Cyberstratégies

Cyberstratégie ?

S’il se réfère à ce que le Department of Defense publie sous cette étiquette, aux missions de l’ANSSI ou autres textes de même facture, le lecteur est frappé par la tonalité préventive, prophylactique, quasi médicale (on parle de « cyberhygiène » au département de la défense US), défensive en somme, de la phraséologie. Il n’est question que d’anticiper, préparer, former, détecter, améliorer, coopérer, accélérer…, phraséologie qui évoque plus le management que l’Illiade ou Clausewitz. Un peu comme si la stratégie traitait du budget des armées, de la formation des soldats, de l’intendance, de la R et D et non de la conduite de la bataille et comme si l’unique fonction de ladite stratégie était d’accumuler des moyens dans la perspective d’une attaque, au mieux, et comme le recommandent des esprits les plus novateurs, d’augmenter sa résilience. Comme si le but était de défendre une citadelle, dont on espère qu’elle n’est pas celle du « désert des Tartares ». Sun Tzu disait que le meilleur général n’a pas besoin de combattre pour vaincre, comprenez que l’affrontement effectif est la confirmation d’une supériorité acquise au cours d’une longue préparation. Ce n’est pas une raison pour conclure que l’art de la guerre se résume à la façon de réduire ses vulnérabilités.

Il arrive de découvrir ici ou là des suggestions plus martiales. Ainsi dans le Livre Blanc, celle que nous devons nous doter de capacités offensives de guerre « informatique » (contre qui, dans quelles circonstances, jusqu’où et suivant quelle doctrine d’emploi ?). La doctrine américaine, elle, fait référence à la « défense active ». Cela semble se réduire à étendre sa zone de surveillance, par en une sorte d’action préventive qui frapperait le cyberattaquant, une fois son intention bien avérée. Donc le plus en amont possible. Cette attitude semble cohérente avec une pensée stratégique qui fond tous les dangers – catastrophe naturelles ou technologiques, désordres économiques, activités criminelles ou terroristes, offensives militaires – dans la catégorie de la sécurité globale. Ou, de façon inverse, avec une doctrine de la guerre « hors limite » où les rivalités de puissance s’exercent par les moyens les plus divers, si possible les plus économiques au regard de leurs fins : offensives boursières ou économiques, de guerre par le feu ou l’information…

S’ajoute la difficulté de décider quel type ou degré d’agression « cyber » serait insupportable, lequel mériterait la qualification d’acte de guerre, puisque le mot a été lâché par l’administration US. Et lequel serait un délit de hacker relevant de la simple police, ou une forme d’espionnage industriel un peu sophistiqué, qui, elle, appellerait une réponse sur le seul plan de la technique, du droit et de l’économie. À cette vision hygiéniste, nous opposerons celle d’une cyberstratégie encore à venir; vue comme affrontement de deux intelligences à travers la violence des signes et des techniques. Elle suppose en effet le face-à-face d’au moins deux volontés calculatrices qui ne dirigent pas des forces pour provoquer un dommage et exercer une contrainte mais des éléments de sens. Ces éléments contenus dans des programmes qui provoquent un effet de contrôle ou dans des textes et images qui provoquent un effet de croyance ne peuvent exister que dans le monde de la technologie numérique. D’où la nécessité de les penser en termes de dessein hostile et de communication efficace, de ruse et d’interprétation.

Pour autant, il n’est pas question de nier la nécessité de se protéger contre les attaques visant des « infrastructures vitales », et contre le chaos qui pourrait frapper par contagion une Nation dépendante des ses systèmes informationnels. Donc d’avoir les meilleurs outils et le meilleur système de gestion de crise. Mais il faut aller au-delà de la solution technico-organisationnelle et se soucier de la nature délibérée, finalisée donc stratégique, de l’attaque.

Elle renvoie à un paradoxe inhérent à la notion même de cyberconflit qui oblige à penser simultanément : – la violence puisqu’il y a recherche d’un dommage ou d’un ravage (notons au passage que tout le monde a été un jour ou l’autre victime d’une forme même bénigne de cyberattaque, mais que personne n’est jamais mort d’une cyberguerre). Et nous y incluons une violence symbolique. – le savoir, puisque la cyberattaque implique d’acquérir ou de fausser un certain savoir et que l’attaque n’est rendue possible que par l’insuffisance d’un certain savoir (ainsi, il ne peut y avoir attaque que là où il y a vulnérabilité, donc défaut technique, donc erreur et manque d’anticipation) – la technique puisque le numérique implique ses propres règles : tout est calculable, tout est réduit à des suites de 0 et de 1 qui se transportent instantanément d’un point à un autre de la planète pour y produire des effets cognitifs ou physiques (lorsqu’il s’agit d’algorithmes commandant des machines par exemple).

