Apport des théories de la gouvernance des entreprises pour définir une gouvernance du cyberespace Dr Sandro Arcioni, chef d’entreprise, enseignant-chercheur, lieutenant-colonel, expert en opérations d’influence et cyberdéfense, Suisse ([email protected]) RESUME Le Cyberespace est un espace qui devrait être métagouverné, mais en fait il ne l’est pas ! Pourtant la cybersécurité est aussi importante pour un chef d’Etat que pour une nation. La visibilité et la compréhension des « cybermenaces », leur classification et les outils pour y faire face sont la meilleure façon d’anticiper et de se préserver contre les cyberagressions : unir les forces, se protéger, identifier, informer, dénoncer, aider. La détection d’événements ne doit plus seulement être basée sur une détection par signatures mais sur une approche comportementale. Il faut comprendre la volonté et l’idée de manœuvre de l’attaquant et rechercher son identité. Peu de nations sont capables de le faire faute de moyens technologiques importants et d’un savoir-faire hors du commun nécessaires. L’intérêt de cet article est une réflexion et une application des modèles de gouvernance à d'autres organisations que les entreprises commerciales. Entant donnée que les organisations sportives se trouvent déjà dans une économie relationnelle et le cyberespace également, il s’agit d’utiliser les modèles de gouvernance des organisations sportives, relavant de modèles de gouvernance particuliers de la gouvernance d’entreprise afin de donner des pistes pour l’application d’une métagouvernance du Cyberespace. Par exemple, par la mise à disposition de ses bons offices, la Suisse pourrait offrir à l’ensemble des nations un « Observatoire Mondial de Contrôle et d’Observation des Cyberagressions » et une aide aux nations qui ressentiraient le besoin de se prémunir contre des cyberagressions et/ou d’identifier les belligérants qui leur auraient fait subir des désagréments ou des destructions dans le but d’améliorer déjà la gouvernance du cyberespace et sa régulation en faisant condamner ces agressions sur le plan international. Mots-clés : Gouvernance, IT-Gouvernance, Cybersécurité, Cyberagressions, Intelligence économique, Cybercriminalité, Cyberterrorisme, comportementale. 1 Cyberguerre, Observation Apport des théories de la gouvernance des entreprises pour définir une gouvernance du cyberespace La Suisse a, de tout temps, fait figure de précurseur dans le domaine des organismes internationaux d’entraide sur le plan humanitaire. C’est en 1863 qu’un groupe de citoyens de la ville de Genève, dont faisaient partie Gustave Moynier, Henri Dunant (prix Nobel de la paix en 1901) et Guillaume-Henri Dufour, crée une nouvelle organisation : le Comité International de la Croix Rouge, qui est actuellement la plus ancienne organisation humanitaire existante. Fortes de cette tradition, la Suisse et Genève verront s’installer sur le territoire de la Confédération un grand nombre d’organisations internationales à buts philanthropiques ainsi que de nombreuses agences importantes des Nations unies telles que : Organisation mondiale de la santé (OMS) ; Organisation météorologique mondiale (OMM) ; Organisation mondiale de la propriété intellectuelle (OMPI) ; Organisation internationale du travail (OIT) ; Union internationale des télécommunications (UIT) ; Haut-Commissariat des Nations unies pour les réfugiés (HCR) ; Organisation internationale pour les migrations (OIM) ; Haut-Commissariat des Nations unies aux droits de l'homme (HCDH) ; Centre du commerce international (CCI). En matière de résolution de conflits, la Suisse offre également ses bons offices par des proposition de « territoire neutre » pour des négociations, des centre de compétences dans les domaines du déminage, des armes chimiques, du nucléaire, etc. Avec les années et l’arrivée sur le marché de nouvelles technologies, la Suisse se doit de rester créative et visionnaire. Avec ces nouvelles technologies, les modèles de gouvernance traditionnels se voient bouleversés surtout lorsque les frontières disparaissent. Dès lors, la gouvernance du cyberespace peut être comparée à la gouvernance des organisations internationales sportives qui se gouvernent sans frontières ni territoires nationaux. La prospective pour un pays comme la Suisse doit l’aider à s’engager dans la création de nouveaux organismes internationaux d’entre-aide et apporter également ses connaissances en matière de gouvernance et de fédéralisme. Le but de cet article est d’analyser les nouveaux besoins en de matière gouvernance du cyberespace, de l’anticipation et de la résolution de conflits en son sein, par une approche de régulation. 2 1. Introduction Les guerres telles que la « grande guerre », la deuxième guerre mondiale, les guerres modernes : Guerre du golf, Irak, Afghanistan, Lybie, etc. ainsi que les guerres civiles (Syrie,...) représenteront toujours l’horreur et la souffrance pour les populations. Aujourd’hui la réalité a dépassé la fiction d’hier et la menace de la cyberguerre est bien avérée. Ne parlons même pas de la « guerre des étoiles » démesurément coûteuse, qui a déjà condamné en partie l’économie américaine sous la présidence Bush. En quoi ce nouveau type de guerres menacent-t-elles les populations ? Au même titre que la guerre conventionnelle, la cyberguerre cible les mêmes objectifs mais n’utilise aucun des moyens militaires traditionnels mais uniquement la réflexion, le chantage, l’influence et les nouvelles technologies : l’informatique et les réseaux de télécommunication. Très peu coûteuse pour l’attaquant, elle profite alors à toute nation ou groupuscule qui désire nuire à une autre nation ou à un autre groupe de population. L’Internet est devenu un champ de bataille extraordinaire pour un très grand nombre d’opérations de ce genre. La prospective est « la démarche qui vise, dans une perspective à la fois déterministe et holistique, à se préparer aujourd'hui à demain »1. « Elle ne consiste pas à prévoir l'avenir mais à élaborer des scénarios possibles sur la base de l'analyse des données disponibles (états des lieux, tendances lourdes, phénomènes d'émergences) et de la compréhension ainsi que la prise en compte des processus socio-psychologiques » comme le rappelle Michel Godet (1997) : « si l'histoire ne se répète pas, les comportements humains se reproduisent ». La prospective doit donc aussi s'appuyer sur des analyses rétrospectives de la mémoire historique du passé humain et écologique (par exemple, les impacts environnementaux et humains des modifications « géoclimatiques »). Le cyberespace, constitué par le maillage de l’ensemble des réseaux, est radicalement différent de l’espace physique. Il est sans frontière, en constante évolution, anonyme et l’« identification certaine » d’un agresseur y est délicate. Un peu comme les frontières des pays/nations face aux changements climatiques. N’entrons pas dans les détails des domaines de l’intelligence économique, de la défense, de la prospective du « métier » du chef d’Etat, de son comportement dans les processus diplomatiques, des pratiques de gouvernance, des prospectives sectorielles et des impacts environnementaux. 1 http://fr.wikipedia.org/wiki/Prospective 3 Sur le plan international, les nouvelles capacités d’influence des ONG s’accompagnent d’une transformation des modes d’exercice du pouvoir. Les organisations ne gouvernent plus ou ne contrôlent plus complètement leurs structures. Quand elles y parviennent, c’est en vertu de leurs capacités à négocier les buts à atteindre plutôt qu’en dictant des objectifs ou des missions à des collaborateurs et/ou des partenaires passifs. On décrit habituellement cette évolution en parlant d’un passage d’une logique de gouvernement à une logique de gouvernance. Selon Pérez (2003), « la gouvernance se réfère à un dispositif institutionnel et comportemental qui régit les relations entre les dirigeants d’une entreprise – plus largement, d’une organisation – et les parties concernées par le devenir de ladite organisation, en premier lieu celles qui détiennent des « droits légitimes » sur celle-ci ». La gouvernance d’une organisation repose sur des hommes et ce sont ces derniers qui structurent l’organisation et configurent le pouvoir qui la dirige. Le cyberespace en fait partie et par sa configuration supranationale, ressemble plus à une organisation internationale sportive (Comité International Olympique – CIO –, Fédération Internationale de Football Associations – FIFA –, etc.) qu’à l’organisation d’un territoire d’une nation, si l’on ose la comparaison. Dès lors, le point le plus discuté de la gouvernance des organisations sportives est celui du rôle et du contrôle des mandataires sociaux au sein des personnes morales. Les dirigeants d’une organisation – société commerciale, établissement public, association à but non lucratif, etc. – s’expriment et agissent « au nom » de cette organisation. Dans cette logique, les dirigeants peuvent signer des contrats, faire des opérations et transactions de type financier, matériel et humain à grande échelle. Les questions relatives à leur nomination comme mandataires sociaux, aux conditions d’exercice et de contrôle de leurs mandats sont de ce fait légitimes (Suchman, 1995) et font de la gouvernance des organisations un point essentiel des systèmes de management de ces dernières. Il va de soi que l’éthique des dirigeants, tout comme la configuration du pouvoir de l’organisation dans laquelle ils vont évoluer, auront une importance capitale sur les modalités de la gouvernance de cette organisation. Ceci justifie l’importance accordée à l’analyse organisationnelle (structure de l’organisation, organigramme clair et transparent, définitions des rôles et des tâches des acteurs sans ambiguïté) et comportementale (comportement des acteurs dans l’organisation, influence des prises de décisions dues à un comportement de l’acteur sur l’organisation, etc.). Par contre, dans le cyberespace la notion de la légitimité des acteurs est encore bien différente puisqu’il n’y a pas de notion d’identification systématique des acteurs ; ces derniers pouvant aisément se cacher derrière une autre identité que la leur ou rester anonyme. Il existe bien une charte de 4 l’utilisation de l’Internet, c’est-à-dire du cyberespace, mais finalement est-elle respectée si une partie des acteurs peuvent rester anonymes ? Cet article vise à sensibiliser les chefs d’Etat aux impacts de la cybersécurité sur leur nation et encourager la Confédération suisse à poursuivre ses efforts de création d’organes internationaux en matière de bons offices pour répondre aux besoins futurs des nouveaux enjeux mondiaux. 2. Que dit la littérature ? Nous distinguerons trois approches de la littérature : la « corporate governance » à la métagouvernance, la gouvernance des organisations internationales sportives et l’études des technologies. 2.1 De la corporate governance à la métagouvernance Les travaux de Pérez (2003) apportent une dimension nouvelle dans l’analyse de la gouvernance des organisations. Pérez propose une compréhension des fondements et des problèmes posés par la « corporate governance », tels qu’asymétrie d’information, enracinement des dirigeants, procédure pour les « discipliner », etc. A cet effet, Pérez propose d’analyser : le dispositif propre à l’organisation : la souveraineté de l’assemblée générale, le rôle du conseil d’administration, la composition et le renouvellement du conseil d’administration, la composition des différentes commissions et des comités ad hoc, le statut et la fonction du président et/ou directeur général ; le dispositif d’appuis : le contrôle des comptes (auditeurs, experts et certificateurs), l’évaluation financière et organisationnelle (analystes financiers et agences de notation), intermédiaires financiers (parties prenantes, investisseurs) ; le dispositif de régulation : les organisations professionnelles, les tutelles administratives, les autorités de régulation, les instances juridictionnelles ; les outils opérationnels de la « corporate governance » orientés vers les parties prenantes : un indicateur de financement, un indicateur de performance (mesure de la création de valeurs), un principe de mesure comptable, un mécanisme incitatif (rémunérations motivantes des dirigeants), un mécanisme disciplinant ; 5 le comportement des acteurs financiers : directeur financier, comptables, commission des finances, commission d’audit, indépendance des vérificateurs des comptes et de la commission financière, indépendance de l’organe de révision ; le comportement des dirigeants : les choix stratégiques (diversification au recentrage des activités, choix des systèmes opérationnels, choix des systèmes de financement,…), la modification des systèmes de management (structure organisationnelle, mesures incitatives de dirigeants, système d’information et de communication privilégiant le reporting interne et la communication financière externe) ». C’est pour ressortir ces différents éléments que Pérez distingue cinq niveaux progressifs de gouvernance – du management d’une organisation jusqu’au cadre légal et sociétal dans lequel elle opère – qui seront autant d’angles de description et d’analyse de la gouvernance actuelle d’une organisation. Selon Pérez, un système de gouvernance a pour objet central les dirigeants d’une organisation, la gouvernance représentant, en ce sens le « management du management ». Il s’exprime par un dispositif institutionnel (c’est-à-dire par un ensemble de structures et de procédures) et des comportements ainsi qu’il est régulé par un dispositif impliquant, selon les situations, des organisations professionnelles, des autorités administratives et des instances juridictionnelles. Il s’exerce au profit de parties prenantes détentrices de droits définis d’une manière contingente par les sociétés politiques au sein desquelles les organisations concernées sont insérées. Pérez tient compte de la sensibilité culturelle des acteurs des organisations, notamment, par sa description des différents types de gouvernance en fonction des pays ou des continents où est gérée l’organisation, mais aussi par l’écoute des nouveaux comportements comme ceux dits « socialement responsables ». Appliqués aux organisations, les systèmes de management et de gouvernance s’intègrent sur trois (au moins) à cinq niveaux (dans le meilleur des cas, si on arrive à définir un niveau méta-états-nations), en fonction de la couverture territoriale de l’organisation. A la manière des poupées russes, les systèmes de management des organisations sont encastrés successivement via leurs dispositifs de gouvernance et de régulation : cinq niveaux de l’organisation des systèmes de management et articulation des dispositifs de gouvernance : - Niveau 1 : Management des organisations ou « corporate governance » par leurs dirigeants, 6 - Niveau 2 : Gouvernance ou « management du management » par les instances propres à chaque organisation (statuts, conseil d’administration, assemblée générale, …), - Niveau 3 : Régulation ou « management de la gouvernance » par des dispositifs spécifiques : organisations professionnelles (ordres), autorités administratives (autorités dédiées), instances juridictionnelles, - Niveau 4 : Harmonisation des dispositifs de régulation ou « gouvernance de la gouvernance » par la voie politique (lois, règlements), par la voie juridictionnelle (instance d’appel), - Niveau 5 : Métagouvernance : principes fondamentaux concernant l’organisation de la vie collective : au niveau des états (constitutions) au niveau international (traités internationaux). 2.2 La gouvernance des organisations internationales sportives On distingue trois principaux types de gouvernance dans le domaine sportif: La gouvernance systémique s’est développée avec l’intensification de la complexité de l’environnement des affaires et de la politique. Le sport évolue dans un environnement de plus en plus complexe. Il se caractérise par l’interaction entre des organisations et des groupes dont les intérêts divergent : les médias, les sponsors, les agents des joueurs, les grands clubs et leurs actionnaires notamment dans le sport professionnel. La gouvernance systémique concerne la compétition, la coopération et toutes les formes d’interaction entre ces systèmes. La gouvernance organisationnelle ou « corporate governance » fait référence aux normes et aux valeurs reconnues pour l’attribution des ressources, la répartition des pertes et profits (financiers ou autres) et pour la conduite des processus liés à la gestion et à la direction d’organisations dans le monde du sport et des affaires. La gouvernance politique est liée aux processus qui permettent aux gouvernements et aux instances dirigeantes de diriger le système sportif afin d’atteindre les résultats escomptés par pression morale, incitation financière ou autres, ou en autorisant régulation et contrôle afin d’influencer les organisations sportives et les amener à agir dans le sens des résultats attendus. 7 Ces trois formes de gouvernance et leurs interactions ont été présentées par I. Henry (2005) (Corrélation de la gouvernance) dans le schéma ci-dessous : Figure 2-1 : Les trois approches de I. Henry Le « monde du sport » et de ses organisations est un univers complexe par la multiplicité et la diversité des éléments qui le constituent, par l’ambiguïté des relations qui s’établissent entre eux et avec leur environnement (Fédérations Internationales sportives (FI), Fédérations Nationales Sportives (FNS) et les comités d’organisation, le système olympique, le Tribunal Arbitral du Sport (TAS), l’Agence Mondiale Antidopage (AMA), les Etats-nations, l’ONU, etc.). Si l’on retient les différences proposées par Henry (2005) entre gouvernance systémique, gouvernance politique et gouvernance organisationnelle nous constatons que la FI se trouve confrontée à une gouvernance organisationnelle portant essentiellement sur l’organisation de son siège et du système fédéral (avec les FNS), c’est-à-dire les parties prenantes internes. Mais, elle est également confrontée à une gouvernance politique en relation avec les Etatsnations et à une gouvernance systémique en relation avec le système olympique et l’environnement sportif en général, soit les parties prenantes externes. Tout ceci montre la complexité de la situation à laquelle une FI doit faire face. 2.2.1 Evolution de l’approche de Pérez Les modèles classiquement utilisés pour comprendre la gouvernance des Organisations à But Non Lucratif (OBNL) sont présentés. Compte tenu des spécificités des OBNL telles que les 8 FI, le cadre d’analyse de Pérez (2003), intégrant une analyse de la « corporate governance » jusqu’à la métagouvernance », présente un intérêt tout particulier pour notre étude. Dans l’étude d’Arcioni et Bayle (2009), ces derniers ont apporté des modifications à la terminologie de Pérez se rapportant à certaines dimensions par souci d’une plus grande clarté : - dimension gestion (niveau 1) : dimension décrite par Pérez et faisant partie du niveau 1 de la gouvernance : management. Cette dimension nous permettra d’analyser, en fonction des résultats de notre enquête et au regard des indicateurs décrits plus loin, comment la FI est gérée (solidité financière, efficacité de sa gestion pour son développement…) ; - dimension identitaire (ou culturelle)2 (niveau 1 et 2) : dimension toujours décrite par Pérez et tenant compte des deux niveaux 1 et 2 de la gouvernance3, regroupant aussi bien le niveau du management que celui de la gouvernance donnant une vision intéressante de la gouvernance en fonction des diversités identitaires et culturelles aussi bien humaines que du sport. En fonction des indicateurs choisis, nous aurons un aperçu de l’évolution de la FI depuis sa création ; - dimension configuration du pouvoir interne (niveau 2) : à cette dimension décrite par Pérez comme configuration du pouvoir, nous y ajoutons le mot interne, afin de bien préciser le contexte, c’est-à-dire la configuration du pouvoir au siège de la FI, plus spécifiquement. Cette dimension nous permettra d’avoir un aperçu du système de gouvernance au niveau 2 de Pérez, de la composition et de la « puissance » du pouvoir interne ; - dimension régulation interne (niveau 3) : ou dimension des contrôles internes. Au terme utilisé par Pérez, « régulation », nous ajouterons le qualificatif « interne », afin de distinguer la dimension par rapport au niveau de gouvernance et aussi par souci de précision, puisque cette dernière mesurera bien la pertinence accordée à l’ensemble des contrôles internes que la gouvernance de la FI a mis en place. Cette dimension se situe au niveau 3 du système de gouvernance de Pérez ; 2 3 Pérez a défini cette dimension par les termes culturels et identitaires. Nous retiendrons dans notre approche le terme « identitaire » définissant l'identité d'entreprise, bien que basé sur des individus, qui est un concept plus large que celui de la culture. En suivant J-P. Larcon et R. Reitter (1979), on peut dire que l'identité est à l'origine de la culture, c'est elle qui fonde la réalité de l'organisation en lui donnant sa spécificité, sa stabilité et sa cohérence. Selon les auteurs, l'identité résulte des relations complexes entre des facteurs politiques, des facteurs structurels, des productions symboliques (culture) et des productions de l'imaginaire organisationnel. Cette dimension s’étend sur deux niveaux puisqu’elle est identitaire, c’est-à-dire qu’elle tient compte de l’identité, de l’origine culturelle des individus. Etant donné que le niveau 1 touche le management, c’est-à-dire les individus qui traitent la gestion opérationnelle de l’organisation et que le niveau 2 touche la gouvernance, c’est-à-dire les individus qui traitent la gestion stratégique de l’organisation, nous nous trouvons sur une application de la dimension culturelle sur les 2 premiers niveaux décrits par Pérez. 