Alliance Géostratégique

À la suite d’un échange entre les auteurs de Cidris et de Lignes Stratégiques, nous vous proposons de découvrir les échanges suivants.

Cher blogueur et ami, vous défendez dans vos écrits la possibilité d’intégrer la dissuasion « informatique » ou dans le cyberespace comme une composante en devenir de la dissuasion « générale » ou « globale ». A contrario, nombres d’analystes et autres experts du « cyber » trouvent cette idée incongrue pour une raison simple : qu’est-ce qui empêche un pirate informatique, placé dans une organisation ou non, de faire ce qu’il souhaite? D’un côté, l’on sent bien que le raisonnement est un peu trop court, tandis que du vôtre, on est en attente d’explications et de développement. Je vous propose, aussi, de nous apporter au travers de cet entretien et de quelques questions votre vision de cette « dissuasion » dans le cyberespace.

[Cidris] Pourriez-vous rappeler et définir les grands principes de la dissuasion ?

[LS] En fait, je ne défends pas la « dissuasion informatique ». Ce terme est bien trop réducteur. Je défends l’idée d’une contribution d’opérations ou d’actions dans le cyberespace (non limité à Internet) à la dissuasion stratégique, qui est pour moi globale. J’ai abordé ce thème avec Olivier Hubac, dans le DSI HS d’août-septembre dernier, et dans les Cahiers du CESAT (version informatique à venir). Nous développons 4 modèles possibles et différenciés de dissuasion intégrant le cyberespace – chercher un modèle universel et absolu me paraît une gageure. Ce ne sont peut-être pas les seuls. Les États-Unis – qui n’ont sûrement rien compris si l’on écoute certains–, ont choisi de développer une dissuasion collective, à plusieurs niveaux, s’appuyant notamment sur un réseau d’alliances (Cf. US international strategy for cyberspace ou DoD strategy for operating in cyberspace). Les modèles dépendent de conditions technologiques, culturelles et surtout politiques d’un pays. C’est un truisme d’écrire que la Corée du nord ou la Grande Bretagne ne dissuadent pas de la même manière.

Quels sont les fondements, en quelques mots ?

• La certitude de dommages ou de conséquences irréparables et inacceptables pour l’adversaire, qui ne doit pas avoir le temps de pouvoir s’adapter à partir d’un certain seuil de violence ;
• La possession d’un arsenal particulièrement violent, crédible et partiellement connu (armes, chaîne de commandement, etc.) ;
• La volonté affichée de l’autorité politique de se servir de l’arsenal, en cas d’échec de la dissuasion (rhétorique, doctrine).

[Cidris] Maintenant que nous nous sommes remis en mémoire ces principes, pourriez-vous décrire comment les logiques de conflits dans le cyberespace peuvent-elles être intégrées ici ?

[LS] Les logiques de conflit sont les mêmes, me semble t-il, que dans les autres espaces (tactique au sein du cyberespace) et s’intègrent dans un tout opératif (opératique) concourant à une stratégie globale. Rien de nouveau sous le soleil des objectifs ,mais bien sous la lune des moyens. Un dirigeant d’une organisation (État, insurrection, groupe politique, etc.) fixe des objectifs politiques à ses « forces » qui les transcrivent (ou essaient) en effets sur le terrain (cyberespace dans notre cas) ou l’adversaire (individus, organisations, États pour simplifier). On entre dans les conflits armés (pour reprendre une terminologie onusienne) ou en guerre, lorsque les critères généraux  d’une guerre sont retenus : le Conseil de sécurité l’a décidé, les parties ont déclaré la guerre, l’affrontement politique par les armes est avéré par ses conséquences, etc. Il est donc évident que le hacking à but « criminel » ou « sportif » n’entre pas dans les conflits armés tant que les individus concernés n’agissent pas en tant que combattants (au sens principal  des conventions de Genève et protocoles additionnels). De même, la protection d’un réseau d’entreprise relève plus de la sécurité (cybersécurité) que de la Défense, et ne peut être considérée comme une action défensive de guerre, sauf en cas de guerre s’étendant au cyberespace.

En définitive, et votre question nous éloigne du sujet, je ne crois pas aux conflits majeurs strictement limités au cyberespace. Cela nous éloignerait des possibilités de contournement opératifs et stratégiques par les autres espaces. L’avenir nous dira si c’est un tort ou non.

[Cidris] En conséquence, que répondriez-vous à vos objecteurs ?

[LS] Je suis très honoré d’avoir des objecteurs – ce qui signifie que tout le monde ne pense pas les mêmes choses.

