Pendant des décennies, le « cyber » n’était vu que comme un moyen technique de protéger les systèmes d’information et de communication. Avec la reconnaissance du cyberespace comme domaine d’opération, et son interconnexion grandissante avec les domaines traditionnels (terre, air, mer, espace), il est nécessaire de comprendre comment les opérations cybernétiques vont contribuer à la guerre moderne.
Sébastien Picard est un officier spécialiste du domaine cyber. Saint-Cyrien, il a effectué une première partie de carrière comme Transmetteur aux 28e et 40e Régiment de Transmissions, puis à l’École des Transmissions. En 2013, il obtient un mastère spécialisé « cybersecurité » co-délivré par Telecom Bretagne et SUPELEC. Il évolue ensuite sur des postes techniques, managériaux ou opérationnels. Il est actuellement chef de la branche « opérations de cyber défense » du NATO HQ LANDCOM. Sébastien est reconnu NATO Cyber Professional, Certified Ethical Hacker et Certified Information System Security Professional.
En décembre 2020, FireEye rendait publique l’une des pires cyberattaques jamais observées. Les auteurs de l’opération (les services américains pensent avec insistance à la Russie) ont réussi à infecter un fichier de mise à jour destiné à un logiciel édité par SolarWinds. Utilisé par plus de 18000 clients, parmi lesquels les plus importantes institutions publiques et entreprises mondiales, ce patch a permis d’installer une porte dérobée, donnant ainsi un accès complet aux systèmes infectés. « Acte d’espionnage ? », « agression caractérisée ? », ces questions ont peu à peu laissé place à une interrogation plus profonde : « est-ce un acte de guerre ? ».
Les derniers mois ont vu exploser le nombre de cyberattaques sponsorisées par des États. Pour faire face à une menace qui ne cesse d’évoluer, de nombreux gouvernements décident désormais que la seule capacité de cyberdéfense n’est plus suffisante : il faut se préparer à combattre dans l’espace cybernétique. Mais quels intérêts y a-t-il à disposer d’une composante militaire de cyberopération ? Le développement d’une telle capacité est indispensable, mais n’est pas sans défis. Quelle approche choisir pour être en mesure de répondre rapidement à un ennemi ?
De la démocratisation de l’informatique et du besoin de sécurisation
Sans remonter aux inventions du transistor et du microprocesseur dans les années 1950, il faut considérer les années 1980 comme le véritable début de notre ère digitale. La miniaturisation des équipements, leurs performances désormais suffisantes et surtout les opportunités qu’elles offrent dans l’assistance à un grand nombre des tâches humaines ont précipité la démocratisation de l’outil numérique et la connectivité de la société. Partageant une culture libertaire très forte, les contributeurs aux projets technologiques des débuts insufflent leurs idées de partage, d’égalité, de liberté d’expression et bâtissent le secteur de manière très idéaliste. Structurer, réguler, sécuriser leur usage, tout cela est contre nature. Pourtant, l’ignorer ouvre la porte à des exploitations malveillantes.
Si les premières attaques informatiques sont confidentielles, leur évolution suit ensuite la même dynamique que la numérisation évoquée plus haut. Dans les années 2000, l’explosion de la menace force un tournant vers plus de sécurisation. La France identifie officiellement le risque d’attaque informatique contre les infrastructures nationales comme une des menaces des plus plausibles dans le Livre blanc sur la défense et la sécurité nationale de 2008. Ce document invite l’État à se doter d’une capacité de prévention et de réaction aux cyberattaques et à intégrer ce volet à son dispositif de sécurité nationale.
Naissance d’un domaine
Plutôt que de naissance du cyberespace, il faudrait parler de la reconnaissance d’un nouveau domaine de l’environnement contemporain. Dans la seconde moitié des années 2010, le cyberespace n’est plus une somme anarchique d’équipements ou de systèmes informatiques, mais bien un véritable milieu complémentaire aux champs physiques traditionnels (terre, mer, air et espace). On lui prêtera deux caractéristiques principales : il est entièrement façonné par l’homme et sa structure est multicouche.
Cyberespace : Domaine mondial constitué par l’interconnexion de tous les systèmes d’information et de communication et autres systèmes électroniques et réseaux ainsi que leurs données, y compris ceux qui sont séparés ou indépendants, qui traitent, stockent ou transmettent des données.
Le Petit Robert – 2019 ; définition OTAN officielle
La première particularité du cyberespace est la manière dont il s’est constitué, a évolué et évolue encore. On a dit comment la philosophie de ses bâtisseurs a initialement contribué à sa nature incontrôlée. Désormais, ce sont les intérêts commerciaux des industriels qui entretiennent cet aspect : il faut développer vite, abreuver le public de nouvelles fonctionnalités, les rendre obsolètes sous peu pour vendre et vendre toujours, sans considération pour les effets secondaires.
La seconde spécificité que nous retiendrons est sa structure multicouche. La doctrine d’opérations cybernétiques de l’OTAN (Allied Joint Publication 3.20) propose un modèle en trois couches : physique, logique, cyber persona. Lescyber persona sont les constructions virtuelles du cyberespace : emails, sites web, profils… Elles sont formées à partir de la matière première du niveau logique : codes, protocoles, bits… La couche physique est le domaine d’interconnexion et d’interaction. Il est constitué des équipements informatiques : ordinateurs, serveurs, équipements, réseaux… C’est le niveau d’où l’on opère.
Évolution de la surface d’attaque
Cette interconnexion au niveau bas entraîne, à plus grande échelle, une interdépendance entre les domaines physiques et le cyberespace. De nos jours, toute la société repose sur du cyber : toujours plus de moyens connectés, d’usagers, d’utilisations… La surface d’attaque du cyberespace grandit et mute sans cesse, son exploitation par des acteurs hostiles également. Le cas du hacker isolé agissant par idéologie ou esprit de compétition est maintenant obsolète. La cyberattaque devient un composant essentiel des actions des groupes criminels ou terroristes comme de la stratégie de certains gouvernements. C’est cette structuration de la menace qui impose désormais de reconnaitre le cyberespace non plus comme un milieu à défendre uniquement, mais comme un domaine d’opérations à conquérir. Comptant la France parmi les initiateurs de cette décision, l’OTAN reconnait désormais officiellement le cyberespace comme un domaine d’opérations depuis le sommet de Varsovie en 2016.
« Nous reconnaissons le cyberespace en tant que domaine d’opérations dans lequel l’OTAN doit se défendre aussi efficacement qu’elle le fait dans les airs, sur terre et en mer. »
Communiqué du sommet de l’OTAN de Varsovie – 14 juin 2016
Cyber agressions, Cyber conflits, Cyber guerre
Après les attaques par déni de service contre l’Estonie en 2007, Stuxnet en 2010, ou encore l’affaire Solarwinds, les cyberagressions présumées imputables à un État contre un autre deviennent monnaie courante. Le domaine cyber se transforme en un véritable terrain d’affrontement entre des puissances qui se rendent coup pour coup dans des conflits à peine camouflés.
« On entend des bruits de bottes, regardez ce qui se passe aujourd’hui entre les grandes puissances mondiales, notamment autour du cyber »
Guillaume Poupard – Directeur de l’ANSSI – mars 2021
Il est très fréquent qu’une cyberattaque soit associée au terme « guerre » : guerre d’influence, guerre de l’information, guerre commerciale … Tout cela correspond bien à l’usage moderne du mot, mais les conflits numériques du moment n’entrent pas dans le format classique de la guerre. Historiquement, une guerre se définit par un côté structuré, brutal et total qui oppose deux forces armées, caractéristiques qui ne se retrouvent que partiellement dans les affrontements cybernétiques actuels. Mais surtout, la guerre est un processus légal : faire d’une cyberattaque un casus belli ou encore déclarer une cyberguerre est bien l’apanage d’un État, mais n’a encore jamais été invoqué. Ainsi l’état de la menace cyber nous oblige-t-il à considérer le cyberespace comme un espace de la guerre, mais ne définit pas un état de guerre : nous sommes autant en cyberguerre qu’en guerre.
Cyber défense et dissuasion cyber
Historiquement et politiquement, c’est la composante cyberdéfense (versus opérations offensives) qui contribue à la sécurité et à la souveraineté nationale et revêt un intérêt stratégique. Dévoilée en février dernier par Emmanuel Macron, la stratégie d’accélération cyber réaffirme l’enjeu de protéger les infrastructures critiques et veut diffuser la globalisation de la cyber protection dans toute la société par la formation, le développement technologique et le renforcement des liens au sein de la filière.
La cyberdéfense est le volet de la dissuasion « par le déni ». Elle doit permettre de décourager un ennemi en lui imposant un coût bien supérieur au potentiel bénéfice. Dans un système idéal, un niveau de sécurité extrême imposera à un attaquant de telles dépenses en temps et en moyens qu’il sera détecté ou stoppé avant de réussir, permettant ainsi une réaction adaptée. Si toutefois l’attaque est fructueuse, une forte capacité de résilience rétablira les fonctions vitales très rapidement, condamnant les efforts de l’assaillant à néant.
L’autre volet de la dissuasion cyber est la « dissuasion par punition » : s’autoriser à contre-attaquer une cyberagression. Le préambule à la réaction est l’attribution : être sûr de l’identité de l’agresseur. C’est là un véritable défi, surtout en situation d’urgence. Le cadre légal doit également autoriser des réactions multi-domaines. Une cyberattaque ne doit pas uniquement servir de réponse à une cyberattaque et, de facto, une capacité globale de cyberopération (dont offensive) doit être efficace.
À lire également
Nouveau Numéro spécial : Regards sur la guerre
En France, quelle place pour les Armées ?