9 - dimension relations partenariales (niveau 4) : cette « nouvelle » dimension rajoute à l’analyse de Pérez la possibilité d’étudier le niveau 4 de son système de gouvernance. Elle nous permettra de qualifier les relations de la FI avec le système sportif (olympique ou général) et avec ses parties prenantes ; - dimension développement durable (niveau 5) : « nouvelle » également, cette dimension permettra d’aborder la problématique du système de gouvernance de Pérez au niveau 5, celui de la métagouvernance. Cette dimension permet de mesurer la prise en compte de la notion de développement durable par la FI (dimension sociétale), c’est-à-dire, l’évolution et le développement de la FI dans un ensemble complexe, aussi bien du système sportif que de la société en général. D’autres auteurs se sont penchés sur le fonctionnement des organisations et nous continuons par celles et ceux qui apportent une contribution intéressante au milieu complexe que sont les organisations internationales à but non lucratif. 2.2.2 Une littérature très fournie Etant donné que le cadre d’analyse de Pérez (2003) offre une double approche, c’est-à-dire une analyse organisationnelle et une analyse comportementale, nous pouvons la compléter à l’aide des recherches des auteurs suivants. Dans le domaine de la gestion avec Boncler (1995), Conforth (2003) Gomez (1996) et Daily (2003). Du côté identitaire, nous nous sommes basés sur la théorie de Pérez, côté valeurs sur Cadbury (1992) et pour la flexibilité et la configuration du pouvoir sur Zintz (2006), Bayle (1999), Mayaux (1996) et Pérez (2003), Carver (2001). Pour les théories sur les contrôles avec Bouquin (2000), Pérez (2003) et Dedman, 2002) et pour la communication et l’imputabilité sur les nouvelles normes (Sarbanes-Oxley, AA1000, SA 8000, SD 21000, …). Dans le cas des relations partenariales (Gaudin, 2002), Chappelet (1991, 2001, 2002), ainsi que sur les théories sur les parties prenantes. Pour la partie juridictionnelle, nous avons repris l’approche d’Attali (2006) ou juridicationnelle de Pérez (2003) et, enfin, pour le développement durable, nous nous sommes basés sur la SE, l’Agenda 21, etc. 10 2.3 Les domaines technologiques En sciences politiques comme en sciences sociales, on a tendance à mettre de côté les risques liés aux nouvelles technologies, favorisant plutôt l’étude du comportement des chefs d’Etat à vouloir organiser leur nation, la défense de celle-ci, les relations internationales, le comportement des autres nations par le renseignement, la diplomatie, etc. Cependant, un monde virtuel, aux sens de ses frontières, du comportement de ses utilisateurs pas toujours bien intentionnés, des possibilités à se cacher derrière une fausse identité, de mener des actions similaires à la criminalité, à l’escroquerie, aux jeux d’influence, au chantage, tout comme à des attaques destructrices connues dans le monde physique, est interconnecté au monde réel (Ricca, 2003). Ce monde virtuel, que la nation et/ou le chef d’Etat devrait en quelque sorte s’approprier, est le cyberespace constitué par le maillage de l’ensemble des réseaux, dont celui de son administration, son armée, son économie et ses partenaires. Il est radicalement différent de l’espace physique car il est sans frontière, extrêmement évolutif, totalement anonyme et l’identification certaine d’un acteur y est très délicate. Les actions dans cet espace virtuel touchent les espaces connus, économiques, civils et privés, politiques et étatiques, sécuritaires et militaires. La sécurité de cet espace virtuel, comme évoluer en son sein est, à cet égard, confrontée à des défis de quatre ordres : technique, juridique, culturel et géopolitique. (Arcioni, 2010b et Ricca, 2003). Il y a peu de littérature existante à ce sujet, hormis quelques écrits (Balage, Ch., et Fayon, D., 2011) et articles traitant des réseaux sociaux et leurs impacts sur la vie sociale, le monde économique, etc. (Arcioni, S., 2011c). Par contre, dans le monde scientifique, informatique, télécommunication, physique, etc. une quantité d’auteurs ont et continuent de traiter les aspects de la sécurité, mais au sens technique (Bond, M., and Clulow, J. 2006). Pour citer les plus récents, nous avons la thèse d’Eric Jaeger (2010) qui traite de problèmes généraux des risques liés à la sécurité des systèmes d’information. Les approches formelles de la sécurité des systèmes d’information se distinguent par leur capacité à donner des garanties mathématiques quant à l’absence de certains défauts. A ce titre leur utilisation est encouragée ou exigée par certains standards relatifs à la certification de sécurité (Critères Communs) ou de sûreté (IEC 61508). D’autres traitent de la sécurité logicielle (Chang, H. and Atallah M., J., 2001) ou de « sécurité applicative ». Viennent ensuite la sécurité matérielle (Wang, J., Stavrou, A. and Ghosh, A., 2010), les cartes à puces, l’encryptage physique (Francillon, A., 2009 et Ricca, 2005), etc. ainsi que l’encryptage algorithmique, les procédés logicielles de 11 sécurité (pare-feux logiciels, antivirus, etc.) (Abadi, M., Budiu, M., Erlingsson, U. and Ligatti, J., 2009 et Ricca 2005). La littérature traite également de la reconnaissance par signature. Par contre, très peu de recherches ont abordé le sujet du comportement de l’attaquant (virus, ver, malware, etc.) (Sang, F., L., Lacombe, E., Nicomette, V., and Deswarte, Y., 2010 et Ricca, M., 2002). D’autre part, on ne trouve quasiment aucune référence à une intelligence collective basée sur une analyse de type comportementale mais uniquement basée sur la détection de signature et son analyse. La base de comparaisons comportementales de l’utilisation des cartes de crédit en est l’exemple le plus concret : un client qui paye sa chambre d’hôtel à New-York et au même instant effectue un retrait d’argent ou un achat à Paris, verra immédiatement sa carte de crédit se bloquer. La notion de cyberterrorisme apparaît également dans les écrits de Barry Collin en 1996 qui le définit comme « la convergence du monde physique et du monde virtuel ». Cependant, comme pour le terrorisme, aucun consensus n’a émergé de la définition du cyberterrorisme. Il existe un flou académique autour de la notion de cyberterrorisme observable dans de nombreux ouvrages et articles. Deux tendances se dégagent : ceux qui considèrent que le cyberterrorisme doit regrouper l’ensemble des pratiques des groupes terroristes en ligne et ceux qui estiment que le terme se restreint à un type d’attaques précis : celles qui utilisent le réseau Internet comme arme et/ou cible, décrit par Alix Desforges (2011). Les travaux de Furnell S. et Warren M. (1999), Conway (2004) ou encore Wiemann (2004) convergent sur de nombreux points. Ils estiment que l’essentiel de ces usages ne sont pas spécifiques aux pratiques des groupes terroristes mais sont également partagés par des groupes politiques pour la communication (interne et externe), le recrutement, le financement, l’organisation etc. Si les termes utilisés par chacun divergent, ils désignent en fait la même pratique. Par exemple, le terme “data mining” utilisé par Weimann (2004, 2006) recouvre les mêmes éléments que le terme “information gathering” mentionné par Thomas (2003). Ce dernier a créé une nouvelle notion pour désigner l’ensemble des pratiques en ligne des groupes terroristes : le cyberplanning qu’il définit comme « la coordination numérique d’un plan intégré »4. Certains auteurs dont Steven Bucci 5 ou Ricca (2003) évoquent l’association des sphères terroriste et cybercriminelle pour mener des attaques informatiques d’envergure fournissant ainsi les compétences nécessaires aux groupes terroristes. Cela pourrait tendre en finalité vers 4 5 www.wikileaks.org http://www.facingthethreat.com/Security_Expert.html 12 une cyberguerre. La palette de définitions du cyberterrorisme disponible à ce jour reflète la situation complexe de l’utilisation des réseaux informatiques par des groupes terroristes et/ou criminels. Les rivalités, quant à la définition du périmètre de la cybercriminalité (Guillaneuf, J., 2012), du cyberterrorisme ou de la cyberguerre, témoignent cependant de l’angoisse réelle des Etats de voir leur fonctionnement altéré par des attaques informatiques et au-delà de la prise de conscience des faiblesses potentielles que constitue la dépendance aux systèmes informatiques. 3. Méthodologie La méthodologie utilisée pour cette recherche est basée sur une étude de la littérature et de constatations tirées de la pratique et complétée par une analyse de terrain dans des milieux où la sécurité prime, tels que l’économie, les états, l’environnement de la défense. De plus, forts de l’expérience du consultant de terrain, sur le plan de la gouvernance internationale (en utilisant la gouvernance du sport qui semble être la plus adaptée pour le cyberespace) ainsi que de l’organisation de la défense d’un Etat (son administration publique, l’e-governement et les dispositifs des forces armées), nous apporterons le regard du praticien. A cette fin, nous utiliserons une méthode empirique basée sur les connaissances acquises par la littérature et envisagerons les perspectives qui permettront de mieux lutter contre les cyberagressions : comment anticiper, se préserver, tracer, aider, réguler… L’étude s’est déroulée sous forme de recherche qualitative sur l’ensemble du secteur de la défense d’Etats et la sécurité des systèmes d’information nationaux mondiaux de 2006 à 2013. Pour une question de confidentialité, aucun tableau comparatif ni résultat quantitatif ou qualitatif ne seront exposés. Seules les grandes lignes communes seront développées en tant que résultat de cette recherche. Ce sont les perspectives que le chercheur mettra en exergue qui compléteront les résultats. 4. Résultats Les résultats présentés seront séparés en deux groupes : celui des théories de la gouvernance des organisations et celui de la technique des modus operandi des entreprises et des Etats/nations ? (Arcioni, 2011b) 13 4.1 Observation par les théories de la gouvernance Nous trouvons quasiment toutes les « recettes » de la bonne gouvernance dans la littérature. Il est vrai que la « recette » englobant toutes les règles de « bonne gouvernance » n’existe pas, et celles traitant le cyperespace, mais tous les éléments qui constitueront l’idéologie de la « bonne gouvernance » ont été décrits par un grand nombre d’auteurs (cf. Carver, Cadbury, Mayaux, Henry, etc.). Que ce soit dans le domaine de la gestion, de la régulation (c’est-à-dire des contrôles), de l’harmonisation des systèmes, de la normalisation (dans le sens qui tend vers la certification), une multitude d’éléments sont à disposition des chefs d’Etats, des juristes, des organes de contrôles, des pouvoirs publics et des organisations elles-mêmes. Nous proposons le tableau ci-dessous en guise de synthèse de la littérature sur la gouvernance des associations (plus spécialement sportives). Il rassemble les principales théories de la gouvernance et les principes qu’elles cherchent à promouvoir et qui pourraient servir à la gouvernance du cyberespace. Suite à ce qui a été mis en évidence pour le monde associatif sportif, nous tirons une synthèse des éléments intéressants qui serviront dans les réflexions sur la gouvernance et du contrôle (régulation) du cyberespace. Selon les différentes théories que nous avons énoncées, nous retiendrons : le modèle de gouvernance traditionnel, la gouvernance « duale », le modèle de gouvernance lié aux lignes politiques. Certains modèles sont proches les uns des autres, tandis que d’autres sont diamétralement opposés. Cependant, ils se retrouvent tous dans les différents types de gouvernance des organisations internationales ; la théorie des parties prenantes - la gouvernance partenariale et la Policy Governance. Ces différentes théories sont au centre des problèmes de partage du pouvoir que connaissent les organisations internationales et sont directement liées à leurs visions stratégiques ; Les codes de bonne conduite (par ex. audits « Sarbanes-Oxley 6 » pour le monde des entreprises), les contrôles, les normes (RSE 7 , SD 21'000, … également valables pour analyser le développement durable de l’organisation). Ces différentes approches ou contrôles permettront d’appréhender la problématique des contrôles et des processus d’audits. 6 7 Le Sarbanes-Oxley Act de 2002, promulgué à la suite des désastres comptables d'Enron et de WorldCom, est probablement la loi qui affecte le plus les sociétés cotées en bourse depuis le Securities Exchange Act de 1934. RSE : responsabilité sociale des entreprises 14 Afin de mieux synthétiser tous les travaux et théories appliqués à la gouvernance associative, nous proposons de nous fonder sur le schéma de Henry (2005) en l’amendant (à la façon d’un zoom) grâce à l’adjonction de l’ensemble de ces théories et travaux d’une part, et également des niveaux de gouvernance du modèle de Pérez (2003) d’autre part. Figure 4-1 : Représentation des théories de la gouvernance et le domaine à couvrir pour le cyberespace Cette représentation permettra de mieux appréhender les mécanismes de gouvernance d’une organisation sportive, quels que soient sa taille, ses revenus financiers, son organisation, le comportement de ses dirigeants, ou son imbrication dans le système sportif. 4.2 Observation par les technologies Modus operandi de l’économie d’un Etat en matière de protection de son savoir et de ses systèmes d’information ? Les entreprises économiques dépensent, en principe, beaucoup d’argent à mettre des remparts, des forteresses, des ponts-levis (firewall, anti-virus, etc.) devant leurs systèmes d’information sans toutefois y élever des miradors (système d’observation). Les systèmes d’information des entreprises sont bien protégés, vu de l’extérieur, si ce n’est qu’il y existe toujours des failles et 15 que le danger vient le plus souvent de l’intérieur de l’entreprise : clés USB, collaborateurs mal formés ou attaque de type « client side » (Ricca, M., 2005 et 2011). Nous constatons en conclusion que le monde de l’économie dépense des sommes considérables pour sa sécurité mais ne dispose pas, en réalité, d’une vraie protection contre les attaques provenant du cyberespace. Modus operandi des différentes nations dans le monde en matière de cyberdéfense ? Les USA accordent une très grande importance à ce domaine. Un « Cyber Commander » a été créé en 2010, responsable de la conduite des opérations offensives dans le cyberespace et de la défense des systèmes militaires8. Il dispose d’une antenne dans chaque service : USAF, US Army, Navy, Marines. Le NSA joue également un rôle clé grâce à des compétences stratégiques. Le budget de l’année 2011 a été supérieur à 4 Mia d’US$. En Chine, le maintien du secret empêche une vision claire et rend difficile l’appréciation de la situation. Cependant, l’inscription du plan quinquennal 2011-2015 du parti au pouvoir démontre qu’en matière de guerre électronique et d’espionnage cybernétique, l’Etat accorde une très grande priorité et se dote de moyens importants. L’Etat collabore étroitement avec des groupes de hackers et des firmes privées leur donnant en échange accès à leurs résultats R&D. Face aux USA, la Chine tente de rattraper son retard quant à ses moyens militaires conventionnels, par une supériorité dans le domaine de la guerre de l’information, démontrant par ce biais l’usage politique du cyberespace (Esselin, F., & Autret, Th., 2013). La Russie ne dit rien sur ses intentions dans ce domaine. En terme de défense, l’armée semble fortement orientée sur des mesures d’opérations de sécurité et des procédures héritées de la guerre froide. En terme de cyberagressions, la Russie paraît très active. L’armée et les services de renseignement sembleraient bien dotés et soutiendraient financièrement de nombreuses initiatives pour le développement de compétences chez les jeunes. Cependant, depuis l’automne 2011, le ministre de la défense en personne, a demandé l’aide de l’OTAN9 et des Etats-Unis. La Russie demande une sorte de « régulation » de l’Internet. En terme de défense, Israël est confronté à des attaques quotidiennes provenant notamment de l’Iran et prend cette menace très au sérieux. Au mois de juin 2011, Israël a annoncé la création d’une unité de cyberdéfense, l’armée et le gouvernement s’étaient concentrés jusqu’à maintenant uniquement sur le développement de solutions offensives. Leurs moyens 8 9 http://www.lemonde.fr/technologies/article/2013/07/13/la-cyberguerre-nouvel-enjeu-desarmees_3446492_651865.html OTAN : Organisation du Traité de l’Atlantique du Nord 16 semblent bien structurés. Sur le plan civil, il existe une branche pour la sécurité des infrastructures tandis que sur le plan militaire, il en existe trois : sécurité interne, protection contre les attaques extérieures et défense nationale. Il n’existe toutefois pas d’autorité générale chapeautant l’ensemble. L’OTAN dispose d’un CERT et du « NCIRC Technical Centre” bases en Estonie : le NATO Computer Incident Response Capability - Technical Centre (NCIRC TC) et le NATO Computer Incident Response Capability (NCIRC). Ce centre de compétences supporte la communauté des armées de l’OTAN, chaque pays conservant sa propre souveraineté sur la protection de ses systèmes d’information militaires. En conclusion, nous constatons qu’aucun pays ne dispose actuellement d’une solution d’ensemble, d’une coordination et d’une entité de responsabilité suprême. Chaque nation dépense des sommes considérables en matière de cyberguerre, plus dans des moyens offensifs que défensifs. Tous les pays, y compris la Russie et la Chine, font appel à des partenariats privés publics (PPP) pour le développement des technologies du cyberespace et actuellement aucun Etat ne dispose d’une vraie solution de cyberdéfense. A l’inverse, les Etats pauvres ne sont pas capables de se protéger efficacement. En conséquence, nous proposons de continuer nos réflexions sous forme de perspectives. 5. Perspectives La meilleure façon de lutter contre les cyberagressions est d’anticiper et se préserver par une régulation/gouvernance du cyberespace. Il faut unir les forces, informer, se protéger, identifier, dénoncer, aider, etc. A cette fin, il s’agira d’anticiper et de tracer toutes les attaques se préparant dans le cyberespace. Plus spécifiquement, si nous abordons la problématique par la métagouvernance, un poste d’observation international et neutre en matière de surveillance de la gouvernance de l’Internet pourrait être une réponse à l’attente de nombreux pays. Ce que la Suisse pourrait offrir comme bons offices Dans un but philanthropique international et d’union des forces, la Suisse pourrait proposer la création d’une nouvelle organisation internationale conjointement avec l’Union Internationale des Télécommunications (UIT), l’Organisation pour la Coopération et la Sécurité en Europe (OSCE) et l’ONU. En Suisse, la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI), réunissant des partenaires qui travaillent dans le domaine de la sécurité des systèmes informatiques et de l'Internet et de la protection des infrastructures 17 nationales, ne suffit pas ! La Confédération suisse, en tant que pays neutre et pourvoyeur de « bons offices », devrait aller plus loin et proposer un « Observatoire mondial du contrôle et de l’observation des cyberagressions » avec : - un partenariat et une reconnaissance de l’OSCE, d’Interpol, des Etats ; - une légitimité de sa gouvernance politique (fédéralisme) ; - une légitimité quant à sa neutralité ; - une légitimité technologique ; - une légitimité juridique ; - une légitimité militaire10. Pour la Suisse, il serait très facile de créer un tel observatoire en partenariat avec les hautes écoles de notre pays (EPFZ, EPFL, HES)11, les polices cantonales, Interpol, l’OSCE, l’Office fédéral de l’informatique, etc. et d’offrir ainsi ses bons offices aux autres Etats dans le monde sous forme de : 10 11 - compétences internationalement reconnues ; - légitimité de sa démocratie (gouvernance politique duale, fédéralisme) ; - légitimité quant à sa neutralité, ses technologies, le juridique, le militaire, etc. - centre technologique d’investigation ; - centre de formation (en intelligence économique et militaire). http://www.intelligenceonline.fr/ EPFL : Ecole Polytechnique Férérale Lausanne, ETHZ : Eidgenössische Technische Hochschule Zürich, HES : Hautes Ecoles Spécialisées 18 Cet observatoire pourrait être structuré de la manière suivante : En cas « d’appel au secours » d’un Etat subissant une « cyberagression », l’observatoire pourrait proposer ses services (bons offices), analyser les faits, rechercher et identifier l’attaquant, le dénoncer sur la scène internationale et dresser pour l’avenir une liste de recommandations et de correctifs à l’Etat concerné. Par ces recommandations, il s’agirait de mettre en place des systèmes de protection afin de protéger les systèmes d’information de l’Etat concerné. Ces systèmes de protection devraient être adaptés à la menace mais aussi à l’environnement et aux données à protéger. Il est important d’informer de façon systématique et de dénoncer de manière collective et structurée. Il ne faut pas, sous prétexte de honte, de maintien du secret d’Etat ou tout autre argument, vouloir passer sous silence le fait d’avoir été attaqué. C’est par la dénonciation en justice et les plaintes devant une Cour internationale que l’on obtiendra un maximum de traçabilité et de compréhension de toutes les attaques dans le cyberespace et optimisera la poursuite et la condamnation des belligérants (c’est en dénonçant, qu’un Etat pourra être condamné pour avoir nui à un autre Etat). La gouvernance et la régulation de l’Internet (cyberespace) deviendront les enjeux de ces prochaines années avec tous les contrôles associés et les éléments de régulation qui tendront ensuite vers une harmonisation entre le 19 cyberespace et l’espace physique (territoires nationaux). Cela rejoint l’approche de la métagouvernance du sport international qui serait ainsi appliquée au cyberespace. 