Les Chroniques des membres de La Gauche Moderne

Quels enjeux politiques en matière de cyber-défense

Publié le 27 Mars 2012

Chronique d'Emmanuel Dupuy :

C’est à l’occasion d’un de ces petits-déjeuners débats « Enjeux européens »organisés par Noecom (www.noecom.com) que le Sénateur du Haut-Rhin, Jean-Marie Bockel a dévoilé les principales propositions contenues dans leRapport parlementaire d’information sur les enjeux de sécurité liés aux menaces informatiques.

Le concept de cyber-défense peut être perçu comme étant celui de la politique mise en place par l’État pour protéger les réseaux et systèmes d’informations essentiels pour garantir la souveraineté nationale. Il est plus large que celui decyber-sécurité. Ce dernier concept concerne plutôt la protection des réseaux d’informations, celle des sites sensibles – dont ceux de la défense –, des infrastructures vitales (transports, énergie, hôpitaux) ou des systèmes bancaires. Daniel Ventre (CNRS) parle lui plus volontiers d’un « espace informationnel », mettant en exergue le fait qu’il ne s’agit que d’un des aspects dans lequel le mode numérique duplique voire remplace le scriptural (en terme de transmission des données, influence des idées et des sociétés). Nombre d’analystes s’interrogent néanmoins sur le fait de savoir s’il s’agit d’un nouvel espace à part, à côté de ce qu’il est convenu d’appeler les « Global commons », tel que mentionnés dans le concept stratégique de l’Alliance (mer, terre, air auquel il convient d’ajouter l’espace) ou, s’il s’agit d'un espace « transversal », perméable aux trois précités ?

Dès lors, une attaque via l’informatique venant ou non d’un pays unique visant des objectifs privés (serveurs, sites d’entreprises, aéroports, banques…) constitue-t-elle pour autant une attaque prouvée et délibérée d’un État contre un autre État ? Si avérée, appelle-t-elle une réponse proportionnelle (comme l’Estonie l’avait sollicité alors qu’elle s’estimait attaquée par la Russie en 2007 en faisant explicitement référence à l’article 5 du Traité de Washington) ? Les mesures de rétorsion doivent-elles se limiter à des moyens cybernétiques, ou bien peut-on également envisager des frappes militaires conventionnelles ? Questions pertinentes quand on sait qu’il s’agit d’identifier la tête pensante derrière les attaques portant la signature d’hackers de nationalité chinoise ou russe ou encore ceux issus du réseau libertaire Anonymous.

Par ailleurs, l’émergence des réseaux sociaux dans les relations internationales est une réalité indéniable. On a ainsi pu parler d’«e-democratie» (avec le phénomène de la diffusion savamment ciblée de plus de 250000 télégrammes diplomatiques, en novembre 2010) ou encore de « Révolution 2.0 » à l’occasion du « Printemps arabe » : on a volontiers fait référence à l’occasion des révoltes en Tunisie ou en Égypte, de « révolution Facebook » ou de « diplomatie Twitter ».C’est indéniablement grâce à Internet, associé à d’autres moyens, comme les téléphones portables ou la télévision, qu’a été rendu possible cette résistance collective face aux régimes autoritaires dans la région.

On s’est aussi beaucoup interrogé sur la vulnérabilité des infrastructures critiques. En principe, tout est fait pour maintenir des cloisons étanches entre les systèmes les plus sensibles de ces installations et les réseaux ouverts sur l’extérieur. Des attaques de ce type relèvent soit de groupes de hackers très professionnels au service de certains États, soit des États eux-mêmes, avec leurs propres capacités offensives. Dans le même temps, rien ne permet d’identifier l’origine de l’attaque,même s’il y a des soupçons. Car, c’est bien une des caractéristiques de ces cybermenaces: l’impossibilité de remonter à la source et d’attribuer les attaques à unadversaire identifié !

Une attaque informatique ignore par nature les frontières. L’ancien ministre de la Défense britannique, Pat Cox rappelait, à cet effet, qu’il n’y avait pas de « Ligne Maginot » dans le cyberespace. Au-delà, face à la volatilité des risques et menaces, les réponses graduées nationales mettent en exergue le manque de coopération internationale. La France devrait ainsi développer ses propres capacités à lutter contre les attaques informatiques et renforcer sa coopération dans ce domaine, notamment avec d’autres pays européens et au sein de l’Otan, tout enveillant à garder sur ces questions des éléments de souveraineté, qui ne peuvent être totalement délégués.

Jusqu’à présent, les cyber-attaques n’ont produit que des nuisances assez limitées. Les vulnérabilités sont réelles et les savoir-faire se développent. On nepeut pas éviter de telles attaques mais on peut certainement en limiter les effets en renforçant les mesures de protection et en prévoyant comment gérer la crise letemps du rétablissement des systèmes.

Les réponses varient cependant trop d’un État à l’autre:

En France, l’Agence nationale de sécurité des systèmes d’information (Anssi) a été créée en juillet 2009. Son budget – de l’ordre de 90 millions d’euros pour 2012 – et ses personnels (250 agents aujourd’hui, 360 en 2013) restent à l’échelle européenne et mondiale nettement insuffisants.

Aux États-Unis, le président Barack Obama s’est fortement engagé sur le sujet et a qualifié la cyber-sécurité de priorité stratégique en nommant à la Maison-Blanche un conseiller spécial chargé de ce dossier. Il existe plusieurs organismes, au sein du département de la Défense et du département chargé de la Sécurité nationale,qui interviennent dans ce domaine, comme l’Agence de Sécurité nationale ou encore le Cybercommand, inauguré en 2010 et qui est chargé, fort plus particulièrement de protéger les réseaux militaires américains. De 2010 à 2015, le gouvernement américain devrait consacrer 50 milliards de dollars à la cyber-défense.

Au niveau de l’Otan, le Centre d’excellence de l’Otan de Tallin (CCDCOE) existe depuis le Sommet de Riga (2004). Son renforcement a été à l’ordre du jour lors du Sommet de Lisbonne de novembre 2010, avec la perspective de doter l’Alliance d’une pleine capacité opérationnelle en matière cybernétique d’ici fin 2012 à travers l’élaboration d’une « politique de cyber-défense en profondeur ». Composé de 10 pays et de 30 personnes seulement (sans officier français jusqu’ici !) l’objectif est loin d’être atteint et ne le sera très certainement pas à temps…

L’Union européenne a aussi un grand rôle à jouer car une grande partie des règles qui régissent les réseaux de communication électronique relève de sa compétence. Elle peut donc agir pour l’harmonisation de certaines dispositions techniquesau niveau européen qui sont importantes du point de vue de la cyber-défense.

Le propre des attaques informatiques est d’exploiter des failles, de se porter là où les parades n’ont pas encore été mises en place. Mais l’on peut renforcer la sécurité des réseaux et des infrastructures les plus sensibles et améliorer leur résilience.

On peut aussi s’interroger sur la gouvernance de l’Internet, ce réseau par lequel transitent ces attaques. Internet est un espace non régulé, dépourvu d’autorité centrale. Peut-on ainsi imaginer, par exemple, de renforcer la traçabilité sur Internet et donc de restreindre l’anonymat derrière lequel s’abritent les agresseurs, en conciliant transparence et traçabilité ?

Enfin, beaucoup reste à faire pour sensibiliser le monde de l’entreprise. Faut-il aller plus loin et passer par la loi pour fixer un certain nombre de règles oude principes ?

En tout état de cause, assurer la sécurité des systèmes d’information des entreprises n’est pas seulement un enjeu technique mais est aussi un enjeu économique, puisqu’il s’agit de protéger la chaîne de valeur, notre savoir-faire technologique dans la guerre économique d’aujourd’hui, voire un enjeu politique, lorsque les intérêts de la nation sont en jeu.

Emmanuel Dupuy

Retrouvez cette chronique parue dans l'edition d'avril de la Revue de la Defense nationale (www.defnat.com)