Les rapports anciens entre la volonté hostile, cette fureur, ce « thymos » qui animait les belligérants, le calcul du stratège et les hasards de l’action dans la vie réelle sont à repenser à neuf. Dans un domaine où les mots – Dieu sait s’il en prolifère de nouveaux et de ronflants – ont une importance particulière, il importe de savoir de laquelle des poupées russes emboîtées on traite précisément. Pour reprendre le préfixe « cyber » (étymologiquement, une cyberstratégie est déjà une bizarrerie puisque cela signifie littéralement « mener des fantassins avec un gouvernail ») la cyberattaque (fait de provoquer un dommage ou une perte à distance par des vecteurs numériques) constitue toujours une menace pour la cybersécurité, mais ne suffit pas nécessairement pour constituer un cyberconflit, qui suppose la notion de lutte réciproque. Et tout cyberconflit n’est pas nécessairement une guerre au sens politique.

De là la cascade des difficultés qui assaillent qui prétend transposer dans le cyberespace des notions élaborées pour d’autres formes de conflit. Ainsi, les électrons ne sont pas des fantassins et le temps est loin où la pénétration d’un seul soldat en arme sur la terre sacrée des ancêtres suffisait à déclencher, sinon une guerre, du moins ses prémices.

Le « lieu » de l’attaque, question liée à celle de son « auteur » et de son « statut » – civil, militaire, politique – est incertain dans le cyberespace, monde de l’anonymat, du contrôle à distance, des fausses identités et des « faux drapeaux ». L’instantanéité des attaques et leur technicité innovante – par définition une cyberattaque doit exploiter une méthode ou une faille inédites, du moins pour une attaque d’une certaine gravité – bouleversent la prévision. On voit mal une méthode routinière produire deux fois des dommages majeurs sur une infrastructure vitale. Le jeu et l’enjeu de la lutte ne sont donc plus les mêmes.

Dans un domaine où l’on ne peut retenir le critère de la mort d’homme, de l’intervention de troupes en uniforme, de la déclaration de guerre ou le traité de paix, ni de l’enchaînement des batailles, etc…, la question du dommage, de sa source et de son intention est cruciale. Quel est le mobile : s’emparer de données précieuses, affaiblir un concurrent économique, désarmer une nation, accompagner ou préparer une offensive militaire classique ? Et, si l’on maintient que la recherche de la victoire consistant à faire céder la volonté politique adverse reste le but de la guerre, comment sait-on que l’on a gagné dans le cyberespace ? Question d’autant plus lancinante que nul ne sait si l’attaque, éventuellement menée par un groupe mercenaire qui « louent » technologies et ordinateurs zombies a bien atteint le but assigné et si elle n’a pas débordé sur un autre pays.

La question de la désignation de l’ennemi, qui, classiquement, précède et conditionne la montée de l’hostilité et le déclenchement du conflit, devient ici l’énigme vitale à résoudre. L’ambiguité est inhérente à la cyberattaque qui traite du savoir et du secret comme armes. Le savoir technique qui permet de trouver la faille dans le système de protection visé, ou le savoir que l’on cherche à dérober. Le secret qu’il faut violer (trouver un mot de passe ou franchir un firewall par exemple) ou le secret dont il faut entourer son projet.
D’où la principale difficulté pour la défense ou la rétorsion : désigner l’assaillant ou prouver sa responsabilité dans un univers qui est celui de la « malice » numérisée et de l’illusion générale. L’identification de l’arme pose aussi des problèmes inédits. Il y a un gouffre entre des algorithmes simples accessibles à tout hacker qui fréquente les forums et des instruments sophistiqués adaptés à une cible spécifique telle une chaîne d’enrichissement de l’uranium ou le réseau d’alerte d’un pays, ce qui suppose renseignement préalable, dispositifs sophistiqués de dissimulation et d’affaissement de résilience, etc. Ici la dangerosité des panoplies ne se mesure plus à leur létalité ou à leur force de déflagration, mais à leur faculté d’agir durablement et secrètement comme à la capacité de chaos et de paralysie de l’action adverse qu’ils sont capables de développer. À supposer qu’ils aient touché leur vraie cible et seulement leur vraie cible.

Ce qui, dans la « vraie guerre » est préparation ou un complément de l’attaque en force – l’espionnage ou le sabotage, éventuellement la déception et la propagande – devient l’essentiel de la cyberattaque : fausser le fonctionnement de vos systèmes informationnels, en leurrer , fausser des algorithmes, empêcher des dispositifs de fonctionner.

