Le débat se poursuit aux Etats Unis sur les risques liés à la Chine
Lors d'un groupe de travail, le chinois Huawei a déclaré vouloir aider les Etats Unis à se protéger des attaques réseau. Le représentant d'un organisme d'état américain a mis la Chine à l'index. Seule solution, mettre en place un monitoring continu des réseaux. Cela prendra des années.
Le responsable de la sécurité de l'équipementier télécoms chinois Huawei annonce qu'il peut aider les Etats Unis à se défendre contre les attaques par internet.
Andy Purdy, CSO (chief Security officer) de Huawei s'est exprimé dans le cadre d'un panel d'experts en sécurité le 8 Novembre réuni par le Congrès, qui s'est montré préoccupé par l'espionnage chinois sur internet.
Andy Purdy représentait la seule société chinoise du panel. Il a confirmé que les discussions se poursuivent entre les Etats Unis et la Chine au sujet de la sûreté de la chaîne de délivrance des solutions réseau, et que les sociétés privées devraient en faire partie. Il doit y avoir « de l'ouverture, de la transparence et de la liberté » estime-t-il.
« Une partie du plan des Etats Unis est heureusement la collaboration avec le secteur privé, et une partie de la stratégie devrait être la planification de la manière de bloquer le trafic malveillant » souligne Andy Purdy, ajoutant que les fournisseurs d'accès à internet devraient réaliser ce filtrage. Il estime qu'il est « honteux que le gouvernement ne fasse rien pour remédier à l'internet clandestin. »
Il pointe que Huawei est d'accord avec l'administration américaine sur les possibles risques de liés à la chaîne de délivrance globale des équipements réseau. Il note que Huawei ne réalise que 2 milliards de dollars de revenus aux Etats Unis sur les 32 milliards de son chiffre d'affaires mais qu'un tiers de ses composants viennent des Etats Unis, ce qui est synonyme de milliers d'emplois sur le sol américain.
Photo : Andy Purdy, CSO (chief Security officer) de Huawei
Le discours du représentant de Huawei a été contrebalancé par celui de Scott Borg, directeur et chef économiste pour la U.S. Cyber Consequences Unit. Il estime que néanmoins, la Chine a volé d'importantes quantités d'informations et de propriété intellectuelle en pénétrant dans les réseaux.
La U.S. Cyber Consequences Unit est décrite comme étant une organisation de recherche mise en place par le gouvernement américain spécifiquement pour s'intéresser à la nature des cyber-attaques, et aux problèmes de sécurité liés à la chaîne de délivrance des réseaux.
« Nous trouvons des codes malveillants également dans des produits venus de Chine » a déclaré Scott Borg, « La Chine et les compagnies chinoises ne jouent pas selon les mêmes règles du jeu que nous. » Pour Scott Borg, la recherche indique que la croissance rapide de la Chine s'explique largement par le fait de « copier les pays développés » et que si l'on ne vous donne pas les technologies, vous les volez.
« Le vol fait partie du modèle de développement économique de la Chine » déclare-t-il. L'heure est à la contre attaque pour ce responsable. Marcus Sachs, vice président en charge de la sécurité pour l'opérateur Verizon, qui était présent dans le panel, a évoqué pour sa part de mettre en place l'équivalent de gardes armés dans le cyberespace.
Il retient cependant que l'analogie a ses limites, puisque dans le cyberespace on se déplace sur toute la planète en quelques millisecondes. Quant à des contre attaques, elles viendront de considérations profondes sur la politique.
John Streufert, directeur de la Division nationale de la cybersécurité au Département of Homeland Security, a déclaré pour sa part que la cybersécurité offensive est de la responsabilité de l'armée des États-Unis. Et que si les citoyens voient des menaces spécifiques, ils doivent les signaler.
Lors d'une session plus tard dans la journée, John Streufert a également décrit un programme planifié depuis longtemps appelé DHS surveillance continue. Il y aura bientôt un appel pour un contrat de services managés de sécurité appelé « Diagnostic continu et atténuation, » incluant des services de Cloud, afin de protéger les données civiles des organismes fédéraux des attaques furtives.
Le concept de surveillance continue fait appel à une couche de détecteurs et de scanners afin de vérifier les vulnérabilités du matériel et des logiciels utilisés par le gouvernement fédéral. Ce projet devrait nécessiter plusieurs années avant d'être achevé par le gouvernement fédéral.
Il inclurait un tableau de bord de la sécurité rempli par des fournisseurs de services chargés d'un contrôle permanent, et qui serait partagé au niveau de chaque agence. John Streufert l'a qualifié de «Cyberscope» pour les organismes fédéraux.
John Streufert déclare que l'objectif est d'amener les agences loin du coûteux suivi à base de rapport sur papier des vulnérabilités, considéré comme inefficace et inopportun. Le programme pourrait s'étendre aussi bien aux agences gouvernementales nationales et locales, a-t-il dit.