http://cafedu.com/index.php/20151215_-_Cybersecurit%C3%A9_et_Parlement_europ%C3%A9en
Dominique,
merci de ce lien. qui montre la jeunesse de la pensée européenne.
Nous avons là une copie de certains passages du rapport de Richard
Clarke de 2001. Dont la suite a été l'attaque sur les SCADA iraniens,
mais pas le durcissement du réseau électrique national US.
Il y a deux directions puisque les circonstances nous obligent à
l'utilisation de la technologie IETF de l'internet.
* La première est effectivement ce durcissement de la technologie
- que j'ai vu démonter en 1986 pour affirmer une technologie de
libres flux ouverts entre machines UNIX.
Le problème est qu'un durcissement doit être une "marée" homogène qui
fasse monter la sécurité générale du réseau. Ceci passe certainement
par des patchs locaux du BUG intrinsèque. Mais c'est bâtir des
fortifications de surface sur un sous-sol poreux. L'on ne peut pas
sécuriser "de frange à frange" une utilisation du datagramme de "bout
en bout".
Pour prendre une image simple le datagramme ce sont des glaçons
congelés du flux de contenu échangé. TCP/IP les congèle de bout en
bout. Cela en permet l'acheminement du flux comme des paquets. Mais
TCP les fait fondre à l'arrivée pour les remettre sous forme de flux.
Or la couche sept des services a besoin de les trier les données; et
la couche sept est après la frange. Elle doit donc tenter de se
débrouiller pour trier des gouttes d'eau au lieu de glaçons.
* La seconde est le PLUS, la "presentation layer on the user
side". Cela consiste à n'utiliser que la congélation d'IP et pas la
décongélation de TCP. En précongelant et décongelant soi-même on peut
intégrer au datagramme les métadonnées et les syllodonnées qui vont
permettre de traiter intelligemment et sécuritairement le contenu.
L'Internet PLUS est une approche "frange à frange", 100% compatible avec
l'architecture "de bout en bout" internet
(<http://tools.ietf.org/html/rfc1958>RFC 1958)
et l'introduction que nous y avons fait du principe de subsidiarité
(<http://tools.ietf.org/html/rfc5895>RFC 5895).
Mais elle est de solidification mutuelle. Pour être utile, elle doit
donc être implémentée selon le catenet, c'est-à-dire l'ensemble des
ressources de même niveau qui sont partagées entre les intercommunicants.
Vu la façon dont le catenet a été historiquement implémenté (Tymnet,
dégradé CCITT, dégradé Internet) il faut que le PLUS le "regrade".
ceci n'est pas dans le paradigme de Louis ("le réseau des réseaux"),
imprédicativé par Mandelbrot (le réseau des réseaux des réseaux des
réseaux, etc. jusqu'à l'insécable démocritéen du système le plus
local considéré)
repris par Vint pour le virtualiser ("est local ce qui appartient au
réseau considéré").
Il s'agit donc de requalifier le concept "Catenet II" comme "le
réseau des réseaux de même capabilité".
A partir de là on peut utilise l'internet raisonnablement,
c'est-à-dire pour ce qu'il apporte.
* Il apporte par défaut la recopie de bout en bout d'un flux de contenu.
* Si on en veut plus, par exemple
* protéger son intramatique (informatique, données privées,
domotique, etc.),
* graduer son 'intermatique (échanges internes au sein d'une
localité identifiée et protégée)
* et durcir son extermatique (relations avec le monde
extérieur potentiellement méchant) il faut un peu mieux comprendre ce
qu'est un réseau (diktyologie de Paul Mathias) et mesurer qu'il est
cosmologique c'est-à-dire un multivers dont chaque univers est centré
sur chaque donnée. Ce n'est pas le réseau que l'on protège et doit
surveiller, mais la donnée qui y transite réellement, ou
virtuellement par l'intellition. Une donnée n'existe que par
l'intégration (la congélation commune) du contenu et du format, ce
que j'identifie comme l'intelligramme (par exemple sous ASN.1). C'est
pourquoi la sécurité commence par le contrôle des formats, là où TCP
les dissout si jamais ils ont été envoyés. C'est trop facile pour
l'attaquant de tromper les mécanismes d'analyse (anti-virus), de
protection (pare-feux), de décodage (applications).
