Rapport Bockel sur la cyberdéfense

1/ Le sénateur Bockel a rendu public son rapport mercredi matin : l'assistance était nombreuse, avec les plus influents spécialistes de cyberstratégie (enfin, presque tous), des journalistes, des lobbyistes, des think-tankers, et pas mal d'étudiants : d'ailleurs, la moitié de l'assistance avait moins de 35 ans, ce qui n'est pas anodin. Il fait suite au précédent rapport Romani, présenté en 2008, et avait pour objet de faire le point quatre ans après.

2/ Le rapport compte une cinquantaine de propositions, résumées en dix recommandations phare. Il ne s'agit pas ici de les énumérer (lisez le rapport) mais de commenter certaines d'entre elles.

3/ Retenons en préambule une définition de la cyberdéfense, donnée dans l'allocution du sénateur, mais pas inscrite dans le rapport : "Dans mon esprit, la cyberdéfense se distingue de la lutte contre la cybercriminalité. Elle recouvre la politique mise en place par l’Etat pour protéger activement des réseaux et des systèmes d’information essentiels à la vie et à la souveraineté du pays." On retrouve là la notion d'intérêt vital, bien connu des spécialistes de défense, notamment en lien avec la doctrine de dissuasion nucléaire. Le rapport mentionne la notion d'intérêts fondamentaux (p 8), d'infrastructures critiques, d'infrastructures vitales, d'entreprises et d'opérateurs d'importance vitale... Derrière ces mot se cachent des réalités pas forcément bien distinguées, et sujettes à appréciation.

4/ D'ailleurs, à une question qui lui fut posée sur ce sujet, (par un esprit fort aiguisé) le sénateur à répondu que la notion couvrait deux aspects, celle de la défense économique (lutte contre le pillage) et celle de la défense nationale (qui engageait le fonctionnement du pays). Il y aurait donc un panel de réponses, différentes selon les agressions. Il signale enfin qu'il existe une liste des OIV, qui si elle n'est pas publique elle doit probablement être adaptée. Cela confirme cette opinion, vue du stratégiste, qu'il y a encore un travail de définition à faire.

5/ On a beaucoup parlé dans la presse de la recommandation (n° 10) d'adopter une doctrine de LIO (lutte informatique offensive). Je ne peux que m'en réjouir puisque c'est une position que je défends depuis longtemps. Qu'on soit bien d'accord : il ne s'agit pas de rendre publics les détails techniques des capacités détenues, ni même forcément les généralités sur les procédures qui seraient employées. Le secret doit demeurer sur des attributs essentiels de souveraineté. En revanche, il convient :

• d'une part, de comprendre que dans la stratégie, et tout particulièrement dans la cyberstratégie, la dimension rhétorique fait partie de l'efficacité de la posture. Ne rien dire comme on le fait depuis 2008 (et les paroles nettes écrites dans le LBDSN) affaiblit probablement indirectement la posture.
• d'autre part, il faut comprendre qu'à partir du moment où l'on affirme que le cyber constitue une dimension désormais essentielle à la souveraineté moderne des États ; qu'à partir du moment où les chefs d'Etat des pays les plus puissants s'expriment sur le sujet, il convient que nous soyons cohérents : la parole au plus haut niveau recommandée par le sénateur (si on comprend bien, un discours du président de la République, du type de celui de l'ile longue concernant le nucléaire) ne peut ignorer cet aspect de la cyberdéfense. Il faut donc préparer cette parole. La doctrine de la dissuasion a été établie à la suite d'un long débat stratégique tout au long des années 1960 : la doctrine est venue couronner ce débat. C'est là ce qu'il faut préparer.

6/ Constatons enfin que les États-Unis semblent avoir modifié leur approche : autant ils étaient discrets sur la question, autant la parution du livre de Ted Sanger sur les guerres d'Obama ouvre de nouvelles perspectives. La question n'est pas tant de savoir si les dirigeants américains étaient à l'origine du programme "Olympic Games" mais qui avait fuité et pourquoi. Ainsi que l'a rappelé le sénateur, qui était aux US à ce moment là, le débat qu'il y eut là-bas ne tenait pas à "les États-Unis ont mené une action offensive" mais "pourquoi l'ont-ils fait savoir?". On se reportera ici à l'analyse de Barbara Louis-Sidney qui conclut à un changement de "posture" et à l'affirmation d'une doctrine offensive ("La logique de dissuasion telle que perçue auparavant, axée sur la discrétion des acteurs, tend à se renverser").

7/ Notons la question de Nicolas Arpagian : "à la suite d'une déclaration d'Hillary Clinton, les États-Unis s'autorisent à répondre à une cyberattaque par des moyens conventionnels : et nous ?". Le sénateur a répondu qu'au moins, le débat était sur la table. Nous l'ouvrons donc ici.

8/ IL y eut pas mal de questions sur la recommandation de réfléchir à la pertinence d'acheter des routeurs Huawei et ZTE : est-ce la marque d'un protectionnisme ? (réponse : les États-Unis ne se gênent pas), quid d'une politique industrielle? quid d'un partenariat en la matière avec l'Allemagne ? quid de la relation avec les PME ?

9/ Une question sur la gouvernance : la réponse affirme la bonne synchronisation entre ANSSI et SGDSN, la bonne organisation du Ministère de la défense, et pointe les efforts à faire en interministériel : la nouvelle DISIC pourrait constituer le bon outil pour cet effort.

Au final, un rapport utile, publié au bon moment, et ayant consulté plein de bons experts et spécialistes...!

Rapport de JM Bockel sur la cyberdéfense

O. Kempf