La cyberdéfense française doit-elle être réservée aux (seuls) militaires ?

Cette réflexion à deux voix (Clarisse et Si vis pacem) répond aux propositions du Colonel Chauvancy dans son billet intitulé “De la cyberdéfense technicienne à la cyberdéfense stratégique”, auquel Si vis pacem avait apporté un commentaire, peu convaincu par certaines idées. De fil en aiguille, Clarisse a rejoint la discussion, puis le besoin de formaliser s’est fait sentir, de soumettre publiquement des contre-propositions et certaines pistes à explorer.

De notre point de vue et plus que jamais, il s’avère qu’il faille sans délai affermir la réflexion stratégique de la France dans le cyberespace vis-à-vis des enjeux, de sa propre organisation et de ses collaborations. Commençons par noter que le propos du Colonel Chauvancy est global, puisqu’il propose que la France se dote de la pensée et des moyens nécessaires pour devenir une « puissance du cyberespace » avec les « instruments qui en découlent ». Ne faudrait-il pas (plutôt écrire la phrase à l’envers) ou postuler différemment, c’est-à-dire commencer par “construire les instruments”, afin de pouvoir ensuite s’en servir ensuite pour forger la “puissance qui en découlera” ?

L’idée que la France prétende devenir une “cyber-puissance” de premier rang est intéressante, mais est-elle possible, sinon souhaitable ? Nous n’en sommes pas sûrs, et ce pour les raisons suivantes :

La première raison, majeure, est l’incongruité d’élaborer des objectifs ambitieux en période de restrictions budgétaires, caractérisée par un réel déficit capacitaire, souffrant en plus d’une double absence : celle d’un cadre d’emploi et d’un cadre juridique adapté.

La seconde raison est que la définition d’un tel objectif revient à conditionner la réflexion d’ensemble, c’est-à-dire à la biaiser, la corseter et la vriller, pour au final accoucher de concepts et de notions stratégiques cérébralement intéressants, mais qui n’auront aucune traduction possible en termes opératifs.

Enfin, la troisième raison est que la France aurait tout à gagner à rechercher l’optimisation du rapport puissance/efficacité au travers d’une certaine forme d’agilité (technique, organisationnelle), organisée autour d’une structure déjà établie¹ (“au hasard” l’ANSSI) disposant des compétences, de l’expérience et d’un Centre Opérationnel (le COSSI). Par la suite et en fonction des évolutions économiques, possiblement positives à moyen terme, les forces armées pourraient être dotées de leur propre agence, qui entretiendrait une relation riche et privilégiée avec l’ANSSI, puisqu’il s’agirait d’un essaimage partageant un génome commun.

On pourrait développer et poursuivre au-delà de la problématique nationale : il n’est pas interdit de penser “interopérabilité”, “transversalité” ou “coopération européenne renforcée”, qui ne sont pas des gros mots ! La coopération européenne renforcée étant d’ailleurs une proposition déjà évoquée par Si vis pacem.

Cette opinion dépassionnée, plutôt émise par pragmatisme que par doxa inamovible, a l’avantage d’offrir un cadre communautaire européen. Ce cadre offre sans doute la voie médiane entre un cavalier seul, bien peu à propos à notre époque, et un certain renoncement atlantiste (participation/délégation à l’OTAN).

Un “noyau dur” constitué de quelques pays européens moteurs et intéressés par cette collaboration renforcée permettrait de pallier une proposition sûrement très ambitieuse. Pour autant, il n’est justement pas interdit d’avoir des ambitions, mais à la hauteur des moyens financiers actuels et futurs (c’est-à-dire : en baisse), puisque ce sont eux qui déterminent les marges de manœuvre face aux souhaits de l’État.

La quatrième raison nous paraît relever d’un aspect méthodologique en ouvrant la réflexion au-delà des seuls militaires, qui sont interdépendants et interconnectés avec les infrastructures civiles. L’inverse pourrait facilement passer pour une vision passéiste et qui ne correspond plus aux réalités politiques et stratégiques de toute nation moderne et adaptée au 21ème siècle : elle dispose d’un ensemble d’outils, de moyens et de personnes qui constituent un seul et même levier, celui de la défense et de la sécurité de l’État.

(Source)

Alors comment développer l’esprit d’un cyber-commandement français et sur quoi le construire ?

On peut déjà se poser quelques questions simples sur les caractéristiques nécessaires à ce cyber-commandement :

  • Doit-il être issu du milieu dans lequel il envoie ses combattants ?
  • Suffit-il qu’il en comprenne la mentalité et en maîtrise les caractéristiques pour être compétent ?
  • Sur quels critères et à partir de quel “niveau” sa dissuasion devient-elle pleinement efficace ?
  • Quels sont nos adversaires et que doivent-ils craindre ?

En creusant un peu le sujet, au fil des lectures, la réponse proposée par l’article de départ nous paraît laisser de côté l’une des composantes fondamentales de tout ou partie des cyber-menaces : l’utilisation et l’imbrication des secteurs civil et non-étatique dans la chaîne de décision et de commandement opérationnel.

En effet, plusieurs États d’Asie utilisent déjà ou réfléchissent à l’opportunité d’utiliser des “cyber-milices” pour des actions défensives et offensives, dans un cadre parfaitement délimité et assumé² :

  • l’Inde (“India has also reportedly been considering using patriotic hackers for offensive operations.”);
  • la Chine (“China, of course, is widely suspected of using patriotic hackers and cyber militias for defense and offense.”);
  • le Japon (“Japan needs to establish a cyber militia in order to defend itself from attacks. Offense will always have the upper hand over defense so the government will always struggle to keep up.”).

Ces cyber-milices sont par définition des individus et des citoyens avec une éthique personnelle et des intérêts qui peuvent être différents de ceux des forces armées et de leur commandement. Il peut aussi y avoir un gouffre de nature et d’échelle en ce qui concerne les enjeux du combat entre un cyber-milicien et le cyber-commandement, qu’il soit militaire ou civil.

Ce qui amène à considérer les problématiques politiques et sociales induites avant de pouvoir proposer une structure de cyber-commandement. Son organisation et ses moyens pourraient d’ailleurs être différents selon que l’on intègre les éléments suivants : un commandement uniquement militaire est-il capable d’encadrer des milices ? Si la réponse est positive, plans et ordres de bataille doivent intégrer ce fait. Enfin, le contrôle de l’obéissance des civils encadrés (miliciens enrôlés sous commandement militaire) est-il possible dans :

  • une démocratie ?
  • un État non-féodal ?
  • un État non-tribal ?
  • ou non-autoritaire ?

Pensons également au besoin de contrôle des armes distribuées aux civils irréguliers et de leur usage possible, après et pendant ! Un phénomène de prolifération ou de retournement des armes contre les forces armées, au profit ou menaçant une entreprise ou un autre État doit-il être envisagé ? Dans ce cas, quels mécanismes de protection – voire de désactivation – sont-ils à intégrer dès la conception de ces armes ?

On peut ainsi continuer à lister les questions (très) nombreuses ! À qui va servir l’expérience acquise par ces civils ? Pour quoi faire ? Et sur le long terme ? Peut-on ensuite contrôler la dissémination de ces savoirs/méthodes/techniques acquises au combat dans un milieu non-militaire ? Qui a le savoir, et au final, qui possède les compétences ? Qui assure leur contrôle ? Etc. etc.

Cette première réflexion débouche et bute sur le dogme français de la non-externalisation des compétences régaliennes. Un interdit apparent qu’il pourrait être nécessaire de faire évoluer – mais pas forcément de transgresser -, soit en inventant un autre modèle, soit en le modifiant vers une refonte structurelle et opérationnelle, réellement innovante et garante des valeurs, de l’éthique et de la philosophie de la défense nationale.

Une seconde réflexion a comme point de départ ce commentaire lu sur le blog allié Egéa : «Aucune -je dis bien aucune, protection informatique opérationnelle, ne peut résister à la communauté (civile). C’est pourquoi les stratégies dans le cyberespace reposent d’abord et principalement sur la segmentation (rester hors de portée de la masse).»

Cette incorporation du civil nous parait être une nécessité : l’imbrication des composantes/compétences et des pratiques militaires et civiles est en effet à l’image de l’imbrication constatée des cybermenaces et de la cybercriminalité, à l’image de celle du milieu, un espace-temps des réversibilités/asymétries mirorables, se reflétant à l’infini. Ce qui laisse supposer qu’une attaque peut être renversée en contre-attaque, et inversement. Chaque combattant/échelon du commandement doit donc être capable d’une adaptation quasi-instantanée, autant mentale qu’opérationnelle, entre le défensif et l’offensif. D’où des glissements et des chevauchement possibles de compétences et de hiérarchie qu’il faudra savoir traduire en basculement idoines lors d’opérations.

On sait depuis l’Antiquité – en ce qui concerne la sécurité des accès, la falsification et la contrefaçon – que tout ce qui est fait par la main de l’homme peut être refait. Le cyberespace n’échappe pas à cette loi. Étant encore dans sa période Moyen-Âge, un bon artisan peut devancer, côtoyer ou épauler mais aussi vaincre l’industriel et l’institutionnel. Chacun a besoin des compétences de l’autre. Commander et opérer en symbiose est le nouveau défi, un décloisonnement général et contrôlé, son indispensable corollaire.

Une seule pensée (militaire, stratège, etc.) ne peut prétendre embrasser tous les aspects de la problématique cyber, parce qu’elle est ample, complexe, nouvelle et donc évolutive. Une seule pensée ne peut non plus prétendre la capter ni la contraindre à rester dans son seul périmètre, parce que sa composante duale, c’est-à-dire civile (et citoyenne), nécessite aussi de savoir l’aborder au travers de cette richesse et sous l’angle de cette double identité.

Inclure des pratiques novatrices et ouvertes correspond donc à la complexité du monde et à ses changements profonds, loin d’être achevés : écroulement de l’URSS, attaques du 11/09, révoltes arabes…  Et demain ?

Clarisse et Si vis pacem

Annexes :

1 « USCYBERCOMMAND: fédérer l’attaque et la défense« 

2 « Beware the Patriotic Geek: The Risk of Cyber Militias in Asia »

Be Sociable, Share!

You may also like...

