mercredi 10 septembre 2014

L'Otan se lance dans la cyberguerre ? Attention aux conclusions hâtives

Suite au Sommet de l’OTAN de Newport au Pays de Galle qui s’est tenu les 4 et 5 septembre derniers, une déclaration finale a été publiée permettant de comprendre ce qui a été décidé par les Etats membres. Parmi les nombreux dossiers évoqués (la nouvelle NRF, une consolidation budgétaire, etc…) figurent deux points dans la déclaration (sur une centaine) portant sur la cyberdéfense. 

Les points 72 et 73 précisent plusieurs éléments déjà connus : les cybermenaces et les cyberattaques sont amenées à se multiplier et surtout à se complexifier avec la probabilité de dégâts accrus. L’OTAN affirme même que « les cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique » et que « leur impact sur les sociétés modernes pourrait être tout aussi néfaste que celui d’une attaque conventionnelle ». Nous reviendrons après sur cette analyse qui mérite d’être nuancée. Toujours est-il que cette dernière permet à l’organisation de sécurité collective de considérer que la cyberdéfense relève de la tâche fondamentale de l’OTAN et qu’il convient de mener « une politique de cyberdéfense renforcée ». L’OTAN ajoute même qu’il pourra invoquer le fameux article 5 suite à une cyberattaque en fonction des circonstances. 

Le point suivant indique, sans donner trop de détails (mais ce n’est pas le but principal d’une déclaration finale), la nécessité de renforcer les capacités des membres de l’OTAN en matière de cyberdéfense, d’élargir la collaboration technique à d’autres structures internationales et surtout, d’intensifier la coopération avec le secteur industriel en développant un cyberpartenariat OTAN-industrie, ce qui est sans doute l’idée la plus intéressante des deux points évoqués. 

Que penser de ce sommet en matière de politique de cyber ? Peut-on titrer, comme le fait dans un article paru le 7 septembre (http://www.lemonde.fr/europe/article/2014/09/07/l-otan-se-lance-officiellement-dans-la-cyberguerre_4483314_3214.html), le journaliste du Monde Yves Eudes « Inquiète des avancées russes, l’OTAN se lance officiellement dans la cyberguerre » ? Notons que la déclaration finale ne comporte pas une seule fois le mot « cyberguerre »… L’article re-contextualise cependant à bon escient les avancées de l’OTAN en matière de cyber en revenant sur les positions cyberoffensives russes, mais ne met pas en évidence les lacunes du concept doctrinal de l’OTAN sur ces questions. 

Le terme de « cyberguerre » est très (trop ?) fréquemment employé dans les médias, alors qu’il ne revêt jusqu’à présent aucune réalité concrète. Il y a certes des cyberattaques, mais pas de cyberguerre au sens de conflit entre au moins deux protagonistes identifiés causant des dégâts humains et économiques majeurs à l’un ou l’autre, ou les deux. La déclaration finale tombe également dans un autre travers lorsqu’elle évalue le niveau de la menace cybernétique. Certes, nos sociétés sont de plus en plus ancrées dans le cyberespace, mais il faudra encore beaucoup de temps avant qu’elles subissent des dégâts aussi importants qu’une guerre conventionnelle. 

Les exemples estonien et géorgien témoignent certes de cyberattaques réelles ayant affecté des infrastructures des pays visés, mais il convient de rappeler trois éléments importants : 
- Les pays touchés ont pu dans des temps relativement rapides remettre en marche leurs services, ce qui est rarement le cas lors de guerres conventionnelles.
- L’identité de l’agresseur n’est pas assurée. De forts soupçons pèsent sur la Russie, mais qu’entend-on par « Russie » ? Une division cyber de l’armée ? Des militants nationalistes ?
- Ces cyberattaques semblent nouvelles alors qu’elles ne correspondent qu’à de classiques techniques de sabotage et de perturbation des communications de l’ennemi, comme l’Histoire en a connu des milliers. 

