Organiser sa défense à l'ère du cyberconflit : un point de vue étatsunien

Chris C. Demchak; François-Bernard Huyghe

2012/3

Organiser sa défense à l'ère du cyberconflit : un point de vue étatsunien
Suivre cet auteur Chris C. Demchak, Suivre cet auteur François-Bernard Huyghe
Dans Revue internationale et stratégique 2012/3 (n° 87), pages 103 à 109

format_quote Citer ou exporter Ajouter à une liste Suivre cette revue

1Confronté à une multitude de menaces provenant d’un cyberespace qui est à la fois ouvert et complexe, chaque État doit construire son cyberpouvoir par l’équilibre entre ses capacités défensives dites de résilience et offensives dites de perturbation, cela en fonction de son système social, technique et économique de défense [2]. Jusqu’à récemment, les États-Unis semblaient privilégier l’éventuelle offensive par perturbation contre des adversaires ciblés, ce qui semblait suggérer que la militarisation du cyberespace correspondait bien à leur culture militaire [3]. Aujourd’hui, les États-Unis ont pleinement intégré la dimension cyberspatiale dans leur politique de défense et plusieurs instances spécialisées se trouvent en charge de la cybersécurité nationale. Dans une démocratie pluraliste comme celle des États-Unis, il faut qu’il y ait accord entre trois instances qui doivent coopérer en matière de cybersécurité : les organismes responsables des infrastructures militaires et gouvernementales, ceux qui sont chargés de la protection des infrastructures critiques et enfin les représentants des organes économiques privés. Les trois sont responsables de la sécurité de systèmes menacés [4].

2Pour des raisons historiques remontant à la Guerre froide, le Département de la Défense accueille le centre de compétence du gouvernement en matière électronique : la National Security Agency (NSA). Mais le Département ne peut à lui seul résoudre la réticence des deux autres instances à réaliser combien leurs domaines interfèrent. Or cette prise de conscience est un préalable pour développer ses capacités défensives et offensives pour sa sécurité.

3Cette tension stratégique ressort à l’évidence d’un examen chronologique portant sur dix ans et sur la succession des politiques et des initiatives des dirigeants américains.

4Le cyberespace comporte quatre niveaux de risques survenant par surprise. Le plus bas est celui des dysfonctionnements importants dans les entreprises ; le second englobe les incidents en chaîne qui se propageraient à travers des infrastructures numériques critiques d’une région ; le troisième regroupe les opérations menées par des « acteurs occultes [5] » et expérimentés qui recherchent des gains et des avantages et dont les attaques montent en puissance ; enfin, le niveau supérieur correspondrait au stade où un groupe plus restreint d’« acteurs occultes » et bien organisés seraient en mesure de produire des dommages exceptionnels s’ils n’étaient pas interceptés avant qu’ils ne pénètrent dans des systèmes nationaux importants [6]. Aux trois premiers niveaux, une capacité de résilience efficace offre une protection suffisante, tandis que le dernier niveau requiert des capacités de perturbation. Aux États-Unis, les ripostes ne couvrent pas vraiment les quatre niveaux, les trois instances concernées (instances militaires et gouvernementales, responsables des infrastructures critiques et monde économique) sont essentiellement concentrées sur leur domaine respectif. Les responsables des infrastructures militaires et gouvernementales sur la résilience aux deux niveaux inférieurs de risques et uniquement sur des infrastructures importantes. Les responsables des infrastructures critiques sur les deux niveaux supérieurs et particulièrement sur les « attaquants occultes », mais uniquement s’ils s’en prennent à des objectifs militaires. Enfin, les responsables des infrastructures économiques ne se préoccupent, au mieux, que du troisième niveau, celui des risques des vols par des acteurs mal intentionnés.

5L’évolution par à-coups de la stratégie étatsunienne s’avère dangereuse en cette période de transition vers un monde voué à la numérisation généralisée. La topologie du cyberespace évolue vers un système « cyberwestphalien [7] ». On découvrira que les notions de souveraineté et de frontières sont loin d’y être obsolètes en cette période où les systèmes socio-techno-économiques et dépendants du numérique constituent à la fois la source et la cible de ces affrontements.

6La sécurisation du cyberpouvoir étatsunien demande que ces trois instances développent une vigilance commune à l’égard des risques aux quatre niveaux et disposent de réactions rapides et coordonnées. À défaut, les États-Unis auront beaucoup de difficultés à conserver leur statut dominant dans le cyberespace.

L’évolution stratégique des trois instances

L’infrastructure de défense

7Menacée dès les années 1990 par des « acteurs occultes » et agressifs, les milieux de la défense américains ont réalisé les risques de pénétration et de prise de contrôle à distance par des logiciels malveillants. Les réactions des militaires se sont alors essentiellement concentrées sur la riposte aux acteurs occultes et aux espions sévissant au niveau supérieur – les infrastructures critiques – plutôt que de prendre en compte la résilience générale des niveaux inférieurs.

8Rétrospectivement, les années 2000 voient se multiplier des réactions du Département de la Défense, confronté aux premiers incidents annonciateurs : décisions politiques et adaptations institutionnelles censées préserver des dangers futurs se succèdent. Cependant, dès 2009, les militaires subissent tant d’attaques d’origine inconnue – mais probablement soutenues par des organismes étatiques étrangers – que le gouvernement américain crée un cybercommandement national (Cybercom). Il est constitué de quatre souscommandements spécifiques (Terre, Air, Mer, Marines) et est chargé de défendre le patrimoine numérique de l’armée.

9Du fait des compétences différentes que la loi instaure entre la NSA (recueillir l’information) et le Département de la Défense (assurer la protection du territoire), les directions du Cybercom ont été rapidement fusionnées et confiées au directeur de la NSA afin de favoriser une action adaptée et rapide.

10La création du Cybercommand n’impliquait néanmoins aucun choix en faveur d’une politique de perturbation/sanction plutôt que de résilience/protection. Cela ne traduisait pas non plus une volonté de militariser le cyberespace mais plutôt la réaction instinctive d’institutions confrontées à des menaces quotidiennes. En 2010, les responsables militaires qui préconisaient un Cybercommand unifié expliquaient publiquement que les réseaux militaires ne pourraient pas être sécurisés tant que ceux du gouvernement et des infrastructures critiques nationales ne le seraient pas.

11La figure agressive de la Chine, acteur menaçant le patrimoine informationnel étatsunien, a permis de sensibiliser aux autres dimensions de la cybersécurité. Des trois milieux concernés, ce sont les militaires qui ont atteint la vision la plus précise des besoins nationaux en termes d’attaque et de défense face aux cybermenaces.

12Si le discours sur la résilience se trouve en arrière-plan de politiques et de textes doctrinaux importants, ces efforts théoriques traduisent plus une volonté délibérée de dépasser le stade de la simple défense réactive que le seul primat de la communauté militaire.

Les infrastructures critiques

13Les responsables des infrastructures critiques pensaient d’abord l’avenir en termes de résilience après des catastrophes plus classiques et de dimension nationale. En outre, leur expérience ne les incitait guère à penser en termes d’attaques par des États ennemis. De ce fait, ils n’ont guère contribué à comprendre combien une politique de défense devait se préoccuper des quatre niveaux de vulnérabilité évoqués précédemment.

14Les infrastructures informationnelles sont réputées « critiques » depuis les années 1990, mais c’est seulement après les attentats de 2001 que l’on a commencé à réaliser qu’un désastre en chaîne déclenché au niveau des infrastructures critiques pourrait aussi trouver son origine dans le numérique. Quand fut créé le Département de la Homeland Security en 2003, ses missions incluaient la défense de la vie privée, la sécurisation générale de l’information et des réseaux, mais ne se préoccupait guère des attaques cybernétiques contre des infrastructures vitales. On se représentait surtout ces infrastructures comme matérielles et situées hors du Web.

15Fin 2010, la révélation tardive de l’attaque de Stuxnet contre les centrifugeuses nucléaires iraniennes a changé la donne.

16D’une sophistication surprenante et paraissant se répandre par accident, Stuxnet n’était nocif que pour « l’ADN informatique » de certaines centrifugeuses en Iran, et les a atteintes bien qu’elles ne fussent pas en ligne. Soudain, les groupes responsables des infrastructures critiques dans le monde entier réalisaient la menace globale. Dans leurs rapports destinés au Congrès ou au grand public, les institutions américaines concernées ont commencé à évoquer la vulnérabilité des infrastructures critiques face à une intrusion hostile lancée par un État ou par des activistes. Les responsables chargés de la gouvernance des infrastructures critiques se sont de plus en plus souciés de résilience et ont envisagé de partager plus rationnellement des informations avec les sociétés privées en grande partie propriétaires et responsables de ces infrastructures.

17Le chemin sera encore long avant que ces instances n’entreprennent d’organiser la résilience en coordination avec les infrastructures de la défense et du gouvernement. Cette étape consisterait à déterminer quelle réaction rapide pourrait se traduire en termes stratégiques pour les autorités et institutions politiques et en termes d’adaptation pratique pour les entreprises privées.

