La révolution numérique qui a débuté au siècle dernier a permis au monde entier de profiter d’avantages technologiques majeurs notamment liés au développement d’Internet. Néanmoins, toutes ces avancées ont exposé les organisations à une menace devenue aujourd’hui presque « banale » à la lumière de l’actualité quotidienne, de son champ d’action immense et de sa nature systémique : la cyberattaque.
C’est tout naturellement que s’est développé un nouveau champ de conflictualité dans le cyberespace à côté des traditionnels champs de batailles (Terre, Mer, Air). La première des conséquences a été de constater l’apparition de moyens de cyberdéfense (techniques, organisationnels et humains) des États pour protéger leurs activités vitales (posture défensive). Est également constatée une montée en puissance de « cyber armements » utilisables seuls ou en complément d’armes conventionnelles (posture offensive) dans un but de supériorité stratégique et tactique. La récente confrontation entre les Etats-Unis et la Russie après l’attaque Solarwinds en atteste.
Mais si le cyberespace entraîne l’élargissement du champ de bataille, il a surtout pour caractéristique de faciliter l’emploi de la force. Par nature ouvert, le cyberespace offre la possibilité aux attaquants de tromper l’ennemi en se cachant virtuellement dans un espace très vaste, laissant derrière eux très peu de traces en fonction de leurs capacités. Il permet également d’effectuer des attaques par rebonds pour créer de fausses pistes, le cyberespace permettant ainsi d’avoir un champ d’action quasiment illimité. C’est pour cette raison que la cybercriminalité est aujourd’hui très développée et très organisée. Cela rend presque impossible une attribution certaine de l’attaque. Il est donc aisé de considérer l’arme cyber comme une arme d’emploi à la différence de l’arme nucléaire, considérée elle, comme une arme de non-emploi. A ce titre, une politique de dissuasion face à cette menace paraît utile.
Ce nouveau paradigme se perçoit aussi dans le domaine de la cyberguerre (domaine relevant davantage des relations conflictuelles entre les Etats et de groupes affiliés dans un but de supériorité stratégique pris au sens large) et donne finalement un avantage à l’attaquant par rapport au défenseur. Les potentialités offertes par les outils numériques d’un point de vu offensif (renseignements, meilleure interopérabilité des forces en présence, guerre de l’information, croisement des données, etc) servent en premier lieu la politique des Etats-nations. Les exemples ne manquent pas : attaque contre les centrifugeuses nucléaires iraniennes découverte en 2010, sabotage des centrales électriques ukrainiennes de 2015, attaques contre TV5 Monde la même année, attaque Solarwinds en 2020, etc… Le premier exemple a permis aux Etats-Unis et à Israël de neutraliser un système de centrifugeuse iranienne de Natanz grâce à un virus sophistiqué et suivait donc un but politique, celui de la stabilité dans la région du Moyen-Orient. Le sabotage des installations électriques en Ukraine s’inscrit également dans des tensions politiques autour des révolutions de couleurs. Pour la Russie, considérée comme l’auteur de cette attaque (via un groupe de hacker proche du pouvoir au Kremlin), il s’agissait de contrer les intérêts occidentaux (politique d’influence dans la région qui visait un ancien satellite de l’URSS). Le constat est le même pour l’attaque de TV5 Monde et de Solarwinds, les cibles étant directement ou indirectement le centre du pouvoir, son émanation, des organisations agissant contre les intérêts politiques d’un autre Etat.
Comme l’avait autrefois dit Carl Von Clausewitz, « la guerre est la continuité de la politique par d’autres moyens » (tiré de l’ouvrage « De la guerre », traité de stratégie militaire, 1832) et ces moyens englobent aujourd’hui manifestement l’arme cyber.
Face à ce constat, et dans un souci de défense de leurs intérêts vitaux, les pays ont progressivement mesuré l’importance d’afficher une posture multiforme face aux menaces cyber sophistiquées, trouvant leurs sources dans des capacités souvent étatiques, ou en lien avec un Etat. En France, les discours des dernières années de la Ministre des armées, Florence PARLY et de la révélation d’éléments publics de la doctrine de lutte informatique offensive (LIO) en 2019, révèle une volonté de montrer aux ennemis de la France, qu’elle se donne les capacités de pouvoir riposter par le biais d’armes cyber en cas d’atteinte à ses intérêts stratégiques. Par là même, la France met en œuvre une « dissuasion stratégiques » face à ces ennemis qui pourraient s’attaquer à elle puisqu’elle déclare être prête à rendre coup pour coup en cas d’attaques.
Autre preuve de la prise en compte de l’utilisation du cyberespace par les pays et les organisations internationales : la possible application de l’article 51 de la Charte des Nations Unies dans le cas d’une agression armée pouvant comprendre des moyens cyber. A ce titre, le Secrétariat général de la défense et de la sécurité nationale a rappelé dans la revue stratégique de cyberdéfense de 2018 « qu’une cyberattaque pourrait constituer une agression armée au sens de l’article 51 de la Charte des Nations Unies, justifiant ainsi les actes de légitime défense ». La France et la majorité des pays du globe considèrent donc ce nouveau champ de conflictualité à part entière comme étant une réalité à prendre en compte.
Mais est-il réellement possible de croire en l’efficacité d’une doctrine de dissuasion cyber pour éliminer toute velléité d’attaques comme ce fut le cas depuis la guerre froide avec la dissuasion nucléaire ? Autrement dit, une doctrine de dissuasion cyber serait-elle aussi efficace que l’est la dissuasion nucléaire pour éviter une crise cyber (ou non) mondiale ? L’arme cyber de demain pourrait-elle détenir un pouvoir équivalent au pouvoir égalisateur de l’atome (élément ayant permis la non-intensification des tensions au-delà de conflits interposés entre les deux blocs pendant la guerre froide) ? Pour cela, l’arme cyber doit se fonder sur des principes qui lui permettent de suivre son objectif efficacement : crédibilité, proportionnalité de la riposte, cible identifiée etc. Examinons-les.
Le contexte d’accélération des menaces cyber et l’absence de régulation internationale accentue le besoin d’une dissuasion cyber
Aujourd’hui, il est raisonnable, et pour plusieurs raisons, de poser la question de l’utilité d’une dissuasion par le moyen cyber à disposition des Etats.
D’abord, une telle dissuasion permettrait de trouver une solution à l’absence de régulation internationale quant aux règles applicables pour réduire le nombre d’attaques cyber quotidiennes. Aujourd’hui, cette zone de quasi-non-droit profite à la prolifération d’armes cyber et leur utilisation (notamment par les acteurs qui ne possèdent pas de capacités militaires sophistiquées et globales). Même si cette dissuasion ne permettrait pas de supprimer totalement la cybercriminalité (se trouvant sur un champ stratégique différent au même titre que l’inefficacité de la dissuasion nucléaire contre le terrorisme islamique), elle permettrait de réduire les attaques sophistiquées souvent dissimulées (et qui font le plus de dégâts), perpétrées par les Etats ou des groupes affiliés à ces Etats. Même si des conventions existent à l’échelle internationale comme la Convention de Budapest, entrée en vigueur en 2014, celles-ci ne règlent pas les menaces de cyber-conflits mais tente de régler les phénomènes de cybercriminalité. L’Appel de Paris de novembre 2018 lui n’a pas réellement de règles contraignantes juridiquement, mais invite les Etats à mieux se comporter dans le cyberespace et à éviter toute prolifération de logiciels malveillants, entre autres.
Des capacités de dissuasion cyber, autrement dit des moyens (offensifs et défensifs) assez sophistiqués pour montrer à l’ennemi que son attaque aurait pour conséquence des représailles encore plus graves pour lui, permettrait donc, en l’absence de règles juridiques encadrant et limitant une cyberguerre qui se joue, de limiter les tentations belliqueuses de certaines puissances.
Par ailleurs, les différentes doctrines de dissuasion nucléaire permettent effectivement de stabiliser depuis les années 1960 (date à laquelle les grandes puissances obtiennent la bombe atomique) les confrontations entre les deux blocs puis les Etats. Or, les menaces cyber actuelles sont le fruit de menaces parfois non étatiques (terrorisme islamique, organisations criminelles organisées, activistes). Dans ce sens, l’obtention d’armes cyber assez sophistiquées par les Etats permettrait aux nations d’agir contre ces menaces non étatiques, là où l’arme atomique est inefficace.
L’arme cyber peut être considérée comme une arme du faible au fort. A ce titre, les puissances moyennes, ou les acteurs non étatiques voient dans cette arme, la possibilité de rivaliser avec les puissances mondiales comme les Etats-Unis, la France ou la Chine. Ce constat ne va donc sans doute pas faciliter la mise en œuvre, au niveau international, de règles contraignantes pour en empêcher l’utilisation à des fins politiques, stratégiques. Ces Etats n’ont aucun intérêt, actuellement, à s’opposer à son possible emploi. Et dans l’hypothèse où des normes futures permettent d’encadrer ces actions étatiques offensives, il y a fort à parier que des Etats contournent cette logique par l’emploi de groupes affiliés.
Les raisons qui pousseraient les Etats à l’obtention d’une doctrine de dissuasion cyber sont donc nombreuses (à côté du traditionnel coût financier pour les structures étatiques et les organismes vitaux d’un pays en termes de défense des infrastructures contre des attaques sophistiquées). Pour autant, plusieurs raisons ne permettent pas à une réelle dissuasion cyber d’être efficace et utilisable pour tenter de réguler la guerre permanente qu’engendre actuellement le cyberespace.
Du point de vue capacitaire, la dissuasion cyber est actuellement illusoire et voire impossible à l’avenir
Par les discours, la France annonce vouloir utiliser l’arme cyber, en complément des autres moyens offensifs traditionnels et ainsi « dissuader » ses ennemis. Mais que représente réellement cette politique de dissuasion ?
Après l'étude d'une potentielle stratégie de représailles pour dissuader dans le cyberespace, il est facile de comprendre la complexité de ce nouveau terrain d’affrontement et comment celui-ci vient bouleverser la nature même de la guerre et le droit l’encadrant. Si les théories de la dissuasion ont permis depuis la guerre froide d’anticiper des comportements engendrant une guerre dévastatrice dans le monde « physique » avec l’emploi de la bombe atomique, ces mêmes théories viennent aujourd’hui se heurter à la nature même du cyberespace et montrent ainsi actuellement les limites de celles-ci.
En ce qui concerne la France, la dissuasion nucléaire repose sur de grands principes qui lui permettent d’être crédible, efficace et juste, particulièrement du point de vue du droit des conflits armés. Elle s’est, dès le début, inscrite dans le respect du principe de proportionnalité (ou de stricte suffisance) et de nécessité de la riposte. C’est d’ailleurs ces mêmes principes qui guident aujourd’hui la lutte informatique offensive. Dans une prise de parole en janvier 2019, l’actuel chef d’Etat-major des Armées, le général LECOINTRE a rappelé que la lutte informatique offensive n’est envisagée « que dans le strict respect des principes de distinction, de nécessité, de proportionnalité et de précaution ».
Or, mettre en place une dissuasion cyber nécessite de pouvoir véritablement attribuer une attaque, connaître l’auteur de celle-ci. Le cyberespace étant par nature immatériel et fait de zones grises, il semble très compliqué, actuellement, d’attribuer de manière certaine un acte offensif. Le processus d’attribution n’est jamais « 100 % » fiable. La France, elle, préfère utiliser le conditionnel, n’étant jamais réellement sûr de l’identité exacte de l’auteur des faits. Les techniques utilisées par les hackers (affiliés ou non à un État) pour se camoufler et ne laisser que très peu d’indices (utilisation de serveurs basés dans le monde entier par exemple) compliquent sérieusement la tâche d’attribution. Aujourd’hui, les analyses techniques ne sont pas suffisantes aux fins d’attribution pour la simple et bonne raison que différents acteurs mettent en œuvre les mêmes techniques, outils, modes opératoires (ou ceux des autres) dans le cadre de leur opération. Or, cette attribution est essentielle pour avancer vers une solution judiciaire, politique ou offensive (riposte) et ainsi permettre une plus grande sécurité dans le cyberespace.
