huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Comprendre les conflits : une nouvelle polémologie > Affrontements, stratégies et images
De la cyberdéfense à la cyberoffensive
À propos du rapport Bockel

Paradoxe du rapport que le sénateur Bockel a présenté le 19 juillet : alors que son titre parle de cyberdéfense, les pages les plus commentées sont celles qui traitent d'armes et d'actions offensives. En effet, le document (téléchargeable sur Internet) nous rappelle qu'outre notre propre pays, de grandes nations ont reconnu posséder ou créer des armes informatiques offensives : l'Allemagne et le Royaume-Uni, l'Inde, le Brésil, Israël, le Japon, et, bien sûr les USA. Comme tous ces États que nous venons d'énumérer être des démocraties, et donc, en bonne logique kantienne, ne pas se recourir à la prédation ou aux guerres d'agression, il faut présumer que leurs armes "offensives" ne serviront qu'à trois choses :
- soit à punir après coup un acteur étatique qui se livrerait à un première attaque, pour le mettre hors d'état de continuer, ou, par rétorsion, pour lui infliger un dommage en retour qui l'empêchera de récidiver. Ce serait donc une riposte que l'on  ne peut imaginer que ciblée et proportionnelle

- soit à décourager avant un attaquant qui serait tenté de s'en prendre aux infrastrucutres critiques ou pratiquer tout autre procédé d'espionnage ou de prise de contrôle d'une certaine gravité. Nous serions alors dans une situtation où il s'agirait de persuader l'éventuel agresseur qu'il aurait plus à perdre qu'à gagner à déclencher un conflit, et qu'il rencontrera une cyberpuissance bien préparée, dotée de capacité de défense et résilience, certes, mais aussi en mesure de vous infliger un dommage supérieur par quelque méthode de perturbation.

- soit enfin à employer des armes informatiques contre des ennemis qui utilisent ou s'apprêtent à utiliser des armes non informatiques. Tel est le raisonnement implicite de l'opération Stuxnet : mieux vaut retarder la nucléarisation de l'Iran par un virus bien ciblé que par un bombardement (ceci reposant à son tour sur l'hypothèse que l'Iran se préparant certainement à faire un usage criminel de la bombe dès qu'il la possédera, l'empêcher d'accéder au statut de puisance nucléraire est une sorte de légitime défense avancée, pour ne pas dire un acte de guerre "préemptive" au sens de la doctrine G.W. Bush).




Sur le plan politique, il y aurait beaucoup à dire sur ce qui précède, mais ce n'est pas ici notre propos.




Sur le plan technique, il ne faut pas s'attendre à savoir grand chose sur nos armes : les décrire, en expliquer le mécanisme même vaguement, c'est donner des indications précieuses à l'adversaire sur ce contre quoi il devra se protéger. Pourtant, on peut présumer qu'une arme "du gentil" ressemblera à une arme "du méchant" : il doit s'agir de virus, de logiciels malveillants, de dispositifs s'infiltrant dans des systèmes informatiques pour y prélever des données ou y exécuter des commandes à l'insu des responsables, etc.. Sauf à présumer que nos armes offensives devraient être très ciblées (pour ne pas provoquer de dommage chez des alliés ou des neutres) et qu'éventuellement elles devraient être dotées de capacités spéciales pour remonter à la source d'une attaque adverse (des armes "renifleuses" en quelque sorte), on voit mal ce qui pourrait les distinguer des panoplies des hackers.




Sur le plan stratégique, une arme informatique "du fort" - donc destinée à protéger des pays contre des agressions actuelles ou futures - pose des problèmes particuliers. Il découlent pour la plupart du fait que l'attaque adverse sera anonyme (ou pour le moins difficile à attribuer et plus encore à prouver) et qu'elle pourra émaner d'une multitude d'acteurs étatiques, non étatiques, ou "privés", mais manipulés par des États, non d'un ennemi unique et symétrique comme l'URSS face aux USA. 




Dans le cas d'une action après coup (punition, rétorsion...), le choix qui s'offre à un gouvernement est d'agir à visage découvert ou pas. Étant entendu que son action sera d'autant plus efficace qu'elle aura été précédée par une action de renseignement pour cibler les éventuels agresseurs, leurs méthodes, leurs vulnérabilités, etc.

Faut-il revendiquer que l'on châtie des coupables (avec le risque qu'ils clamanent leur innocence devant les instances internationales et que l'opinion se retourne contre vous, surtout en cas de dommages numériques collatéraux) ? Faut-il agir assi clandestinement que celui qui a frappé le premier coup (au risque, considérable dans une démocratie, d'être pris avec le pistolet fumant en main ou dénoncé par l'équivalent d'un Wikileaks) ?




Dans le cas du préventif ou dissuasif, s'ouvre un autre dilemme. Faut-il publier haut et fort une échelle des ripostes encourues "automatiquement" par l'adversaire et vanter le caractère redoutable de son propre arsenal (au risque de ne jamais appliquer une doctrine qui ne peut couvrir indifféremment une attaque venue de Monaco ou de Pékin) ? Faut-il ne rien dire et tout laisser supposer (au risque que le message soit mal compris, que l'ennemi pense que vous bluffez, etc) ? Faire des démonstrations de force en guise d'avertissement (au risque de griller ses cartouches et d'indiquer ce que l'on possède dans ses panoplies) ?




Nous aurons certainement à revenir sur ces questions. Pour le moment contentons-nous de remarquer que le rapport Bockel insiste sur la dimension "doctrinale" de l'emploi de ces armes, comme nous l'avions fait nous-mêmes.




Mais il y a une doctrine de décision au sens classique (quelle autorité décide de quoi, dans quel délai, sous quel contrôle en matière de cyberguerre) et une doctrine que nous pourrions appeler déclaratoire : le code des dommages supportables ou ceux donnant lieu aux peines et châtiments applicables dans le cyberespace, en amont et en aval.

Cette doctrine déclaratoire et conditionnelle (si vous faites ceci..., alors nous faisons cela), contrairement à celle de la Guerre Froide (censée ne jamais servir) n'est pas forcément d'autant plus efficace qu'elle est notoire et crédible. Il pourrait bien s'agir d'une doctrine "ésotérique" à laisser deviner à l'autre par un savant mélange de suggestions et de fuites dirigées. Une fois encore, l'antique question du secret revient au cœur de la très moderne question du cyberconflit.







 Imprimer cette page