Les arguments que j’entends aujourd’hui me paraissent souvent un peu courts par rapport à ce que l’on connaît déjà pour la dissuasion :

• L’échec possible. Le point le plus simple à contrer est : « la dissuasion » cyber risque de ne pas fonctionner ! Oui, c’est vrai, comme toutes les opérations militaires ou les actions politiques. L’incertitude s’applique aussi dans le cyber – n’en déplaise à ceux qui veulent tout contrôler. C’est pour cela, entre autres, que les forces de dissuasion de tous les pays qui en disposent s’entraînent pour rester crédible.s Et puis, depuis plus d’un demi-siècle, la dissuasion n’empêche pas les guerres – en général – mais a sûrement contribué à éviter une autre guerre mondiale.
• Les cyberarmes. Leur contour reste relativement difficile à définir. J’entends principalement par cyberarmes les codes malveillants et les armes électromagnétiques…  Pour les codes, c’est plus par l’incertitude des effets que sur la certitude de la destruction qu’une contribution cyber à la dissuasion peut être envisagée.  Pour les armes électromagnétiques (cf. « Les armes électromagnétiques, une menace persistante » dans Stratégies dans le cyberespace), on reste dans un « classique » relatif en s’attaquant à la couche physique ou aux états logiques des stockages ou des signaux.  Force est de constater que personne n’a réellement médiatisé son arsenal, à part quelques groupes de hackers.
• Le seuil  de violence. Dissuader n’est un problème pertinent qu’à partir d’un certain seuil de destruction. En dessous de ce seuil, la dissuasion n’a pas d’efficacité ou n’est pas utile car elle n’est pas faite pour cela. Dire que l’on ne peut dissuader dans le cyberespace parce qu’un individu ou une organisation n’y est pas sensible, revient à négliger l’effet de seuil. La dissuasion ne passe pas l’échelle ! Il faut avoir une dissuasion différente par échelle d’adversaire, selon sa puissance numérique. On ne dissuade pas d’un vol à l’arraché avec une bombe atomique, et une caméra de surveillance et un vigile ne dissuadent pas un pays d’en envahir un autre. La notion d’échelle, fondamentale, est trop souvent omise par les commentateurs.
• L’identification de l’attaque. On dit souvent que l’on ne peut identifier l’origine d’une attaque. En préliminaire, les individus laissent tellement de traces qu’il est possible d’en retrouver la plupart (sauf ceux qui se cachent et savent le faire) sur Internet. Laissez-moi faire un constat. Une attaque majeure – peu probable actuellement mais de plus en plus probable avec les avancées technologiques – est toujours revendiquée, tout ou tard dans l’Histoire, par celui qui a mené l’attaque. Elle survient généralement dans un contexte de tensions préalables. Dans le cas d’une attaque préventive, les suites de l’attaque laissent vite penser qui serait le coupable. Dans tous les cas, une riposte ne doit pas forcément être envisagée comme immédiate. Par ailleurs, des solutions existent pour améliorer la traçabilité des attaques et il est bien évident que la discrétion est de mise pour qui sait mieux les traquer que son adversaire… ou son concurrent. De plus, l’identification rapide des individus se développe lentement mais sûrement, par l’intermédiaire de certificats ou de mise en place de normes. En outre, on peut considérer que chaque pays doit sécuriser son espace souverain et que s’il laisse passer une attaque majeure (dans la durée), il  y consent… Et finalement, dans l’absolu, est-ce plus difficile d’attribuer une attaque dans le cyberespace qu’à un sous-marin lanceur d’engins ? Ainsi, j’affirme que l’attaquant dans une action dépassant le seuil ne peut, aujourd’hui et demain, être certain qu’il n’a pas été détecté, ce qui concourt à la dissuasion.

[Cidris] Que manque-t-il aujourd’hui, selon vous, pour voir cette nouvelle composante de la dissuasion ?

[LS] Je crois que des formes de composantes cyber à la dissuasion sont en place ou se mettent en place. Le cyber conforte la dissuasion dans ses aspects plus « classiques ». Par analogie avec le développement des armes à feu, nous sommes à l’époque de la bombarde et du mousquet, dans ce qui est médiatisé, et nous nous demandons si certains n’ont pas déjà l’équivalent de la bombe atomique pour le cyberespace. Ceci favorise les flous et conjectures.