6 Responses

  1. Chauvancy dit :

    Bonjour
    Votre longue intervention de ce 16 mai 2012 en réaction aux propos tenus sur mon blog le 27 février 2012 concernant la nécessaire (à mon avis) création d’un cyber-commandement militaire mérite naturellement une réponse de ma part. J’aborderai donc point par point vos arguments.
    A votre premier argument, j’opposerai la volonté du décideur à l’acceptation d’une réalité retenue comme acquise et sans retour possible. Si le politique en l’occurrence estime que la France doit être demain une puissance cybernétique, le cadre d’emploi et le cadre juridique adapté seront trouvés. Les ressources budgétaires aussi. Accepter les insuffisances, c’est accepter de subir et donc d’être dominé par d’autres puissances qu’elles soient étatiques ou non. Si la France veut être une cyber-puissance, elle trouvera les moyens car il ne s’agit pas que de défense mais aussi de retombées économiques, d’influence aussi.
    Pour le second argument que vous évoquez, j’ai du mal à suivre votre raisonnement qui ressemble plus à une succession d’affirmations. Le niveau opératif est celui qui exprime l’efficacité militaire attendue par le politique et donc le niveau de responsabilité donné à l’action des forces militaires. Donc proposer et concevoir des modes d’action sont bien du domaine des forces armées. Cependant ces modes d’action dans le cadre « cyber » ont effectivement une dimension stratégique. A ce titre, est-il totalement stupide que les forces armées aient aussi cette action au niveau stratégique ? Je ne le pense pas car les niveaux opératif et stratégiques sont liés aujourd’hui et pas uniquement pour le « cyber ». Les forces armées doivent être intégrées à tous les niveaux. Elles sont formées à planifier une « stratégie » qui est de moins en moins uniquement militaire et à avoir une « approche globale » de la résolution des conflits.
    Sur le troisième argument concernant l’optimisation des capacités, pourquoi pas et je n’y suis pas opposé. Cela ne m’empêche pas de proposer que les forces armées peuvent être les pilotes de la « cyberstratégie » … y compris en dirigeant l’ANSSI. Après tout, pourquoi ne pas avoir un directeur militaire d’un organisme civil, et dans ce cas civilo-militaire ? Quant à l’interopérabilité et la coopération entre alliés, les Britanniques dans leur politique de cyberdéfense les ont-ils recherchées ? Quid des autres nations ? Je ne doute pas que la vision angélique d’une cyberdéfense européenne est séduisante mais ne sommes-nous pas dans le domaine du rêve, ce qui n‘exclut pas une coopération raisonnée à défaut d’être renforcée. Les questions de sécurité sont une chose trop sérieuse pour les laisser à … pour paraphraser une citation attribuée à Clémenceau. Je vous laisse terminer la phrase.
    J’ai du mal aussi à suivre le quatrième argument évoqué à moins que confier aux seuls militaires ce type de responsabilité ne soit du domaine du passé. Je pourrai épiloguer sur cette appréciation. Par exemple quel est le moment où l’on est du passé… ou que l’on est dans le rêve, la vérité étant sans doute entre les deux. Je vous laisse le soin de clarifier votre pensée.
    Pour reprendre la question de votre seconde partie, « Comment développer l’esprit d’un cyber-commandement français et sur quoi le construire? », je la résumerai à « comment intégrer la dimension civile dans ce cyber-commandement avec les différents acteurs de la cyber-guerre » que je préférerai à la notion de cyberdéfense. Il s’agit avant d’une stratégie indirecte par laquelle l’Etat, seul acteur légal sinon légitime, peut agir au nom de la nation et de ses intérêts. A ce titre, tous les acteurs utiles peuvent et devraient contribuer à l’effort commun.
    Ce que vous appeler « dogme français de la non-externalisation des compétences régaliennes » doit aussi être réfléchi. Je doute fort cependant qu’un autre modèle soit envisageable dès lors que notre société privilégie l’individualisme et donc l’intérêt personnel. A ce titre, l’Etat, donc la collectivité, ne peut pas externaliser ce qui pourrait menacer sa sécurité, son fonctionnement. En revanche, développer l’adhésion aux valeurs communes, sinon à un « cyber-patriotisme » (j’ose) me paraîtrait une orientation nécessaire. La notion de cyber-milice qui peut faire rêver doit faire appel à l’adhésion aux valeurs et aux objectifs communs de notre société. A contrario, cela signifie combattre ce qui menace notre société en restant bien entendu dans le cadre des libertés individuelles accordées. Cela conduit à une éducation pour comprendre ce cyber-patriotisme. Nous sommes de fait dans une problématique sociétale, de ses valeurs, des droits et des devoirs aussi au sens de la défense de la nation.
    Cela conduit à votre seconde et dernière réflexion : « Une seule pensée (militaire, stratège, etc.) ne peut prétendre embrasser tous les aspects de la problématique cyber, parce qu’elle est ample, complexe, nouvelle et donc évolutive ». Pas totalement faux. Cependant si vous étudiez bien la stratégie, elle n’est justement pas que « militaire » (cf. « la » « grand Strategy »).
    En revanche, la capacité à l’appréhender dans sa globalité permet au stratège militaire, dont la finalité principale est de gagner un conflit, d’envisager la plupart des cas de figures en fonction du réel, du possible, sinon de « l’impossible ». En effet, penser l’impensable doit aussi être dans sa compétence. Cependant je l’admets. Son éducation et sa formation ne l’y préparent pas forcément. A ce titre, une contribution du civil sera utile, d’autant plus appréciée …qu’elle sera proposée dans le cadre de la réserve, exprimant justement ce patriotisme nécessaire et cet engagement au profit de la communauté nationale, dans un cadre établi et organisé. Il serait même possible d’intégrer cette composante « réserviste » dans le cyber-commandement que je proposais.
    Bien à vous
    François Chauvancy

  2. julien dit :

    Bonjour,

    Cette réflexion est particulièrement intéressante.

