Les fondamentaux d’une cyberstratégie

Tout cyberconflit, disions-nous, équivaut à résoudre une équation à plusieurs inconnues (identité et statut de l’attaquant, nature de la contrainte qu’il veut exercer, rapport entre le résultat qu’il en espérait et celui qu’il a obtenu, rationnalité de ses choix, capacité ou non de renouveler son exploit, donc de constituer une menace crédible car susceptible d’être rééditée…

On répond généralement à cette accumulation d’incertitudes ou à cette multipliction des embranchements que doit explorer le raisonnement stratégique par des solutions techniques tous azimuts : s’assurer une résistance totale et contre tout (ce qui est impossible et du fait de l’évolution constante de la technique et de la dimension de tromperie et d’illusion inhérente au cyber).

En tout état de cause, la situation semble assez déprimante pour qui se situe du point de vue du défenseur (a priori celui d’une démocratie comme la nôtre) tant semblent nombreux les atouts de l’attaquant :

– anonymat (ou capacité de leurrer la victime en lui fournissant un faux coupable

– faculté de profiter de la moinre vulnérabilité chez la victime

– avantage en terme de vitesse, de suprise, d’initiative et de choix de l’opportunité d’attaquer

« bon marché » relatif de l’arme agressive ou possiblité de se la procurer chez son inventeur, même si l’on ne possède pas la capacité technique de la fabriquer…

– etc.

Un stratége pourrait arguer qu’il existe des rançons ou des prix à payer pour ces avantages : l’anonymat ne permet pas de faire connaître ses revendications, la dépendance des vulnérabilités adverses limite le champ d’action à la découverte du prochain défaut de la cuirasse (et interdit de tester véritablement ses armes), le facteur vitesse se paie en difficulté à construire une stratégie à long terme et le faible coût de l’arme implique pour le faible d’être dépendant de ce que lui fournit un fort (ou du moin un « astucieux »…

Reste pourtant que l’organisation d’une prévention (voire d’une dissuasion) ressemble un peu à un une tâche sans fin. Peut-on au moins envisager d’identifier quelques fondamentaux de la réflexion cyberstratégique ?

Ceci implique d’abord de raisonner en fonction d’une hiérarchie de risque. D’après la nature technique de l’outil utilisé, ce risque combine à un degré ou à un autre trois genres de périls :

– le risque de perte d’une information sensible est le plus évident, qu’il s’agisse d’un code, d’une base de données précieuses, d’éléments qui renseignent le concurrent sur l’état de la recherche et du développement (et qui parfois lui économisent des années de travail).

– le risque de paralysie qui résulterait d’une perturbation d’un système informationnel : demain peut-être un outils sur lequel on se repose cessera d’être fiable, le chaos s’installera dans le paysage le plus familier et, pour prendre un cas souvent cité, une infrastructure vitale dont nous sommes dépendants ne fonctionnera plus.

– le risque d’une forme d’humiliation ou de défaite psychologique : l’advesaire parviendra à nous ridiculiser, à nous discréditer, à provoquer des mouvements hostiles à notre égard.

Pour le dire autrement, du point de vue tactique, une attaque peut se rattacher à une manœuvre d’espionnage (apprendre ce que l’on ne devrait pas savoir), de sabotage (empêcher un dispositif adverse de fonctionner), de subversion (fragiliser un pouvoir par des discours et des images)…

Si l’on veut remonter d’un étage et considérer la question d’un point de vue stratégique, nous retrouvons trois types de situtations.

L’adversaire poursuit un dessein géopolitque classique et utilise le cyber comme moyen de contraindre une volonté politique : il s’agit de faire céder et d’exercer un effet de dominance – ce qui suppose que l’on ait une revendication précise.

L’adversaire a un objectif économique ou technique : il cherche à acquérir un avantage concurrentiel, ou éventuellement à handicaper un rival.

L’adversaire cherche à réaliser une démonstration : de sa force ou de notre faiblesse, de notre faute et de la punition qu’il nous inflige, bref il cherche à obtenir un impact le plus spectaculaire possible sur l’opinion…

La cyberstratégie proactive de demain devra sans doute se construire autour de ces fondamentaux et on peut déjà imaginer quelques types de solution :

réponses par le renseignement et par d’éventuelles manœuvres de tromperie (leurres et pièges) pour rendre le vol d’information plus difficile et moins sûr

actions de contre-propagande pour diminuer l’impact d’actions symboliques

établissement d’un code de riposte et de négociation avec un acteur géopolitique utilisant la cyberattaque comme ultima ratio (du moins avant la « vraie guerre »).

Ce ne sont là que quelques solutions, mais il nous semble au moins acquis qu’une solution purement technique et organisationnelle universelle est déjà exclue.

Publicités

À propos de François-Bernard Huyghe

François-Bernard Huyghe est directeur de recherche à l’IRIS, spécialisé sur la communication et l’intelligence économique, responsable de l'Observatoire Géostratégique de l'Information Docteur en Sciences Politiques et habilité à diriger des recherches, il enseigne la stratégie de l’information et l'intelligence économique notamment à l’IRIS Sup, à Polytechnique, au Celsa. Il est membre scientifique du Conseil Supérieur de la Formation et de la Recherche Stratégiques et mène des recherches en médiologie parallèlement à une activité de consultant. C'est aussi un blogueur influent sur huyghe.fr Ses travaux sur les rapports entre information et conflit comportent la direction de numéros de revue (Panoramiques : "L’information c’est la guerre", Cahiers de médiologie "La scène terroriste", AGIR "Puissance et influence". Revue Internationale stratégique "Stratégies dans le cyberespace"..) et les livres : "L’ennemi à l’ère numérique" (P.U.F), le livre électronique "Ecran/ennemi", "Quatrième guerre Mondiale" (Rocher). "Comprendre le pouvoir stratégique des médias" (Eyrolles) et "Maîtres du faire croire. De la propagande à l'influence" (Vuibert). Également : "Terrorismes" (Gallimard 2011) Derniers livres : "Gagner les cyberconflits" (avec O. Kempf et N. Mazzucchi) Economica 2015 "Désinformation Les armes du faux" A. Colin 2016

Publié le 4 avril 2013, dans Publé sur www.huyghe.fr. Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :