L’évocation de la sécurité des élections, en particulier dans une année où la majorité de la population mondiale ainsi que les US votent, fait penser à des machines à voter ou même à une forme de subversion des processus de vote ou de décompte en ligne.
Ce n’était donc pas surprenant que le discours d’ouverture de la conférence Black Hat USA de cette année était intitulé « La plus grande année pour la démocratie: lutte pour des élections sécurisées dans le monde ». Peu avant la conférence, l’écosystème de la cyber-sécurité a été secoué par l’incident CrowdStrike, provoquant des perturbations mondiales majeures.
Il se devait donc qu’un panel de dirigeants d’agences gouvernementales se penche sur ce sujet. L’un d’entre eux, Hans de Vries, directeur opérationnel de l’Agence européenne pour la cyber-sécurité, fit une observation intéressante : « C’était une leçon intéressante pour les méchants ». Cette perspective n’était pas immédiatement évidente, car l’incident en question n’était pas malveillant.
Pourtant, si un État-nation ou un cybercriminel souhaitait une simulation réelle de la manière dont une cyberattaque pourrait se dérouler et provoquer des perturbations mondiales, l’incident CrowdStrike a fourni une ‘proof-of-concept’ complète, avec des informations sur les temps de récupération et sur la manière dont la société, dans son ensemble, a géré les dommages occasionnés par l’incident.
Jen Easterly, directrice de l’Agence US de cyber-sécurité et de sécurité des infrastructures, et Felicity Oswald OBE, CEO du Centre national de cyber-sécurité du Royaume-Uni, ont aussi pris la parole sur le sujet de la sécurité des élections. Cela c’est conclu par un consensus suggérant qu’à part les tentatives pour perturber les élections – comme les attaques par déni de service – le risque de manipulation des résultats suite à une attaque sur la technologie des infrastructures est pratiquement inexistant. Des processus ont été mis en place pour garantir que chaque vote, exprimé sur papier ou par voie électronique, dispose de nombreux mécanismes de sécurité intégrés pour garantir qu’il est comptabilisé comme il se doit. C’est une nouvelle rassurante.
Les discussions concernait aussi la diffusion de fausses informations autour du processus électoral. Les intervenants ont suggéré que les adversaires cherchant à manipuler les résultats s’efforcent davantage de créer l’illusion que le processus électoral est défaillant plutôt que de le pirater directement. En fait, ils cherchent à faire croire aux électeurs que leur vote n’est pas sécurisé et consacrent plus d’efforts à semer la peur qu’à attaquer.
Une autre présentation évaluait les mesures nationales en matière de cyber-sécurité. Fred Heiding de Harvard, a présenté une étude examinant la façon dont les différents gouvernements abordent la protection de leur cyber-sécurité nationale. L’équipe de recherche a évalué 12 pays sur base d’une grille de 67 points, les classant comme innovateurs, leaders ou sous-performant en fonction de leur approche de la cyber-sécurité.
Le tableau de réponses comportait plusieurs catégories intéressantes, dont la protection des personnes, des institutions et des systèmes, la création de partenariats et la communication de politiques claires. Même la longueur du document concernant la stratégie de chaque pays avait une incidence sur le score. Cette longueur variait considérablement, de 133 et 130 pages pour l’Allemagne et le Royaume-Uni, à seulement 24 pour la Corée du Sud et 39 pages pour les US.
L’Australie et Singapour, se sont distingués dans davantage de domaines que d’autres pays, en se classant en tête ou en atteignant la moyenne dans toutes les catégories. Le Royaume-Uni occupait une position intermédiaire avec six scores élevés et quatre scores moyens. Quant aux États-Unis, ils étaient en situation inverse, avec quatre scores élevés et six scores moyens.
Seuls deux pays, l’Allemagne et le Japon, ont obtenu des scores inférieurs dans certains domaines. Il faut savoir que les fiches d’évaluation présentées ne concernaient que sept des douze pays. De plus, il s’agit des résultats d’une recherche universitaire qui s’intéresse aux politiques plutôt qu’à leur mise en œuvre : certains pays peuvent faire un excellent travail dans l’élaboration de stratégies tout en étant incapables de les implémenter ou vice versa.
Il est donc important de demander des comptes à nos gouvernements sur leurs politiques de cyber-sécurité et sur leur préparation à protéger nos sociétés et nos citoyens.