    J’aurais néanmoins quelques commentaires personnels sur les positions précisées:

    1) Sur l’optimisation des ressources informatiques techniques entre DGSE / DRM / ANSSI

    Si sur un plan financier et d’expertise technique l’intérêt est évident (encore que ces structures peuvent se parler).
    Sur un plan « politique », il pose le problème d’avoir une structure comme l’ANSSI dont l’enjeu est la sécurité des systèmes d’information avec un rayonnement international. Etre à la fois une structure dite d’attaque et de défense peut poser à mon sens quelques problèmes de confiance.

    2) Sur les ressources ou « cyber-milice ».
    Je suis tout à fait d’accord sur le fait que la masse civile est > au militaire / étatique dans un contexte de « cyberguerre ». Sur un territoire comme la France de nombreuses ressources civiles (informaticiens dans les entreprises privées, étudiants, chercheurs, fonctionnaires, …) peuvent représenter dans une logique de cyberguerre un potentiel majeur. Notre pays dispose en effet d’un niveau d’enseignement supérieur et de « curiosité » pour le Web très élevé (peut-être un des impacts de la mise à disposition très rapide de l’adsl pour tous…)

    Je rejoins plus la logique du Colonel Chauvancy sur la notion de « cyberréservistes » plutôt que de « cybermilice » pour les raisons clairement évoquées.

    Néanmoins, même si la cible est vertueuse, je ne pense pas que cela puisse fonctionner sur un modèle analogue à la réserve militaire.
    Un officier réserviste est intéressé par le modèle militaire et donc peut parfaitement s’intégrer dans ce modèle.

    Les personnes qui devraient faire partie de cette « cyberréserve » ont plutôt des profils différents: le modèle managérial militaire ne peut pas fonctionner car comme vous l’avez dit vous même il y a des notions d’individualisme, d’égo, etc… et la valeur patriotique et l’obéissance directe aux ordres sans réflexion ou sans collaboration n’est pas dans le mode de pensée de ces personnes.

    D’ou une proposition mixte : il faudrait une interface « civile » entre le commandement stratégique qui serait militaire pour cette réserve (cadre clairement défini) mais avec une chaîne de management intermédiaire qui pourrait être civile ou militaire, mais plutôt axée sur les méthodes de management civiles : travail collaboratif de groupe, brainstorming, réflexion et parole libre mais arbitrage et décision, valorisation de l’humain et de sa crétivité, partage de l’information, espace de liberté dans l’action.

    La stratégie globale doit être assurée par le militaire, mais la tactique doit être libre et permettre l’innovation, la liberté, un cadre trop contraint n’attirerait pas les profils intéressants.

    3) Ce que la réserve doit par contre apporter c’est :
    - un partage d’informations utile et des retours d’expérience ;
    - des stages et des séminaires courts pour monter des groupes, augmenter la cohésion;
    - élargir le champs des possible et des acteurs concernés : la cyberstratégie ne représente pas « que » des supertechniciens rompus aux modèles d’attaques, la dimension de veille, de renseignement, d’intelligence doit y contribuer…

    4)Des modalités de rémunération ou de double carrière devraient pouvoir être prévues également (je suis assez troublé par le fait de l’augmentation élevée du chômage des jeunes informaticiens sur le territoire national disposant d’une formation adaptée et de compétences…)

    « Chômage des informaticiens : vers une hausse de 10 à 30% en 2012 ? » (source Munci)

    Pour conclure, le message principal que je souhaitais faire passer est que l’idée proposée parait intéressante mais que le modèle de management doit être particulièrement bien étudié par rapport aux personnes ciblées.

