Cyberdissuasion, cyberreprésailles, cyberdéfense

Un des problèmes posé par la cyberguerre, c'est que non seulement vous ne savez en général pas exactement qui vous attaque, mais vous ne savez souvent même pas si vous êtes attaqué. Si un pays voisin masse des divisions blindées à vos frontières, vous pouvez supputer qu'il a des intentions hostiles et vous n'avez aucun mal à l'identifier. Mais si vos systèmes d'information gouvernementaux et ceux de vos infrastructures vitales sont piratés, la situation est beaucoup moins claire, du moins en l'absence de revendication. Ce qui rend extrêmement problématiques la dissuasion, la contre-attaque et les représailles. Seule la défense et le vigilance ont vraiment toujours un sens.

Si l'on envisage maintenant la cyberguerre stratégique, des actes de cyberguerre peuvent-ils avoir sur l'adversaire les mêmes effets de coercition que des bombardements aériens, par exemple ? Dans ce dernier cas, l'adversaire soumis au bombardement sait que la situation ne peut qu'empirer, que la millième bombe aura les mêmes effets que la première. Il n'en va pas de même avec les attaques informatiques : elles révèlent les vulnérabilités qu'elles exploitent, ce qui permet de les corriger ou de les contourner, et ainsi l'adversaire augmente sa capacité de résistance à la coercition (p. xv du résumé). Mais comme il est difficile de savoir quand les actes de guerre ont commencé, ou même s'ils ont eu lieu, il est également difficile de mettre fin à la guerre. Bref, la cyberguerre stratégique ne peut probablement pas emporter la décision par attrition.

Quant à la cyberguerre opérationnelle, destinée, au cours d'un conflit, à atteindre des cibles militaires et à les mettre hors de combat, elle est soumise aux incertitudes mêmes qui la rendent possible : il faut que les cibles soient vulnérables et que leurs vulnérabilités soient exploitables, mais cette situation peut changer instantanément à tout moment. Les effets d'une cyberattaque sont donc très difficiles à prévoir, surtout dans la durée. Même après coup, il semble bien que le ver Stuxnet ait effectivement paralysé les installations nucléaires iraniennes pendant quelques mois, mais on ne peut guère être plus précis.

Cyberdissuasion et contre-attaque

En ce qui concerne la cyberdissuasion : elle repose sur la conviction d'éventuels attaquants que l'attaqué saura qui l'a attaqué, et sera en mesure d'appliquer des représailles à bon escient. Libicki énumère trois questions essentielles et six questions subordonnées qu'il faut se poser à ce sujet :

Savons-nous qui a commis la cyberattaque supposée ?
Pouvons-nous tenir sous la menace leurs installations vitales ?
Pouvons-nous le faire de façon répétée ? En effet chaque déclenchement de cyberreprésailles révèle les vulnérabilités qu'elle utilise, et ce faisant affaiblit les chances d'efficacité des suivantes.

Les six questions subordonnées :

Si les représailles ne dissuadent pas, pouvons-nous au moins désarmer l'adversaire ? (la réponse est non, les moyens dont il faut disposer pour une cyberattaque sont dérisoires et se trouvent au super-marché du coin).
Des tiers se joindront-ils au combat ?
Les représailles envoient-elles le bon message à notre propre camp ?
Avons-nous fixé un seuil de réponse ?
Pouvons-nous éviter l'escalade ?
Que faire si l'attaquant ne possède rien qui vaille la peine de le détruire ?

Bref, toutes ces questions montrent que l'art de la cyberdissuasion est rien moins que facile, et que la contre-attaque ne semble pas une option plus prometteuse. Il faut donc plutôt compter sur la défense et la vigilance.

Cyberdéfense et cybervigilance

Les moyens de surveillance et de protection des réseaux et des systèmes informatiques sont multiples et documentés, par exemple dans mon livre sur le sujet.

Suivons la démarche de Libicki, qui envisage essentiellement la défense et la protection des systèmes militaires, mais dont la plupart des idées sont également applicables à des systèmes civils.

• « Connais-toi toi-même », en d'autres termes avoir une politique de cybersécurité : -** savoir quoi défendre, pourquoi, et quel niveau de détérioration est acceptable pour chaque actif ; -** savoir, pour chaque actif, ce qu'il en coûterait d'une attaque réussie contre lui ; -** savoir qui a droit à quoi dans le réseau et dans le SI ; -** savoir où sont les points forts et les points faibles.

• Techniques opérationnelles : -** Libicki mentionne très judicieusement la technique des « pots de miel » ("honeypots"), qui sont des leurres, sous forme de sites factices munis de toutes les vulnérabilités et de tous les appâts possibles, afin d'attirer les attaquants et d'observer leurs méthodes ; il y a au moins une très bonne équipe française dans ce sport ; -** signature électronique et chiffrement doivent être omniprésents évidemment ; la récente usurpation de certificats de sécurité par des acteurs iraniens, et d'autres incidents analogues (RSA), montrent des failles critiques dans une infrastructure de sécurité très utilisée ; -** camouflage du réseau et des systèmes, par exposition d'une vue fallacieuse des systèmes ; -** organisation de manœuvres de cyberguerre.