La cyber à l’heure de Darwin

Dans son ouvrage majeur, L’Origine des espèces, Charles Darwin ne décrit pas un mécanisme global de sélection, mais deux. Le premier est celui dont tout le monde a peu ou prou entendu parler : il s’agit de la sélection naturelle à proprement parler qui stipule en résumé que, considérant le hasard des conditions extérieures, seules les combinaisons génétiques viables survivront et transmettront leur ADN. Mais Darwin a décrit aussi un autre mécanisme, beaucoup moins connu : la sélection sexuelle, qui tend à maintenir la diversité génétique. Cette diversité est une condition de survie d’une espèce à long terme (à l’échelle du millénaire, voire plus) : s’il n’y a plus que des lapins blancs, si par malheur surgit un virus ou tout événement extérieur (genre un gros météorite) qui tue justement les lapins blancs, il n’y a plus de lapins du tout. C’est la raison pour laquelle il existe des lapins de toutes les couleurs.

L’analyse de l’écosystème IT mondial est intéressante à l’aune de ces critères de survie d’une espèce à long terme. Que l’on en juge. Dans son dernier ouvrage (Guerres invisibles), Thomas Gomart dresse le constat suivant. Plus de 83 % des OS déployés proviennent de la firme Microsoft, la production mondiale de chipsets est concentrée dans les mains de quelques entreprises, quasiment toutes situées en Asie ou aux États-Unis, les interconnexions de réseaux ont atteint un tel niveau que la défaillance d’un composant peut conduire à l’arrêt quasi total d’une branche de l’industrie à l’échelon continental (dernier en date : l’arrêt d’un oléoduc US à la suite d’une attaque crypto[2]). Mais le pire, si l’on suit l’analyse de Thomas Gomart, c’est que les dépendances de même que les risques de défaillance ne concernent plus seulement les couches basses (interconnexions réseau), mais aussi les couches intermédiaires (logiciels, qui sont de plus en plus en mode SaaS, ou abonnements tels les antivirus ou les protections firewall).

Côté diversité « génétique », l’IT n’est clairement pas au niveau.
Côté respect des gestes barrières, vu le degré d’interconnexion précédemment évoqué, on peut difficilement faire pire. D’ailleurs, il serait intéressant de voir quelle entreprise est capable de rester coupée d’Internet 72 heures, voire quelle entreprise est capable de couper totalement son SI « Scada » interne du reste de son SI (et donc d’Internet par ricochet).
Côté capacité de production d’un vaccin, étant donné qu’il existe très peu d’équivalents des laboratoires pharmaceutiques (éditeurs d’antivirus et de produits de protection périmétrique) et qu’en plus la majorité ou presque est hors UE, voire plus ou moins acoquinée avec des organismes étatiques (dont l’intérêt n’est aligné avec le nôtre que tant que l’on sera d’accord avec eux), inutile de dire que dans la course au vaccin on ne sera pas les premiers de la file.

Côté gouvernance, avec environ 400 agents, l’Anssi va vite être débordée. Et l’on ne peut pas exactement dire que les pouvoirs publics aient véritablement intégré le risque et son niveau d’impact : la plupart des RSSI en sont à expliquer que le risque IT est presque le seul qui puisse totalement bloquer le fonctionnement de l’entreprise pendant des mois.

Quand Alain Bauer affirme que « la guerre d’Internet continue pendant la crise épidémique et la prochaine épreuve de souveraineté dépassera en ampleur celle des masques », on voit mal comment le contredire. L’absence de prise de décision « de rupture » conjuguée au très faible niveau scientifique (pointé du doigt par plusieurs observateurs pour la pandémie) et technologique des pouvoirs publics contribue à accentuer fortement la situation de dépendance, le risque, sa probabilité d’occurrence et son impact.

[1] https://metahodos.fr/2021/04/20/le-prochain-virus-sera-cyber-la-tribune-dalain-bauer/amp/ 

[1] https://www.msn.com/fr-fr/sport/other/cyberattaque-aux-%C3%A9tats-unis-lol%C3%A9oduc-colonial-a-enti%C3%A8rement-red%C3%A9marr%C3%A9/vi-BB1gINfn?item=f