Le cyberespace - Nouveau domaine de la pensée stratégique

Souvenez-vous : il y a dix-huit mois, une bande de passionnés organisait un colloque fondateur (seminal, en bon franglais) sur la stratégie du cyberespace. Le sujet émergeait à peine en France, et s'il y avait eu des précurseurs (D. Ventre, FB Huyghe), cela ne passionnait pas encore les foules. Certes, le LB de 2008 avait eu des paroles prophétiques. Certes, l'attaque contre Bercy en 2010 avait soulevé l'intérêt. Certes, on parlait de Stuxnet ou de l'attaque en Géorgie. Certes, quelques blogueurs fanas en parlaient, et notamment ceux d'Alliance géostratégique. C'est d'ailleurs avec les alliés d'AGS que nous avions publié quelques billets dans un "thème du mois" fameux, puis nous en avions tiré un "Cahier d'AGS" sur les "Stratégies dans le cyberespace", que nous avions coordonné, Stéphane Dossé et moi-même, en septembre 2011. C'est d’ailleurs à cette suite que Christian Malis, du centre de recherche des écoles de Saint-Cyr Coëtquidan (CREC) nous avait contacté pour organiser ce colloque, qui s'est donc déroulé en novembre 2012.

Voici donc un ouvrage publié par le trio dont je vous ai parlé, avec le partenariat d'AGS, du CREC et de CEIS. De belles plumes car hormis D. Ventre qui était déjà retenu à cette date, quasiment tout le monde était là : B. Boyer, A. Esterle, Ch. Daviot, J. Horentin, M. Watin-Augouard, mais aussi des AGSistes (Ch. Bwele, E. Hazane, St. Dossé, O. Kempf) ou des experts (A. Bonnemaison, F. Chauvancy, L. Ifrah, S. de Maupeou, G Tissier). Au final, voici un livre qui rassemble des contributions fort riches et qui couvrent l'ensemble des questions de cyberstratégie.

L'ouvrage ne reprend pas exactement l'articulation du colloque. Une première partie s'intitule "Penser stratégiquement le cyberespace". La seconde : Cyber géopolitique"; La dernière : "Penser opérationnellement la cyberguerre". Vous trouverez ci-dessous le sommaire détaillé, ainsi que l'introduction générale. Vous pouvez commander le livre directement chez Economica (19 €), ce sera plus efficace que si vous passez par les vendeurs en ligne (vous connaissez mon hostilité envers ces suceurs de sang). Bonne lecture.

Sommaire détaillé

Préface Christian Malis . . .. . .5

Avant-propos Général Marc Watin-Augouard . . . . . . . 7

Première partie : Penser stratégiquement le cyberespace . . . . . 15

• Une sémantique à qualifier : cybersécurité, cyberguerre, cyberdéfense...Stanislas de Maupeou . .. . . 17
• Cyberstratégie et modèles stratégiques dits classiques : de la pertinence de quelques analogies Joseph Henrotin . . . . . . 22
• Une Cyberstratégie ? François-Bernard Huyghe . . . . . . 33
• La pensée stratégique au défi du hacking et de la cyberguerre Charles Bwele . .. . . 41
• La dissuasion nucléaire est-elle un modèle stratégique transposable au cyberespace ? Alain Esterle . . . .. . . . 51
• Principes stratégiques du cyber Olivier Kempf . . . . . 69

Deuxième partie : Cyber géopolitique . . . . . . . . . . . . . . . . . . 79

• Internet ouvert et souveraineté numérique : existe-t-il des frontières dans le cyberspace ? Eric Hazane . . . . . . . 81
• Le cyberespace : un espace politique, un enjeu de puissance Guillaume Tissier . . .. . . . . . . . . 89
• L’encadrement juridique de la cyberdéfense Barbara Louis-Sidney . . . .. . 97

Troisième partie : Penser opérationnellement la cyberguerre . 113

• Peut-on parler de guerre dans le cyberespace ? Stéphane Dossé . . . . . 115
• Cyberespace, opérations d’information, influence François Chauvancy . . 122
• Vers un « combat cyberélectronique » ? Aymeric Bonnemaison . . . . . . . . 129
• Cyberguerre, qui franchira le Rubicon ? Bertrand Boyer . . . . 134
• Analyse des cyberconflits récents Laurence Ifrah . . . . . . . . . . . 143

Conclusion . . 149

• Bibliographie . . 163
• Sigles et acronymes . . . 169
• Les auteurs . . . . . . . 171

Introduction générale

En 1921, dans la foulée du premier conflit mondial, Giulio Douhet avec Il dominio dell’aria rédigeait le premier traité de stratégie aérienne. Il y énonçait les concepts fondamentaux de l’un des deux paradigmes de la lutte aérienne, celui de la guerre stratégique. En 1945 et 1946, quelques mois après Hiroshima, le Français Raoul Castex avec ses Aperçus sur la bombe atomique 1945 puis l’Américain Bernard Brodie avec The Absolute Weapon énonçaient ceux de ce qu’on appellerait bientôt la « stratégie nucléaire ».

De l’Estonie à « Stuxnet », la « cyberguerre » est devenue une réalité des relations internationales. L’Amérique par des investissements considérables s’efforce de creuser l’écart en termes de capacités opérationnelles, et les attaques cybernétiques sont une réalité quotidienne. Le cyberespace, domaine stratégique émergent, lui aussi caractérisé, comme l’aérien et le nucléaire en leurs temps, par l’évolution ultra-rapide des technologies sous-jacentes, n’appelle-t-il pas le développement d’une « cyberstratégie » et de ses concepts fondamentaux ?

Il faut penser stratégiquement le cyberespace. Tels sont le thème et la raison d’être de cet ouvrage. Il est issu d’un colloque qui s’est tenu le 29 novembre 2011, organisé de manière partenariale par le Centre de Recherches des Écoles de Saint-Cyr Coëtquidan et Alliance Géostratégique (AGS), avec le parrainage de la Compagnie Européenne d’Intelligence Stratégique (CEIS) et le soutien de deux revues de stratégie, la Revue de Défense Nationale et Défense et Sécurité Internationales (DSI). S’il prétend être l’un des tous premiers ouvrages, en français, proposant d’appréhender de manière globale la stratégie du cyberespace, il s’inscrit cependant dans des programmes de travail plus anciens sur les transformations contemporaines de la stratégie et de la conflictualité.

Côté AGS, il fait suite à l’ouvrage collectif de l’Alliance Géostratégique Stratégies dans le cyberespace, 2e numéro de la collection « Cahiers d’Alliance Géostratégique » (Kempf & Dossé, 2011). Ce texte lui-même fixe synthétiquement l’état d’un débat numérique continu et nourri depuis de nombreux mois sur les différents blogs d’AGS. Par ailleurs Saint-Cyr se trouve engagé depuis cinq ans, avec divers partenaires universitaires comme l’Université d’Oxford et le CNRS, dans un vaste programme de recherche sur les transformations de la guerre. Certaines des dimensions étudiées sont à dominante humaine et culturelle – la guerre irrégulière, la culture de guerre et les modes d’organisation des entités combattantes du monde arabo-musulman, la privatisation de l’action militaire. D’autres sont à dominante technique, comme la robotisation du champ de bataille, tous travaux qui se poursuivent encore. En première approche, tout au moins, c’est de ce pôle technologique de la transformation des conflits que relève la « cyberguerre », le cyberespace ayant cette propriété unique parmi les autres milieux d’être entièrement anthropogène (man-made disent les Anglo-Saxons). En même temps il a cette particularité de recouper tous les autres thèmes de préoccupation de Saint-Cyr. Le cyberespace en effet est un lieu privilégié de l’irrégularité – la cyberguerre est souvent présentée comme étant l’archétype de l’asymétrie et de l’action irrégulière. Patrouillé en tous sens par des agents virtuels, il représente par ailleurs une forme avancée de la robotisation. Enfin, son infrastructure est civile à 90 % et certains États recourent facilement aux services de « hackers » sans uniforme pour conduire leurs actions, de sorte que la privatisation de la violence semble une donnée structurelle du « cyberespace » (certains analystes ont suggéré l’idée de « cyberSMP »). Mais aussi c’est un milieu hybride et paradoxal, improbable alliance d’humain et de technologique : espace intégralement artificiel il est plus vide d’hommes que l’espace extra-atmosphérique, où s’aventurent parfois quelques hommes en combinaison. Et sous un autre angle c’est un espace surpeuplé, un caravansérail virtuel. Une territorialisation inédite s’y manifeste : ne dit-on pas que Facebook est le premier et le plus peuplé des États numériques, avec plus de 800 millions de « citoyens » ?

À objet nouveau, approche stratégique nouvelle. Pour les auteurs, que pour l’anecdote rassemblait il y a quelques mois un débat stratégique passionné dans un café proche de l’École Militaire, il y eut au point de départ une floraison de questions : la cyberstratégie est-elle nécessaire ? Quels peuvent être ses concepts et modèles ? Hors de France, aux États-Unis, en Inde, en Grande-Bretagne, à l’OTAN, en Chine, en Russie, quel est l’état de la pensée cyberstratégique ? Quel rapport entre la cyberstratégie et les opérations militaires ? Le cyberespace est-il un milieu « comme les autres » ? Quelles directions emprunte la coopération internationale en particulier dans le domaine de la maîtrise des armements ? Existe-t-il un écart entre les postures déclaratives et la réalité des cyberstratégies des États ? Comment distinguer, dans la réalité et la doctrine, stratégie du cyberespace, opérations d’information, influence ? La dualité est-elle intrinsèque à la cyberstratégie ? Y a-t-il une place pour une pensée cyberstratégique française originale ?

Une réflexion d’ensemble ne pouvait être que multidisciplinaire, l’approche stratégique supposant, plus que sur tout autre sujet, d’embrasser d’un même regard les aspects militaires, juridiques, économiques, sociaux, diplomatiques. D’où la variété des spécialistes dont on va découvrir les contributions : militaires, analystes stratégiques, journalistes, juristes, consultants en informatique, industriels, hauts-fonctionnaires.

Il fut par ailleurs décidé de structurer le foisonnement des interrogations selon quatre approches. Les deux premières relèvent de la théorie stratégique proprement dite. Pour commencer, il convient de délimiter le champ à couvrir. Le signe que nous sommes encore dans l’enfance de ce qui, à l’instar de la puissance aérienne dans les années vingt et de la dissuasion nucléaire dans les années cinquante, est en train de devenir un champ stratégique à part entière, c’est que le vocabulaire de base demeure confus et les concepts flous. Certes, un document officiel comme le Dictionnaire de termes militaires (Dictionnary of Military Terms) du Pentagone donne une définition du « cyberespace » : « A global domain within the information environment consisting of the interdependent network of information technology infrastructures, including the Internet, telecommunication networks, computer systems, and embedded processors and controller » (DOD, 2008). Mais dans l’ensemble, malgré de récents efforts de normalisation sémantique en France, on est en peine de définitions communément acceptées de notions comme « cyberguerre », « cybersécurité », « cyberdéfense », « cybercriminalité », « guerre de l’information », etc. Le même Dictionnaire du Pentagone, un volume de 800 pages, ne propose pas même une définition de la « cyberguerre ». Par ailleurs, notre première partie s’intéresse à l’aspect juridique qui semble de première importance dans la cyberstratégie, étant donné l’imbrication des infrastructures civiles / gouvernementales et le fait que les cyberattaques risquent de se déclencher en dehors de tout contexte de conflit déclaré.

Hors de France l’univers des stratégistes s’est bel et bien mis en branle. Citons, du côté des États-Unis, deux études qui ont plus particulièrement fait date dernièrement dans le débat public : celle de Martin Libicki, Cyberdeterrence and Cyberwar (Libicki, 2009), et le rapport du CSIS, « Securing Cyberspace for the 44th Presidency » CSIS, 2008, légèrement antérieur. C’est donc à une réflexion française sur les principes et les modèles que nous convie la deuxième partie de cet ouvrage. L’arme informatique semble difficile à situer sur le spectre des menaces. D’une part la difficulté à identifier la source de l’agression – la fameuse « attribution » – devrait faire de cette arme un moyen de pression politico-militaire et de stratégie indirecte. D’autre part, on parle beaucoup du risque d’un « Pearl Harbour » électronique et on s’interroge sur la « résilience » de nos sociétés hyperconnectées. Aussi la faculté de « représailles équivalentes » - « retaliate in kind », l’expression employée dès 1946 par Bernard Brodie pour caractériser ce qu’on devait bientôt appeler la dissuasion – pourrait sembler, tout au moins en première approche, la seule solution de défense. Le modèle de la dissuasion nucléaire est-il transposable au cyberespace ? Ne faut-il pas en trouver d’autres et inventer une conceptualisation spécifique qui emprunte ses traits aux uns et aux autres, y compris aux plus improbables comme la guerre terrestre ? Du côté des États, on est déjà passé à la pratique et l’étude des postures déclaratives s’impose également. Autant elle est fondamentale en stratégie nucléaire, où la doctrine et ses adaptations font l’objet de déclarations publiques avec le maximum de publicité (cf. les discours de McNamara dans les années soixante, le discours de Brejnev à Toula en 1977, etc.), autant dans le cybermonde la discrétion et même l’ambiguïté dans les objectifs et les origines des actions semblent, jusqu’ici tout au moins, la règle.

La pratique, ce sont aussi les opérations militaires. Si l’actualité est plutôt à l’espionnage informatique et au sabotage de grand style (Stuxnet), l’incursion prochaine de la lutte cybernétique dans l’art opérationnel ne fait guère de doute. L’une des raisons de fond a été relevée par Rod Thornton, réfléchissant à la stratégie d’une puissance comme la Chine et constatant à quel point les C4I sont devenus la colonne vertébrale des forces armées occidentales modernes : « Des adversaires comme la Chine ont là une occasion merveilleuse sous la forme d’ennemis potentiels qui se reposent à ce point sur l’information. Frappez un tel centre de gravité avec résolution, et la confiance dans l’information risque de tourner au réducteur de forces plus qu’au multiplicateur. Dans le modèle action-réaction, la Chine ne cherchera pas à égaler notre maîtrise de l’information, mais à la saper » (Thornton, 2008). La R&D militaire, signe tangible, s’est discrètement emparée du sujet, et la réflexion sur la cyberprotection des systèmes d’information commence à s’étendre aux systèmes d’armes. On ne pouvait donc s’affranchir d’une réflexion pour commencer doctrinale, car le domaine est déjà occupé par de puissants personnages, comme la guerre de l’information, d’autres plus émergents, comme l’influence, dont la cyberdéfense doit bien se démarquer. Mais c’est aussi à la tactique et à l’opératique de la « cyber » que sont consacrées les contributions de la troisième partie de cet ouvrage avec, par exemple, la question de la convergence potentielle entre guerre électronique et lutte informatique.

Toute nouvelle réalité stratégique de grande envergure devient un objet pour la diplomatie et influence les relations internationales. C’est à ce thème qu’est consacrée notre quatrième partie. Conventions et traités furent utilisés pour tâcher de circonscrire dans les années vingt et trente l’emploi de l’arme aérienne, notamment stratégique. Avec le nucléaire, la diplomatie entre les deux Grands s’était, jusqu’à un certain point, quasi confondue avec la dialectique des armements et l’effort pour en maîtriser l’expansion à partir des années soixante. De manière caractéristique le champ cybernétique est devenu partie intégrante des négociations sur la maîtrise des armements, tandis que les États nouent des alliances bilatérales pour le partage d’information sur la menace, comme récemment les États-Unis et l’Inde. Franchira-t-on le Rubicon de la guerre ? La Russie a expérimenté la cyberattaque comme outil stratégique et tactique dans un contexte de guerre (Géorgie 2008) ou d’agression non déclarée (Estonie 2007). La Chine est peut-être le pays le plus en pointe en ce qui concerne le recours à l’attaque informatique « short of war » : les fameux « hackers patriotiques », l’espionnage informatique, l’attaque de réseaux étrangers (un sport quotidien contre les États-Unis, semble-t-il) en sont les signes visibles. L’Inde, notamment du fait de sa perception de la menace chinoise, investit considérablement dans la « cyberdéfense stratégique » (Donnette, 2009) : la « cyberguerre stratégique » est possible, entend-on dire du côté de certains stratèges de New Dehli, mais elle échapperait vite à tout contrôle. Aussi l’auto-limitation n’est-elle pas le scénario le plus probable ?

***

Le cyberespace est un nouveau milieu qui aura ses propres règles. La nature de l’Internet futur, qui en constitue une partie importante, étant difficile à prévoir puisque par sa nature il dépend beaucoup des utilisateurs eux-mêmes, ces règles devront évoluer très rapidement : pour son assaut informatique contre la Géorgie, la Russie a recruté ses hackers sur les réseaux sociaux. Mais qu’en sera-t-il des réseaux sociaux dans cinq ans ? Menaces, espionnage, sabotages spectaculaires, espionnage à grande échelle, agression à l’imputabilité difficile ou impossible sont pour l’heure le pain quotidien de la « guerre sur la Toile ». Mais demain ?

Une chose est sûre, un débat dépassant les cloisonnements habituels est devenu une nécessité, sinon un devoir. Les futurs cyberstratèges devront être proches des états-majors militaires autant que de l’industrie, et plus généralement cyberstratégie et cyberposture devraient être débattues de manière beaucoup plus ouverte et publique que les questions nucléaires, une grande partie des compétences se trouvant en dehors de la sphère gouvernementale.

C’est tout le pari de cet ouvrage dont on espère qu’il fera date, à tout le moins école.