Ce petit texte n’a pour ambition que de semer des pistes. L’idée m’en a été donnée à la suite d’une conversation avec Christian Malis, directeur de recherche au CREC. Sans vouloir égaler les principes de Beaufre qui, en son temps, avait ébauché des principes stratégiques de l’âge nucléaire, peut-être cela permettra-t-il de penser cette guerre-là. (ou, pour être plus exact, ce nouveau milieu de la guerre)
Voici donc six principes : à discuter, et raffiner. A compléter, si vous en voyez d'autres.
Contournement : Ce principe appartient à toute guerre, bien sûr. Mais autant une guerre conventionnelle cherche, fondamentalement, le rapport de force, autant une guerre cyber cherchera d’abord la faille pour appliquer la totalité des moyens. Dans un monde conventionnel, si on pèsera toujours sur le gros de l’ennemi jusqu’à déceler le point de rupture (l’effort général permettant de mettre la structure adverse sous tension, ce qui révèle son point de faiblesse), dans un monde cyber, il n’en est pas de même : l’agresseur teste le dispositif jusqu’à trouver la faille, il n’a pas besoin de peser sur l’ensemble. En revanche, dès qu’il a trouvé cette faille, il est en mesure d’appliquer la « puissance de feu ».
Ambigüité : Christian Malis a eu l’intuition de ce principe. En effet, dans un conflit cyber, l’agresseur signe rarement ses œuvres. On ne sait pas qui est l’auteur d’une attaque, qu’il s’agisse de l’affaire estonienne en 2007 ou de Stuxnext en 2010.
Primat de l’offensive : Cette imprécision favorise a priori l’offensive. Toutefois, la défensive est indispensable, mais toujours inachevée et toujours en renforcement. En revanche, on n’a pas encore mis au point le schéma prôné par Clausewitz. Quand celui-ci promeut la défensive, en effet, c’est toujours pour favoriser la prise d’initiative à l’issue : la défensive clausewitzienne n’est pas une guerre de position, comme on l’a trop souvent cru. En matière cyber, la défensive est pour l’instant statique, car les possibilités de contre-intrusion paraissent faibles. Pas de contre-offensive en cyber.
Asymétrie : la doctrine française avait inventé, en matière nucléaire, le pouvoir égalisateur de l’atome. Il y a des possibilités de pouvoir égalisateur du cyber : un individu peut, théoriquement, mettre à mal un dispositif, selon le principe de contournement évoqué ci-dessus.
Coalescence : Toutefois, le plus intéressant ne paraît pas dans cette asymétrie, mais dans le principe de coalescence : des individus s’assemblent, hors toute structure établie, pour mener des actions groupées. Elles peuvent être positives (ainsi, ce sont des acteurs individuels qui ont décidé de pallier l’effondrement du système internet haïtien à l’issue du tremblement de terre, et qui ont fiabilisé, en l’absence de toute intervention publique, le nom de domaine en .ht). Il peut s’agir de collectifs plus militants (anonymous, ou Wikileaks). Il peut s’agir enfin, dans une perspective plus conflictuelle, de groupes de hackers. Il s’effectue donc des alliances de circonstance qui peuvent se diriger contre tel ou tel objectif, en général une puissance (soit un Etat, soit une institution, soit une entreprise privée de bonne taille) ce qui permet de se placer, temporairement, dans un rapport de force symétrique, le temps de l’attaque.
Fugacité : Une attaque est le plus souvent fugace : en effet, s'il y a une faille, elle est le plus souvent colmatée "rapidement". L'attaque ne dure donc pas. Cela permet de justifier la défensive, qui sera par instants" percée, mais qui tiendra durablement.
O. Kempf
Jeu de briques
Snake
Pacman
Bubble