Cependant, combien d’attaques majeures, au-delà du seuil, depuis 10 ans ,méritent quelques lignes d’un livre d’histoire de l’humanité ? Aucune. Pour certains acteurs, c’est hors de portée, et pour les autres le mécanisme de dissuasion joue.  Les modèles, par contre, ne sont certainement pas totalement formalisés et la rhétorique associée reste encore peu visible, donc insuffisamment prévisible. Le temps va faire son œuvre, ce qui implique de la patience, de la formalisation et du discernement jusque-là. Ce qui est sûr, c’est que le contrôle politique strict est indispensable et que la dialectique politique est prééminente.

[Cidris] Souhaitez-vous ajouter quelque chose ?

[LS] Au-delà des principes stratégiques, la dissuasion c’est d’abord et aussi – concrètement et pratiquement – un problème d’informatique et de télécom. Faire voler un avion, voguer un sous-marin ou un porte-avions, ou un porteur de missile terrestre, c’est à la portée -avec du temps et une volonté – de n’importe quel État développé ou presque ! Le reste non. Ainsi, fabriquer une bombe nucléaire, la simuler, la miniaturiser, l’intercepter, donner des ordres de tir, l’envoyer avec des fusées précises… demandent des calculs irréalisables manuellement (les premiers ordinateurs ont aussi été développés pour cela). Tous ces exemples mériteraient un développement particulier. Certains pensent à une démilitarisation totale du cyberespace. Ce projet ne me paraît pas devoir aboutir dans les prochains mois et n’arrêterait pas pour autant une menace majeure. Les traités peuvent être contournés et il existe des clauses de retrait. Les exemples sont nombreux au 20^ème siècle et rien n’indique que le siècle actuel soit bien différent dans ses débuts. Si une régulation interétatique des relations internationales dans le cyberespace apparaît nécessaire – indispensable-, une démilitarisation totale serait aussi utopique (les réseaux ont historiquement été développés pour la Défense des pays et les systèmes d’armes) que contre-productive, en l’absence d’organisme de contrôle crédible et efficace. Aussi, je reprendrais une partie de la conclusion de l’article réalisé avec Olivier Hubac « Deux stratégies globales sont envisageables : un traité mondial de désarmement prônant le principe de neutralité et d’inviolabilité de certaines parties du cyberespace, définissant ce qui est de l’ordre de la souveraineté des États ou non, ou la mise en place de doctrines de cyberdissuasion conjointement à une adaptation du droit de la guerre. Comme dans le domaine nucléaire, la seconde permettrait d’assurer un équilibre stratégique dans le cyberespace, en attendant que la première puisse être un jour effective». Ceci reprend le principe décrit dans Le Prince de Machiavel: « là où il n’y a point de bonnes armes, il ne peut y avoir de bonnes lois, […] au contraire il y a de bonnes lois là où il y a de bonnes armes ». Merci de vos questions.

[Cidris] Cher ami et blogueur, je vous remercie !

*

*               *

[Cidris] Cet excellent exercice de réponse que nous fournit l’auteur des « Lignes Stratégiques » est ainsi de nature à bouleverser une vision peut-être trop guidée par l’unique compréhension technique de la chose. Il paraît intéressant de donner les deux enseignements principaux que j’ai tirés de ces échanges :

• les attaques diverses et variées sur nos capacités globales d’échanges et de communications ne doivent pas être réduites à Internet et l’informatique. Cela paraît très simple mais, à la lecture de nombre d’articles, parfois l’on oublie que les « cyber-attaques » sont également susceptibles d’être particulièrement « physiques », comme en témoigne l’exemple des actions de parasitage fondées sur l’électromagnétisme. Il n’est interdit à personne de considérer uniquement les attaques informatiques sur Internet (peu ou prou), mais c’est aussi perdre une forme de vision globale, qui constitue tout de même un des fondements de la vision stratégique.
• la dissuasion est globale : elle n’est pas « cyber » plus qu’elle n’est « sous-marine » ou uniquement « nucléaire ». C’est tout d’abord une posture, et comme il est rappelé ici, elle engage de nombreux acteurs (du scientifique au diplomate qui en rappelle les mécanismes); car rappelons-le, le conflit ouvert est l’échec, à une certaine échelle, de la dissuasion. Les textes de doctrine différencient la dissuasion, terme consacré au nucléaire, des postures moins « définitives » consistant à rappeler, par exemple, que l’on peut tout à fait faire percevoir à un adversaire tout les risques qu’il aurait à nous attaquer…Tout cela EST « dissuasion » et ne considérer qu’un aspect des choses ou qu’un « domaine », c’est aussi créer des failles et des ouvertures.