lundi 8 mai 2017

Cyberconflit entre Etats : le jour d'avant


Un intéressant article découvert il y a plusieurs mois sur "The Conversation" [1] a inspiré l'article que vous vous apprêtez à lire sur votre écran. Intitulé "Voici à quoi s'attendre si deux pays se lançaient dans une cyberguerre", il ne fait qu'effleurer la complexité d'une telle question pour laquelle la littérature spécialisée et les travaux de recherche restent encore à développer [2]. Sans doute est-ce parce que le sujet abordé est parfaitement vain et illusoire car au confluent de la prospective, de la divination [3] et d'une part non négligeable d'erreurs qu'il amène à poser à nouveau sur l'ouvrage les interrogations obsessionnelles de ce blog.


Si tu veux la paix...
En 2016 je m'attardais dans un article sur l'intervention "non-conventionnelle" russe en Ukraine [4] qui se concluait en indiquant "qu'occulter, minimiser voire nier" l'incidence future des conflictualités dans le cyberespace pourrait avoir comme conséquence de "décider du sort d'un conflit avant qu'un seul coup de feu n'ait été tiré". Autrement dit, réduire le domaine d'extension des opérations (de guerre) à la seule problématique technique et à une supposée transversalité non déterminante serait signe d'un autisme manifeste des décideurs politiques doublé d'une imprévoyance folle des structures chargées de protéger le pays et sa population. C'est d'ailleurs l'état d'esprit qui a conduit à imaginer puis élaborer la réglementation cybersécurité embarquée notamment dans l'article 22 de l'actuelle Loi de programmation militaire. Aujourd'hui, il semble que les décideurs politiques, diplomatiques et militaires ont enfin intégré, à des vitesses différentes, la dimension numérique tant dans leurs préoccupations que dans l'anticipation des crises en cours et à venir. 

Course à l'armement et dissémination
Inutile d'épiloguer : la course à l'armement cybernétique a débuté il y a belle lurette, probablement dans le courant des années 90, en parfaite synchronicité avec les réflexions et les études exploratoires d'alors tant étasuniennes que chinoises mais également européennes (Grande-Bretagne, France et évidemment Russie).
Après de nombreuses cyberattaques emblématiques aux conséquences parfois majeures (Estonie 2007, Géorgie 2008, Stuxnet 2010, Aramco 2012, Ukraine depuis 2014, TV5 Monde 2015, ...), les experts se divisent [5] pour savoir si cette course ouvre la voie à de nouveaux conflits ou inversement si les nouveaux conflits ne font qu'encourager la recherche d'armements cyber ?
Sans trancher cette éminente interrogation, il est notable de s'alarmer des effets à moyen terme d'une dissémination d'outils offensifs de niveau étatique. A titre de douloureuse référence pour les innombrables victimes à la surface du globe, l'année 2016 a représenté un tournant certain, nombre de groupes cybercriminels ayant effectué un saut quantitatif technique impressionnant après notamment les fuites Vault7 [6].


Attribution, piège à ... ?
Sans être intimement liée à cette course à l'armement, la difficulté d'attribution [7] d'une cyberattaque pose également la question d'un conflit qui débuterait dans le cyberespace et pour lequel l'agresseur, sans chercher à particulièrement se dissimuler, aurait intrinsèquement un avantage temporel sur l'agressé. Ce dernier, en effet, à moins d'être doté d'une cyberdéfense très aboutie et complète, mettrait des heures si ce n'est des jours à comprendre l'origine de l'attaque et in extenso l'identité indiscutable de l'agresseur. Voilà pourquoi, par exemple, le colloque "cyber paix" qui s'est tenu à l'initiative de la France les 6 et 7 avril 2017 à l'Unesco [8], et qui mérite ici d'être salué, obligera à un traitement moins académique et plus opératif.

De fait, et cela en serait cocasse si les conséquences potentielles n'était pas aussi catastrophiques, l'agresseur devrait se signaler auprès de l'agressé et lui fournir des éléments indubitables de preuves indiquant qu'il est réellement l'agresseur et non pas une tierce partie...nord-coréenne ou Klingon ! Avec cette étonnante question qui appellerait une réflexion doctorale : quelles sont les circonstances stratégiques pour lesquelles l'auto-attribution d'une cyberattaque sont potentiellement utiles ? [9] 

...prépare la guerre !
Trêve d'angélisme ou de posture un peu trop martiale, il n'est nul besoin d'attendre un hypothétique "cybergeddon" pour se préparer à vivre, par exemple, de simples pannes géantes de l'approvisionnement smartgridisé d'énergie qui est à la base des autres secteurs d'activité. La directive européenne NIS est un premier jalon qui souffre cependant déjà de ses faiblesses de naissance : l'absence d'obligations et la latitude laissée à chaque État-membre en matière de remontée et de partage des incidents de cybersécurité. La souveraineté n'est pas uniquement une posture [10] et oblige il est vrai à distinguer le bon grain de l'ivraie. Alors qu'un nouveau président de la République vient d'être élu et que de non moins importantes élections auront lieu en septembre 2017 en Allemagne, une action résolue et conjointe pourrait inciter les États-membres volontaires à expérimenter les mécanismes d'une plus grande résilience numérique. S'il n'est pas encore trop tard, les aiguilles de l'horloge, elles, tournent inexorablement.

[2] sans minorer ni faire insulte aux articles et aux livres qui traitent de certaines des caractéristiques d'un éventuel conflit (uniquement) cyber comme, par exemple, ici et

Aucun commentaire: