A propos de cyberstratégie américaine, quelques Q

Premièrement, s'agissant de la stratégie américaine en matière de cyberdéfense, est-ce que la politique très offensive (consistant notamment à affirmer que toute agression dans le cyberespace américain donnera lieu à une riposte usant de tous les moyens traditionnels), même si elle est essentiellement déclarative à l'heure actuelle, vous paraît adaptée au contexte ?

Vous faites bien de noter que cette stratégie est "déclarative" : elle appartient à la rhétorique stratégique, cet élément de la stratégie apparu avec la stratégie nucléaire, et qui devient un élément important des cyberstratégies. Puisque les caractéristiques du cyberespace (et notamment le principe d'inattribution, mais aussi la furtivité et l'immatérialité des armes) font que j'aurai de la peine à prouver mes assertions, alors la rhétorique appartient à l'arme, à sa crédibilité. La dissuasion nucléaire fonctionne grâce à la doctrine qui l'accompagne, et à sa crédibilisation par les autorités politiques. Il en est de même pour le cyber. S'il y a un point commun entre la dissuasion nucléaire et la cyberdissuasion, c'est celui-là.

Ainsi, les Américains, en rajoutent. Après, en font-ils trop ? Peut-être, à cause de plusieurs facteurs : l'ultra confiance technologique qui appartient à leur culture stratégique, leur militarisme, mais aussi un certain sentiment de déclin qu'ils veulent, inconsciemment, compenser. Et puis il y a des facteurs réels, qui tiennent à leur avance dans le domaine (incontestable) et l'ampleur des moyens qu'ils consacrent au sujet.

Enfin, cela induit un problème stratégique qui n'a pas été suffisamment relevé : celui de l'escalade de la violence. L'affirmer dans le cyber, pourquoi pas, mais le plus gênant réside bien sûr dans l'escalade trans-domaine (inter-sphères stratégiques, selon ma terminologie) : ils vont jusqu'à évoquer l'emploi nucléaire, ce qui dans les conditions actuelles n'est pas sérieux, et invalide par là-même l'ambition de dissuasion de leur rhétorique. Aujourd'hui, les dommages causés par le cyber demeurent sous un certain seuil de violence : affirmer sans ciller qu'on est prêt à dépasser tous ces seuils, jusqu'aux dernières extrémités, me paraît peu crédible.

Deuxièmement, l'actualité (Prism, XKeyscore, etc) a démontré, selon mon opinion, les dangers de la politique américaine appliquée au cyberespace. Partagez-vous mon avis ? De plus, peut-on envisager une cyberdéfense efficace sans être trop intrusive ? Car la surveillance d'un espace permet de renforcer sa sécurité, mais dans ces affaires, elle a été très condamnée. Selon vous, de quel côté doit peser la "balance sécurité", du côté d'une sécurité à tous prix pour une protection efficiente ou bien du côté du respect des droits fondamentaux ? (une telle balance est-elle d'ailleurs possible?)

Vous soulevez un problème important, celui du rapport entre l'efficacité et l'intrusion : ces mots sont heureux dans le cas présent, car ils renouvellent un peu un débat ancien. Habituellement, il est énoncé avec deux autres mots : sécurité et liberté.

Pour dire les choses simplement : la sécurité absolue est un leurre. La sécurité absolue des uns signifie l'insécurité absolue de tous les autres, ce qui n'est pas admissible dans une société internationale. Surtout, on raisonne là en termes interétatiques, mais la difficulté réside dans le soupçon porté non contre les États, mais les individus : désormais, tous les individus sont soupçonnables. Dès lors, la sécurité absolue (de qui ? : l'émergence des home grown terrorists montre que l'ennemi peut, désormais, être intérieur) suppose l'insécurité absolue non seulement de tous les autres États, mais aussi de tous les citoyens : ceux de l'extérieur comme ceux de l'intérieur. Cette ambition prométhéenne est illusoire, avant même d'être philosophiquement inepte et moralement condamnable. Autrement dit, elle est condamnée à l'inefficacité.

Mais surtout, il y a un deuxième biais : celui de croire que la sécurité passe par le renseignement, et que "tout" savoir permet de tout prévenir. La Stasi avait enrôlé un quart de la population, cela n'a pas empêché les manifestations ni le mur de tomber. De même qu'il n'y a pas de sécurité absolue, il n'y a pas de renseignement absolu. La valeur donnée au renseignement est illusoire.