* C'est pourquoi la loi pour la République numérique insuffle
une brise salutaire en mettant à l'honneur la lisibilité des données
publiques : les données communes à plusieurs administrations vont
demander des formats communs et donc discutés et établis dans la
durée. D'autant que l'intellition qui en sera ainsi facilitée va
poser des problèmes politiques en dévoilant des informations cachées
ou simplement inconnues.
* C'est aussi pour cela que je prône :
* une intermatique locale de confiance (le "village gaulois")
* interfaçant, aidant l'intramatique de chacun (chez soi)
* et partageant (collectivité+habitants) le support d'une
extermatique sécurisée forte (comme dans fortifications).
De façon pratique ceci relève de l'initiative citoyenne locale à
travers des SCIC (collectivités-citoyens - régalien de
proximité/société civile) de services digitaux en assistance
technique mutuelle (Libre franchise à l'envers : franchiseurs les
frachisés, aide à la concertation et aux services d'intérêt commun
par l'Etat [ANSSI]). Cela c'est le paysage de la cybernité
personnelle et locale paisible. A partir de là, la protection de
l'extermatique personnelle (police), locale (gendarmes) et nationale
(armée) a un cadre traditionnel clairement défini qui ne va pas -
même en cas d'état d'urgence - interférer avec nos droits cybercivils
a minima (comme le réclament l'Intérieur et Trump). jfc
Texte des Echos Les entreprises de transport et d'énergie
devront veiller à ce que l'infrastructure numérique qu'elles
utilisent soit suffisamment solide pour résister aux cyberattaques.
La déduction semble presque trop logique : pour garantir la
sécurité de réseaux globalisés, mieux veut s'y mettre à plusieurs.
Cette conclusion est enfin arrivée dans les débats européens et a
débouché sur un accord lundi. Parce que les administrations et
entreprises au sein de l'UE dépendent souvent d'infrastructures
numériques, il fallait une gestion communautaire de la
cybersécurité. L'accord sur les toutes premières règles en la
matière est dans ce cas, « un pas important vers une approche plus
coordonnée de la cybersécurité en Europe. Tous les acteurs, publics
et privés, devront augmenter leurs efforts » , a déclaré le Premier
ministre luxembourgeois Xavier Bettel.
Opérateurs de services essentiels Concrètement, les Etats
membres devront identifier des « opérateurs de services essentiels
», comme les fournisseurs d'électricité, les banques, les
institutions de santé ou les infrastructures numériques. Ceux-là
devront être plus résistants aux attaques. Une intrusion sur ces
systèmes là qu'elle relève d'une erreur humaine ou d'un acte
malveillant, peut être susceptible de désorganiser des activités
vitales des pays de l'UE. D'autant que les incidents de la sorte
sont en hausse et devraient « déboucher sur des pertes annuelles de
l'ordre de 260 à 340 milliards d'euros », dit le Parlement européen.
Ainsi,Chaque Etat devra mettre en place une stratégie nationale
en matière de cybersécurité, ainsi qu'une équipe d'intervention «
pour gérer les incidents et les risques », précise de son côté la
Commission, qui avait lancé sa proposition de directive en 2013.
Google et eBay concernés Si la première mouture voulait déjà que
les opérateurs critiques - soit les OIV en France (opérateur
d'importance vitale) - informent les autorités des failles de
sécurité de leurs systèmes , le nouveau texte va plus loin en
étendant l'obligation de rapporter, auprès des autorités, les
incidents de sécurité à des distributeurs en ligne comme eBay ou
Amazon, mais aussi les moteurs de recherche comme Google ou Yahoo
et les « clouds ». Un groupe de coopération entre Etats membres
sera également créé pour « débattre des incidents de sécurité
transfrontaliers et pour identifier des réponses coordonnées »,
indique le Parlement. Le texte sur lequel les législateurs se sont
accordés doit encore être formellement adopté par le Parlement et
le Conseil avant de pouvoir être retranscrit dans les législations nationales.
