Couverture de RDNA_829

Article de revue

Cyberespace : la guerre a commencé

Pages 25 à 31

Notes

  • [1]
    Discours du président de la République sur la stratégie de défense et de dissuasion, 7 février 2020.
  • [2]
    Ver informatique découvert en 2010 sur les systèmes de contrôle de centrifugeuses d’enrichissement d’uranium iraniennes, dont il est communément admis qu’il a permis de retarder significativement le programme nucléaire de ce pays.
  • [3]
    Ransomwares apparus en 2017, à l’origine de pertes se chiffrant en centaines de millions de dollars dans plusieurs grandes entreprises, dont le groupe français Saint-Gobain.
  • [4]
    Audition au Congrès du Director of national intelligence James Clapper, 5 janvier 2017.
  • [5]
    « La capacité de se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs est devenue un des éléments de la souveraineté nationale » (p. 105).

1

« Porteur d’innovations sans limite, le numérique innerve tous les milieux physiques. Devenu lui-même un champ de confrontation à part entière, sa maîtrise exacerbe les rivalités entre puissances, qui y voient un moyen d’acquérir la supériorité stratégique. Il offre également des possibilités inédites de surveillance de masse des populations, d’exercice d’un autoritarisme numérique. » [1]

2 À l’été 2019, dans le cadre d’un challenge sponsorisé par le Pentagone en parallèle de la DEF CON Cybersecurity Conference, un groupe de hackers a créé l’événement en parvenant à prendre le contrôle d’un avion de chasse F-15 en moins de 48 heures. En introduisant un logiciel malveillant sur le système de commande de l’appareil, ces « pirates autorisés » se sont ainsi placés en position d’en modifier le fonctionnement, d’en suivre les évolutions ou d’en brouiller les perceptions.

3 Nos esprits rationnels, concentrés sur la maîtrise du monde physique qui nous entoure, ont sans doute la tentation de rejeter de telles informations dans le registre de la fiction dont nous sommes abreuvés par les séries télévisées et films hollywoodiens, et pourtant l’histoire est bien réelle et contemporaine. Elle illustre l’apparition d’un nouveau champ de confrontation dans lequel nous n’avons pas d’autre choix que de défendre âprement nos intérêts : le cyberespace.

4 L’affaire Stuxnet[2], les dégâts causés par les virus Notpeya et Wannacry[3], l’annonce publique que le processus électoral américain de 2016 a été perturbé par des attaques cyber [4] sont autant de preuves tangibles de l’existence d’une nouvelle réalité stratégique : tout rapport de force inclut désormais la notion de supériorité numérique acquise ou préservée sur un adversaire, qu’il soit de nature étatique ou non, et qu’il poursuive des objectifs de nature politique, militaire ou économique. Les avantages compétitifs détenus par nos entreprises ou nos armées dans les champs physique ou informationnel peuvent aujourd’hui voler en éclats en quelques heures sous le coup d’une attaque informatique menée à peu de frais par un petit groupe d’individus.

5 Cette réalité est celle à laquelle se confrontent au quotidien nos entreprises et chacun de nos concitoyens. Elle est la raison d’être des structures mises en place par l’État français pour assurer la protection de nos intérêts dans le cyberespace. Elle vaut particulièrement dans le domaine de la défense armée.

6 Pour en rendre compte, nous explorerons tout d’abord les enjeux liés à la maîtrise de cet espace, puis les outils mis en place par l’État français pour les appréhender et, enfin, les défis particuliers de la période qui s’ouvre pour assurer notre souveraineté numérique.

7 Dans cette édition de la RDN, nous montrerons que la cyberdéfense est, elle, une guerre d’aujourd’hui.

8 ***

9 On peut sans doute résumer les enjeux de l’affrontement dans le cyberespace à cette idée : celui des adversaires ; qui possédera la supériorité numérique sera désormais en position de briser toute attaque du camp d’en face, voire de le dissuader de toute tentative d’action hostile.

10 En 1912, au lendemain de la guerre que s’étaient livrée l’Italie et la Turquie pour le contrôle de l’actuelle Libye et qui avait donné lieu aux premières attaques par air, l’officier italien Giulio Douhet avance que la capacité à bombarder les arrières de l’ennemi décidera désormais du sort des conflits. Ses théories sont à l’époque mal reçues, et il passe même en cour martiale pour avoir, par la suite, critiqué trop violemment la conduite de la guerre par son gouvernement au début du premier conflit mondial. Il fut plus tard réhabilité et fait général. Car la suite des événements semble lui donner raison : la plupart des conflits du siècle naissant voient leur règlement lié à la possession de la supériorité aérienne. En mai 1941, constatant qu’il ne parvient pas à l’acquérir face à la Grande-Bretagne, Hitler renonce à l’invasion après dix mois de campagne de bombardement.

11 Cette référence historique pourrait s’appliquer à la période qui s’ouvre : après la domination des mers, qui a valu à l’Angleterre son leadership mondial au XIXe siècle, et celle dans les airs, la question de la supériorité numérique mérite sans conteste un degré d’attention équivalent dans notre environnement actuel.

12 Une attaque cyber se définit par le type d’attaquant, la méthode et les outils d’attaque, mais aussi et surtout par les effets qu’elle produit ; ceux-ci sont de trois ordres : l’entrave, l’extraction de données et la modification des perceptions.

13 Au plan numérique, entraver signifie prendre le contrôle d’un système pour en modifier le fonctionnement, voire en provoquer la destruction. Ce que des ransomwares réalisent en chiffrant des données sur des ordinateurs distants, d’autres malwares peuvent le faire sur les systèmes de commande de tout ou partie d’une arme. On l’a vu dans le cas du F-15 évoqué plus haut et dans l’affaire Stuxnet : tout objet numérisé peut être considéré vulnérable à une attaque cyber. Celles-ci sont parfois d’une très grande complexité, mêlant techniques informatiques et opérations de renseignement ou de manipulation pour trouver des failles humaines dans un système souvent fermé à toute communication avec l’extérieur.

14 La notion de recueil ou d’extraction de données parle de soi : en pénétrant sur des systèmes d’information choisis, un adversaire peut connaître les intentions du camp d’en face, les capacités de ses armements les plus critiques, etc.

15 Enfin, la numérisation offre des possibilités sans limites pour la modification des perceptions ou les capacités d’analyse adverses. Dans le champ militaire, citons le cas de l’image radar que l’on pourra saturer ou dont on pourra soustraire des informations que l’on souhaite masquer. Cette notion s’étend aussi et surtout au champ de l’opinion publique, soutien indispensable de l’effort de guerre, que l’exposition croissante aux réseaux sociaux rend d’autant plus vulnérable aux manipulations. Si au début des années 2010 la lecture du Parisien permettait encore de mesurer d’un coup d’œil l’évolution de l’opinion sur un sujet d’actualité, ce sont aujourd’hui le nombre de retweets et la popularité des « # » qui constituent les meilleurs indicateurs de la sensibilité d’une population. Si la prise en compte du champ informationnel dans la stratégie n’est pas une nouveauté, la maîtrise de l’image et la vérification de l’information sont des sujets de préoccupation croissants. Elles se heurtent à la fois aux manipulations numériques adverses, aux phénomènes de masse et à l’attitude des dirigeants de ces réseaux sociaux, qui entendent, eux aussi, conserver une forme de souveraineté. Songeons au choc provoqué par l’affaire Cambridge Analytica au cours de l’année 2018, qui a valu au patron de Facebook de longues heures d’audition au Congrès, les Américains ayant eu l’impression de s’être fait confisquer le processus électoral par le géant du numérique.

16 Au-delà des questions politiques, les réseaux sociaux représentent aussi des viviers de recrutement pour les organisations terroristes : le nombre d’attaques « inspirées » par la propagande jihadiste dépasse nettement celui des attaques dirigées reposant sur des individus choisis et spécialement entraînés.

17 On comprend donc que désormais toute situation de confrontation militaire devra prendre en compte ces risques.

18 Tout défenseur devra s’assurer de l’intégrité de ses systèmes d’arme en réduisant leur exposition à une attaque extérieure, dès leur phase de conception industrielle (Security by Design). Il devra protéger ses secrets, vérifier ses sources d’information et parer les tentatives de manipulation de son opinion publique.

19 Tout attaquant devra, dans la mesure des règles qu’il se fixera, s’assurer de la possibilité d’utiliser les mêmes armes contre son adversaire.

20 L’efficacité d’une stratégie de guerre numérique repose sur des facteurs communs avec les autres formes de guerre : connaissance fine de l’adversaire, étude du terrain (on pourra dire ici : « surface numérique », certains adversaires en possédant de plus ou moins denses, réduisant d’autant leur exposition à l’arme cyber), étude du rapport de force, examen de modes d’action possibles et de parades, élaboration de plans de secours… Elle possède une originalité : si le temps de l’action est le plus souvent bref, à la mesure de la vitesse de propagation de l’information, celui de sa préparation peut s’avérer très long. Trouver une vulnérabilité chez l’adversaire et se mettre en position de l’exploiter peut prendre un temps considérable. Il s’agit de combiner actions de renseignement, ingénierie sociale, techniques informatiques de pointe et exploitation de failles initiales pour obtenir un avantage qui peut s’avérer fugace si l’ennemi modifie ses processus ou ses équipements ou découvre ces failles. Un autre facteur vient compliquer la préparation de l’action : c’est la difficulté à caractériser l’ennemi. Dans l’espace numérique, celui-ci est protéiforme : il peut s’agir d’un État, d’un proto-État, d’un groupe de circonstance (éventuellement de nature terroriste) poursuivant des objectifs politiques ou criminels, voire d’individus isolés. Certains de ces groupes peuvent être liés, agissant en paravent les uns des autres, et leur existence peut être très éphémère.

21 Dès lors, la conquête de la supériorité numérique nécessite des actions en amont de l’affrontement. Dans les années à venir, elle prendra plus vraisemblablement la forme d’opérations discrètes et rarement revendiquées plutôt que d’un « grand soir » qui verrait l’ensemble des capacités d’une nation brutalement rendues indisponibles. C’est en cela que cette guerre a déjà commencé.

22 ***

23 Évoqué pour la première fois dans le Livre blanc sur la défense et la sécurité nationale de 2008, le besoin de protéger les systèmes d’information est encore souligné dans celui de 2013 [5]. La Revue stratégique de défense et de sécurité nationale de 2017 l’érige en priorité de la période qui s’ouvre.

24 Dès 2017, le commandement de la cyberdéfense (Comcyber) est créé au sein de l’état-major des armées. Par délégation de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI), le Comcyber assure la protection des systèmes d’information placés sous la responsabilité du chef d’état-major des armées et la conduite de la défense des systèmes d’information du ministère. Sous l’autorité du sous-chef d’état-major « opérations », il est responsable de la conception, de la planification et de la conduite des opérations militaires de cyberdéfense. Il est également en charge de contribuer à la préparation de l’avenir et de la politique RH du domaine cyber.

25 En 2018, le SGDSN publie la première Revue stratégique de cyberdéfense fixant son organisation au sein de l’État et proposant des principes de régulation internationale du cyberespace. Six missions sont définies : prévention, anticipation, protection, détection, attribution et réaction. Le modèle français s’articule autour de l’ANSSI, du Comcyber, de la DGA et des services de renseignement dont l’action est indispensable pour caractériser une attaque et opérer dans le cyberespace.

26 En janvier 2019, la ministre des Armées présente la politique ministérielle de lutte informatique défensive articulée autour du Comcyber et la doctrine de lutte informatique offensive à des fins militaires visant à garantir la supériorité opérationnelle des armées françaises dans le cyberespace. De fait, c’est la première communication publique sur l’existence de moyens offensifs, qui ouvre la voie à de nouvelles coopérations dans le domaine.

27 À l’automne 2019, le ministère des Armées porte la publication d’un rapport sur le Droit international appliqué aux opérations dans le cyberespace : la France y affirme son engagement à faire respecter les règles du droit international, déjà souligné dans l’« Appel de Paris pour la confiance et la sécurité dans le cyberespace », un an auparavant. Le rapport détaille les notions de seuil d’agression, de légitime défense et de due diligence s’imposant aux États en cas d’attaque menée depuis leur sol. Il fait écho au Manuel de Tallinn publié en 2013 par un groupe d’experts mandatés par l’Otan et marque la position française à l’heure où s’engagent les travaux de groupes d’experts gouvernementaux à l’ONU.

28 La loi de programmation militaire 2019-2025 dote la cyberdéfense d’un budget de 1,6 Md€ et prévoit une augmentation du nombre de cybercombattants, faisant passer leur nombre de 3 000 à 4 000 sur la période. Placés sous le contrôle opérationnel du Comcyber, ces moyens contribuent à la défense des systèmes d’armes et aux opérations militaires dans le cyberespace. L’action du Comcyber s’appuie aussi sur des partenariats d’importance croissante. Outre les autres acteurs du modèle français précédemment cités, il entretient des relations avec plusieurs partenaires étrangers pour renforcer la sécurité mutuelle de nos moyens et collaborer autour des engagements militaires actuels.

29 Enfin, la cyberprotection de nos systèmes d’armes s’étend désormais à l’industrie de l’armement : la ministre des Armées a signé, en novembre 2019, une convention liant le ministère aux 8 principaux maîtres d’œuvre français du secteur, pour une meilleure gestion des risques associés à la numérisation de ces systèmes.

30 ***

31 Les défis posés au Comcyber sont à la mesure des enjeux précédemment décrits : pour participer au maintien de notre souveraineté dans le domaine numérique, il doit à la fois parer dès aujourd’hui les attaques subies par nos systèmes d’armes, offrir des possibilités d’action en appui des opérations militaires, construire et stabiliser des capacités encore inexistantes au début de la décennie précédente.