Les infrastructures économiques

18Les perceptions et intérêts dominant le monde économique expliquent son retard à réaliser la nature profonde des cybermenaces et le besoin d’une coopération dans le domaine de la résilience et de la capacité de perturbation. Guidés par une vision idéalisée des gains que peut apporter le e-commerce et obsédés par le rendement immédiat des mouvements de capitaux, les responsables économiques ont eu peine à réaliser combien de millions de dollars ont été perdus à leur insu, notamment en termes d’investissements de savoir et de fragilisation progressive des systèmes socio-technologiques.

19Pour prendre un exemple récent, un programme d’aide au dessin par ordinateur a été infecté par une application malveillante : elle recopiait à distance les dessins commerciaux avant même que la société qui investissait dans la Recherche et le Développement soit capable de fabriquer son produit [8]. Les risques, pertes et menaces sont intégrés par le monde de l’industrie dans les coûts normaux de l’entreprise, alors qu’ils devraient être considérés comme des questions de vie et de mort du système.

20Du fait de la nature cachée des cybermenaces, les managers tendent à les traiter soit par le mépris soit à purement et simplement les ignorer jusqu’à ce que se manifeste un danger présent et indéniable. Cette vision bornée a empêché les dirigeants de dépasser le souci de leurs propres données, souvent mal défendues, pour se soucier des menaces qui les concerne eux et le système en général.

21La cybersécurité a fini par susciter une ébauche de réflexion au sein du monde des affaires au cours des dernières années. L’accumulation des pertes a fini par pousser à l’action.

22Ainsi, la puissante Securities and Exchange Commission [9], organisme américain de contrôle des transactions financières, a adopté fin 2011 une règle qui demande aux sociétés à capitaux publics de rendre compte des cyberintrusions et des pertes de données dans le rapport annuel. Certaines sociétés s’adressent au gouvernement pour demander de l’aide tandis que d’autres commencent à utiliser de façon plus innovante le système légal pour se protéger et protéger leurs consommateurs. Le tout récent intérêt du monde des affaires pour les technologies « dans les nuages » (Cloudcomputing) qui consistent à confier ses données à des serveurs lointains s’explique aussi par la possibilité de mieux défendre ses données numériques. Cependant le monde de l’économie concerné n’a pas encore totalement réalisé combien ses intérêts coïncident avec ceux de la cybersécurité de la nation dans son ensemble. Les entreprises tardent donc à prendre leur part dans la stratégie globale américaine.

Vers un système « westphalien » à l’ère du conflit numérique

23À plus long terme, la marche en dents de scie vers l’intégration et l’équilibre de ces éléments – résilience et perturbation – peut être compromise si les trois instances (militaires, responsables des infrastructures, monde de l’économie) ne coopèrent pas activement. Un vrai et solide cyberpouvoir à l’échelle d’une nation suppose bien plus que de riposter à des « acteurs occultes ». À l’ère numérique, une démocratie doit orchestrer l’action de ces trois instances pour atteindre cette réactivité rationnelle et immédiate que suppose la résilience à l’échelle nationale. Le nécessaire interventionnisme de l’État en ce domaine peut d’ailleurs engendrer des tensions dans des pays de tradition libérale comme les États-Unis où secteur militaire et économique devraient être séparés.

24Le cyberespace, potentiellement illimité subit une période de grande turbulence et de prédation. Nous voyons toutefois se dessiner les éléments d’une future topologie. Ce serait celle d’un système international « cyberwestphalien » ; il se formera quand la société civile, les réseaux d’entreprises et responsables d’organisations privées mettront en œuvre des mécanismes pour faire reculer les dangers. Le cyberpouvoir de chaque État reposera sur des capacités de résilience et de perturbation pour assurer sa propre cyber-souveraineté à ses frontières. Que ces « frontières » virtuelles se trouvent chez les fournisseurs d’accès Internet nationaux, sur un câble sous-marin ou ailleurs, les pays incapables de les défendre risquent de devenir les cibles de prédateurs en quête de proies faciles.

25De plus, non seulement les conflits entre États comprendront un large volet cyber, mais ils deviendront plus complexes et sophistiqués au fur et à mesure que les initiatives et réactions donneront lieu à des jeux de négociation, dissimulation ou rapports de force. Ainsi, l’accès aux plans opérationnels devra se négocier avec des alliés et se transmettre discrètement à travers des espaces souverains neutres. Ces plans devront être maîtrisés au stade de leur mise en œuvre, lorsqu’il s’agira de pénétrer des cybersystèmes adverses. Les autres acteurs en feront de même. Cela obligera chaque nation à préparer sa défense, pour le jour où ses propres frontières « cyberwestphaliennes » seront menacées.

26Si les États-Unis ne parviennent pas à créer une synergie suffisante entre les instances concernées et à trouver l’équilibre résilience/perturbation, les prochaines années pourraient être douloureuses. La nation continuera à perdre ses richesses numériques à un rythme inquiétant. Cet appauvrissement se produira au détriment des innovations systémiques dans le domaine des technologies, des institutions et des choix politiques, des innovations elles-mêmes conditions indispensables d’un véritable cyberpouvoir.