    Cordialement,

  3. Chauvancy dit :

    Bonsoir,
    je rejoins l’ensemble de vos remarques. Ce que nous devons rechercher, c’est l’efficacité collective. Il faut donc trouver et proposer les pistes qui la permettent.
    je réagis surtout au 4e point. Si nos informaticiens sont en difficulté, il faudrait étudier ce management des ressources humaines au profit de la cyberstratégie et non uniquement de la cyberdéfense. Je pense cependant que par organisme ou ministère, cela est fait. Maintenant, et j’y reviens, l’efficacité ne peut être que collective et c’est cela qu’il faut construire.
    Bien à vous

  4. clarisse dit :

    @Chauvancy et @julien

    Merci pour vos commentaires.
    Merci aussi de m’accorder un peu de temps pour vous répondre plus précisément dans la semaine ; il me semble en effet que la création d’un cyber-commandement n’est qu’un des volets/aspects d’une problématique beaucoup plus vaste à laquelle nous sommes tous confrontés – Occident comme Asie, Nord comme Sud.

    À mon humble avis de non-spécialiste, chaque État tâtonne pour concevoir une cyber défense efficace, car personne n’arrive à se poser les bases d’une description pertinente du monde tel qu’il est devenu, tel qu’il est réellement aujourd’hui, maintenant – c’est-à-dire autre chose que ce que nous avons connu depuis 50 ans – au moins tout le monde s’accorde sur ce postulat.

    Beaucoup de choses ont pourtant été écrites et de concepts établis sur le sujet, pour certains depuis plus de vingt ans ; mais c’est la synthèse qui nous fait défaut, parce que notre modèle mental, lui, n’est pas encore capable de concevoir et de voir ces différentes facettes comme un tout.

    Nous sommes comme au moment où Galilée parle, où la physique quantique arrive, et bousculent des compréhensions du monde établies – et des autorités en place.
    Quelles sont les pistes ? quelles sont les implications ? à moyen terme ? à long terme ? – et il nous faut aussi une nouvelle prospective menaces incluant la sociologie comme outil.
    Bref, tout un programme…

    En attendant que j’arrive à formuler tout cela de façon plus claire, juste cette petite info complémentaire au sujet des milices :

    La Suisse a créé en décembre 2010 un groupe de travail «Cyber Défense» qui devrait présenter ce printemps la vision stratégique nationale.
    Ce projet cyber défense ne reposerait pas sur la création d’une nouvelle agence, mais sur une forme de coordination ; cette entité aurait aussi pour mission d’anticiper et de prévenir.
    Un des axes est l’identification des gens compétents à disposition en cas de crise : « une milice, mais pas une milice militaire ».
    http://www.bilan.ch/articles/techno/berne-veut-enroler-l%E2%80%99economie-dans-la-cyberdefense

  5. Sivispacem dit :

    @Chauvancy et @julien

    En premier lieu, merci pour ces échanges riches et constructifs avec comme objectif d’agiter les idées qui, comme nous le rappelions dans notre article, est vraiment l’idée-maîtresse loin de toute controverse parfaitement vaine.
    Il nous semblait important de souligner que, de notre point de vue, votre article faisait fi d’un existant étatique et donc ne pouvait/devait se limiter aux seuls aspects militaires.

    Je n’ai pas l’intention de répondre davantage à vos remarques et propositions car je pense que nous arrivons tous à une convergence de bon aloi. L’important me semble là : ne pas s’oublier et/ou ne pas s’ignorer les uns les autres et faire preuve d’innovation sur les questions « cyber » en matière d’organisation, de structure(s), de moyens et de partenariat.

    Merci encore en souhaitant que nos articles respectifs et les réflexions correspondantes apportent une contribution certainement modeste mais possiblement significative !
    :)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

UA-7688295-1