32 L’acquisition des équipements de lutte informatique défensive présente des exigences propres qui la distinguent des opérations d’armement traditionnelles : le tempo d’évolution de la technologie et la nécessité de réaliser des preuves de concept de façon quasi simultanée avec leur mise en service réclament une souplesse particulière.

33 Au-delà, le défi de l’acquisition et de l’organisation des ressources humaines dédiées à combat nouveau est considérable. L’efficacité de la défense de nos systèmes et la capacité à gagner la supériorité numérique reposent avant tout sur le talent de celles et ceux qui préparent et exécutent les opérations de cyberdéfense. On imagine un peu vite les rangs du Comcyber formés par des bataillons de geeks menant cette guerre à la façon d’un grand jeu vidéo. Le retour d’expérience de ces premières années d’existence révèle une réalité bien différente. D’une part, le personnel qui le compose est pleinement cybercombattant(e), conscient des enjeux de son action, et d’autre part le panel des profils est très large. Beaucoup de techniciens, dont certains sont particulièrement talentueux, mais aussi des linguistes, géopoliticiens, psychologues, et aussi des militaires possédant une expérience opérationnelle classique, particulièrement utiles pour l’intégration de ces nouvelles capacités dans la communauté des opérations. Le Comcyber s’attache actuellement à mieux décrire ces nouveaux emplois et les parcours de carrière et formations associés, ainsi qu’à identifier les ressorts de fidélisation : rémunération adaptée pour prendre en compte la concurrence privée, modalités de récompenses et de reconnaissance…

34 Plus généralement, la cyberdéfense doit imprégner davantage l’ensemble de la communauté militaire. La culture du risque informatique et celle de l’emploi de l’arme cyber doivent être mieux partagées.

35 Les évolutions techniques constantes du domaine numérique imposent une perpétuelle remise en cause des avantages conquis sur nos adversaires potentiels : la « cloudification » de l’espace numérique, le déploiement de la 5 G et l’augmentation des vitesses de connexion associée vont généraliser l’Internet of things posant de nouveaux défis de souveraineté et d’autonomie industrielle ; l’introduction des ordinateurs quantiques et l’intelligence artificielle impacteront fortement les vitesses de calcul…

36 Enfin, la régulation du cyberespace et les partenariats multilatéraux et bilatéraux de la France dans le domaine devront pouvoir rester des opportunités plutôt que des contraintes.

37 ***

38 On le voit, la préservation de nos intérêts dans le cyberespace est un problème du temps présent et non de l’avenir. Elle concerne au premier chef la défense armée, objet d’attaques incessantes de plus en plus sophistiquées et discrètes.

39 Nos partenaires internationaux s’accordent à reconnaître que la France a fait les choix nécessaires pour figurer au premier rang de la compétition mondiale dans ce domaine. Pour autant, les investissements consentis doivent être pleinement concrétisés et les efforts maintenus pour rester dans la course.

40 La supériorité numérique sur nos adversaires, loin d’être un atout superflu, n’est qu’un préalable à toute autre forme d’exercice de rapport de force. Tout déclassement en la matière aurait des conséquences stratégiques immédiates.


Mots-clés éditeurs : cyberguerre, cyberdéfense, cyberespace, souveraineté numérique

Date de mise en ligne : 20/04/2020

https://doi.org/10.3917/rdna.829.0025

Notes

  • [1]
    Discours du président de la République sur la stratégie de défense et de dissuasion, 7 février 2020.
  • [2]
    Ver informatique découvert en 2010 sur les systèmes de contrôle de centrifugeuses d’enrichissement d’uranium iraniennes, dont il est communément admis qu’il a permis de retarder significativement le programme nucléaire de ce pays.
  • [3]
    Ransomwares apparus en 2017, à l’origine de pertes se chiffrant en centaines de millions de dollars dans plusieurs grandes entreprises, dont le groupe français Saint-Gobain.
  • [4]
    Audition au Congrès du Director of national intelligence James Clapper, 5 janvier 2017.
  • [5]
    « La capacité de se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs est devenue un des éléments de la souveraineté nationale » (p. 105).

Domaines

Sciences Humaines et Sociales

Sciences, techniques et médecine

Droit et Administration

bb.footer.alt.logo.cairn

Cairn.info, plateforme de référence pour les publications scientifiques francophones, vise à favoriser la découverte d’une recherche de qualité tout en cultivant l’indépendance et la diversité des acteurs de l’écosystème du savoir.

Retrouvez Cairn.info sur

Avec le soutien de

18.97.14.83

Accès institutions

Rechercher

Toutes les institutions