Notes

[1]
Chris Demchak s’exprime ici à titre personnel et ses propos n’engagent en rien l’Administration étatsunienne.
[2]
Cette nécessité d’équilibrer résilience et perturbation (notions définies dans l’article introductif de ce dossier) est développée dans le livre de C. Demchak, Wars of Disruption and Resilience. Cybered Conflict, Power and National Security, Georgia, University of Georgia Press, 2011.
[3]
Gregory Derek, The everywhere war, The Geographical Journal 177 (3) p. 238-250.
[4]
En effet, outre des organismes relevant du Cybercommand et des quatre armes (Terre, Air, Mer, Marines) pour la cyberdéfense au sens militaire, et outre les sociétés privées responsables de leur propre cybersécurité, interviennent des organismes dits « de protection des infrastructures critiques », celles dont la destruction ou l’altération aurait un impact majeur sur la sécurité de la nation (santé, transports, énergie, etc.). Divers ministères et agences en sont responsables, chacun dans leur domaine : le ministère de la Santé pour ce qui relève de la santé publique, le Trésor pour la banque et la finance, l’Intérieur pour les monuments et le patrimoine, l’Énergie pour l’approvisionnement énergétique, etc. Et surtout, le Department of Homeland Security (créé en novembre 2002 pour répondre au danger terroriste) intervient dans de nombreux secteurs (services d’urgence, matériaux dangereux, protection des réseaux administratifs) au sein desquels un sabotage informatique serait catastrophique.
[5]
Traduction de la version originale anglaise « wicked actors ».
[6]
Pour plus de précisions sur ces quatre niveaux, se référer à l’ouvrage de C. Demchak, “Resistence Disruption and a ‘Cyberwestphalia’” in Securing cyberspace A New Domain for National Security, de N. Burns et J. Price, Washington, Aspen Institute, 2012.
[7]
Voir C. Demchak et P.J. Dombrowski, Rise of a Cybered Westphalian Age in Strategic Studies Quaterly 5 (1), p. 31-62 sur la transposition à l’ère numérique de la notion de système westphalien, allusion aux traités de Westphalie de 1648 qui établirent pour quelques siècles les principes d’équilibre des puissances, d’inviolabilité de la souveraineté nationale et de non-ingérence.
[8]
J. Leyden, “Rare AutoCAD worm lifted blueprint from Peru sent them to China…”, The Register, juin 2012.
[9]
Équivalent de l’Autorité des marchés financiers (AMF).

L’évolution stratégique des trois instances
Vers un système « westphalien » à l’ère du conflit numérique

Chris C. Demchak [1]

Professeur au Département de recherche stratégique, codirectrice du Centre pour l’étude des cyberconflits, United States Naval War College

[1]
Chris Demchak s’exprime ici à titre personnel et ses propos n’engagent en rien l’Administration étatsunienne.

Traduit de l’américain par

François-Bernard Huyghe

Cette publication est la plus récente de l'auteur sur Cairn.info.

Dernière publication diffusée sur Cairn.info ou sur un portail partenaire

Mis en ligne sur Cairn.info le 17/10/2012

https://doi.org/10.3917/ris.087.0103

Citer cet article Français

ISO 690	FR	Copier DEMCHAK Chris C, « Organiser sa défense à l'ère du cyberconflit : un point de vue étatsunien », Revue internationale et stratégique, 2012/3 (n° 87), p. 103-109. DOI : 10.3917/ris.087.0103. URL : https://preprod.cairn.info/revue-internationale-et-strategique-2012-3-page-103.htm
MLA	FR	Copier Demchak, Chris C. « Organiser sa défense à l'ère du cyberconflit : un point de vue étatsunien », Revue internationale et stratégique, vol. 87, no. 3, 2012, pp. 103-109.
APA	FR	Copier Demchak, C. (2012). Organiser sa défense à l'ère du cyberconflit : un point de vue étatsunien. Revue internationale et stratégique, 87, 103-109. https://doi.org/10.3917/ris.087.0103
DOI		Copier https://doi.org/10.3917/ris.087.0103

Exporter la citation

file_downloadZotero (.ris) file_downloadEndNote (.enw) open_in_new RefWorks

Pour citer cet article

Distribution électronique Cairn.info pour IRIS éditions © IRIS éditions. Tous droits réservés pour tous pays. Il est interdit, sauf accord préalable et écrit de l’éditeur, de reproduire (notamment par photocopie) partiellement ou totalement le présent article, de le stocker dans une banque de données ou de le communiquer au public sous quelque forme et de quelque manière que ce soit.

Article