Le cyberespace est-il un espace géopolitique comme les autres ? Peut-on y employer nos catégories traditionnelles pour hiérarchiser les puissances les unes par rapport aux autres ? Quelles leçons tirer d’une lecture critique de nos indicateurs de puissance classiques ? Au fond, qu’est-ce-qu’une cyber-puissance ? Décryptage.
Une topographie westphalienne du cyberespace serait fausse
La géopolitique numérique se construit pour l’heure comme une extension de la géopolitique physique, faisant de l’enjeu de la cybersécurité le premier sujet de réflexion.
Ce schéma de pensée fait naturellement des États les premiers acteurs du champ comme dans la théorie westphalienne des relations internationales. Ainsi, la guerre des équipementiers Huawei - Cisco est décrite comme une rivalité Chine - États-Unis. Et les commentateurs de réduire le sujet à la question de la souveraineté technologique, comme si le sujet technique liquidait à lui-seul la question géopolitique.
Ce schéma de pensée est limitant car il exclut de nombreux paramètres de la puissance cyber. Au-delà de la cybersécurité - des capacités à attaquer ou défendre des frontières numériques - la puissance cyber devrait aussi comprendre les capacités normatives : faire le droit et rendre la justice. Par la mise en place de normes aux exigences aussi élevées que le Règlement général sur la protection des données (RGPD), l’Union européenne s’érige aussi en acteur majeur de cette forme de puissance cyber. Et pour cause : les données sont une ressource majeure du cyberespace tant elles sont essentielles au machine learning et au développement de l’IA et toutes ses applications.
La grille de lecture westphalienne du cyberespace est totalement incomplète car elle omet des acteurs absolument déterminants dans les rapports de force : les acteurs privés. À l’instar des BATX (Baidu, Alibaba, Tencent et Xiaomi) et des GAFA (Google, Apple, Facebook et Amazon), il y a des acteurs dont la puissance capacitaire et normative rivalise avec la puissance publique et détermine le cours du cyberespace. Il ne s’agit pas que de prestataires de services qui rendraient service aux acteurs westphaliens - les États - et en deviendraient une extension. Il s’agit d’acteurs qui s’autonomisent dans le champ de force. Des producteurs de hardware - le fabricants de puces électroniques comme le producteur de terres rares - aux créateurs de software - le développeurs de logiciels comme l’inventeur d’un OS - ils sont des acteurs à part entière de la puissance cyber, parfois autonome des frontières géopolitiques classiques.
Cartographier le cyberespace comme un champ westphalien d’acteurs étatiques serait une erreur.
En atteste le classement international National Cyber Security Index. Construit sur le niveau de développement digital et l’indice de cybersécurité nationale, il met en exergue l’écart entre les deux indicateurs, pour mesurer si le développement digital (en bleu) est synchronisé avec le niveau de cybersécurité (en noir). Un État disposant d’une excellente cybersécurité n’est pas forcément un État avec un écosystème digital très développé. Il y a des Nations en carence sécuritaire qui disposent pour autant d’une économie à la pointe de la révolution digitale, comme ce serait le cas pour la Finlande par exemple.
Dans le cyberespace, le hard power se joue à l’université
Mais si l’on cherche malgré tout à évaluer la cyber-puissance des États-nations, certains outils existent. Étudions par exemple le classement proposé par l’Union internationale des télécommunications : le Global Cybersecurity Index (GCI).
Publié pour la dernière fois en 2018, le GCI prend en compte l’influence internationale (accords bilatéraux, multilatéraux, partenariats publics - privés), la capacité normative (par la législation et la régulation), la puissance publique (existence d’une agence nationale de cybersécurité) et les capacités techniques. Une lecture critique de ses déterminants nous aident à affiner la notion de puissance cyber.
Global Cybersecurity Index - Heat map of national cybersecurity commitment
Cette grille de lecture semble valide. En effet, la carte du CGI présente l’Amérique du sud et l’Afrique en retrait, confirmant l’intuition selon laquelle l’influence internationale cyber dépend de la possession d’infrastructures numériques puissantes. Cela se confirme quand on zoome sur l’Europe : l’Ouest, plus équipé, est plus intégré à la coopération internationale.
Cette carte ne semble pas suffisante. Le cas roumain nous invite à l’interroger : présenté comme peu influent, ce pays a tout de même produit l’antivirus de renommée mondiale BitDefender et de nombreux postes informatiques en Europe.
Il faut donc tracer les frontières du cyberespace avec d’autres données, comme par exemple la nationalité des meilleurs hackers. Nous pouvons le faire en étudiant les résultats des plus grandes compétitions internationales en matière de cybersécurité. Nous pourrions étudier les Bug Bounty : rémunérés par des entreprises multinationales pour chercher les failles dans leurs propres systèmes, ces concours sont répertoriés par le site Bugcrowd. Mieux : étudions les scores nationaux lors des Capture The Flag (CTF), organisés par les hackers eux-mêmes.
Scores internationaux lors des compétitions Capture The Flag
Corrigée de certaines omissions dans la base de données, comme la force des hackers israéliens, cette carte donne encore plus de relief au cyberespace que celle du CGI. Les États-Unis restent dominants mais l’Inde, la Chine et la Russie se distinguent comme des acteurs majeurs, devant des puissances moyennes comme la France, le Japon ou la Corée du Sud.
Cette nouvelle cartographique met en lumière le principal facteur de la puissance cyber : l’éducation. Elle révèle l’importance du système d’enseignement et de recherche comme un déterminant majeur de la puissance cyber. L’armée digitale est faite d’ingénieurs-développeurs, d’avocats spécialisés, de managers agiles… autant de données qui échappent à la cartographie du CGI. Celle-ci nous montre en effet que les infrastructures de télécommunication sont un bon proxy de la puissance cyber. Mais plus fondamentalement, les capacités universitaires - qui pré-déterminent d’ailleurs l’existence ou non d’infrastructures développées - en sont le premier facteur.
C’est d’ailleurs pourquoi il n’y a pas d’effet de retard dans l’histoire géopolitique du cyberespace : une puissance qui investirait tout à coup massivement dans un système de recherche et d’enseignement pourrait rejoindre relativement rapidement la frontière technologique.
Le cas estonien est tout à fait intéressant à cet effet. Face aux tentatives d’ingérence étrangères par des attaques informatiques puissantes et fréquentes, Tallinn a su se développer rapidement comme un véritable cyber-puissance en commençant par la création de sa E-Governance Academy.
L’hyperpuissance cyber
Mais attention, cette nouvelle toponymie du cyberespace ne doit pas nous induire en erreur. Certes, une lecture post-westphalienne du cyberespace est nécessaire. Certes, notre attention doit être concentrée sur le système universitaire. Mais rien n’est moins puissant qu’un État ayant conçu sa politique cyber autour de ces enseignements.
Prenons le cas chinois. Pékin essaie d’émerger comme une puissance cyber en conjuguant tous les facteurs de puissance :
- Ses capacités d’investissements massifs pour faire émerger de grands acteurs privés ;
- Sa puissance publique pour contrôler et protéger ces entreprises mais aussi pour leur fournir des jeux de données de masse qui accélèrent leur développement en plus des programmes de recherche publique-privée dont elles bénéficient déjà.
La politique de Pékin est à décrypter au regard de l’hyperpuissance cyber américaine. Le gouvernement des Etats-Unis déploie tous les moyens, budgétaires, réglementaires, et même militaires, pour faire émerger ses fleurons industriels de la Tech qui deviennent parfois plus puissants eux-mêmes que des Etats. Ce faisant, Washington est devenue l’archétype de l’hyperpuissance cyber, fondée sur une coalition hybride d’acteurs étatiques et non-étatiques. Cette nature si particulière lui permet d’exercer son influence sur un champ géopolitique qui n’obéit pas aux mêmes lois : le cyberespace.