6. Conclusion Un modèle métagouverné se caractérise par le fait que l’organisation reconnaisse un système juridictionnel dans les mains d’une instance supérieure régissant (métagouvernant) l’environnement dans lequel elle évolue. Ce niveau n’est actuellement pas encore atteint dans le Cyberespace. Ce modèle métagouverné représenterait une juridiction unique qui se trouverait au-dessus de tous les Etats-nations, toutes les organisations, toutes les entreprises, etc. comme s’il se définissait comme étant le système juridique de la planète (Attali, 2006). Nous pourrions le comparer au système juridictionnel d’une organisation fédérale (Allemagne fédérale, Suisse, Etat-Unis et maintenant Union européenne) définissant tous les Etats-nations, les organisations internationales, les entreprises internationales comme des « Etats » membres du « système fédéral monde » ainsi que le Cyberespace. L’intérêt de mettre en place un système de contrôle et d’amélioration de la gouvernance du Cyberespace est manifeste. Cet intérêt dépasse même largement les mondes technique, judiciaire, politique (niveau Etat), etc. et offrirait à la Suisse la possibilité de mettre en place cet observatoire des « modalités de gouvernance » du Cyberespace à l’image d’une organisation internationale telle que l’UN-Watch. Si le monde tend vers une « économie relationnelle », comme le prouve Attali (2006)12 ainsi qu’un environnement métagouverné, la tendance sera de travailler au travers du Cyberespace avec des partenaires qui sont certifiés par rapport à leur mode de gouvernance, c’est-à-dire respectant l’éthique, la transparence, l’imputabilité, les responsabilités face à un développement durable. C’est pourquoi, une grande partie des théories de la gouvernance des entreprises (Corporate Governance) s’applique au Cyberespace. De plus, il est également intéressant de constater qu’avec les différents modèles de gouvernance qu’offre le monde du sport, nous avons un champ d’expérimentation pour le futur, surtout dans ce monde qui évolue et dans lequel le pouvoir intrinsèque de l’Etat-nation diminue. « Si nous saisissons les grands mouvements socioculturels, nous pouvons constater que les coutumes et les lois se sont créées dans toutes les classes créatives des époques qui se sont succédées. On peut constater que l’humanité a 12 « Une économie qui n’obéit pas aux lois de la rareté : donner du savoir ne prive pas celui qui en donne. Cette économie permettra de produire et d’échanger des services réellement gratuits – de distraction, de santé, d’éducation, de relations, etc. –, que chacun jugera bon d’offrir à l’autre et de produire sans autre rémunération que de la considération et de la reconnaissance » : exactement ce qu’offre le Cyberespace actuellement. 20 toujours trouvé des façons de contourner les vides juridiques par de nouvelles technologies » (Attali, 2006). Aujourd’hui, c’est le monde de l’Internet qui permet de contourner certaines lois ou taxes des Etats-nations. Le futur du monde économique ne sera probablement pas une alternative entre l’économie de marché et autre chose de fondamentalement différent. Attali (2006) annonce l’arrivée d’une « hyperdémocratie » ou d’une économie relationnelle, qui n’est autre qu’une économie de l’altruisme qui n’obéira pas aux lois de la rareté, où les entreprises cesseront de considérer le profit comme une finalité et qui permettra de produire et d’échanger des services réellement gratuits de distraction, de santé, d’éducation, de relations, etc. On peut déjà se faire une idée sur le fonctionnement de ces entreprises relationnelles qui annoncera l’avenir dans le monde économique. Elles seront probablement à l’image des ONG, Médecins sans frontières, Greenpeace, la Croix-Rouge, du CIO ou encore des FI qui en constituent, sans aucun doute, le premier exemple. Et, chose étrange, le mode de régulation de cette « nouvelle » gouvernance se basera probablement sur le modèle que Karl Marx 13 a conçu à la fin du XIXème siècle. Cette conclusion ouvre une vision sur l’importance des perspectives proposées dans ce travail de recherche. Si, dans un futur proche, le monde économique tend vers cette économique relationnelle décrite par Attali, cela signifierait que le modèle de gouvernance du Cyberespace comme celui des entreprises économiques se rapprocheront, jusqu’à se confondre, du modèle de gouvernance des organisations internationales à but non lucratif (OBNL). Les modalités de gouvernance deviendront proches ou similaires. Cette tendance sera un atout pour la généralisation des modèles proposés au monde économique. La « bonne gouvernance » du Cyberespace et ses contrôles par un organisme mondiale tel que pourrait l’être l’OMCOC décrit ici deviendra alors le référentiel de l’économie de demain. 13 Pour une critique de l’école de la régulation, voir Bidet, J., Kouvelakis, E et Husson, M. (2001). L'école de la régulation, de Marx à la Fondation Saint-Simon : un aller sans retour ? dans Bidet, J.et Kouvelakis E., (2001). Dictionnaire Marx contemporain, PUF, Paris. 21 Bibliographie Abadi, M., Budiu, M., Erlingsson, U. and Ligatti, J., 2009, Control-ow integrity principles, implementations, and applications. ACM Transactions on Information and System Security, 13, November 2009. ANSSI, 2006, Guide n°650 - Menaces sur les systèmes informatiques. Arcioni, S., 2012, Les enjeux de la cyber-sécurité (3) : les systèmes de protection à analyse comportementale : le cas Stuxnet, Bulletin de la Société Militaire de Genève, no 1/2012 Arcioni, S., 2011a, Les enjeux de la cyber-sécurité (1) : comprendre les nouvelles menaces et comment agir, Bulletin de la Société Militaire de Genève, no 5/2011 Arcioni, S., 2011b, Les enjeux de la cyber-sécurité (2) : comprendre les nouvelles menaces et comment se protéger, Bulletin de la Société Militaire de Genève, no 6/2011 Arcioni S., 2011c, Cyberwar oder der Krieg der Neuzeit, Allgemeine Schweizerische Militärzeitschrift (ASMZ) 3/2011, Flawil, Schweiz Arcioni S., 2010b, Cyberwar -. Herausforderungen der Zukunft für Gesellschaft, Wirtschaft und Armee. Industrieorientierung 2010, Armasuisse Konferenz Security Day, Berne, Suisse, 4 octobre 2010. Arcioni S., 2010a, Informationsoperationen, Allgemeine Schweizerische Militärzeitschrift (ASMZ) 4/2010, Flawil, Schweiz Arcioni S., 2009, Proposition d’un cadre d’analyse pour l’évaluation de la gouvernance des Organisations à But Non Lucratif : outil pour la mesure de bonne gouvernance, Cahiers de l’Association Suisse d’Organisation (ASO) Ed. 2009. Arcioni, S,. & Vandewalle, P., (2008). Study and classification of the theories of governance which can be applied to NGO’s: an original approach based on Pérez's analysis framework, 16th EASM Conference (2008), Bayreuth/Heidelberg, Germany. Attali, J. (2006). Une brève histoire de l’avenir. Paris : Fayard. AV.Test : The Independant IT-Security Isntitute (www.av-test.org) Balage, Ch., et Fayon, D., 2011, Réseaux sociaux et entreprise : les bonnes pratiques, Pearson Education, Orléan, France Bidet, J., Kouvelakis, E et Husson, M. (2001). L'école de la régulation, de Marx à la Fondation Saint-Simon : un aller sans retour ? dans Bidet, J.et Kouvelakis E., (2001). Dictionnaire Marx contemporain, PUF, Paris. Block, S. R. (1998). Perfect Nonprofit Boards. Myths, paradoxes and paradigms. Needham, Heights, MA, Simon & Schuster Custom Publishing. 22 Boncler, J. (2006). De l’intérêt de la recherche en management à travailler sur la gouvernance des associations gestionnaires. Communication XVème de l’AIMS, Annecy., 126, 136, 137, 139, 140, 175 Bond, M., and Clulow, J. 2006, Integrity of intention (a theory of types for security APIs). Information Security Technical Report, 11(2):93 – 99. Bucci Steven : http://www.facingthethreat.com/Security_Expert.html Cadbury, A. (1992). Code of best practices., 82, 341 Caiger, A. & Gardiner, S. (Eds) (2000). Professional Sport in the European Union : Regulation and Re-regulation. The Hague : Time Asser. Carver, J. (2001). Carver's Policy Governance Model in Nonprofit Organizations. The Canadian journal Gouvernance - revue internationale. Vol. 2. nos. 1, pp. 30-48. Carver, J. (1997), Boards that make a difference : A new design for leadership in non-profit and public organizations (2nd edn). San Francisco : Jossey-Bass Cabinet du Premier Ministre, 2013. Cybersécurité, l'urgence d'agir, Note d'analyse 324 - Mars 2013, République française, Paris. Chaker, A.