13 novembre 2020 Stéphane Taillat
Cybercriminalité, cyberguerre, cyberespionnage, cyberattaque : les termes se rapportant à la conflictualité dans ou par l’espace numérique ne manquent pas. Néanmoins, outre qu’ils confondent parfois finalités et modes d’action, ces substantifs augmentés du préfixe « cyber » construisent normativement leur objet.
Cela peut être en délégitimant certains acteurs, par exemple en assimilant les actions des acteurs non étatiques à la criminalité. La confusion est parfois entretenue par les acteurs eux-mêmes lorsque des attaques apparemment motivées par l’appât du gain (le chiffrement des données suivi de chantage) se révèlent avoir des buts politiques (de coercition ou de perturbation). Ou encore lorsque se mêlent attaques d’opportunité – la pandémie actuelle de COVID‑19 a ainsi augmenté la surface vulnérable et donc le nombre d’actes malveillants – et actions planifiées de longue date. Mais ces catégories permettent aussi d’inscrire certains modes d’action dans des répertoires traditionnels en occultant la nouveauté introduite par le cyberespace. Le cyberespionnage ne consiste pas simplement à collecter ou à intercepter des données. Il porte déjà atteinte à l’intégrité des réseaux et des systèmes qu’il espionne. Il peut s’avérer être la phase de reconnaissance d’une action plus destructrice ou perturbatrice (comme dans les attaques « hack and leak » observées durant la campagne présidentielle américaine de 2016).
Conceptualiser les actions menées dans ou par le cyberespace comme des opérations est la solution adoptée non seulement par les acteurs de la cybersécurité et de la cyberdéfense, mais aussi par les chercheurs. La notion de cyberopérations permet ainsi de poser un cadre à partir duquel on pourra observer les acteurs, leurs organisations, l’articulation de leurs objectifs et de leurs moyens, la planification et la conduite de leurs actions. Ce cadre permet par exemple d’analyser la manière dont le droit international s’applique aux cyberopérations, l’importance des facteurs organisationnels, l’assemblage des acteurs étatiques et non étatiques ou encore la cohérence de longues campagnes d’espionnage ou de « mesures actives » (1).
Penser les opérations numériques à l’échelle des relations internationales autorise ainsi à s’interroger sur leur utilité et leur efficacité. Des recherches quantitatives ont ainsi montré simultanément la montée en puissance des cyberopérations dans le répertoire des États et la relative retenue dont ces derniers semblent faire preuve en matière d’effets destructeurs ou perturbateurs (2). Un débat académique parti des États-Unis s’est ainsi interrogé sur la pertinence des cyberopérations relativement à d’autres outils. Il a permis de poser deux hypothèses théoriques. La première montre que les décideurs ont une perception négative de l’efficacité des cyberopérations par rapport à l’usage de la force ou à la formulation claire de menaces coercitives (3). La seconde illustre la conscience partagée par ces mêmes décideurs ainsi qu’une partie des analystes et des praticiens concernant les limites inhérentes aux cyberopérations : elles nécessitent de maintenir le secret opérationnel, leurs effets sont difficiles à prévoir et à contrôler, il est difficile d’anticiper la représentation que s’en fera la victime – et partant, sa réaction. À cela, il faut ajouter que ces opérations sont une pratique émergente des relations stratégiques internationales. Pour cette raison, les cadres normatifs demeurent indéterminés et font l’objet d’une compétition entre les puissances.
C’est la raison pour laquelle les cyberopérations entrent plutôt dans le cadre des actions clandestines. Au même titre que ces dernières, elles participent d’une grammaire stratégique attachée davantage à modifier le rapport de forces effectif qu’à envoyer des signaux dissuasifs et coercitifs à l’instar de l’arme nucléaire (4). Pour autant, la portée et l’ampleur permises par la numérisation des sociétés changent l’échelle des effets par rapport aux opérations clandestines de la guerre froide. Les États (et les autres acteurs) sont donc confrontés à l’accroissement de leur marge de manœuvre tout autant qu’aux risques d’escalade – voire au risque systémique – vis-à‑vis de leurs rivaux et adversaires (5).
Les cyberopérations sont donc une pratique émergente provenant tout autant des décideurs que des agences ou des acteurs qui les mènent, voire des opinions publiques qui ont à juger de leurs effets et des affirmations d’attribution qui se multiplient. Par conséquent, l’évolution de la conflictualité dans le cyberespace est étroitement dépendante de ce qu’en font les acteurs, plus que des développements technologiques en soi. À ce titre, elle n’est pas façonnée par les seuls « prédateurs » ni même les seuls gouvernements : les individus aussi ont un rôle à y jouer.
Notes
(1) François Delerue, Cyber Operations and International Law, Cambridge University Press, 2020 ; Steve Loleski, « From Cold to Cyber Warriors : The Origins and Expansion of NSA’s Tailored Access Operations (TAO) to Shadow Brokers », Intelligence and National Security, vol. 34 no 1, 2019, p. 112-128 ; Tim Maurer, Cyber Mercenaries : the State, Hacker and Power, Cambridge University Press, Cambridge, 2018 ; Thomas Rid, Active Measures : The Secret History of Disinformation and Political Warfare, Profile Books, New York, 2020.
(2) Brandon Valeriano, Benjamin Jensen et Ryan Maness, Cyberstrategy : The Evolving Character of Power and Competition, Oxford University Press, Oxford, 2018.
(3) Sarah Kreps et Jacquelyn Schneider, « Escalation Firebreaks in the Cyber, Conventional and Nuclear Domains : Moving Beyond Effects-based logics », Journal of Cybersecurity, vol. 5, no 1, 2019.
(4) Ben Buchanan, The Hacker and the State : Cyber Attacks and the New Normal of Geopolitics, Harvard University Press, Harvard, 2020.
(5) Jason Healey, « The Implications of Persistent (and Permanent) Engagement in Cyberspace », Journal of Cybersecurity, vol. 5, no 1, 2019 ; Frédérick Douzet et Alix Desforges, « Du cyberespace à la datasphère : le nouveau front pionnier de la géographie », Netcom, vol. 32, no 1-2, 2018, p. 87-108.
Légende de la photo ci-dessus : Disposer d’une capacité et la renforcer – le cyber en l’occurrence – n’implique pas automatiquement un usage plus fréquent ou une « montée aux extrêmes ». (© DoD)