Dans tout cela se mêle nécessairement la recherche d’effets physiques (par exemple une machine marche ou ne marche plus, un système SCADA, un approvisionnement électrique est en panne…) et des effets psychiques (ses victimes prennent ou ne prennent pas certaines décisions). Mais, au final, l’effet physique (« kinétique » disent certains) n’a de sens que s’il se traduit par un comportement et une modification de la volonté adverse. S’en prendre aux infrastructures vitales d’un pays n’a pas de sens en soi, sauf à éprouver une jouissance nihiliste – le « Qu’importe de vagues humanités, pourvu que le geste soit beau » de Theuillade – à l’idée que des millions d’euros partent en fumée ou qu’un pays est privé d’électricité. En revanche, contraindre des dirigeants, décourager des concurrents ou punir un peuple sont des objectifs qui peuvent faire sens.

Une cyberattaque se joue donc dans la dimension – du temps (être plus rapide que l’autre avant qu’il ne trouve la riposte, le retarder) – du savoir (gagne celui qui sait ce que l’autre ignore ce qui remet singulièrement en cause les notions de fort et de faible) – du pouvoir (prendre le contrôle, priver de contrôle).

D’une certaine façon, elle engage aussi sur le contrôle de l’attention : – attention du défenseur qu’il faut surprendre (l’attaque fonctionne obligatoirement sur une vulnérabilité, sur une faille non surveillée) – attention de la victime qui sera obligée de réparer et de colmater une brèche, prenant peut-être des mois de retard (voir les virus Stuxnet et Duqu dont la finalité apparente est de retarder la nucléarisation de l’Iran), -attention des foules que l’on dirige vers une page, une image ou une vidéo qui va décrédibiliser la cible ou lui faire perdre des soutiens…

Une stratégie qui se projetterait dans l’avenir en fonction des objectifs adverses reste encore à définir devrait rendre compte des dimensions de la cyberattaque : – celle de l’économie et des moyens : qu’elle soit de prédation ou de ralentissement, l’attaque vise à affaiblir l’autre et ses capacités de réaction – celle de la contrainte : l’attaque – et en ceci elle se rapproche de la vision classique de la guerre ou du terrorisme – est destinée à jouer comme menace et doit obtenir une concession ou une abstention de la victime – celle de l’image : une offensive peut servir à ridiculiser, à dénoncer ou à rendre odieux celui qu’elle frappe.

Il peut et il doit y avoir des stratégies asymétriques, mais il ne saurait y en avoir qui fasse l’économie d’une réflexion sur la réciprocité inhérente à la guerre. Nous pensions qu’il faut prendre au sérieux la phrase de Clausewitz : « Si l’on réfléchit philosophiquement à la façon dont surgit la guerre, le concept de guerre n’apparaît pas proprement avec l’attaque, car celle-ci n’a pas tant pour objectif absolu le combat que la prise de quelque chose. Ce concept apparaît d’abord avec la défense, car celle-ci a pour objectif direct le combat, parer et combattre n’étant évidemment qu’une seule chose. »

Pour formuler la chose autrement, et avec ce style ironique qui le caractérise si bien, Sloterdjik nous avertit que « La guerre n’est pas une discipline en soi, mais une sophistique armée (le prolongent de l’art d’avoir raison par d’autres moyens) dans laquelle on intègre des éléments de l’athlétisme, de la ritualistique et de la technique des machines. »

La guerre traditionnelle a toujours pris la forme d’un dialogue sanguinaire, ou plutôt de la compétition de deux discours dont l’un imposera finalement le silence à l’autre, obligé de se taire face à l’Histoire et d’accepter. Nous voici confrontés à un étrange message destructeur.

Une partie de la solution se trouve visiblement dans un effort de renseignement et d’abord de renseignement humain. Gagnera au final qui saura qui peut l’attaquer, comment et ce qu’il recherchera, ne serait-ce que pour l’en décourager. Mais le jeu de l’intelligence ne saurait suffire.

Faisons une double hypothèse : l’avenir de la cyberstratégie dépendra de notre capacité à résoudre la question de l’autorité et celle du code.

Par autorité nous renvoyons à l’étymologie du mot qui renvoie d’abord à l’auteur (auctor), ici celui qui a lancé l’attaque et à l’autorité, c’est à dire l’instance qui est supposée obtenir une obéissance dans un domaine de compétence. Ceci débouche sur des questions concrètes dont les premières concernent au premier chef les services de renseignement et les secondes le sommet même de l’État. – Qui a lancé l’attaque et quel est son statut (privé, public, politique, délinquant économique, militant…) ? Autorité implique ici imputabilité : comment une attaque « d’un clic » peut-elle être attribuée à un acteur souverain ou à un échelon secondaire (par exemple à un service qui jouerait sa propre politique, ou à un groupe de hackers dont on ne sait pas très bien s’il est commandité ou seulement toléré par son propre pays) ? – À quel niveau politique remonte la décision de déclencher une contre-violence ? Et suivant quels critères ? S’il se rencontre au quotidien des attaques qui ne méritent guère plus que la mise en œuvre d’une procédure de protection, d’autres peuvent porter atteinte à des intérêts de souveraineté. La décision d’employer des moyens offensifs, le choix de leur cible (avec tous les risques de dommages collatéraux qu’implique toute action dans le cyberespace), éventuellement le choix du secret qui doit entourer l’opération (agit à visage découvert contre des acteurs anonymes ?) : autant de prises de risque graves. Avec des implications comme celle d’une éventuelle graduation de la riposte, ne serait-ce que pour conserver une réserve de capacité offensive… Outre leur complexité technique, ces alternatives demandent l’élaboration d’une grille de réponse graduée en fonction de rapports de force éventuels. Menacer avec des armes numériques voire conventionnelles n’a guère d’effet dissuasif si le message n’a pas de destinataire. La doctrine d’emploi que nous appelons ici de nos vœux, implique en amont des choix qui concernent notre souveraineté et notre vie démocratique.

