Allez, pour reprendre, un petit billet sur la dissuasion dans le cyber. Voici donc quelques idées, parmi d'autres, et pas forcément originales.
Comme nous l’avons remarqué, la fonction défensive dans le cyberespace apparaît comme première. Elle peut être imparfaite et facilement transperçable, mais elle existe toujours. La question de la riposte est en revanche beaucoup plus délicate, car elle suppose plusieurs éléments : la prise de conscience qu’on a été attaqué ; la mesure de l’intensité de l’attaque et des dégâts causés ; l’identification de l’agresseur (attribution et imputabilité) ; l’éventuelle atteinte des moyens de riposte ; la décision et l’exécution de la riposte.
Remarquons tout d’abord que nous parlons d’un agresseur unique : or, une des difficultés du cyber tient à la multitude des acteurs en jeu : la dissuasion suppose un dialogue stratégique qui individualise l’autre, ce qui paraît très difficile dans le cas du cyberespace .
Or, l’attaque première sera, sauf cas extrêmes, rarement visible au premier coup d’œil, ce qui constitue une différence fondamentale avec le système classique, où soit l’attaque était conventionnelle (mais visible) soit nucléaire (et encore plus visible). Dans tous les cas, les trois premières étapes étaient assez facilement assurées, et dans un temps très bref. La dernière (mise en œuvre de la riposte) pouvait donc être rapidement mise en œuvre de façon légitime. Or, la légitime défense suppose d’une part une certaine proportionnalité de la riposte à l’attaque, mais également une concomitance des deux actions. En cyber, la concomitance de la riposte paraît inatteignable.
Il existe toutefois une possibilité : celle où l’agresseur déclare son agression.
Réf :
- Libicki, bien sûr, ici
- Gruselle, Esterle et Tertrais, pour la FRS, en français : ici
- ici
- dossé et HUbac, les doctrines de cyberdissuasion ici
O. Kempf