Quelle est l’arme décisive de la puissance maritime ? Pas de missiles ni de torpilles, déclare la nouvelle cyberstratégie de l’US Navy.
« Le prochain combat contre notre principal adversaire ne ressemblera à aucun autre », commence le document de 14 pages. “L’utilisation d’effets non cinétiques et la défense contre ces effets avant et pendant les échanges cinétiques seront probablement le facteur décisif pour déterminer qui l’emportera.”
C’est une déclaration audacieuse, et censée l’être, déclare le premier, et maintenant ancien, principal conseiller en cybersécurité de la Marine. Chris Cleary, qui a démissionné mardi, a déclaré qu’il était impératif que la Marine considère la cyberguerre comme bien plus que les réseaux et la cybersécurité.
“C’est une discipline de guerre que nous devrions considérer comme une compétence de base et, plus important encore, nous professionnaliser”, a déclaré Cleary dans une interview lors de son dernier jour au Pentagone.
La publication mardi de la première cyberstratégie de la Marine est la pierre angulaire des efforts déployés par Cleary pendant trois ans pour unir les efforts cybernétiques du service et amener le reste du service à comprendre son rôle clé dans la guerre moderne. Il faisait allusion au document depuis des mois, affirmant que le service s’était mis « dans une phase d’attente respectueuse » pour céder la place et s’aligner sur la stratégie de défense nationale et d’autres cyberstratégies de la Maison Blanche et, plus récemment, du Pentagone. .
Le document détaille sept axes d’efforts pour aider la Marine à améliorer ses effectifs et sa préparation en matière de cybersécurité, à défendre l’informatique, les données et les réseaux de l’entreprise, à protéger les infrastructures et les systèmes d’armes critiques, à mener des cyberopérations, à sécuriser la base industrielle de défense et à renforcer la coopération.
L’interview suivante a été modifiée pour plus de clarté et de longueur.
En quoi cette stratégie est-elle différente des documents antérieurs relatifs au réseau ?
Je ne saurais trop insister sur le fait qu’il ne s’agit pas d’une stratégie de cybersécurité. Il s’agit d’une cyber-stratégie. Il s’agit d’une stratégie qui, si l’on considère les différents axes d’action qui la composent, va bien au-delà du blocage et de la lutte contre ce que le [chief information officer] est responsable de.
Et permettez-moi de m’arrêter là juste un instant. Le CIO était tout aussi engagé dans la rédaction de la stratégie. Certains axes d’action relevaient en réalité de leurs responsabilités… comme « passer à la cyber-préparation » et défendre les entreprises informatiques – ce sont des fonctions de type DSI très, très lourdes.
Ensuite, on passe aux deux suivants : l’infrastructure, les systèmes d’armes, la conduite de la guerre. Ce sont des choses nouvelles que je n’ai jamais vues, nous n’avons jamais vu, comment ces lignes d’effort ont été incorporées dans un document plus vaste qui va au-delà de la simple cybersécurité et qui n’est qu’une « guerre ».
Et puis cette idée de mener et de faciliter des cyberopérations. C’est un nouveau. Nous sommes une organisation de guerre. Ce n’est un secret pour personne que nous allons nous professionnaliser et développer nos capacités et que nous sommes obligés de présenter des forces à la force interarmées, puis de travailler sur les moyens par lesquels nous allons mener ce que nous appellerions affectueusement les cyberopérations conservées en service—les cyberopérations. vous allez voir depuis la flotte ou le cyber, vous allez voir à travers une unité expéditionnaire maritime. Ce sont des choses dont nous n’avions jamais vraiment parlé auparavant.
Ainsi, lorsque vous prenez l’ensemble de la cybersécurité, encore une fois, cela couvre le spectre de « tout ce dont vous avez besoin pour réparer mon ordinateur » pour « produire des effets lorsque cela est demandé, à un moment et à un endroit de notre choix, pour dégrader la liberté de manœuvre des adversaires ». Et puis, cela donne aux gens du ministère la possibilité de revenir sur quelque chose et de dire : « Le secrétaire a signé cela. » Nous étions confrontés à certaines de ces choses, mais nous avons maintenant quelque chose sur lequel nous appuyer. Ce ne sont donc plus seulement de bonnes idées. Cela s’appuie sur l’orientation actuelle des États-Unis, à travers la stratégie de sécurité nationale, et sur la façon dont nous allons essayer de le faire en tant que ministère.
Quel est le rapport avec les orientations Cyber Ready de l’année dernière ?
Directement. La ligne d’effort n° 2 correspond entièrement à la cyberpréparation, c’est-à-dire l’initiative Cyber Ready… supervisant la mise en œuvre de cette initiative dans l’ensemble du ministère, et elle est maintenant intégrée dans une stratégie plus large.
Y a-t-il des objectifs et des jalons pour garantir que la Marine y parvienne ?
Toutes ces stratégies sont aussi efficaces que les plans de mise en œuvre qui les suivent. Le ministère de la Défense vient de publier sa cyberstratégie il n’y a pas si longtemps, et nous sommes actuellement en train de travailler sur le plan de mise en œuvre au niveau de l’OSD pour mettre en œuvre cette stratégie. La bonne nouvelle est que de nombreux éléments de cette stratégie sont en quelque sorte soutenus par ce que nous faisons. Ce n’est donc pas du tout redondant ; c’est très coopératif.
Cela dit, l’une des choses sur lesquelles j’ai insisté auprès du secrétaire en quittant mon poste est, vous savez, la cybersécurité, jusqu’à récemment… elle n’a pas été consolidée en tant que compétence de base du ministère de la Marine. Cela ne veut pas dire qu’il n’y a pas de choses que nous recherchons de manière agressive par le biais des forces cybernétiques de la flotte et des forces d’information navales et en contribuant à la force de cybermission. Zero trust, gestion des identités Cyber Ready… intelligence artificielle, machine learning, nos propres initiatives en matière de données. Tout cela est maintenant regroupé en une seule chose, mais c’est encore un peu compliqué en ce moment.
Une fois que nous aurons adopté le cyber comme compétence de base aux côtés de la guerre de surface, de la guerre souterraine, de la guerre expéditionnaire maritime et de la guerre spéciale de la marine, une fois que le cyber sera considéré dans cette optique comme égal aux autres, les choses commenceront alors naturellement à se mettre en place. Tout indique que nous allons dans cette direction.
Comment le poste de principal cyber-conseiller, ou PCA, a-t-il évolué au cours des trois dernières années ?
Dans la Marine notamment, nous sommes très vite parvenus à un accord. Vous ne pouvez rien faire dans la Marine sans un DSI véritablement habilité. C’est l’enjeu de la table maintenant. Là où le PCA est réellement intervenu, nous nous sommes concentrés sur son importance opérationnelle, sur l’aspect combat. Attirer l’attention sur des choses sur lesquelles nous ne nous sommes pas traditionnellement concentrés : les infrastructures critiques de la défense, la cybersurvivabilité et la résilience des systèmes d’armes, l’état de préparation de la force de mission, le plaidoyer en faveur de ressources pour des choses comme les cybercapacités offensives parce que nous sommes une fonction de guerre. … c’est ce que fait la Marine.
L’état de préparation des forces de mission… au cours des première et deuxième années était un grand sujet de conversation à l’époque, et la façon dont la Marine allait améliorer ses normes de préparation. Et maintenant, nous sommes allés au-delà de cela avec la création de l’ingénieur en cyber-guerre, de l’officier de cyber-guerre maritime et du vice-amiral. [Kelly] Aeschbach étant entièrement habilité en tant que seul fournisseur de la présentation des effectifs et des forces à la force interarmées. Nous avons donc travaillé sur beaucoup de choses au début, mais ce n’était pas une chose facile à faire, vous savez, au cours des 18 premiers mois, parce que vous essayez de résoudre des problèmes vraiment difficiles en même temps que vous essayer de construire un bureau.
La Marine a construit de nombreuses armes en réseau avant de s’intéresser sérieusement au piratage.
Une fois que nous avons réalisé que ces éléments présentaient tous des vulnérabilités, des efforts ont été mis en place pour y remédier. Il existe deux programmes à noter : le programme SABRE, qui est cette initiative visant à assurer la cybersurviabilité et la résilience des objets en mer, et l’effort MOSAICS, qui se déroule à terre. Certaines choses sont si anciennes… vous devez trouver de nouvelles capacités pour les sécuriser. D’autres éléments flambant neufs devraient être construits avec la capacité de survie et la résilience en matière de cybersécurité comme paramètre de performance clé dès le départ.
La frégate de classe Constellation en est un parfait exemple. Il s’agit d’un tout nouveau navire et la cybersurvivabilité est quelque chose qui est conçu au moment même où nous posons la quille. Ils comprennent qu’il doit être étanche, qu’il doit flotter et qu’il doit être cyber-sécurisé dès le départ. Cela ne veut pas dire que l’adversaire ne trouvera pas de moyens d’y parvenir et de le contourner. Cela ne veut pas dire qu’il n’est pas nécessaire de construire des frontières autour de ces éléments, mais ils seront mieux construits qu’il y a 20 ou 30 ans.
Travailler avec le [Pentagon’s acquisition and sustainment organization] Le programme de cybersécurité stratégique est l’un des moyens d’y parvenir. Au fur et à mesure que ce programme a été mis en ligne, les PCA étaient en quelque sorte considérées comme des pom-pom girls au sein des départements pour aider A&S à faire ce dont elles avaient besoin. Parce que les systèmes d’armes qu’ils étudiaient couvraient tous les services. Tout le monde possédait un système d’armes désigné comme système d’armes stratégiques. Parce qu’en fin de compte, c’est la force conjointe qui exige que ces choses soient livrées et livrées en toute sécurité. Les services nécessaires pour équiper, former et équiper ces choses.
Le PCA était vraiment en train de réaliser beaucoup de choses dans tous les services : Wanda Jones-Heath pour le Département de l’Armée de l’Air, Michael Sulmeyer et avant lui Terry Mitchell, pour le Département de l’Armée. Nous nous sommes toujours très, très bien entendus. Nous contribuons tous à ces programmes. Nous pensons tous que ces choses sont importantes. Et je pense que c’est l’une des bonnes histoires de l’organisation PCA. Parce que nous avons commencé en quelque sorte comme une communauté commune et avons veillé à maintenir ces relations tout le temps.
De quoi êtes-vous le plus fier et quels conseils donneriez-vous à votre successeur ?
La création de la vision de la supériorité du cyberespace suivie de la stratégie du cyberespace. Certaines de ces choses n’ont jamais existé et il s’agissait vraiment d’amener cette discussion bien au-delà de la cybersécurité et d’en faire une véritable cyber-guerre et résilience. Ce faisant, nous avons pu améliorer la sécurité des systèmes d’armes et des infrastructures essentielles à la défense. Parce que ces choses ont toujours été faites, mais elles n’ont jamais atteint un niveau tel qu’elles ont attiré l’attention du secrétaire à la Marine. Ceux-ci retiennent désormais l’attention du secrétaire à la Marine et je pense que la PCA a aidé à les relier. Nous n’avons pas fait le travail; il y a des bureaux au sein de NAVSEA, NAVAIR et NAVFAC qui font le travail. Nous avons simplement contribué à relier les efforts de ces organisations aux véritables décideurs… et à défendre leurs causes.
Pour quiconque entre, vous savez, derrière moi… vous devez être un vrai croyant. Parce qu’il y a encore des interrogations sur sa pertinence, ses capacités et sa crédibilité dans l’espace. Mais plus il y a de vrais croyants qui comprennent que la nature même de la guerre change et, vous savez, l’aspect non cinétique est de plus en plus important à l’avenir. Il faut vraiment que quelqu’un aille sur le terrain pour défendre un champion pour ces choses. Et c’est ce que j’espère pour la personne qui arrive derrière moi.