Seconde problématique celle du code. Non seulement au,sens de la cryptologie, à l’évidence omniprésente, mais surtout au sens du code de communication qui soit s’établir avec l’adversaire. La guerre est affaire de persuasion (donc d’effet sur la perception et la volonté de l’autre). Encore faut-il parler la même langue, ce qui est ici d’autant plus difficile que l’on cerne mal l’interlocuteur : un autre État, une faction ou un service de ce pays, un groupe à motivation idéologique ou intéressée… D’infinies possibilités de bluff, de stratagème, de désinformation s’ouvrent ici, mais aussi de négociation. Si nous mettons à part une cyberattaque qui accompagnerait une offensive classique – paralysant des systèmes adverses de radars au moment où l’on lance ses missiles, par exemple – il y a de fortes de chances que la chaîne offensive, défense, nouvelle riposte, etc., censée durer jusqu’à ce qu’une des parties dépose les armes, comme dans la guerre classique, perde son sens en l’occurrence. Notamment parce qu’il faut s’attendre à des attaques uniques dont la répétition serait douteuse. Voire à leur simple annonce, une menace agitée reposant sur une capacité technologique supposée. En d’autres termes, le problème est moins ici celui d’une capacité d’attrition ou d’occupation des positions stratégiques que la faculté de bien interpréter le risque réalisé ou virtuel. La cyberattaque implique souvent un effet de panique, désorganisation effective ou crainte d’une attaque à venir donc une réaction de la victime. Comment va-t-elle répondre à un dommage difficile à chiffrer objectivement (perte de données confidentielles, paralysie d’un système de gestion) ? Mais surtout, comment interprétera-t-elle cette expérience traumatique ? Par une politique de rétorsion, ou en cédant à une revendication ? Et par quelles voies ? Nous sommes conscients que notre équation comporte beaucoup d’inconnues et qu’elles ne seront pas dissipées par des meilleurs logiciels ou des clés plus robustes.

En conclusion, il nous semble que la stratégie à inventer et qui remplirait les trois fonctions que nous avons suggérées – savoir qui l’a fait, savoir quoi lui faire dans quel cas, savoir lui faire comprendre – tiendrait quelque peu de l’enquête policière, beaucoup de la politique pure et de la rhétorique. Façon ironique de dire qu’il est urgent de rétablir la hiérarchie du politique, du stratégique et du technique.

Publicités

À propos de François-Bernard Huyghe

François-Bernard Huyghe est directeur de recherche à l’IRIS, spécialisé sur la communication et l’intelligence économique, responsable de l'Observatoire Géostratégique de l'Information Docteur en Sciences Politiques et habilité à diriger des recherches, il enseigne la stratégie de l’information et l'intelligence économique notamment à l’IRIS Sup, à Polytechnique, au Celsa. Il est membre scientifique du Conseil Supérieur de la Formation et de la Recherche Stratégiques et mène des recherches en médiologie parallèlement à une activité de consultant. C'est aussi un blogueur influent sur huyghe.fr Ses travaux sur les rapports entre information et conflit comportent la direction de numéros de revue (Panoramiques : "L’information c’est la guerre", Cahiers de médiologie "La scène terroriste", AGIR "Puissance et influence". Revue Internationale stratégique "Stratégies dans le cyberespace"..) et les livres : "L’ennemi à l’ère numérique" (P.U.F), le livre électronique "Ecran/ennemi", "Quatrième guerre Mondiale" (Rocher). "Comprendre le pouvoir stratégique des médias" (Eyrolles) et "Maîtres du faire croire. De la propagande à l'influence" (Vuibert). Également : "Terrorismes" (Gallimard 2011) Derniers livres : "Gagner les cyberconflits" (avec O. Kempf et N. Mazzucchi) Economica 2015 "Désinformation Les armes du faux" A. Colin 2016

Publié le 23 novembre 2011, dans Uncategorized. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :