Jean-Louis Gergorin dirige de 1979 à 1984 le Centre d’analyse, de prévision et de stratégie du Quai d’Orsay dont il a été co-fondateur en 1973. Il est ensuite Directeur de la stratégie de Matra et des sociétés aérospatiales qui lui succèdent dont EADS à la création de laquelle il participe activement. Il est ancien élève de l’École Polytechnique et de l’École Nationale d’Administration et est co-auteur de Cyber : La guerre permanente. Il est aujourd’hui chargé de cours à Sciences Po et consultant.
La cyberguerre est une réalité qui voit des protagonistes se différencier par leur capacité d’action offensive et défensive. Certains, comme la Chine ou la Russie font partie des grandes puissances planétaires quand d’autres, comme la Corée du Nord, occupent une place plus modeste sur la scène internationale. Comment l’avènement des cyber affrontements mène les conflits actuels à changer de forme ?
Le terme de « cyberguerre » est trompeur en français, car il laisse supposer un affrontement militaire.. Je préfère la dénomination anglaise « cyberwarfare » qui reflète mieux l’idée de conflictualité cyber. Ici, j'emploierais « le cyber » pour faire référence à l’utilisation du numérique à des fins de puissance et d’influence dans le cas qui nous intéresse, afin de ne pas faire de confusion avec « la cyber », qui est un terme souvent utilisé pour se référer à la cybersécurité au sens strict de protection contre les attaques informatiques.
L’utilisation de ces outils numériques dans ce but peut se faire par deux façons. Par le hacking tout d’abord, autrement dit l’intrusion à des fins de sabotage ou intimidation. Par la manipulation de l’information numérique, ensuite, qui se reflète évidemment dans l’essor des réseaux sociaux, mais également par un vecteur moins souvent cité : le gaming, ou l’industrie des jeux vidéo.
Cette révolution est aussi importante à mes yeux que l’ont été l’invention de l’arbalète, de la poudre, de l’obus ou du char d’assaut par rapport aux armes antérieures. Les caractéristiques spécifiques de ce nouveau moyen d’action géopolitique le rendent attrayant : le cyber offre une portée géographique infinie. Tout peut désormais être atteint par les vecteurs numériques. Sa rapidité d’action est remarquable : ses attaques se propagent à la vitesse de la lumière. Enfin, les attaques cyber sont difficilement attribuables et immédiatement détectables, ce qui est un point crucial.
L’opération Solar Winds - attaque russe contre des réseaux américains - lancée en mars 2020 n’a été détectée qu’en décembre de la même année. Les hackers ont donc pu parcourir des réseaux comme ceux de Microsoft huit mois durant… Les preuves d’attribution sont difficiles à obtenir, et la présence à détecter.
Quelques exceptions sont à noter tout de même : l’opération néerlandaise ayant permis de pénétrer un réseau utilisé par un groupe de hackers nommé APT29 probablement liés au SVR russe, fait office de référence dans le domaine. In fine, l’attribution fait toujours doute dans la plupart des cas et est question de probabilités.
Un dernier élément du cyber se démarque des autres systèmes d’armement, nous l’avons appelé avec Léo Isaac-Dognin, dans notre livre Cyber : La guerre permanente. Il s’agit du pouvoir égalisateur du numérique. Les besoins pour monter une opération extérieure sont très inférieurs à ce qui est requis habituellement pour une opération classique. Dans le cyber, les ingénieurs et les cerveaux sont le seul véritable ingrédient nécessaire. La barrière d’entrée est donc très faible, ce que nous avons traduit par ce fameux « pouvoir égalisateur du numérique », par analogie avec le pouvoir égalisateur de l’atome du Général Pierre-Marie Gallois. Cela explique donc que des puissances de poids habituellement plus négligeable peuvent développer une force de frappe importante, comme la Corée du Nord.
En ce sens, la capacité cyber va à l'opposé d’un postulat d’un des pères fondateurs de l’Internet, qui annonçait que : « the good guys will eliminate the bad guys on the Web », ce qui n’est pas arrivé… Les GAFAM qui jouissent un poids très important sur les réseaux numériques sont souvent la cible de hackers. De leur côté, les BATX se distinguent par leur grande subordination au régime central chinois. La connivence avec le pouvoir peut également s’exprimer aussi chez des « mafias privées », à l’image du groupe russe REvil. Ces auteurs de ransomware - attaque empêchant l’accès aux données d’un système informatique dont le déblocage est subordonné au paiement d’une rançon - aujourd’hui tout puissants, sont parfaitement connus des gouvernements.
En somme, les pays ayant un solide enseignement secondaire et plus particulièrement scientifique et mathématique, auront tendance à disposer d’une puissance cyber plus importante que leur poids économique d’ensemble.. A cet égard, la Roumanie est un bon exemple : elle est le berceau de plusieurs acteurs cyber performants dont Bitdefender.
Les acteurs possédant des capacités de frappe cyber sont donc très variés, et les cibles visées le sont tout autant. Est-ce que les acteurs privés ont pris la juste mesure de la menace cyber ?
Indépendamment de l’aspect géopolitique, dans un monde idéal où les cybercriminels n’auraient aucun lien avec les États, nous aurions tout de même une explosion des ransomware et autres méthodes d’attaque numérique. C’est presque un théorème : la numérisation est une providence pour les cybercriminels, car plus on se numérise plus on se rend vulnérable. Et dans le monde cyber, l’attaque se renforce bien plus vite que la défense.
La prime à l’attaquant est constante, faisant des ransomware l’activité criminelle la plus rentable par rapport aux risques - faibles - qu’elle fait courir.
Des firmes de cybersécurité possédant un important arsenal technique comme les américains Crowdstrike et Firearm ou les israéliens Checkpoint prennent de l’importance dans ce milieu. D’autres entreprises, moins légales, prospèrent également, comme NSO qui vend quasiment du hacking d’interception as a service. Toute la gamme de puissance se retrouve donc.
Les attaques cyber font aujourd’hui partie du quotidien des relations géopolitiques. Comment la puissance cyber participe t-elle à la refonte des relations diplomatiques ? Comment aborder cette métamorphose ?
Je pense que c’est très simple : le cyber est l’alternative moderne à la poursuite de la politique par d’autres moyens, en paraphrasant aujourd’hui Clausewitz.
Un autre stratège mythique, Sun Tzu, pourrait également nous éclairer dans cette optique : « vaincre sans avoir à porter le fer est le comble du comble pour le stratège ». Cette dimension est essentielle, et l’on voit à quel point nos amis chinois peuvent rester fidèles à la stratégie de Sun Tzu.
Le fait pour des États souvent soumis à des sanctions économiques occidentales de tolérer des opérations de ransomware menées depuis leur territoire est tout à fait clair et porteur d’un message, que nous n’avons pas l’habitude d’entendre en Europe… Le nombre de ces attaques a été multiplié par 4 entre 2017 et 2019, puis par le même chiffre en 2020 à la faveur de la pandémie. La menace cyber croît de manière exponentielle : cela change tout d’un point de vue géopolitique.
La capacité d’influencer est créée sans avoir à recourir à des moyens militaires traditionnels ou à la diplomatie usuelle. Il y a une semaine (NDLR : début mars 2021) la France a convoqué au Quai d’Orsay l’Ambassadeur de Chine en France, après que le compte twitter de l’Ambassade ait insulté un chercheur français, afin de faire part de sa vive inquiétude… Aujourd’hui, ce type de protestation diplomatique est devenu obsolète pour un certain nombre d’Etats : lorsqu’un pays subit un affront, une attaque cyber en retour est de mise. L’attaque contre un serveur de l’AP-HP en mars 2020, après que la France se soit exprimée pour l’ouverture d’une enquête de l’OMS sur l’origine de la Covid-19, illustre ce type de diplomatie : un DDOS - attaque par déni de service - devient alors presque une riposte classique…
Au vu de ces nouvelles pratiques « diplomatiques », les États de droit seraient-ils désavantagés de façon inhérente, en s’interdisant le recours à de telles mesures ?
