir : nous voulions donc vous entendre dans le cadre de la préparation de la prochaine loi de programmation militaire.

Ingénieur en chef de l’armement Guillaume Poupard, responsable du pôle de sécurité des systèmes d’information à la Direction générale de l’armement. Merci de me donner l’occasion d’expliquer ce que fait la direction générale de l’armement (DGA) en matière de cyberdéfense. Ce n’est pas un sujet neuf, mais il évolue très rapidement. Nous nous efforçons d’avoir tous les moyens techniques pour suivre ces menaces et y répondre.

Je commencerai par dire quelques mots de notre organisation. L’Agence nationale de la sécurité des systèmes d’information (ANSSI), dirigée par M. Patrick Pailloux et placée sous l’autorité du Premier ministre, s’occupe de toutes les questions interministérielles, et épaule de plus en plus ceux que nous appelons des « opérateurs d’importance vitale », publics ou privés, dont la sécurité est essentielle pour la Nation. Elle se charge à la fois des aspects techniques et opérationnels.

Le ministère de la Défense est un peu à part, car le nombre de systèmes qu’il doit protéger est considérable – qu’il s’agisse de systèmes classiques comme des réseaux informatiques, installés sur notre territoire ou déployés en opérations extérieures, ou de systèmes d’armes, potentiellement vulnérables. Au sein du ministère, une mission opérationnelle est chargée de répondre aux attaques ; elle est dirigée par le contre-amiral Arnaud Coustillière et notamment armée par le CALID, centre d’analyse en lutte informatique défensive. Le pendant technique de cette mission opérationnelle est confié à la DGA, au pôle « sécurité des systèmes d’information » dont je suis le responsable et qui traite plus largement de tous les aspects de la cyberdéfense et de la cybersécurité en général. Ce pôle technique est en grande partie installé à Bruz, près de Rennes, au centre DGA Maîtrise de l’information, qui concentre de vastes capacités d’expertise dans divers domaines liés aux technologies de l’information. Cette séparation entre technique et opérationnel fonctionne très bien dans la pratique ; nous entretenons des liens forts, quotidiens, qui vont jusqu’à des échanges de personnels.

Nos liens avec l’ANSSI sont forts et anciens : il n’y a pas là de séparation entre civils et militaires. Nous travaillons ensemble pour concevoir et réaliser des produits de sécurité, notamment en réponse à des besoins de souveraineté, en matière de cryptographie par exemple. Le développement est réalisé par la DGA, avec des industriels et l’approbation, en vue de classification défense, est faite par l’ANSSI : cette organisation est bien rodée.

Nous travaillons évidemment avec d’autres ministères ainsi qu’avec des laboratoires de recherche. La coordination de tous ces acteurs nous permet, nous l’espérons, d’apporter une réponse efficace aux enjeux de cyberdéfense.

Une partie de nos activités relève de la sécurité des systèmes d’information classiques : il s’agit de spécifier des besoins en termes de protection de l’information au sein des réseaux pour les Forces, mais également pour répondre aux besoins interministériels. Nous développons ensuite les produits que l’on ne trouve pas sur étagères, en raison de leur niveau d’assurance élevé qui leur permet de protéger de l’information classifiée de défense. Pour reprendre l’exemple cité précédemment, nous concevons nos propres mécanismes de cryptographie : c’est un domaine très sensible et la France fait partie des quelques pays au monde à même de mener à bien ces tâches. Il en va de même pour les composants électroniques de sécurité, que nous savons produire nous-mêmes, ce qui est indispensable pour construire des systèmes vraiment fiables. En relation étroite avec certains industriels de confiance, nous réalisons donc ces équipements qui permettent de sécuriser les systèmes d’information comme les systèmes d’armes.

Par ailleurs, nous nous efforçons d’améliorer notre connaissance de la menace, afin de l’anticiper au mieux. En matière de cyberdéfense, il faut être extrêmement modeste : il est difficile de se protéger des menaces que l’on ne connaît pas. Nous sommes plus sûrs de nous dans certains domaines comme la cryptographie où nous sommes capables aujourd’hui de construire des algorithmes que nous savons être très robustes grâce à des systèmes de preuves mathématiques. Dans le domaine des attaques informatiques en général, il n’y a pas « d’échelle de mesure » : nous essayons de nous défendre des menaces que nous connaissons, et c’est déjà beaucoup. C’est pourquoi nous nous efforçons de bien connaître la menace potentielle et d’anticiper les attaques et restons donc plutôt optimistes.

Enfin, nous avons absolument besoin de disposer d’industriels de confiance capables de réaliser nos systèmes : c’est un aspect que l’on ne peut pas laisser au hasard. Nous finançons donc des travaux de recherche et développement (R&D). Nous travaillons avec des laboratoires académiques – la recherche est riche en France dans le domaine de la sécurité – en finançant des thèses et des travaux de recherche au moyen de conventions. Nous soutenons également des PME : les projets RAPID (régime d’appui à l’innovation duale) les aident à développer des technologies innovantes, qui deviendront des solutions intéressantes pour demain. Ces projets RAPID représentent environ trois millions d’euros par an dans le domaine de la cyberdéfense. Enfin, de longue date, la DGA finance des « études amont » : ce sont des contrats de R&D que nous passons avec des industriels et des laboratoires académiques et qui nous permettent de préparer le futur, d’identifier des risques ou de lever des verrous technologiques, afin de dégager de nouvelles voies de développement et de monter en gamme. Ils sont, en matière de cybersécurité, en croissance très forte : il y a deux ans, nous étions à 10 millions d’euros par an ; notre budget sera pour cette année d’environ 22 à 23 millions d’euros ; à court terme, nous pensons atteindre 30 millions d’euros par an. M. le ministre a confirmé l’importance de ces études lors de sa récente visite à Rennes.

Notre premier sujet d’intérêt est la sécurité des systèmes d’information et de communication. Notre niveau de maîtrise nous rend relativement confiants. Nous travaillons beaucoup, en particulier, sur l’architecture des réseaux.

Nous travaillons aussi sur la sécurité des systèmes d’armes, qui évolue très rapidement : ces systèmes sont de plus en plus complexes, de plus en plus interconnectés et intègrent de plus en plus souvent des briques technologiques acquises sur étagères car on ne peut plus tout redévelopper, et ce ne serait de toute façon pas efficace. Ces systèmes sont donc dans le principe de plus en plus vulnérables à des attaques qui viendraient de l’extérieur et qui toucheraient des composants utilisés dans le domaine civil comme dans le domaine militaire. Sur les anciens systèmes d’armes, nous sommes assez sereins, la notion de cyberattaque ne s’appliquant que difficilement, et nous travaillons donc à parer les attaques potentielles sur les nouveaux matériels, même si elles devaient venir d’adversaires de très haut niveau.

Le troisième domaine sur lequel nous travaillons est celui des systèmes industriels, parfois appelés SCADA (supervisory control and data acquisition, c’est-à-dire télésurveillance et acquisition de données). L’affaire Stuxnet, du nom de l’attaque présumée contre les centrales d’enrichissement iraniennes, a montré la réalité de ces menaces. Ces systèmes industriels sont en effet présents partout, chez les opérateurs privés, mais aussi dans tous les équipements civils ou militaires : un navire militaire compte aujourd’hui de très nombreux automates directement issus du domaine civil, qu’il faut protéger. Nous travaillons également sur les infrastructures accueillant ces plateformes militaires.

Les questions de cybercriminalité – toutes les attaques assez simples techniquement contre des systèmes relativement peu protégés, comme les escroqueries ou les attaques de systèmes sur l’Internet – ne sont en revanche pas de notre ressort. Nous nous intéressons à des systèmes durcis, relativement fermés, qu’il faut protéger d’attaquants de très haut niveau.

En termes de moyens, nous avons essentiellement besoin d’experts très pointus. Nous sommes en très forte croissance : à la fin de l’année 2010, nous disposions de 160 personnes ; nous sommes aujourd’hui 260. La limite à laquelle nous nous heurtons est notre capacité à intégrer et à former les nouvelles recrues de façon efficace. Nous avons la grande chance de disposer des moyens pour les recruter et de pouvoir trouver les bonnes personnes : on dispose en France, aujourd’hui, d’ingénieurs de très haut niveau. Nous espérons dépasser les 400 experts en 2017, ce qui est cohérent avec la montée en puissance de l’ANSSI et des effectifs opérationnels dirigés par le contre-amiral Coustillière.

L’enjeu essentiel est finalement de mener un travail d’architecture intelligent. Nous intervenons lors de la conception des programmes d’armement pour intégrer dès le départ les questions de sécurité, y compris dans les systèmes d’armes, ce qui est assez nouveau dans certains domaines. L’idée est de dessiner pour ces systèmes une architecture d’ensemble qui permettra de les protéger et de les défendre : certaines briques pourront être prises sur étagères, en France ou même à l’étranger, comme des logiciels libres que nous modifions en fonction de nos besoins ; d’autres briques devront être conçues par des industriels de confiance ; d’autres enfin, aujourd’hui assez rares, devront être réalisées en maîtrise d’œuvre étatique, car elles forment le cœur du système. Nous réalisons ainsi nous-même les algorithmes de cryptographie, car sans eux, l’ensemble du système peut s’effondrer. Tout le travail est de concilier un niveau de confiance élevé avec des niveaux d’efficacité, de coût, de délais, compatibles avec les exigences des programmes d’armement.

Mes équipes comptent donc une cinquantaine d’architectes directement au contact des programmes et qui pensent la sécurité à toutes les étapes du développement d’un système. Cela concerne aujourd’hui tout ce qui est développé par la DGA : aucun domaine n’est épargné par les questions de cyberdéfense.

Nous nous appuyons pour cela sur des industriels. La France a aujourd’hui la chance de compter des industries de grande taille et performantes dans ce domaine – c’est rare. Nous sommes également riches en PME dynamiques. Enfin, beaucoup de personnes sont mobilisées à titre personnel dans le domaine de la cyberdéfense – je pense notamment à la réserve citoyenne, qui compte désormais un groupe de réservistes spécialisés en cyberdéfense, dont le coordinateur national est Luc-François Salvador, et dont l’engagement est remarquable.

Le Livre blanc l’a clairement dit : la cyberdéfense est un sujet de souveraineté. Cela ne signifie pas du tout un repli sur soi : cela montre au contraire que nous devons être autonomes et forts pour être crédibles vis-à-vis de nos grands partenaires – ce sont eux qui nous en ont avertis, d’ailleurs. Nous devons être capables, seuls, de protéger nos secrets - étatiques ou industriels – pour être des partenaires avec lesquels on n’aura pas peur d’échanger des informations sensibles et donc pour nouer des alliances.

L’ouverture aux autres se fait ensuite le plus souvent par le biais opérationnel, de préférence de manière bilatérale d’abord, puis avec des partenaires plus nombreux. Évidemment, c’est plus complexe : garder des secrets à vingt-huit, c’est une évidence, n’est pas facile. Mais il est important de mener des opérations multilatérales : les menaces concernent rarement un seul pays. La coopération, au niveau de l’OTAN comme de l’Union européenne, est donc tout à fait essentielle.

En matière de cyberdéfense, il n’est pas inutile d’avoir peur : les dégâts pourraient être considérables. Il faut sonner l’alarme – sans tenir un discours purement anxiogène car le but n’est pas de décourager. Mais il faut vraiment prendre ces menaces au sérieux avant d’être confronté à une catastrophe. Je ne suis pas pessimiste sur ce point : il me semble que beaucoup de gens prennent conscience de l’importance de ces enjeux, notamment en matière de souveraineté.

Je voudrais enfin dire quelques mots de la formation. La France forme aujourd’hui des ingénieurs et des docteurs de très haut niveau. En revanche, aux niveaux inférieurs, nous manquons de filières de formation. Des initiatives sont en cours, notamment dans la région Bretagne. Plus généralement, il faudrait mieux prendre en charge la formation de tous à ce que Patrick Pailloux appelle « l’hygiène informatique ». Les cyberattaques sont rarement totalement automatisées ; le facteur humain est essentiel. Il faut donc adopter des règles élémentaires de sécurité – ne pas utiliser une clé USB dans un ordinateur personnel puis professionnel, ne pas utiliser des moyens professionnels à des fins personnelles et inversement, ne pas utiliser le même mot de passe partout… Ce n’est pas si facile : nous faisons tous des erreurs de sécurité. Ce travail sur l’hygiène informatique est pourtant essentiel ; il faut le mener dans les entreprises, mais aussi dès l’école.

M. Jean-Michel Villaumé. Ces enjeux sont très présents dans le Livre blanc et le seront aussi, je l’espère, dans la LPM. Vous semblez plutôt rassurant sur la cyberdéfense : développez-vous aussi des capacités d’attaque ?

Quels sont nos partenaires pour construire une Europe de la cyberdéfense ?

M. Guillaume Poupard. Le Livre blanc aborde la question des cyberattaques. Ce sont évidemment des sujets classifiés… Ce que je peux vous dire, c’est que les travaux de R&D concernent à la fois la défense et l’attaque : tout ce que l’on peut savoir sur les menaces et les technologies du cyberespace concerne aussi bien l’offensif que le défensif.

L’Europe est un sujet difficile. Nos maîtres d’œuvre industriels m’ont fait remarquer que bien qu’ils soient le plus souvent européens, on leur demande de cloisonner leurs travaux ; chaque pays leur demande de travailler « en silos », avec des équipes qui travaillent côte à côte. Mais si certaines choses relèvent vraiment de la souveraineté, d’autres pourraient utilement être mutualisées, notamment en R&D. Il faut donc certainement renforcer le dialogue entre les États, mais l’idée de passer par les industriels me paraît très intéressante, d’autant plus s’ils sont demandeurs.

M. Éduardo Rihan Cypel. La cyberdéfense relève à coup sûr de la souveraineté, mais il y a plusieurs niveaux de souveraineté : il faut protéger notre pays, mais aussi nos entreprises et nos libertés individuelles. Vous avez raison : avec des gestes simples, nous pouvons tous mieux protéger nos données personnelles. S’agissant des entreprises – toutes nos grandes entreprises ont, je crois, été attaquées –, quel est votre point de vue ? Faut-il prévoir de nouvelles normes ?

L’affaire Snowden le montre : il faut absolument construire l’Europe de la cyberdéfense, qui pourrait d’ailleurs constituer un moyen d’avancer vers une Europe de la défense. La France a, je crois, fait les choix qu’il fallait avec le Livre blanc, même si ces choix devront être confirmés par la LPM. Mais l’Europe adopte-t-elle une bonne stratégie en matière de cybersécurité et de cyberdéfense ? L’avance française peut-elle favoriser une prise de conscience plus générale ?

Où en sont les entreprises françaises ? Elles sont très dynamiques et en forte croissance, mais sont-elles assez nombreuses ? Sont-elles assez protégées ?

M. Guillaume Poupard. La souveraineté, vous avez raison, concerne aussi les entreprises et les particuliers.

La France vit une situation paradoxale : nous sommes très sensibles à la question des fichiers, et la CNIL a beaucoup travaillé pour éveiller les consciences ; mais nous utilisons énormément les différents réseaux sociaux… Il faut inlassablement rappeler que le droit à l’oubli n’existe pas en matière numérique. Rien n’est gratuit : « quand c’est gratuit, c’est vous le produit. » Il faut donc un effort de formation.

S’agissant des entreprises, la protection du patrimoine scientifique et technique est absolument essentielle.

Les grandes sociétés doivent se donner les moyens de protéger leurs informations. Beaucoup ont aujourd’hui pris conscience de la réalité des problèmes. La LPM comportera sans doute une obligation nouvelle de déclaration d’incident : cela me semble essentiel. Cela permettra aux services de l’État de mieux connaître les menaces et de mieux réagir.

Pour les PME, la situation est très différente : on ne peut pas demander à une PME de dix personnes d’embaucher trois spécialistes en informatique… Il faut donc leur proposer des solutions à leur portée, tant financièrement que techniquement. Aujourd’hui, des offres de clouds sécurisés sont lancées en France, d’ailleurs financés en partie par l’État : elles apporteront une solution d’infogérance sûre. Ces offres seront en concurrence avec des offres étrangères, certes très efficaces, mais auxquelles on ne peut pas accorder la même confiance. Des offres nationales, ou européennes, doivent exister.

Le niveau de sécurité de nos entreprises est aujourd’hui insuffisant, l’actualité nous le rappelle régulièrement. On dit en ce domaine qu’il y a les gens qui ont été attaqués et ceux qui ne le savent pas encore… Il faut être très modeste, et le fait qu’aucune alerte ne se déclenche n’est pas rassurant. Il faut « chercher les ennuis » – la plupart de ceux qui ont cherché à détecter des attaques en ont trouvé ! Il y a bien sûr des attaques plus ou moins graves, allant du site Internet défiguré à la copie de fichiers client, voire au vol de savoir-faire technologique.

S’agissant de l’Europe de la cyberdéfense, elle est aujourd’hui embryonnaire – c’est même un euphémisme. Mais certains pays sont volontaires, comme l’Estonie, qui a été durement attaquée. Nous devons donc trouver des partenaires pour avancer.

Mon sentiment est toutefois que beaucoup de pays ont déjà renoncé, et veulent être protégés plus qu’ils ne veulent prendre en main leur propre cybersécurité. C’est contre cette attitude qu’il faut aller, en leur faisant prendre conscience que beaucoup peut être fait au niveau européen.

M. Christophe Guilloteau. Comment se fait le lien entre les différentes unités qui s’occupent de cyberdéfense ? Nous sommes, je crois, au tout début d’une large prise de conscience sur ce sujet d’avenir : sera-t-il abordé au Conseil européen du mois de décembre ?

M. Guillaume Poupard. Par rapport à notre grand allié d’outre-Atlantique, nous avons la chance d’être petits : la coordination est plus facile… Le contre-amiral Coustillière a réussi à rassembler sous sa direction les équipes opérationnelles de cyberdéfense. Ensuite, il y a l’ANSSI et le pôle que je dirige, dont les experts techniques sont rassemblés à Bruz. Il n’y a donc pas d’éparpillement. De plus, nous soignons beaucoup la qualité humaine des échanges, afin de construire une communauté solidaire où, même si nous serons plus nombreux demain, on saura faire appel à la bonne personne, parce qu’on la connaît. Le CALID et l’ANSSI sont d’ailleurs depuis peu logés dans les mêmes locaux.

La cyberdéfense a été abordée au cours de presque tous les sommets internationaux depuis deux ans : il faut maintenant aller au-delà, et embrayer sur des choses concrètes. C’est plus difficile. Mais cela viendra.

M. Jean-Yves Le Déaut. Monsieur Poupard, vous avez eu raison de souligner qu’il était important de bien maîtriser le numérique, mais encore faut-il qu’existe une bonne gouvernance internationale de ce secteur. La jugez-vous satisfaisante aujourd’hui ? À mon sens, un pays, certes allié et ami, la domine.

Les systèmes sont de plus en plus interconnectés et deviennent donc davantage vulnérables ; dans quels domaines de ces systèmes devons-nous assurer notre souveraineté ? Les logiciels ne feraient-ils pas partie de ce champ stratégique, comme pourrait l’attester, dans le cas des drones, notre volonté de séparer la fourniture des équipements de celle de l’appareil ? Nous pouvons cependant douter de la possibilité d’effectuer une disjonction totale, surtout que nous n’aurons jamais accès aux codes sources de logiciels possédés par plusieurs structures. Or il est tout à fait possible de connaître le réseau et le flux d’informations dès que l’on est connecté à un système informatique.

Vous avez affirmé qu’il était positif que l’ANSSI et les militaires disposent d’un lieu pour se retrouver. Dans mon travail de rédaction du rapport pour avis sur l’environnement et la prospective de la politique de défense, j’éprouve des difficultés à percevoir les liens entre l’académie et le système militaire ; les relations avec l’université et l’institut national de recherche en informatique et en automatique (INRIA) restent insuffisantes. Il est nécessaire de développer la recherche pour pouvoir bien connaître les menaces contre lesquelles nous devons lutter. Pensez-vous que la liaison avec la recherche civile soit assez développée et comment pourrions-nous la renforcer ?

M. Guillaume Poupard. Il ne m’appartient pas de me prononcer sur la question de la domination de l’Internet, d’autant que la réponse est évidente pour tout le monde.

L’Internet ne constitue pas pour nos applications militaires le support naturel de nos échanges d’informations. Cela serait pourtant pratique et peu cher, mais nous utilisons des satellites et des moyens de radio « propriétaires » – dont le développement s’avère coûteux – car ils nous procurent une confiance dans nos moyens de communication que l’Internet et le GSM ne nous garantissent pas.

Nous ne souhaitons pas maîtriser la conception de l’ensemble des matériels – depuis les transistors jusqu’aux applications logicielles – et, de toute façon, nous ne le pouvons pas. Le travail d’architecture que nous menons vise à déterminer ce qu’il nous faut développer nous-mêmes – ou commander à un partenaire industriel de confiance – pour maîtriser le système que l’on utilise. Nous ne fabriquons plus de microprocesseurs, mais nous produisons des composants électroniques de sécurité et nous intégrons les algorithmes cryptographiques que nous développons dans des puces dont nous surveillons la conception et la réalisation. C’est dans ces domaines que nous concentrons nos besoins de souveraineté ; nous maîtrisons donc certains éléments et nous analysons ce qui nous échappe, afin de disposer de systèmes globalement sécurisés. En outre, ce n’est pas parce que tout n’est pas maîtrisé que le système dans son ensemble ne disposera pas d’un bon niveau de sécurité. L’opinion commune selon laquelle la sécurité d’un système équivaut à celle du plus faible de ses composants s’avère heureusement fausse.

Nous maîtrisons mieux certains logiciels que d’autres, nous ne possédons pas toujours les sources, mais nous n’en avons pas toujours besoin, car leur lecture est complexe et leur lien avec le produit final pas toujours garanti. En revanche, il faut être capable de vérifier la qualité de certaines fonctions de sécurité, ce qui nécessite des compétences et le droit d’y procéder ; le code de propriété intellectuelle n’autorise en effet la rétroconception des logiciels que pour des raisons d’interopérabilité et non de sécurité. Une évolution légale autorisant l’État à effectuer cette rétro-analyse serait ainsi utile.

Nous travaillons au renforcement des liens avec la recherche académique et nous avons déjà développé des relations étroites avec l’INRIA – nous disposons ainsi d’une convention spécifique pour des thèses en cyberdéfense. Des financements de thèses dans des laboratoires tel que celui dit de haute sécurité informatique à Nancy existent par ailleurs, notamment dans le domaine de la virologie. Cela étant, il y a beaucoup de sujets intéressants, un peu moins de chercheurs de haut niveau – car le sujet de la cyberdéfense est récent dans le monde académique – et encore moins de doctorants pouvant ensuite être habilités dans le monde de la cyberdéfense française.

M. Sylvain Berrios. Un référentiel général d’interopérabilité (RGI) et un référentiel général de sécurité (RGS) pour l’ensemble de l’État ont été publiés il y a trois ans, mais il ne me semble pas que l’équivalent existe pour la sphère privée. Quelle est l’implication du ministère de la Défense et de vos services dans ce RGI et ce RGS ? Ceux-ci ont-ils bien été mis en place et respectés par les services de l’État ?

M. Guillaume Poupard. La mise en œuvre du RGS et du RGI dans le ministère de la Défense n’est pas du ressort de mes attributions, mais, si nous n’en appliquons pas systématiquement la lettre, nous en respectons l’esprit. Dans des conditions difficiles comme les opérations extérieures (OPEX), il convient parfois de déroger au RGS pour des raisons d’efficacité ou pour pouvoir travailler en coopération avec d’autres pays de l’OTAN. L’ANSSI est responsable de leur diffusion au sein de la sphère privée, mais nous sommes également concernés, puisque les industriels de défense font partie des opérateurs d’importance vitale (OIV) et que nous devons veiller à ce que les informations dont ils disposent soient protégées ; nous travaillons donc avec eux pour qu’ils mettent en place des méthodes efficaces de protection de leurs données et nous songeons d’ailleurs à élaborer une norme que l’on pourrait développer facilement sur la base du RGS.

M. Sylvain Berrios. Qu’en est-il de l’application du RGS dans les autres départements ministériels ?

M. Guillaume Poupard. Je ne connais pas la réponse à cette question.

Mme Marianne Dubois. Monsieur Poupard, quel est le budget de votre service ?

Les doctorants qui ne souhaitent pas vous rejoindre préfèrent-ils travailler dans le privé pour des raisons financières ?

M. Guillaume Poupard. Nous engageons trois millions d’euros par an pour le soutien aux PME en cyberdéfense. Nous pouvons sûrement faire davantage mais notre objectif est d’utiliser cette ressource financière de manière ciblée pour des acteurs motivés. Ceux-ci sont de plus en plus nombreux et le dispositif devrait par conséquent monter en puissance.

Dans le domaine des études réalisées en amont des projets – principal outil financier à ma disposition –, je suis satisfait des moyens dont je dispose puisqu’ils ont triplé et sont passés de 10 à 30 millions d’euros ; cet effort considérable – même si nous partions d’un niveau relativement faible face aux enjeux – prouve que nous sommes écoutés. Notre principal point de vigilance concerne notre capacité à engager ces crédits de manière efficace et il nous faut développer des idées novatrices avec les bons acteurs académiques et industriels.

Nous développons et achetons également les équipements des forces et la loi de programmation militaire (LPM) devrait fortement augmenter nos moyens en la matière. Notre tâche consiste à nous assurer que des équipements adaptés sont fournis aux utilisateurs.

Nous ne rencontrons pas de difficultés pour recruter des personnes d’excellent niveau et nous avons même attiré des individus dotés d’un CV pouvant rendre envieux n’importe quel géant du numérique. Nous les embauchons à un salaire probablement moins élevé que ce qu’ils pourraient percevoir outre-Atlantique, mais nous leur offrons un environnement de travail de qualité et surtout des sujets passionnants qui ne se retrouvent pas ailleurs. Nous faisons le pari que l’intérêt du métier suffit pour continuer d’attirer de très bons éléments.

Lorsque l’on est diplômé en informatique et que l’on peut trouver du travail en quelques jours, débuter une thèse exige de posséder un fort intérêt pour la recherche académique. Nous devons nourrir cette motivation en mettant en avant, là encore, l’intérêt du travail, la réévaluation des bourses de thèses – pour nécessaire qu’elle soit – n’étant qu’une question secondaire.

Mme la présidente Patricia Adam. Nous vous remercions, Monsieur Poupard, de cet exposé complet et clair. Nous recevrons M. Patrick Pailloux, directeur général de l’ANSSI, mardi 16 juillet.

La séance est levée à dix-sept heures trente.

*

* *

Membres présents ou excusés

Présents. - Mme Patricia Adam, M. Sylvain Berrios, M. Jean-Jacques Bridey, M. Jean-Louis Costes, Mme Marianne Dubois, M. Yves Fromion, Mme Geneviève Gosselin-Fleury, M. Christophe Guilloteau, M. Jean-Yves Le Déaut, Mme Émilienne Poumirol, M. Eduardo Rihan Cypel, M. Gwendal Rouillard, M. Jean-Michel Villaumé, M. Philippe Vitel, Mme Paola Zanetti

Excusés. - M. Ibrahim Aboubacar, M. Claude Bartolone, M. Philippe Briand, M. Jean-Jacques Candelier, M. Laurent Cathala, M. Sauveur Gandolfi-Scheit, M. Serge Grouard, Mme Edith Gueugneau, M. Éric Jalton, M. Frédéric Lefebvre, M. Bruno Le Roux, M. Maurice Leroy, M. François de Rugy

July 11, 2013 Source: International Relations And Security Network

For months it has been an entertaining parlor game in the nation’s capital: guessing what will happen next with U.S. Cyber Command, the military organization designed to defend the country’s networks and attack its adversaries. The topic will increasingly be in the spotlight as the head of that command, General Keith Alexander, is also the director of the National Security Agency, which is beset by revelations of cyber snooping—possibly a damaging link if the crisis does not blow over.

Cyber Command is only a few years old, but the history of its predecessors helps give clues to what is to come. For fifteen years, the military has tried to integrate or “normalize” cyber, but the meaning of normal and how to achieve that has shifted several times.

The U.S. military began to organize around cyber and information warfare just after the first Gulf War of 1991. The Air Force Information Warfare Center was launched in 1993 and the other services followed soon after. Offense and defense operations were combined in the operational 609th Information Warfare Squadron in 1995. These units, however, were all single-service and generally could not direct cyber defenses, only making suggestions with little Pentagon control.

To “normalize” cyber, in 1998 the Pentagon created the real predecessor to U.S. Cyber Command, the twenty-four-person Joint Task Force–Computer Network Defense (JTF-CND) to be in charge. Two years after it was stood up, the unit was given responsibilities for offense as well as defense, as one of the perceived lessons of the past was that the same commander should handle both.

However, this lesson proved to be transient, as offense and defense were split apart in 2004, with the National Security Agency getting the offensive mission and the Defense Information Systems Agency getting defense, since it seemed more “normal” to have the main military IT organization also defend all the IT. But that solution itself only lasted a few years, when to be more “normal” the missions were recombined into the new U.S. Cyber Command, whose commander was also the director of the NSA. Since NSA had so much cyber capability, it seemed natural to have the same four-star officer run both cyber and signals intelligence; the revelations of cyber spying might just break that connection if it appears having cyber warfighting responsibilities distracted General Alexander from his NSA job.

This history helps inform the debate about what should happen next with U.S. Cyber Command. There are a few leading options:

Splitting NSA and Cyber Command: This had already been a leading option, even before the recent leaks. General Alexander had planned to retire in early 2014, but it is possible he won’t last that long, now that President Obama has had to publicly discuss programs that the General’s organization was supposed to keep secret. This option of splitting the command is probably the most likely, as the president would understandably want a director of NSA able to work it as a full-time job, rather than sharing time with the sexier offensive missions of Cyber Command.

This division of roles would return to the command relationship of 2004, with a three-star NSA director from intelligence reporting and a four-star general from a more traditional warfighting background.

Combatant Command: Cyberspace may be so different from the other domains of air, land, sea and space that it makes little sense for U.S. Cyber Command to be subordinate as a subunified command to U.S. Strategic Command. Cyberspace and operations there transcend geographic regions, domains and the normal spectrum of conflict. Thus, an elevation to its own unified command is justified. This option makes sense if cyber is indeed important but unlikely to be a truly new domain.

In one sense, this is just the next step of a natural progression since 1998 of ever-larger commands with higher-ranking generals in charge. But proponents of creating a new command should be wary of the precedent set by U.S. Space Command. Created in 1985 when space was the domain of the future, it only lasted until 2002, since it turns out that space isn’t all that different or critical. In the rush to claim that the domain was different, the space community potentially overreached and their command is mostly forgotten today. Yet this remains a likely path for cyber.

Special Operations: Another argument is that cyber is so special it can’t ever be normal. After all, the geeks who dominate cyber often don’t excel in (or necessarily even need) traditional soldiering discipline, fitness or skills. In this option, U.S. Cyber Command should not belong to U.S. Strategic Command but rather should be under U.S. Special Operations Command. This option makes sense if cyber conflicts in the future are predominantly shadowy irregular conflicts and the Pentagon wants to emphasize this aspect above all others.

Even though the covert actions and proxy/irregular cyber conflicts are indeed increasingly prevalent, the special-operations model ignores the bulk of what happens in cyberspace, the day-to-day grunt work of cyber defense and network management. This does not require any particularly special expertise, just patience and attention to detail over time, which is one reason why this is not a likely option.

New Cyber Service: If cyber truly is important and a new domain of warfighting, then perhaps the most normal option is not to elevate or reassign a command but create an entirely new service. After all, the land, sea and air domains each have a respective service. This new Department of Cyberspace would then parcel cyber forces to the combatant commands and provide common cyber services to all, especially for technologies like long-haul networks.

This is the least likely option as it is too bold and not necessarily warranted by the current circumstances. The space domain again provides the example: there are consistent and periodic calls for it to have a separate service, yet the military seems fine without a space command, much less a separate service. Moreover, with the problems faced by NSA, there may be retrenchment as the Washington takes a less aggressive posture.

Status Quo: It is entirely reasonable if the national military leadership decides to keep the present arrangements. But with NSA in such trouble, this is increasingly unlikely.

The final decision may depend on the personalities of the generals and admirals available for command, the legacy of General Alexander, and above all, cost. Regardless of which is the smarter option in the long term, the overwhelming pressure of operating during the sequester suggests that the cheapest options—the status quo or splitting NSA and Cyber Command—are the most likely.

Cheap has another advantage: cheap is simple. Each redrawing of command lines has meant more distraction from actually solving the underlying cyber problems, which have been remained similar for decades.

Regardless of the final decision on U.S. Cyber Command, it will only be one more step—and by no means the last—as the U.S. military seeks to keep pace with conflict in cyberspace.

11 July 2013 By SYDNEY J. FREEDBERG JR – Pacifi Sentinel

Jul. 10, 2013 - By JULIAN HALE – Defense News

MONS, BELGIUM — NATO’s Communications and Information Agency will recruit six cyberdefense experts in the coming months to help deal with cyberattacks on NATO systems. This action is part of NATO’s effort to move toward what it calls full operational capability by the end of October, meaning improved protection of 55 NATO sites across the world.

A NATO official regretted the term “full operational capability,” as he argued that NATO’s cyberdefense policy has been modernized but that further improvements are still needed.

A big part of this effort is the Mons-based NATO Computer Incident Response Capability (NCIRC), which has come with a price tag of €58 million (US $74.5 million).

The NCIRC is housed in the NATO Information Assurance Operations Centre, whose task is to look after NATO-owned systems and not systems in NATO countries.

In comments to journalists during a visit to the NCIRC, Ian West, director of the NCIRC Technical Centre, said “the number and sophistication of attacks is growing. In a worst-case scenario, it [an attack] could lead to loss of life, e.g., if intelligence information regarding an ambush does not get through as a result of the attack.”

