Si vis pacem, para cyber bellum ! par F. Ferrer

Comme le titre l'indique, il est question de cyber stratégie : très utile pour bien préparer le colloque du mardi 29 (attention, il ne reste plus qu'une dizaine de places : et ce n'est pas un argument marketing !). Selon lui, la vision Française de la cyberguerre enferme pour l’instant les armées dans une posture plutôt négative, par trop cantonnée à la défensive. Sortir de cette ornière conceptuelle en pensant la cyberguerre dans son ensemble - dans la profondeur stratégique comme sur le terrain des opérations, en défensive comme en offensive - est la seule option raisonnable capable, selon l’auteur, de préserver nos armées d’une «cyber surprise».

Merci à lui pour cette contribution au débat.

O. Kempf

Si vis pacem, para cyber bellum !

« Et si la réussite d’une opération extérieure dépendait non pas du nombre d’avions de chasse déployés mais d’une connexion en réseau sécurisée ? »

Ainsi débute le dossier exclusif « Cyberdéfense, enjeu du XXIème siècle » mis en ligne en ce mois de septembre 2011 sur le site Internet du ministère de la Défense.

Si cette accroche, certes percutante, est très largement discutable, le reste du dossier montre fidèlement l’étendue du chemin parcouru dans la réflexion stratégique sur ce sujet, depuis la parution en mars 2004 du plan gouvernemental de renforcement de la sécurité des systèmes d’information de l’Etat 1.

En outre, les initiatives nationales conçues par l’ANSSI 2 et relayées par la DGSIC 3, comme la toute récente création d’un « groupe d’intervention rapide » 4 devant permettre d’augmenter la résilience des systèmes d’information de l’État et des opérateurs critiques, s’intègrent dans un plan global de Cyberdéfense défini par l’OTAN en 2010 lors du sommet de Lisbonne.

Nonobstant ce bouillonnement d’idées et de réalisations concrètes encourageantes, la vision Française de la cyberguerre enferme pour l’instant les armées dans une posture plutôt négative. Il s’agit en effet essentiellement de défendre et d’apprendre à se défendre. La lutte informatique offensive, timidement évoquée en 2008 pour la première fois dans le livre blanc sur la défense et la sécurité nationale, ne semble pas avoir trouvé d’autre concrétisation que dans les arcanes des services spécialisés du 44ème RI.

Sortir de cette ornière conceptuelle en pensant la cyberguerre dans son ensemble - dans la profondeur stratégique comme sur le terrain des opérations, en défensive comme en offensive - est la seule option à même de préserver nos armées d’une «cyber surprise».

Dans cette optique, prendre part aux débats législatifs internationaux, dépasser certains blocages psychologiques et combler les lacunes technologiques obérant tout emploi de la cyber force Française, est indispensable. Notre cyber stratégie militaire pourrait alors s’appuyer avantageusement sur notre dissuasion nucléaire, tandis que nos cyber capacités tactiques et opératives pourraient proposer une nouvelle palette d’effets non létaux aux chefs interarmes.

Participer à la construction d’une législation internationale de la cyberguerre

La répugnance Française à penser la cyberguerre dans son ensemble provient en premier lieu de son manque de définition claire, internationalement acceptée. Notre société étant tout aussi dépendante du numérique que marquée par une forte judiciarisation des conflits traditionnels, fixer les normes internationales de la cyberguerre est pour la France, comme pour d’autres nations alliées, le préalable indispensable à toute conceptualisation holistique.

L’influent think-tank EWI (EastWest Institute 5) propose sur son site Internet 6 depuis février 2011 un rapport 7 d’experts américains et russes pouvant servir de base à un droit des cyber conflits. Il s’agit principalement dans ce rapport d’adapter les conventions de Genève et de La Haye, au travers de cinq recommandations majeures :

1. 1/ Établir la liste des « entités numériques8 » critiques pour l’humanité, à protéger par la convention de Genève.
2. 2/ Marquer visiblement dans le cyberespace ces entités du sceau « numérique » de la convention.
3. 3/ Adapter la convention en reconnaissant tous les acteurs potentiels de la cyberguerre (ne pas se limiter aux états, inclure les ONG et les grandes firmes multinationales).
4. 4/ Définir et catégoriser le cyber armement autorisé ou banni.
5. 5/ Pallier le manque de définition claire de la cyberguerre par la reconnaissance d’un troisième mode dit « autre que la guerre » dans le cyberespace 9.

A défaut d’être moteur, il est primordial pour notre pays de s’inscrire dans cette dynamique législative internationale, dont la portée exceptionnelle souligne si besoin en était l’importance de l’enjeu (un accord entre russes et américains sur un tel sujet parle de lui-même).

Dépasser les blocages psychologiques

D’emblée l’idée de la cyberguerre place le militaire dans le registre de l’approche indirecte, peu compatible avec la tradition « chevaleresque » des armées européennes. Si l’action indirecte que constitue une cyber attaque ne s’inscrit pas dans le champ d’action traditionnel des forces armées conventionnelles, les représailles envisagées en réaction à ce type d’attaque n’excluent pourtant pas le recours à ces mêmes forces 10.

Il y a là un paradoxe tout à fait saisissant. L’idée de cyber attaquer ne répond pas aux canons militaires de l’éthique de la guerre. Pourtant, en contradiction avec cette éthique de la guerre, le politique pourrait imposer au militaire de riposter par la violence à une attaque cybernétique, par nature non létale.

Sun Tsu, père fondateur de l’approche indirecte, aurait sans nul doute fait l’apologie de la cyberguerre et l’aurait placée au cœur de sa stratégie. Cette idée prend tout son sens dans l’article 3 de « l’art de la guerre », portant sur les principes stratégiques qu’un général doit maîtriser pour être victorieux :

• Sun Tsu dit : " Il est préférable d'assujettir un pays en le laissant intact que de le détruire".
• Sun-Tsu dit:" Il vaut mieux gagner par reddition de l'ennemi sans avoir à recourir au combat".
• Sun Tsu dit : « Un habile général sait soumettre l'ennemi; sans répandre une goutte de sang, sans tirer l'épée, il fait tomber les villes et conquiert de nouveaux royaumes étrangers. »

Cette lecture légitime les présomptions d’imputabilité à l’empire du milieu de la majorité des cyberattaques recensées à ce jour, sans preuve formelle de sa culpabilité faute d’outils pour l’établir.

Côté occidental, une lecture littérale de Clausewitz a déjà conduit l’armée américaine, pensant lever le brouillard de la guerre et en limiter la friction, au concept d’opérations réseaux centrées. Mais une lecture supérieure de Clausewitz - notamment de son concept de paradoxale trinité conditionnant la limitation de la guerre à une triple séparation : celle du politique et du militaire, le cantonnement de la violence à la sphère militaire, celle du temps de guerre et du temps de paix – s’accommode mal du concept de cyberguerre.

En effet, le cyberespace national n’est d’abord matérialisé par aucune frontière, il est ensuite le théâtre régulier d’opérations « autres que la guerre » dirigées contre tout ce qui fait l’Etat 11, et ces opérations ne résultent enfin pas nécessairement de l’initiative politique d’un autre Etat.

Penser la cyberguerre c’est donc accepter Sun Tsu et dépasser Clausewitz, ce qui pour les vieilles nations européennes comme la nôtre ne va pas sans une certaine remise en question du « logiciel » militaire.

Combler les lacunes technologiques

Desserrer l’étau psychologique et écrire le droit sont deux préalables à une prise en compte globale de la cyberguerre par nos forces armées. Pour autant, nos principales difficultés d’appréhension ne sont pas conceptuelles mais bien techniques, directement liées à la nature même de la cyberguerre.

“A cyber operation may take place undetected and attribution is problematic.” 12 Cette observation formulée par les experts de l’EWI pose bien évidemment le problème du droit - comment et à qui déclarer la cyberguerre ? – sans pour autant proposer de solution : il n’existe pas aujourd’hui de moyen technologique permettant de prouver de manière irréfutable que telle attaque a été réalisée ou commanditée par tel Etat. Pour faire court : il n’existe aucun moyen de légitimer une réaction coercitive !

“Military forces will have distinct interests in keeping cyber weapons secret.” 13 Cette autre observation met quant à elle en exergue la dimension psychologique entourant les cyberarmements. En détenir ne procure un avantage que si preuve est faite de leur absolue efficacité. En revanche, garder le secret sur leur possession ne laisse planer qu’un doute éphémère sur ses propres capacités… Car ceux qui s’adonnent aux cyberattaques interprètent principalement les non représailles cybernétiques comme la résultante de deux faiblesses potentielles : l’absence pure et simple d’un quelconque arsenal, l’hésitation à s’en servir par manque de maîtrise.

Une ligne Maginot numérique ne suffira pas à préserver la France en cas de cyberguerre. Un principe tactique appris de la Ière Guerre Mondiale veut que l’on ne puisse défendre tout le terrain. Des choix sont à faire, des défenses mobiles envisagées, des contre attaques planifiées. Ce qui vaut pour le monde réel vaut également pour le cyber. Par conséquent, notre panel d’armements et de techniques numériques ne doit pas se restreindre au cadre figé de la défense en lignes de fortifications.

Penser la cyber guerre dans sa dimension stratégique : la cyber dissuasion

Selon le général de corps aérien X. JARRY 14, commandant la force aérienne stratégique de 2005 à 2007, notre doctrine nucléaire repose sur un principe fondamental de stricte suffisance et se décline en idées majeures telles que : le refus de toute dérive vers une stratégie d’emploi ; le rôle de l’arme nucléaire face aux « centres de pouvoir » des menaces régionales ; l’option de l’emploi en premier et celle de l’exercice de l’ultime avertissement ; le caractère « tous azimuts » de la dissuasion, même face à une menace géographiquement très éloignée.

Ainsi l’arme nucléaire française est-elle d’une part, une assurance-vie contre d’éventuels retournements négatifs du contexte stratégique global et d’autre part, un moyen de neutraliser les arsenaux de puissances régionales désireuses de changer le statu quo à leur profit, ou d’empêcher une intervention militaire européenne.

Aussi ne semble-t-il pas incongru de rapprocher la cyber stratégie de la dissuasion. Non pas qu’une cyber attaque appelle nécessairement une riposte nucléaire - bien que les effets d’une cyber attaque contre une centrale nucléaire mériterait sans doute que l’on y réfléchisse – mais bien parce qu’il s’agit à ce niveau de menace de discriminer ce qui relève des intérêts vitaux de la Nation et d’y proportionner la riposte dans les délais les plus brefs.

Du fait de la place centrale occupée par la dissuasion dans notre stratégie de défense, réaffirmée par le livre blanc sur la défense et la sécurité nationale et concrètement traduite par l’allocation de 20% du budget, placer les cyber ripostes dans son giron serait un signal politique fort donné aussi bien à nos adversaires potentiels qu’à nos alliés.

Quelles implications concrètes à une telle proposition ?

Chacun a en tête les composantes aériennes et maritimes de la dissuasion, dont les emblématiques Mirage 2000 N et SNLE sont les ambassadeurs. Peu se souviennent de ses deux autres composantes fondamentales que sont le renseignement et les transmissions. Ce sont précisément les deux composantes dont la cyber guerre a besoin pour sa mise en œuvre. Nous serions là dans une cohérence d’emploi et de compétences propice a priori à l’efficacité.

Penser la cyber guerre dans sa dimension tactique : les cyber opérations

Ardant du Picq n’a toujours pas été démenti. Rien ne saurait remplacer l’homme au cœur des combats. Il faudra toujours un cavalier pour conquérir, un fantassin pour tenir, un aviateur et un marin pour sécuriser et donner de la profondeur opérative. Les cyber opérations doivent in fine offrir au chef interarmes ou interarmées une palette d’effets non létaux facilitant l’engagement de la force.

Exemple d’effet escompté par cyber attaque : Les frappes aériennes de l’OTAN, opérées d’avril à juin 1999 lors de la 3ème phase de l’opération « Allied Force » contre le complexe militaro-industriel serbe et les centres du pouvoir de Slobodan Milošević, ont pris pour cible de nombreux bâtiments non militaires (notamment des usines chimiques de production d’électricité) et provoqué la mort d’environ 500 civils 15, que l’alliance peina à justifier sous l’appellation controversée de « dommages collatéraux ».

L’utilisation d’un virus de type Stuxnet 16 dans un conflit similaire permettrait d’escompter les mêmes bénéfices opératifs sans pour autant remettre en question la légitimité de la force par un nombre élevé de pertes civiles. Elle permettrait également de faciliter la reconstruction de la zone d’opérations une fois la paix restaurée. Le coût des opérations serait enfin diminué de plusieurs millions d’euros.

Exemple d’effets escomptés par combinaison : Associées aux capacités déjà détenues en matière de guerre de l’information (qui consiste à altérer l’image de son adversaire via les médias et les outils du cyberespace) et de guerre électronique (qui vise à contrôler ou détourner les émissions radioélectriques - radar, radio, etc.- d’un adversaire), les cyber opérations doivent permettre demain :

1. 1/ de renseigner sur ses intentions,
2. 2/ de le discréditer aux yeux de ses soutiens,
3. 3/ d’influencer ses décisions,
4. 4/ d’interdire un temps le cyberespace à l’adversaire.

Il ne s’agit bien entendu que de prospective, les effets les plus intéressants pourraient, comme toute innovation tactique majeure, se faire jour à l’entraînement. Par la même occasion, les limites identifiées à l’emploi du cyberarmement, comme le redouté « effet boomerang 17 », pourraient y être concrètement évaluées puis corrigées.

Pour aller plus loin…avant de conclure

Les drones américains piratés pour 26 dollars, LEMONDE.FR | 17.12.09 | 18h28 • Mis à jour le 17.12.09 | 18h34

• Vingt-six dollars : c'est le coût d'un programme grand public utilisé par les insurgés irakiens pour pirater les flux de données des drones Predator utilisés par l'armée américaine. Les insurgés profitent d'une vulnérabilité dans la conception de l'appareil pour capter le flux d'images transmises par les caméras du robot, à l'aide d'un logiciel disponible dans le commerce. La manipulation ne permet pas de prendre le contrôle de l'appareil ou de l'endommager, mais savoir ce que voient les drones américains permet aux insurgés de se préparer à l'éventualité d'une attaque ou de connaître les régions dans lesquelles les Américains concentrent leurs efforts.

Plusieurs enseignements peuvent être tirés de cet épisode de la deuxième guerre d’Irak :

1. 1/ Dans la cyberguerre, toute faille est exploitable, que l’adversaire soit de nature symétrique, dissymétrique ou asymétrique.
2. 2/ Ce n’est pas le prix qui fait l’efficacité tactique.
3. 3/ Une faille que l’on sait exploitée doit faire l’objet d’une enquête de sécurité auprès des fournisseurs (complicités, recel).
4. 4/ La contre-cyberguerre reste à inventer, l’armée américaine n’a pas tiré avantage de la situation. La solution consistant à exploiter la faille en faisant voler les Predators au dessus de zones ne présentant que peu d’intérêt, dans une manœuvre de déception, n’aurait semble-t-il pas été proposée. Le premier réflexe fût technique : clouer les drones au sol le temps de combler la faille de sécurité.

Conclusion

A l’heure où les effets comptent autant que les armes qui les produisent, où les budgets de défense européens déclinent, nos armées Françaises doivent sortir de l’ornière conceptuelle dans laquelle elles se sont empêtrées en matière de cyberguerre, et avoir l’audace de se lancer sur ce nouveau terrain de recherche opérationnelle que constitue la cyberoffensive. C’est là l’unique option raisonnable capable de prévenir une «cyber surprise stratégique».

Le développement d’un pôle technique de compétence interarmées de la cyberguerre pourrait dans ce cadre être envisagé.

L’arrivée prochaine (été 2012) à Bruz de la 785ème compagnie de guerre électronique à proximité directe de la DGA/MI 18 et de l’Ecole des transmissions pourrait constituer la base de ce pôle. Rappelons que cette école forme les techniciens de la guerre électronique et de la SSIC 19 pour l’armée de terre, et pratique déjà l’interarmées puisqu’elle accueille aussi marins et aviateurs. Adossé à une région Rennaise reconnue comme bassin d’excellence des télécommunications et de l’informatique, la perspective de synergies intéressantes sur ce pôle pourrait servir de catalyseur à l’émergence concrète de la cyberguerre à la Française.

Frédéric Ferrer

Notes :

1. Ce rapport a été complété par le rapport ROMANI « Cyberdéfense : un nouvel enjeu de sécurité nationale », présenté début 2008 devant la Commission des Affaires étrangères, de la Défense et des Forces armées du Sénat.
2. Agence Nationale pour la Sécurité des Systèmes d’Information
3. Direction Générale des Systèmes d'Information et de Communications
4. L’ensemble des mesures prises est consultable au lien suivant : http://www.ssi.gouv.fr/IMG/pdf/2011-05-25_principales_mesures.pdf
5. Ce think tank offre un espace de discussion à la Russie et aux USA depuis 1980. EWI ne se limite pas aux initiatives de cybersécurité : relations avec la Chine, diplomatie préventive, déconfliction régionale, armes de destruction massive sont également dans son champ de réflexion.
6. http://www.ewi.info
7. Working Towards Rules for Governing Cyber Conflict: Rendering the Geneva and Hague Conventions in Cyberspace
8. Ces entités sont les pendants numériques des « entités non étatiques » protégées par la convention de Genève.
9. Le cyberespace serait donc selon EWI : soit en mode paix, soit en mode guerre, soit dans un mode autre que la guerre.
10. Déclaration du 16 Mai 2011 de l’administration Obama : Les Etats-Unis "répondront aux actes hostiles dans le cyber-espace de la même manière qu'à toute autre menace pour le pays". "Nous nous réservons le droit d'utiliser tous les moyens nécessaires – diplomatiques, relatifs à l'information, militaires et économique – en fonction des besoins et dans le respect du droit international, pour défendre notre pays, nos alliés, nos partenaires et nos intérêts"
11. Selon Max Weber, philosophe allemand du XIXème siècle, l’Etat se construit sur trois facteurs : l’armée (monopole de la violence légitime), l’administration et l’homogénéisation du territoire.
12. Une cyber opération peut se dérouler sans être détectée, identifier son auteur est problématique.
13. Les forces armées auront diversement intérêt à conserver le secret sur leur cyber armement.
14. Dans son article « L’Armée de l’air et la dissuasion nucléaire »
15. Source : Bilan de la guerre du Kosovo : Le résultat des frappes – la fin du conflit - la reconstruction – la situation en Serbie-Monténégro. (Valérie Peclow, Georges Berghezan et Bernard Adam). http://www.grip.org/fr/siteweb/images/RAPPORTS/2000/2000-03.pdf
16. Stuxnet est un ver informatique spécifique au système Microsoft Windows initialement découvert en juin 2010 par VirusBlokAda, une société de sécurité informatique basée en Biélorussie. La complexité du ver est très inhabituelle pour un malware. Il a été décrit par différents experts comme une cyber arme, conçue pour attaquer une cible industrielle déterminée, en l’occurrence la centrale nucléaire de Bouchehr en Iran à l’été 2010 (source Wikipédia).
17. Une attaque mal maîtrisée pourrait infecter nos propres systèmes et réseaux en plus de ceux de l’adversaire. Cette hypothèse est surtout pertinente dans le cas d’une attaque sur un objectif connecté à l’internet.
18. Direction Générale pour l’Armement / Maîtrise de l’information.
19. Sécurité des Systèmes d’Information et de Communications