-N. (2004). Bonne gouvernance dans le sport. Une étude européenne. Strasbourg : Conseil de l’Europe. Chang, H. and Atallah M., J., 2001, Protecting software code by guards. In ACM Workshop on Security and Privacy in Digital Rights Management. ACM Workshop on Security and Privacy in Digital Rights Management, Philadelphia, Pennsylvania, November 2001. Chappelet, J.-L. (2006). La gouvernance du Comité international olympique. Article pour le livre : Gouvernance des organisations sportives, coordonné par Bayle E. et Chantelat P. Clarke, T. (2004). Theories of Corporate Governance : The Philosophical Foundations of Corporate Governance. USA : Routledge. Collin, B., 1996, The Future of CyberTerrorism : Where the Pysical and Virtual Worlds Converge, 11th Annual International Symposium on Criminal Justice Issues. Conway, M., 2006, Cyberterrorism: Academic Perspectives., 3rd European Conference on Information Warfare and Security, 2004, p. 41-50. Conway, M., 2006, Terrorist “use” of the Internet and Fighting Back, Information and Security, An International Journal, vol. 19, 2006, p. 9-30. Desforges, A., 2011, « Cyberterrorisme : quel périmètre ? », Fiche de l’Irsem n° 11, http://www.irsem.defense.gouv.fr Drucker, P.F. (1990). Managing the Non-profit Organization, New York : Harper Collins. Drucker, P. F. (1974). Management : Tasks, Responsibilities, Practices. New York : 23 HarperCollins. Esselin, F., & Autret, Th., 2013. Cotation des cyberattaques - Quelles mesures pour les attaques immatérielles ?. Eyrolles, Paris. Francillon, A., 2009, Attacking an Protecting Constrained Embedded Systems from Control Flow Attacks. PhD thesis, Institut Polytechnique de Grenoble. Fletcher, K. B. (1999). Four Books on Nonprofit Boards and Governance. Nonprofit management and leadership 9, no 4, p. 436 Furnell, S., et Warren, M., 1999, Computer Hacking and Cyber terrorism : the Real Threats in the New Millenium, Computers and Security, vol. 18, n°1, 1999, p. 30-32 Geneen, H. S. (1984). Why Directors Can't Protect the Shareholders. Fortune. No 110, 28-29. Godet, M., Monti, R., et Roubelat, F., 1997, Manuel de prospective stratégique. 1 : une indiscipline intellectuelle ; 261 p., fig., ref. bib. : 11 p.3/4 Godfrain (Loi), 1988. Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique. Paris. Guillaneuf, J., 2012. La cybercriminalité et les infractions liées à l'utilisation frauduleuse d'internet : éléments de mesure et d'analyse. INHESJ/ONDRP Henry, I.P. (2005). Governance in sport : a political perspective. Institute of Sport and Leisure Policy, Loughborough University. Herman, R. & Heimovics, R. (1994). Cross national study of a method for researching nonprofit organisational effectiveness. Voluntas. Vol. 5 No.1, pp. 59-85., 157 Herman, R. D. and Heimovics, R. D. (1991). Executive Leadership in Nonprofit Organizations. San Francisco: Jossey-Bass. Herman, R. D. & Heimovics, R. D. (1990). The Effective Nonprofit Executive : Leader of the Board, in Nonprofit Management & Leadership, Vol. 1, Nr. 2, Winter, NML 0, 167-180. Hermel, L., 2007, Veille stratégique et intelligence économique, AFNOR, La Plaine Saint Denis, France Houle, C. O. (1997). Governing Boards: Their Nature and Nurture. San Francisco: JosseyBass. Hoye, R., Cuskelly, G. (2003). Sport Governance (Sport Management), New York : Butterworth-Heinemann Eds. Hoye, R., Smith, A., Westerbeek, H., Stewart, B., Nicholson, M. (2005). Sport Management. USA : Butterworth Heinemann : Elsevier. Chapter 10. Hums, M. A. & MacLean, J. C. (2004). Governance and Policy in Sport Organizations. Scottsdale, Arizona : Holcomb Hathaway. IEC 61508 : Functional safety of electrical, electronic, programmable electronic safety-related systems. http://www.iec.ch/zone/fsafety/. ISO/IEC 15408 : Common criteria for information technology security evaluation. 24 http://www.commoncriteriaportal.org/. Jaeger, E., 2010, Etude de l’apport des méthodes formelles déductives pour les développements de sécurité, Thèse de doctorat, Université Pierre et Marie Curie, Lip6, doctorat en informatique, Paris Katwala, S. (2000). Democratising Global Sport. London : The Foreign Policy Center. Mayaux, F. (1996), Noyau stratégique des associations : quel partage des pouvoirs entre dirigeants bénévoles et dirigeants salariés ?. Thèse de Doctorat en Sciences de Gestion, Université Lyon 3., 123, 144, 347 Murray, Vic. (1994). Is Carver's Model Really the One Best Way ?. Front & Centre. Sept., 11. Pérez, R. (2003). La gouvernance de l’entreprise. Paris : Ed. La Découverte Pesqueux, Y. (2000). Le gouvernement d’entreprise comme idéologie. Paris : Ellipses. Ricca, M., 2011, A New Computer Security Gold Standard, Banking Solutions: Stakes of Security, October 2011. Ricca, M., 2005, Building a platform and user identification mechanism using Trusted Computing, Ecole Polytechnique Fédérale de Lausanne, Bristol Hewlett-Packard Laboratories Research. Ricca, M., 2003, Internet au service de la criminalité économique ?, Revue Economique et Sociale, Lutte contre la criminalité économique: prévenir, détecter, réprimer, Septembre 2003, Numéro 3. Ricca, M., 2002, DNS Spoofing, Ecole Polytechnique Fédérale de Lausanne, LASEC, March 2002. Sang, F., L., Lacombe, E., Nicomette, V., and Deswarte, Y., 2010, Exploiting an I/OMMU vulnerability. In MALWARE '10: 5th International Conference on Malicious and Unwanted Software, pages 7-14, 2010. Suchman, M.C. (1995). Managing Legitimacy : Strategic and Institutional Approaches. Academy of Management Review, 20, 3, 571-611. Symantec Connect : www.securityfocus.com/. Theodoraki, E.I. &. Henry, I.P (1994). Organisational Structures and Contexts in British National Governing Bodies of Sport. International Review for Sociology of Sport, München, Vol. 23, no 3, pages 243- 263. Thomas, T., 2003, Al Qaeda and the Internet: the Danger of “Cyberplanning”, Parameters, printemps 2003, p.112-123. US Army DOD Directive 3600.1, Information Operations (IO), SD-106 Formal Coordination Draft. 25 Vives, X. (2000). Corporate Governance : Theoretical and Empirical Perspectives, Cambridge : Xavier Vives (Ed), University Press. Wang, J., Stavrou, A. and Ghosh, A., 2010, Hypercheck: a hardware-assisted integrity monitor. In Proceedings of the 13th international conference on Recent advances in intrusion detection, RAID'10, pages 158-177. Springer-Verlag, 2010 Wiemann, G., 2006, Terror on the Internet: The New Arena, The New Challenge, Washongton DC. Wiemann, G., 2004, www.terror.net – How Modern Terrorism Uses the Internet, Washington DC, US Institute of Peace. Internet : Intelligence Online : http://www.intelligenceonline.fr/ : Intelligence online Cyberguerre, 2013, Quels droits pour les cyber-soldats ? no 689 29 mai 2013 Le Monde : http://www.lemonde.fr/technologies/article/2013/07/13/la-cyberguerre-nouvelenjeu-des-armees_3446492_651865.html Wikileaks : www.wikileaks.org. 26