As many as nine out of 10 inbound emails to NATO are stopped because they are suspicious. Many are probes against NATO systems that are generally harmless but could be precursors to an attack.

In total, there are estimated to be around 147 million “suspicious events” per day against NATO systems. Technology systems whittle that down to a more manageable number of serious cases, which are then dealt with by the cyber experts.

In 2012, there were 2,500 confirmed serious cases (around 200-300 cases per month). Many attacks are automated.

The NCIRC operates on a 24/7 basis, which is important because an attack coming from the Far East, for example, might hit the NATO networks in Europe at 2 a.m. European time.

“The most important thing is to stop the attack,” said West. In addition, NATO may carry out forensic analysis of the malicious code but does not go after the attackers. If it needs law enforcement assistance, it calls on the host nation of the attacker.

A forensic analyst within the cyberdefense team can identify a specific group that is behind a malicious software (malware) attack through the signature left by the attackers. However, specific attribution, i.e. where attacks are launched from and by whom, is very hard. This forensic analysis information is shared with NATO allies so that they can update their defenses.

Computer systems at NATO sites but also those used to direct artillery fire or found in vehicles on NATO missions are protected. However, for equipment provided by a NATO country, ultimate responsibility lies with the NATO country in question as it owns the equipment.

In addition to monitoring and protecting NATO networks, staff in Mons can be called on to form rapid reaction teams. A team could be drawn from the 130 staff as it needs to have the flexibility to respond to a big range of attacks. These cyber experts may act online or visit NATO sites, depending on the type of support needed.

Asked if NATO carried out offensive cyberdefense activities, West said that “cyberdefense is purely defensive. NATO is not doing anything offensive or active defense. It is completely passive defense.”

Organized crime, cyber espionage and hacktivism are the three main aims behind the attacks.

Jul. 9, 2013 - by TOM KINGTON – Defense News

ROME — Since Estonia suffered a crippling cyberattack in 2007, generally attributed to Russian hackers, European states have slowly been organizing their disparate cyber crime and security organizations under national coordinating committees, bringing military commanders into contact with intelligence agencies, police forces and private industry.

The new furor over US spying on European Union nations will likely heighten efforts in the region to strengthen defenses against economic and political cyberattack from political and economic adversaries and allies alike.

Italy

In Italy, a decree issued by the Cabinet in January sought to impose a chain of command on a series of cybersecurity operations launched in recent years by law enforcement and state agencies.

The decree puts the prime minister at the top of the pyramid but gives operational authority to the head of the DIS, the Italian intelligence agency that oversees both overseas and domestic operations.

“The DIS has led this reorganization and has taken a central role,” said Stefano Mele, a cyber analyst with the Italian Institute for Strategic Studies. “It is the first real step toward an operational approach to cybersecurity.”

“The Italian cyber strategy is defensive,” an Italian intelligence source said.

The new setup, which is reportedly still being staffed, involves a political committee to propose strategy to the prime minister, drawing representatives from the ministries of foreign affairs, interior, defense, justice, economy and economic development.

A permanent monitoring center is also being established, to be run by the prime minister’s military adviser.

Mele said the new center would be open 24 hours a day to monitor threats.

“Police units have previously mounted 24-hour monitoring operations, but the new setup moves beyond a focus on cyber crime to cyberwarfare,” he said.

The center can also activate a crisis unit, drawing on various ministries when an attack threatens national security.

One analyst feared the new structure was too complex to react quickly to cyber threats.

“The chain of command is too long and complicated to respond to attacks, which are by definition fast, but this is a start,” said Raoul Chiesa, a cybersecurity consultant to the UN.

The Italian military’s cyber defense operation, which is run by the General Staff in Rome, continues on a parallel track to the new civilian setup, but there would be crossovers, Mele said.

“The key role given the prime minister’s military adviser is no coincidence,” Mele said.

Germany

Responsibility for German cybersecurity is divided among many players on the federal and state levels. The National Cyber Defense Center, under the federal Interior Ministry, was founded in April 2011, involving the military, the police, the secret service and other security and civil defense organizations.

Additionally, a National Cyber Security Committee has been set up to decide wider cybersecurity policy, involving the chancellery, various ministries, the states and industry representatives as associate members.

While these are all defensive measures, the Bundeswehr acknowledged last year that it had a Computer Network Operations Team capable of offensive action. It is part of the Strategic Reconnaissance Command and stationed in Rheinbach, near Bonn. Press reports suggest the unit started training a couple of years ago and reached initial operational capability in 2012.

However, actual offensive operations would require the approval of the German parliament, as all German military actions do.

The team is not represented in the National Cyber Defence Center nor is it responsible for the defense of the military itself against cyberattacks; the military has built up a separate IT security organization.

United Kingdom

Cybersecurity spending in the UK emerged unscathed from a new round of government austerity measures announced by Chancellor George Osborne for the 2015-16 financial year.

The Treasury said cyber was a national security priority and investment in the area will continue to grow in 2015, including a £210 million (US $320 million) investment in the National Cyber Security Programme (NCSP).

That money builds on £650 million in funding set aside in the 2010 Strategic Defence and Security Review to tackle cyber threats and turn the problem into an opportunity for the British security industry.

The initial four-year spending program, started in 2011, allocated an extra £384 million to the intelligence services over the period with the Ministry of Defence-allocated £90 million.

That money is in addition to other cyber funding streams for the intelligence agencies and government departments — figures that are not aired in public.

The review said cyberattacks were among the government’s four top security risks.

That review was followed at the end of 2011 by a new UK cybersecurity strategy that sought to better protect cyberspace interests and build the capabilities needed to combat the growing problem.

Only last week, Iain Lobban, the head of the government’s intelligence-gathering operation, GCHQ, told the BBC that business secrets were being stolen in Britain on an “industrial scale.”

Government and industry networks are targeted by sophisticated cyberattacks about 70 times a month, often by other states, he said.