At 08:25 15/12/2015, Dominique Lacroix wrote:
<http://www.lesechos.fr/tech-medias/hightech/021542182650-les-eurodeputes-saccordent-sur-des-regles-communes-en-matiere-de-cybersecurite-1182770.php>http://www.lesechos.fr/tech-medias/hightech/021542182650-les-eurodeputes-saccordent-sur-des-regles-communes-en-matiere-de-cybersecurite-1182770.php
Je reviens vers ceux qui m'ont répondu en début de semaine
prochaine. Par des échanges en privé. Merci. @+, Dom Le 14/12/2015
17:31, LD a écrit :
Bonsoir, Suis intéressé également. Dans la SSI depuis 15 ans et
l'informatique depuis 30, suis intéressé par l'identité numérique
et la gouvernance internet, l'accès à l'info pour tous et la
protection raisonnée des données personnelles. Cordialement Loïc
DANIEL Le 14 décembre 2015 14:50:19 GMT+04:00, "Gérard
Lang-Marconnet"
<mailto:[email protected]><[email protected]> a écrit :
Bonjour,
Je suis intéressé par votre proposition, notamment par le côté
géopolitique des choses.
J'ai une certaine expérience, ayant été pendant 8 ans jusqu'en
ma retraite en mai 2014 président de l'autorité de mise à jour de
la norme ISO 3166 "Codes pour la représentation des noms des pays
et de leurs subdivisions", dont la partie1 fournit les codes à 2
lettres utilisées par l'ICANN pour construire les "country code
top level domains (cctld)" ainsi que les listes des langues
administratives officielles des pays (qui est également utilisées
par l'ICANN pour l'internationalisation des noms de domaines. J'ai
également été jusqu'en mai 2014 l'un des neuf membres de la
gouvernance de la norme ISO 639 "Codes pour la représentation des
noms de langue" et l'un des membres de l'autorité de mise à jour
de la norme ISO 4217 "Codes pour la représentation (des noms) des
monnaies et types de fonds".
Gérard Lang
Le 13 déc. 2015 à 13:17, Dominique Lacroix a écrit :
Bonjour à tous,
De retour de Bruxelles, où j'ai eu la chance d'assister à un
travail de militaires de plusieurs pays, avec des amis européens,
nous avons créé un groupe de réflexion international en ligne sur
la cyberdéfense européenne et les citoyens.
Le groupe échange en français et privilégie les articles
réfléchis, de fréquence et de longueur raisonnables. On essaie
d'écrire peu mais bien.
Vous connaissez ma répugnance à définir une doxa. Il ne s'agit
donc pas de formuler ce qu'il faut penser de la cyberdéfense de
l'Europe, mais de nous entraider à la penser, en nous appuyant
bien sûr sur des infos vérifiées. Par-delà cet effort déjà
difficile, chacun restera libre, bien évidemment de désapprouver,
d'approuver ou d'accompagner comme citoyen cette cyberdéfense.
On est au rayon capacity building et entraînement à l'esprit critique.
La ligne générale - minimaliste mais ligne rouge du groupe -
est que le rôle des militaires est de maintenir/faire la paix et
de protéger la planète et ses habitants. Yaka, quoi...
Le groupe est un mailman sécurisé autant que faire se peut.
Les contributions ne sont connues que des membres. La règle est
celle de Chatam House. Nous n'utilisons que de l'information
ouverte. Pas toujours très connue, mais non classifiée ou déclassifiée.
Et je précise qu'il ne s'agit pas d'un groupe de
cyberstratégie militaire ;-)
Merci aux personnes intéressées de bien vouloir m'envoyer un
mail avec 2-3 lignes exposant comment il/elle voit ce qu'il/elle
souhaiterait apporter à ce groupe européen du point de vue de la
société civile.
@+, Dom
--
Dominique Lacroix
<https://panamo.eu/dom>https://panamo.eu/dom
_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