L’OTAN a évidemment tout intérêt à ne pas prendre de retard sur son analyse des enjeux sécuritaires du cyberespace, mais l’organisation est face à de nombreuses difficultés pour avoir un discours clair et cohérent, et elle en est consciente, comme en témoigne la prudence dans le choix des mots et la nuance de toute idée nouvelle. 

Comme rappelé précédemment, l’un des problèmes majeurs dans le cyberespace est de démontrer de façon irréfragable la responsabilité de telle cyberattaque. De nombreux moyens techniques existent pour brouiller les pistes, et malgré quelques déclarations d’officiels, les preuves concrètes se font souvent attendre, si elles existent d’ailleurs…

Deuxièmement, l’invocation de l’article 5 semble pour le moins surprenante, voire peu probable. En théorie, un Etat faisant l’objet d’une cyberattaque pourrait bénéficier de l’aide des membres de l’Alliance, y compris militaire, si l’invocation était retenue. Les Etats membres seraient-ils prêts à une escalade de menaces verbales et physiques suite à une simple cyberattaque (même si cette dernière paralysait temporairement les services du pays visé) ?

Troisièmement, à de très rares exceptions, les cyberattaques relèvent pour la plupart de l’espionnage numérique : la Chine est suspectée depuis des années d’agir dans le cyberespace pour dérober des secrets industriels et militaires en Europe et aux Etats-Unis. La Russie est pointée du doigt également pour des actions menées contre des intérêts américains. Mais il conviendrait d’ailleurs de s’interroger sur le rôle même des Etats-Unis, premier contributeur de l’OTAN, dans le cyberespace. Les révélations de Snowden témoignent d’une action quasi sans limite des Etats-Unis contre leurs ennemis, mais aussi leurs alliés (dont l’Allemagne…). Il serait assez cynique d’imaginer un membre de l’OTAN demander à l’Organisation de l’aider à se défendre contre un autre membre de l’OTAN…

En effet, la réponse collective demandée par l’OTAN a peu de chances d’aboutir réellement (hormis un discours de façade) pour deux raisons : les Etats, qu’ils soient membres de l’OTAN ou de l’Union européenne, ne sont pas forcément d’accord sur la définition même des concepts relatifs au cyberespace et ne sont pas au même niveau en terme d’analyse, de moyens et de priorisation. Mais surtout, pour beaucoup, la cyberdéfense (et encore plus la cybersécurité) relève de la souveraineté nationale. 

Certes, des échanges de bons procédés existent déjà entre Etats membres avec des mises en situation, mais ils demeurent insuffisants pour répondre efficacement aux menaces cybernétiques qui, par définition, sont imprévisibles (l’assaillant a toujours un coup d’avance), modulables, et plus rapides à exécuter qu’à être bloquées. Dans le document, l’OTAN met en avant ses structures existantes, dont son centre de Tallinn, plus connu pour son manuel scientifique qui tente de fixer le cyberespace dans un cadre juridique clair, que pour l’élaboration de stratégies. 

En ne souhaitant pas être à la traîne, l’OTAN prend aussi le risque de participer à une course aux armements numériques qui sévit déjà entre les Etats-Unis et la Chine. En effet, pour de nombreuses cyberstratégies nationales, la simple protection des infrastructures (via des pare-feux par exemple) n’est plus suffisante et des contre-mesures sont désormais envisagées avec des cyberattaques ciblées qui peuvent toucher des pays non concernés. L’OTAN ira-t-il jusque-là au nom de sa  « politique de cyberdéfense renforcée » ?

Il est encore trop tôt pour le savoir, mais nul doute que la stratégie cyber de l’OTAN sera longue et complexe à mettre en place. On se dirige en tout cas vers une militarisation renforcée du cyberespace avec un risque certain d’engrenage où les cybernautes seront de potentielles victimes. 


Tribune publiée initialement pour le Nouvel Observateur (Le Plus) le 10 septembre 2014 (http://leplus.nouvelobs.com/contribution/1239101-l-otan-se-lance-dans-la-cyberguerre-attention-aux-conclusions-hatives.html)

Aucun commentaire:

Enregistrer un commentaire