Nicolas Machiavel, le maître en cyber sécurité

Afin de revenir en faveur à Florence après son procès en trahison, Nicolas Machiavel (Nicola Machiavelli) écrivit Le Prince destiné à Laurent (le Magnifique) de Médicis, nouveau régent. Ce livre est une sorte de recueil de conseils qui portent sur la politique adaptée pour maintenir son pouvoir sur un état dans différents scénario (monarchie, république, ancienne régence ou acquise par les armes , …). Machiavel y traite de la sécurité de l’état vis-à-vis d’une agression extérieure, ce qui était dans cette époque belliqueuse, une pratique courante tant les agresseurs étaient nombreux (autres Villes-états Italiennes, papauté et les étrangers (Suisses, Français et Espagnols). On peut voir dans ses conseils militaires une mise en pratique dans le domaine de la cyber sécurité.

Ne pas dépendre de l’externe

Premier conseil donné par Machiavel: Ne pas se fier aux mercenaires ou aux troupes auxiliaires (qu’un autre prince pourrait vous envoyer en aide) et développer une défense construite sur ses propres troupes.

Machiavel fait le constat que les mercenaires sont coûteux en temps de paix et prompts à décamper en temps de guerre. Les troupes auxiliaires sont dangereuses en ce sens qu’en cas de défaite, vous devenez prisonnier de l’assaillant et qu’en cas de victoire, vous devenez le prisonnier (et en forte dépendance) de cet autre pouvoir. En revanche, disposer de ses propres troupes, c’est s’assurer qu’elles seront réellement motivées car elles défendent leur territoire, leurs biens, leurs proches. Une bonne gestion des troupes et des avancements peut s’inscrire dans une gestion plus économique de vos classes intermédiaires et population. C’est donc à priori moins coûteux et plus efficace.

Dans le domaine cyber: on peut comprendre qu’il faut investir le sujet sans considérer qu’il s’agisse d’un sujet d’expert uniquement (avec des acteurs spécialisés). Il faut certainement modérer le propos de Machiavel car en la matière de cyber sécurité, les sociétés compétentes ont une expérience enrichie par leurs différentes interventions, qui peut évidemment élargir votre vision et permettre à vos troupes de gérer plus efficacement votre défense. Il serait donc certainement préjudiciable de ne pas s’appuyer sur des compétences externes tant au niveau de l’efficacité financière que de l’efficacité de la protection recherchée, notamment parce que ces ressources externes disposent des dernières armes à l’état de l’art qu’il serait illusoire de développer en interne. Pour autant, il est bien connu que la cyber sécurité s’appuie aussi sur des bonnes pratiques en interne. C’est donc en interne essentiellement que doit s’organiser la défense. Les défenses seront mises en oeuvre par des responsables intermédiaires impliqués et qui seront des relais et des acteurs sur ces méthodes et outils au dernier état de l’art.

Se connaître pour construire sa défense

Deuxième conseil de Machiavel: Connaître son état dans le détail et utiliser sa géographie pour construire sa défense. Machiavel suscite une vocation guerrière au Prince pour qu’il connaisse parfaitement son territoire pour exploiter ses particularités au mieux et créer la surprise ou à harceler l’ennemi dans sa progression. Sans doute peut-on y faire le parallèle avec la guerre du Vietnam (techniques de maquis et aussi motivation des troupes).

Ce conseil est plus technique. Dans le domaine cyber sécurité, cela peut s’appeler la défense en profondeur. Si l’on se place dans le cas du logiciel que l’on souhaite protéger contre une modification: ce principe de développement d’une défense spécifique s’appuie sur le logiciel lui-même et sa structure. Une protection efficace du logiciel se construit en effet nécessairement par une mise en oeuvre spécifique, unique, dépendante de la sémantique et des instructions du logiciel.

Les défenses externes son plus exposées pour deux raisons:

  • Elles s’opposent à la progression donc fatalement provoquent l’ingéniosité pour leur contournement
  • Elles présentent des caractéristiques connues et répétées (un mur d’enceinte ressemble à un mûr d’enceinte)

En protégeant le logiciel, on adopte une tactique et une stratégie qui s’appuient sur la sémantique (fonctionnalité) et la syntaxe (les séquences d’instructions) de celui-ci. L’attaque impliquera alors le reverse engineering que l’on peut complexifier à un très haut niveau. Attaquer nécessitera un effort très important et totalement spécifique. On aborde alors l’autre aspect majeur de la victoire: la motivation des troupes. Dans le cas d’espèce, la démotivation peut changer de camp.

Maintenir le contrôle sur des systèmes distants

Pour finir, dans un registre différent traite aussi de la solidité et du maintien d’une politique expansionniste: comment maintenir l’unité de territoires éloignés? Machiavel se réfère à la bonne pratique des Romains qui faisaient l’économie de l’envoi de troupes fort coûteuse et limitaient leur présence à des comptoirs commerciaux. En maintenant et favorisant le commerce et les échanges, ces comptoirs permettaient aussi de remonter une information sur le climat général vers Rome. Une fronde qui se lève sera anticipée avec l’envoi de troupe.

Dans le schéma d’exploitation à distance de logiciels fortement distribués comme dans l’internet des objets, mettre en oeuvre une politique pertinente de sécurité implique de maintenir un contrôle des systèmes distants.

Anticiper

Enfin, vous connaissez sans doute la très bonne maxime de Machiavel: “On commence une guerre quand on veut et on l’arrête quand on peut”.

En matière de cyber sécurité, ce n’est évidemment pas l’opérateur d’infrastructure vitale ou la banque qui déclare les hostilités. Les deux sont, malgré eux, embarqués dans la guerre . Il est donc à craindre que dans cette guerre asymétrique, seul l’attaquant peut à tout moment stopper les frais et que ses cibles doivent rester sur leurs gardes sans discontinuer. Cela signifie que sans pouvoir arrêter cette guerre, un effort continue de renouvellement des connaissances doit sans doute permettre de lisser la charge financière. Quelque part, les états majors prennent les dispositions pour disposer d’une défense efficace tant en terme opérationnel et que financier. Ces dépenses sont sans doute le contre coup des gains produits par l’IT depuis 40 ans mais que personne n’avait anticipé.

Tels sont les enseignants de Nicolas Machiavel, le maître en cyber sécurité.

Vincent Lefebvre