Je le crois tout à fait. Aux États-Unis, la situation est légèrement différente de celle de l’Europe : la plupart des attaques finissent toujours par être révélées par une fuite, du fait de l’inertie et de la taille de l’appareil de frappe américain. Par exemple, le CyberCom américain a bloqué numériquement en novembre 2018 « l’usine à trolls » pétersbourgeoise de celui que l’on surnomme « le cuisinier de Poutine », Evgueni Prigogine. Information que les autorités ont bien évidemment fait fuiter pour envoyer un message. Un certain nombre de journalistes du New York Times ou du Washington Post sont en quelque sorte habilités à faire fuiter ce type d’information. Ce fonctionnement américain n’existe pas en Europe.
Les cybercriminels savent ce qu’ils entreprennent : le but d’un ransomware du CHU de Tarbes ou de Rouen est bien entendu de nuire et d’intimider, pas d’obtenir une rançon en bitcoin sur un compte offshore dont les auteurs savent bien qu’il ne sera jamais payé par ce type d’établissement public. C’est le concept de « cybercoercition » : montrer sa force pour obliger les acteurs attaqués à se comporter de la manière souhaitée.
La doctrine officielle française est que la meilleure défense est la défense. Je préfère dire que la protection est une condition nécessaire mais non suffisante car en cyber il y a structurellement un avantage à l’attaquant. D’où la nécessité d’essayer de dissuader autant que possible les cyberattaques les plus sérieuses. Le code de la défense français inclut heureusement l’article L2321-2, qu’il convient de relever : « une riposte informatique à une attaque contre le potentiel de guerre et économique ainsi que la survie de la nation » sera justifiée. Cependant l’excellente doctrine de lutte informatique offensive du Ministère des Armées, publiée en janvier 2019, ne prévoit actuellement de telles ripostes qu’en réaction à des cyberattaques contre des systèmes d’information militaires. Ainsi théoriquement une cyberattaque contre l’Hôtel des Invalides pourra faire l’objet d’une riposte, mais cela ne sera pas le cas si elle a lieu contre une centrale nucléaire, ou un hôpital…
Pour revenir à la cybercriminalité internationale, le principal instrument efficace de lutte, est la convention de Budapest, signée et ratifiée à ce jour par plus de soixante cinq États mais non par la Russie, la Chine et nombre d’autres États ou les cybercriminels peuvent poursuivre à distanceleurs intrusions en toute impunité. Face à cette situation dont l’impact économique dans les démocraties occidentales devient non négligeable Bernard Barbier ancien Directeur technique de la DGSE, l’amiral Édouard Guillaud ancien Chef d’état-major des armées et moi-même avons préconisé dans une tribune publiée dans le Monde daté du 5 janvier 2021 une stratégie d’ensemble comprenant une intégration beaucoup plus forte du renseignement et de la protection, une action diplomatique forte nationale et européenne pour inciter les États sanctuaires à changer leur comportement et le volet dissuasif déjà évoqué.
Face aux tensions créées par l’émergence de ces nouveaux outils, la perspective d’une gouvernance mondiale du domaine cyber est-elle envisageable ? Quels seraient les freins à sa mise en place ?
Historiquement, l’organisation du monde cyber n’a pas eu lieu. En effet les pères fondateurs de l’Internet tel que nous le connaissons étaient convaincus de l’apport positif du Net, et n’ont donc pas milité du tout pour une organisation régulatrice de la sécurité ce qui a arrangé les États utilisant à leur avantage cette loi de la jungle numérique.
La situation est donc totalement anormale : le Web est une des infrastructures mondiales clefs. Il existe une organisation mondiale de l’espace aérien des télécommunications, mais il n’en existe pas pour Internet. Seul un autre domaine souffre de la même lacune : le spatial.
Une solution pour la mise en place d’une organisation mondiale de la sécurité informatique doit donc passer par une entente des grandes puissances. Une discussion dans le cadre du sommet des membres permanents du Conseil de sécurité de l’ONU proposé par le Président Macron pourrait être une première étape fondatrice.
Les analyses et propos présentés dans cet article n'engagent que son auteur. Jean-Baptiste Boyssou, Junior Fellow de l'Institut Open Diplomacy, travaille sur l'intelligence artificielle et le nucléaire.