La culture de la sécurité pour protéger les processus et les informations critiques est une caractéristique forte que les militaires ont développée bien avant l’ère de la numérisation. Ainsi, lorsque la cyberdéfense devient une priorité interministérielle à la fin des années 2000, le ministère de la Défense vient renforcer l’ANSSI, chef d’orchestre interministériel, et le ministère de l’Intérieur, chargé de la lutte contre la cybercriminalité. Les Armées intègrent et mûrissent les concepts de sécurité des systèmes d’information pour assumer leur part de la protection de l’espace numérique souverain. En 2017, après la reconnaissance du cyberespace comme domaine d’opérations, la composante cyber militaire se structure et le commandement de la cyberdéfense (COMCYBER) est créé. En 2019, la France se dote d’une doctrine de lutte informatique défensive et offensive, entrant ainsi dans le club des nations s’autorisant l’usage du spectre d’opérations cybernétiques le plus varié.
Opérer efficacement dans le cyberespace
La perception extrêmement technique du cyberespace, ses aspects immatériels et les caractéristiques déjà exposées ici contribuent au mythe selon lequel il est compliqué de vouloir y opérer militairement. Actuellement, il est fort probable que, si une opération nécessite un effet cyber, le commandeur se tournera vers son transmetteur, un peu comme Arthur faisant appel à Merlin !
La première nécessité est de perdre le réflexe : cyber vaut SIC (systèmes d’information et de communication). Si la cyberdéfense est très SIC-o-centrée, se préparer aux conflits futurs impliquera désormais davantage une capacité de niveau opératif et tactique plus globale. La sécurité des systèmes informatiques a son importance, mais en tant que fondement de l’opération cyber riche d’un large ensemble de composantes.
En dépit des apparences et d’une impression communément répandue, faire du « Cyber » n’est pas faire de la magie. Il faut aborder avec simplicité les opérations dans le cyberespace et leur intégration aux opérations interarmées, et passer par l’application des concepts de la guerre déjà maîtrisés. En ce sens, la doctrine cyber de l’OTAN (AJP 3.20) peut faire référence. Elle explique comment les principes d’opérations classiques s’appliquent (liberté d’action, concentration de force, etc.) pour obtenir des effets dont les termes sont déjà définis, identiques à ceux des domaines physiques.
« Cyber » n’est pas plus une spécialité qu’Air, Mer ou Terre. La compréhension de la capacité associée doit aller au-delà d’un terme global. C’est un ensemble de techniques, chacune nécessitant un haut niveau d’expertise, qui doit contribuer au combat numérique tactique tout comme le fantassin, le cavalier ou l’artilleur le font pour le combat terrestre. Au niveau opératif, la « 3.20 » propose là encore une intéressante approche par fonction opérationnelle. Que la chaine cyber s’organise autour des « manœuvre », « feux », « commandement et conduite », « renseignement », « information », « soutien », « protection des forces » et « coopération civilo-militaire » est aussi nécessaire que de l’intégrer dans ces fonctions au niveau interarmées.
Pallier les difficultés par la coopération
Sujet récent, le développement d’une capacité d’opérations cybernétique militaire se heurte à de nombreuses difficultés. Une coopération transverse, civilo-militaire ou inter alliées plus étendue devrait pouvoir les modérer en partie.
Le manque d’experts qualifiés ou expérimentés est une problématique qui touche les mondes civil et militaire. Même si la formation et le perfectionnement de ces spécialistes ont déjà pris un tournant, tous les besoins sont encore loin d’être comblés. Dans ce contexte hyper concurrentiel, l’attractivité de la composante cyber est un enjeu pour les Armées. Déjà forts d’une politique de recrutement, de formation et de gestion plus pointue, les militaires doivent considérer la coopération comme une piste qui vient étoffer leurs propres capacités : l’OTAN tout comme les partenaires industriels proposent par exemple un catalogue de nombreux stages, tandis que le centre d’excellence de Tallinn organise parmi les plus grands et ambitieux exercices cyber au monde (Cyber Coalition, Locked Shields).
La coopération revêt également un aspect plus stratégique en donnant davantage de consistance à la dissuasion. La détection d’un assaillant et l’ajustement dynamique d’une cyberdéfense passe par l’échange d’informations caractéristiques d’une menace et par le partage de mesures d’atténuation. C’est surtout avec le monde civil que ce type de partenariat peut se développer : avec les collaborateurs industriels comme avec les centres gouvernementaux de veille, d’alerte et de réponses aux attaques. La coopération interalliée s’inscrit davantage dans le volet « dissuasion par punition ». Si l’échange de renseignement peut rapidement se heurter à un caractère souverain, c’est bien la mutualisation de moyens de réaction dans une défense collective qui vient prévaloir ici.
Depuis sa création, le monde numérique ne cesse de prendre de l’ampleur, offrant toujours davantage de possibilités malveillantes. En quelques décennies, les cyberattaques ont été utilisées par toutes sortes d’acteurs : criminels, terroristes et États qui, de plus en plus nombreux, développent leurs capacités offensives. Pour faire face aux conflits du futur et dissuader l’ennemi, c’est maintenant que les nations doivent intégrer les opérations cybernétiques à leur outil militaire, ne plus se limiter à la cyberdéfense et considérer toutes les ramifications du cyberespace. En France, la ré-impulsion que laisse espérer la stratégie d’accélération cyber est une aubaine pour les Armées. Il est à espérer que proche est le moment où Arthur considérera le cyber non pas comme Merlin, mais comme Excalibur à son poing.