Voici donc deux erreurs stratégiques qui invalident, me semblent-il, cette ambition panoptique. Car sous l'apparence de réalisme, cette ambition me semble idéaliste et presque chimérique. Le réalisme suppose l'existence de l'autre, à la fois différent et ressemblant.

Je laisse de côté la critique habituelle sur l'illusion technologique (cf. les débats sur la RMA), qui demeure valide en l'espèce mais ne mérite pas de grands développements supplémentaires.

Pour le reste, les services de renseignement "renseignent", et le renseignement électronique (ou cyber, désormais), est une des sources, parmi d'autres. Mais je crois que les spécialistes de la discipline expliquent le rôle du renseignement humain, et surtout, surtout, le rôle de l'analyse. C'est l'analyste qui "fait" le renseignement, à partir des informations collectées, réunies et mises en perspective. Je ne suis pas assez qualifié pour savoir si l'équilibre américain entre RHOUM et ROEM est pertinent.

Troisièmement, quant à la problématique liée à l'absence d'imputation des actes malveillants commis dans le cyberespace, que pensez-vous de l'affaire du rapport produit par le Pentagone, accusant la Chine d'espionnage ? Outre l'aspect stratégique de ce rapport, qu'en pensez-vous ? Un tel rapport a-t-il réellement un effet sur la scène internationale ? Car les experts sont conscients que ces affirmations ne reposent que sur des doutes et non sur des preuves tangibles, mais, en outre, ce rapport n'a eu quasiment aucune conséquence sur "l'attitude" chinoise. Je suis consciente que l'effet escompté était de "faire pression" et de dissuader, mais pensez-vous réellement qu'un tel effet s'est produit ? Les conséquences n'étaient-elles pas purement diplomatiques (et donc n'affectant pas les actes commis dans le cyberespace américain) ?

Nous voici aux limites d'efforts trop prononcés en matière de rhétorique stratégique. La campagne américaine (rapport Mandiant, rapport Pentagone) visait à fabriquer l'ennemi (non que la Chine ne mène des activités hostiles dans le cyberespace, loin de là). Quel était l'objectif ? contraindre les Chinois ? c'était illusoire, et vous avez raison de remarquer que les Chinois ont continué leur bonhomme de chemin. La cible réelle de cette campagne de presse était plutôt ce qu'on appelle "l'opinion publique internationale", en clair les alliés des États-Unis, pas forcément convaincus de la nécessité de les suivre dans leur basculement (pivot) vers l'Asie. Chacun, et tout d'abord les Européens, voyait cela avec circonspection, et l'objectif consistait à rameuter les troupes derrière le chef de meute.

Patatras : voici que mère loup est la première à espionner et à mener ces activités hostiles qu'elle reproche à l'autre clan. Or, dans le cyber, à cause de l'inattribution, tout le monde "attaque" tout le monde. Et le grand méchant loup désigné (la Chine) utilise les mêmes pratiques que Pierre qui crie "au loup" (les États-Unis). N'en doutons pas : nous aurons bientôt une affaire qui remettra la Chine au premier rang des activistes cyber.

Pour conclure : la cyberstratégie américaine fait l'effet d'être "too much". Trop d'argent, trop de priorité, trop de désir de reproduire avec le cyber la lutte qu'il y avait eu dans le nucléaire, et avec la Chine le schéma bipolaire d'avec l'URSS. Je crois avoir écrit ailleurs l'illusion de la reproduction de ce schéma. Or, le cyberespace suscite des questionnements stratégiques nouveaux qui méritent, à eux seuls, des réponses innovantes.

Pourtant, ne nous y trompons pas : les Américains ont suffisamment de moyens pour dominer sans difficulté le cyberespace : entre l'ICANN, la bande de Bafa et la Silicon Valley, ils n'ont pas besoin d'en rajouter. Il y a place pour une politique de puissance moins hégémonique d'apparence, et qui perpétue leur rôle de puissance dominante, ce qui est, logiquement, leur objectif stratégique. Autrement dit : il n'y a pas lieu de critiquer leurs ambitions (j'appartiens, faut-il le dire, à une école réaliste), mais la mise en œuvre nécessite peut-être plus de tact (car le réalisme n'empêche pas la subtilité).

O. Kempf