Vous avez probablement déjà lu ou entendu que le musée du Louvre a été cambriolé dimanche matin en quelques minutes. Sur Internet, quelqu'un a écrit « allez voir au British Museum » – une remarque bien impertinente.
Sérieusement, l'aile était fermée pour travaux, les auteurs ont utilisé une grande échelle, ont découpé une fenêtre, ont brisé deux vitrines de haute sécurité et ont volé des bijoux précédemment portés par des reines et des impératrices. Deux des objets ont été retrouvés, la couronne désormais endommagée de l'impératrice Eugénie et la deuxième n'a pas encore été identifié, mais est probablement également endommagé.
La fenêtre n'était pas renforcée. Un rapport d'audit de sécurité avait recommandé de renforcer, mettre à jour, ou modifier divers éléments liés à la sécurité, mais ces mesures n'ont pas été mises en œuvre, alors que le budget consacré aux divertissements avait été augmenté.
Lorsque nous examinons cette affaire, nous constatons l'implication d'acteurs internes malveillants. Il y a un groupe de personnes qui savaient que des travaux étaient en cours, un groupe de personnes qui savaient quand l'aile était fermée, un groupe de personnes qui connaissaient la rotation des patrouilles de sécurité pour l'aile fermée, un groupe de personnes qui pouvaient organiser une grande échelle, un groupe de personnes qui connaissaient les problèmes de sécurité et la fenêtre, un groupe de personnes qui connaissaient le type de verre de sécurité des vitrines et sa résistance aux chocs, un groupe de personnes qui savaient précisément quoi prendre... Mettez tous ces cercles et bien d'autres encore ensemble et vous obtenez un petit croisement, un diagramme de Venn et des cercles de contacts et de connexions.
Malheureusement, le report des mises à jour de sécurité est assez courant dans le secteur public et privé. Ajoutez à cela le fait que la majorité des fonds sont consacrés à la sécurité informatique ou cybernétique (SECTI, COMSEC), cela laisse toute une série de domaines de sécurité non techniques oubliés ou ignorés (SECMAT, SECOP et SECPER). L'EMSEC est presque complètement éclipsé par le cyber.
L'histoire nous rappelle que dans les années 1940, les conseillers des États-Unis suggéraient que les guerres futures se dérouleraient principalement dans les airs (nucléaires et air-air) et que les troupes terrestres auraient beaucoup moins d'importance. Après une décennie axée sur la supériorité aérienne, la stratégie et la politique américaines ont évolué vers une « réponse flexible », ce qui a conduit à accorder moins d'attention à l'armée de terre et davantage à l'armée de l'air. Quelques années plus tard, la guerre du Vietnam éclate et les États-Unis sont mal préparés pour une invasion terrestre.
Le droit international des conflits armés exige, entre autres, la proportionnalité, ce qui signifie qu'on ne peut pas simplement intervenir avec des armes nucléaires.
Qu'est-ce que tout cela signifie ? Ne vous concentrez pas uniquement sur un seul domaine de sécurité. Vous devez vous concentrer sur tous les domaines. C'est le principe fondamental du Centre.
Le général Hyten, aujourd'hui à la retraite, l'a très bien exprimé : « Il n'y a pas de guerre dans le cyberespace, il n'y a que la guerre. »
En 2017, il a ajouté : « nous devons trouver comment vaincre nos adversaires, et non pas vaincre les domaines dans lesquels ils opèrent. »
Concentrez-vous sur les menaces et les risques et défendez tous les domaines de la sécurité, pas seulement celui qui a été violé en dernier. Bien sûr, le cyberespace est sexy, il reçoit tous les financements, et il existe des articles vraiment effrayants sur ce que les adversaires peuvent faire. Mais les méthodes traditionnelles de criminalité, d'espionnage et de sabotage règnent toujours, et le cyberespace n'est qu'un moyen différent de les mettre en œuvre.