GCHQ has already invested in new capabilities to identify and analyze hostile cyberattacks, and now plays host to a new Joint Cyber Unit set up in partnership with the MoD to help counter threats to the UK.

Another MoD initiative will likely see the armed services set up a “Cyber Reserve” to harness the talents of industry specialists and others.

Poland

Meanwhile, Poland is increasing the cyber defense and combat capacities of its armed forces — one of the priorities of the modernization of the Polish armed forces, according to a white paper on national security, released in May by the National Security Bureau.

The paper “recommends a national cyber defense system … integrated with similar systems of [other NATO member states],” the document said.

The paper also recommends the armed forces receive “mechanisms and systems for offensive activities in this area, and treated as an element of support to conventional activities.”

Poland’s cybersecurity efforts are largely driven by the massive cyberattacks that targeted Estonia in 2007 and crashed the Baltic state’s Internet infrastructure, local analysts said.

Two organizations set up to avoid the fate of Estonia will become operational next year.

The Polish Ministry of Defense and the Internal Security Agency, Poland’s domestic intelligence agency, are aiming to launch the National Cryptology Center, designed as a “response to the newest cyber threats … which should bring a breakthrough in what concerns [Poland’s] cybersecurity,” Polish Defense Minister Tomasz Siemoniak said.

A new unit within the Ministry of Defense will also foster the development of information technologies for military purposes.

The planned Inspectorate of Implementation of Innovative Technologies will be modeled on the US Defense Advanced Research Projects Agency, according to Siemoniak.

Nordic Region

Closer collaboration in developing common platforms to counter cyber threats has been given priority status by the Nordic militaries’ cooperation vehicle, Nordic Defense Cooperation (NORDEFCO).

The need for a robust Nordic dialogue and pan-Nordic interaction is highlighted in the study, “Cyber Defense in the Nordic Countries and Challenges of Cyber Security,” produced by the Finnish National Defense University and delivered to NORDEFCO in January.

The study generated a report, “The Fog of Cyber Defense,” which is expected to provide a road map for future cyber threat cooperation among Norway, Finland, Sweden, Iceland and Denmark. It is anticipated that the first cross-border projects to develop common anti-cyber threat policies and strategies could emerge as soon as 2014.

In the meantime, the five Nordic states are working to strengthen their domestic cyber defense capabilities. All have, or are in the process of, establishing national cyber defense centers that can draw expertise from military and national intelligence units, as well as cyber threat divisions within the communications regulatory authorities in each country.

Recommendations advanced in the “The Fog of Cyber Defense” include a pan-Nordic political initiative to pursue cooperation. This would entail developing a sophisticated cyberspace information exchange platform supported by each country’s cyber defense center; development of a common cyber strategy; the holding of joint interoperability exercises to enhance linguistic, procedural and technical compatibility; the establishment of a common Nordic Cyber Defense Center; and the possibility of standardizing legislation on cyber defense cooperation.

NORDEFCO is running a so-called Cooperation Area research program to ascertain the cost benefits and operational gains from Nordic cyber defense cooperation that would specifically deal with immediate threat warnings.

On a national level, Norway established a dedicated cyber defense unit under the management of the Ministry of Defense in 2012. The unit merges the cyber threat and defense capabilities of the Armed Forces Command’s Norwegian Military Intelligence Service, the National Security Authority and the Norwegian Police Security Service.

Denmark established a Center for Cyber Security under the direction of the Ministry of Defense in December, while Finland launched its Total Society Cyber Security Strategy in January, a four-year strategy that aims to have a dedicated cyber defense center and acomprehensive countermeasures infrastructure in place in 2016.

In Sweden, the government established a National Cyber Defense organization in January, which will share information from frontline cyber units within the military’s signals intelligence wing FRA, the military intelligence unit MUST and the Swedish national police intelligence service, Säpo.

Albrecht Müller in Bonn, Andrew Chuter in London, Jaroslaw Adamowski in Warsaw and Gerard O’Dwyer in Helsinki contributed to this report.

08/07/2013 Par Sofiane Frendi - mag-securs.com

La cybersécurité devient une question de souveraineté et de force. Les puissances mondiales cherchent à acquérir les meilleures technologies pour protéger les systèmes informatiques. la Russie relance la course de la ''cyberdéfense''.

Les autorités russes cherchent à se procurer les dernières technologies en matière de cyberdéfense pour assurer la protection de ses réseaux et ses systèmes informatiques face aux attaques cybercriminelles.

Le Président russe, Vladimir Poutine, a appelé lors d’un conseil de sécurité avec les spécialistes russes de la cyberdéfense à perfectionner les systèmes de défense et renforcer la protection des infrastructures informatique russes à l’horizon 2020 pour stopper les intrusions qui pourront nuire à la Russie.

Vladimir Poutine, appelle les russes à doubler les efforts pour sécuriser les sites stratégiques, surtout dans le domaine militaire qui est devenu la convoitise des pirates. "Il faut être prêts à parer efficacement les menaces dans l'espace informatique. Renforcer le niveau de protection de l'infrastructure correspondante, en premier lieu celle des systèmes informatiques relevant de sites stratégiques et d'importance critique", a-t-il indiqué.

Pour souligner l’importance de se doter des outils de défense les plus performants, le Président rappelle aux présents à la réunion que la force de nuisance d’une cyberattaque dépasse celle des armes conventionnelles.

Pour faire face aux menaces cybernétiques, le ministère de la Défense russe prévoit la création d’une force spéciale ‘’ commandement cybernétique’’. Un projet qui sera parachevé d’ici la fin de l’année 2013. Cette force aura la tâche de surveiller, analyser les informations extérieures et lutter contre les attaques informatiques.  "La Russie crée une armée chargée de la sécurité informatique du pays. Les travaux devraient s’achever d'ici fin 2013".