C’est d’ailleurs pour cette raison qu’autant de cyberattaques sont réalisées, le hacker n’étant que très peu inquiet par une possible inculpation. De plus, les difficultés de coopérations judiciaires internationales accentuent ce sentiment d’intouchabilité. Les réussites dans ce domaine ne sont malheureusement pas légion. Néanmoins, il convient de citer la coopération judiciaire à travers Europol qui a permis le démantèlement d’Emotet en ce début d’année 2021. 8 pays dont la France, les Etats-Unis et l’Ukraine, ont travaillé ensemble pour mettre hors d’état de nuire un groupe de hackers.
Une autre difficulté, et non des moindres, est la proportionnalité de la riposte (principe de stricte suffisance de la riposte). Pour que cette dernière soit juridiquement licite et diplomatique juste, les conséquences de l’attaque doivent être clairement connues. Or, il est difficile de constater les véritables dégâts d’une cyberattaque, son étendue et sa gravité sur les systèmes d’information, notamment parce que des effets sont parfois activités plusieurs années après leur introduction dans un système. Quant aux activités d’espionnage, la présence malveillante sur un système est parfois (voire souvent) connue plusieurs années après le début de l’opération. Au-delà de la connaissance exacte des dégâts pour riposter, le problème du contrôle de l’impact de la riposte est également difficilement maîtrisable. La riposte est donc difficilement exécutable. Pourtant, pour être crédible sur la scène internationale, éviter le risque de se voir infliger des sanctions financières par exemple ou éviter d’engendrer une escalade de tensions, il est nécessaire de respecter (pour le cas de la France en tout cas) ce principe de proportionnalité de la riposte. D’ailleurs, la France se veut draconienne dans l’application stricte des principes de droit international.
Enfin, pour que l’ennemi ait connaissance des moyens de ripostes du pays (et donc être crédible), encore faut-il lui communiquer directement ou indirectement. Or dans ce monde, communiquer sur les moyens revient à communiquer sur les techniques, sur les brèches connues sur les réseaux de l’ennemi ou les discrètes positions préventives sur ses systèmes d’informations. Cela revient donc à lui donner la possibilité d’améliorer sa défense. Ce qui pose un réel problème stratégique et tactique.
A la lumière de toutes ces interrogations et des constats déjà faits, une dissuasion cyber efficace et fondée sur des principes clés des doctrines de dissuasion nucléaire n’existe pas aujourd’hui et existera difficilement à l’avenir. En effet, il est difficile de prévoir si une dissuasion purement capacitaire permettra de remplir ce rôle de protection. D’abord parce que ce monde évolue rapidement et notre capacité à détecter (notamment grâce à l’intelligence artificielle et le big data) et à riposter efficacement repose à la fois sur les capacités d'un, mais également sur celles de ses adversaires. Attribuer une attaque demain dépendra beaucoup des évolutions tactiques de l’adversaire pour se camoufler. Une dissuasion crédible repose aussi sur des moyens offensifs de pointe qu’il faut détenir et améliorer.
Il est donc intéressant de se pencher sur les stratégies pouvant être adoptées (ou l’étant déjà) par les Etats pour se protéger le plus efficacement dans cette nouvelle guerre permanente de nature systémique et ainsi réduire l’insécurité dans le cyberespace.
En l’absence de dissuasion cyber crédible calquée sur le domaine nucléaire, les Etats adoptent des stratégies hybrides
Les Etats, en l’absence d’une régulation presque utopique et sans possibilité de mise en place d’une dissuasion cyber efficace, adoptent une approche holistique de la cybersécurité/cyberdéfense.
L’actuel positionnement des Etats (et de la France en particulier) consiste à concevoir le domaine cyber dans sa globalité en intégrant des moyens défensifs et offensifs, de nature cyber ou non (gel des avoirs, interdiction de mettre des fonds à la disposition des personnes et entités auteurs par exemple comme l’a annoncé l’Union Européenne en 2019). La revue stratégique de cyberdéfense française de 2018 révèle l’existence d’une stratégie composée de 4 chaînes opérationnelles : la chaîne « protection », la chaîne « action militaire », la chaîne « renseignement » et la chaîne « investigation judiciaire ». A partir de là, les domaines d’intervention dans le cyberespace sont nombreux et permettent, comme une boîte à outils, d’agir différemment selon le contexte pour dissuader un potentiel attaquant.
De là, sont apparues deux nouvelles approches de dissuasion adaptées au domaine cyber et qui se complètent pour agir efficacement et de manière complémentaire :
-
L’approche par punition qui s’articule autour de moyens offensifs pour sanctionner l’auteur d’une cyberattaque. L’idée est ici de contre-attaquer ou d’agir préventivement en direction d’un adversaire potentiel (positionnement préventif sur des réseaux par exemple);
-
L’approche par déni qui s’articule autour de moyens défensifs. L’objectif est de mettre en place des moyens assez efficaces à tous les niveaux d’une attaque pour convaincre l’ennemi de ne pas attaquer, son attaque n’ayant que peu de résultats contre la défense. Il s’agit ici d’agir sur tous les spectres défensifs, de la prévention à la réponse à incident en passant par la détection.
Cette approche défensive englobe également le développement d’une véritable cyber-résilience et d’une hygiène de cybersécurité globale.
Les organisations doivent donc posséder des structures et une connaissance avancée à la fois dans le domaine offensif ou défensif pour se préparer aux guerres d’aujourd’hui et de demain. Cette logique n’est finalement pas différente de celle qui guide les armées traditionnelles sur terre, mer et air. L’objectif final est avant tout d’acquérir et de préserver une supériorité stratégique et tactique au combat pour assurer la sauvegarde de notre souveraineté nationale et notre autonomie stratégique comme le soulignent les livres blancs successifs en la matière.
Un autre vecteur de dissuasion vient compléter la panoplie des solutions pour mettre en place une approche de protection dite hybride dans le cyberespace. Au-delà des discours officiels présentant le budget investi ou les doctrines de lutte informatique offensive, une lutte informationnelle apparaît intéressante pour dissuader ses ennemis. A ce titre, Israël est un parfait exemple. Ce pays est connu pour être leader dans ce domaine à côté des Etats-Unis et possède une réputation solide en cyber sécurité (notamment avec son Unité 8200), dans le développement de start-up dans ce domaine, dans le développement d'outils. Cette réputation a été forgée au fil du temps par un tissu informationnel incluant les médias, les entreprises internationales au-delà des simples discours des départements de la défense israéliens. Il s’agit d’influencer les potentiels hackers de ne pas attaquer parce que la cible possède des capacités de défense sophistiquées qui n’auront aucun mal à invalider l’attaque.
La guerre de demain se jouera à la fois dans le domaine purement capacitaire, mais également dans le domaine informationnel, diplomatique (mise en place de sanction économique), de gouvernance et du renseignement. Seule une approche multidimensionnelle permettra d’agir efficacement contre les « bruits de bottes » notamment des grandes puissances dans le cyberespace, expression empruntée à Guillaume POUPARD, actuel directeur de l’ANSSI, et ainsi dissuader ses ennemis d’attaquer à travers le cyberespace. Une synergie civilo-militaire peut permettre aux Etats d’assurer leur sécurité dans ce nouvel « état de nature » numérique (expression empruntée à Thomas HOBBES dans son ouvrage « Le Léviathan » de 1651) où une multitude d’acteurs (étatiques ou non) vont profiter du cyberespace pour agir. La création du cybercampus cette année en France suit cet objectif pour faire émerger des solutions innovantes et efficaces pour lutter contre ces menaces et créer cette synergie.
La nature hybride de ce nouveau champ de conflictualité complique les réponses à apporter comme l'a prouvé le conflit entre l’Ukraine et la Russie qui a débuté en 2013, celle-ci ayant eu recours à la sphère cyber (guerre de l’information et moyens cybernétiques) au-delà de la composante traditionnelle, physique. Une dissuasion hybride (différente des doctrines de dissuasion nucléaires) composée de multiples approches face aux risques doit permettre, en l’absence de régulation, d’apporter une solution à ce phénomène de conflictualité en forte croissance. Le but est donc finalement d’influencer sur la balance coût/avantage d’une attaque en faveur du coût pour l’attaquant.
Clément RICHET pour le club cyber de l’AEGE
Pour aller plus loin :