C'est durant la conférence Black Hat que l'ancien directeur de la CIA Michael Hayden a déclaré que les Etats-Unis devraient se mettre à considérer un partenariat avec les autres pays pour développer des règles internationales de luttes contre la cybercriminalité. Les Etats-Unis y auraient été réluctants car ne voulaient pas révéler, dans le cadre de telles négociations, les limites de leurs capacités en la matière. L'ex-directeur de l'agence de renseignement précise toutefois que le besoin se fait pressant étant donné la complexité à définir ce type de criminalité et à proposer une stratégie de défense et de réponse adaptée. « Nous sommes vraiment en retard sur ce débat concernant la limitation des armes utilisables dans le cyberespace. Plus le temps passe, moins notre voix sur le sujet risque d'avoir de portée ». Mais il ajoute que toute coordination internationale devrait plutôt porter sur l'établissement de normes plutôt que sur le contrôle des outils à disposition. Un exemple pourrait être d'avoir une règle interdisant les attaques par déni de service (DoS) sur des actifs d'un autre pays, sauf en cas de conflit armé. Ces dernières sont « des armes tellement simples à utiliser qu'il faudrait en stigmatiser l'usage, et sanctionner les pays qui les autorisent. De la même manière, les attaques contre les réseaux électriques et les secteurs financiers devraient être placées hors-limite, tant les conséquences pourraient être dévastatrices ».

Quelques obstacles organisationnels

Michael Hayden admet aussi que la régulation et la mise en place de sanctions risquent d'être les éléments les plus difficiles à mettre en place dans le cadre d'une coopération internationale. Le Département de la Défense a longtemps considéré Internet comme un domaine à protéger au même titre que les quatre autres (air, sol, mer et espace), mais appliquer les mêmes modèles défensifs et offensifs s'est révélé plus compliqué que prévu dans ce cadre particulier. L'organisation même du Cyber Command reflète ces difficultés : en théorie, le Homeland Security s'occupe des fonctions défensives, les agences de renseignement sont elles en charge des tâches liées à l'espionnage, et le Département de la Défense de tout ce qui renvoie à l'offensif. « De manière technologique et opérationnelles, elles sont au même niveau. Chacune contrôle son petit domaine sur Internet à sa façon. Heureusement, grâce au système politique, elles ne sont pas subventionnées de la même manière et sont régies par des lois différentes ».


Crédit Photo : D.R.