Close

Cyberdéfense et cyberespace à horizon 2035

Le présent article est le compte-rendu du séminaire, organisé le 13 octobre 2020 par CEIS au profit du Commandement de la cyberdéfense, portant sur le sujet “Cyberdéfense et cyberespace à l’horizon 2035“. Cet atelier de travail s’est articulé autour d’interventions d’Isabelle Chrisment (professeure en informatique et chercheuse à l’INRIA), Alix Desforges (chercheuse à GEODE), Olivier Ezratty (auteur et consultant en nouvelles technologies et en innovation) et Olivier Zajec (directeur de l’Institut d’Études Stratégiques et de Défense à l’Université Lyon 3).

En l’espace de 20 ans, Internet a profondément transformé les vies et les comportements humains. Ses domaines d’applications se sont multipliés et son utilisation a profondément bouleversé les champs socio-économique et politique, tant au niveau national qu’international. Les technologies et les usages se multiplient et se diversifient. Ces transformations se poursuivront dans les années à venir, à l’horizon 2035 et au-delà, et impacteront tous les domaines de la société. Ainsi, le contexte cyber dans lequel les Armées françaises évoluent suivra cette tendance. Leurs missions comme les moyens nécessaires pour les remplir devront s’adapter.

Tous ces changements présentent à la fois des opportunités et des menaces pour les Armées. Chaque opportunité et chaque menace ne pouvant être analysée de la même manière selon qu’elle concerne ses propres forces ou celles de l’adversaire. C’est en menant cette analyse approfondie que la Défense pourra atteindre la « supériorité numérique » susceptible de conférer à ses forces un avantage décisif sur l’adversaire.

L’évolution de la cyberdéfense à l‘horizon 2035 est à appréhender sous différents angles afin d’identifier les tendances structurantes du cyberespace aux niveaux géopolitique, juridique et technologique, ainsi que les conséquences opérationnelles de ces changements pour les Armées.

Vers une fragmentation du cyberespace ?

Comme dans le monde physique, la notion de souveraineté s’impose comme un principe structurant. C’est en son nom que certains pays, à l’instar de la Chine, érigent des « donjons numériques[1] » : l’Internet chinois, fondé sur une disjonction contrôlée par rapport à l’Internet mondial et entièrement maîtrisé par le gouvernement, fait office de modèle en matière de contrôle stratégique du domaine cyber au nom de principes tels que l’indépendance technologique, une cybersécurité robuste et la maîtrise de l’information. La Russie est souvent comparée à la Chine depuis sa tentative de mise en place de son « Internet souverain », le RuNet, lancé en novembre 2019. La mise en œuvre du RuNet, bien que partiellement déconnecté de l’Internet mondial, ne va toutefois pas aussi loin que le modèle chinois en termes de contrôle des utilisateurs. D’autres, comme les États-Unis, instaurent en réaction des « réseaux propres » (clean networks) en reproduisant finalement le même schéma. Le projet de Clean Network, c’est-à-dire d’Internet américain, accessible aux États-Unis et débarrassé de toute influence chinoise (opérateurs, infrastructures, produits, services…), « peut-être considéré par certains analystes comme une « sinisation » de la stratégie américaine [2] ». La notion de « réseau propre » (clean network) mènerait alors à celle de « propre réseau » : pour Olivier Zajec, directeur de l’Institut d’Études Stratégiques et de Défense (IESD) à l’ Université Jean Moulin – Lyon 3,  l’un des scénarios possibles est que, tout en cherchant à conserver un Internet libre, les États-Unis se referment petit à petit sur un espace numérique national, à l’instar de la Chine et de la Russie.

Les choix de ces trois grandes puissances sont révélateurs d’une tendance au repli sur soi national dans l’espace numérique. Leur conception du cyberespace contribue ainsi à un phénomène appelé « balkanisation » d’Internet, c’est-à-dire la fragmentation d’un cyberespace universel en plusieurs espaces contrôlés par des États. Selon Alix Desforges, chercheuse chez GEODE (Géopolitique de la Datasphère), cette fragmentation comprend de nombreux risques puisqu’elle risque de « complexifier la gouvernance du réseau et […] son fonctionnement global », mais rendra également beaucoup plus difficile « l’élaboration de réponse à l’échelle globale contre des cybermenaces telles que les rançongiciels », l’utilisation de ces derniers étant en constante augmentation.[3] En outre, un cyberespace balkanisé serait plus propice au développement de la cybercriminalité, contre laquelle il sera de plus en plus difficile de lutter du fait des conceptions différentes, et donc de régulations différentes, des cyberespaces défendues par chaque État.

Nouvelles technologies, nouvelles menaces ?

Les principales tendances technologiques susceptibles de traverser le cyberespace à l’horizon 2035 comprennent :

  • La multiplication des objets connectés ;
  • L’augmentation du recours au stockage de données dans le cloud;
  • La capacité de traitement et d’analyse de plus en plus puissante de l’Intelligence Artificielle (IA) ;
  • L’arrivée de la 5G et l’explosion des performances des connexions mobiles.

De fait, ces tendances s’accompagnent de menaces. Dans ce contexte, l’application du principe de security by design devrait permettre de répondre à ces enjeux, en intégrant à chaque objet, protocole ou infrastructure des garanties de sécurité dès sa conception. La security by design implique également la mise en œuvre de systèmes de détection de plus en plus réactifs avant que les acteurs impliqués puissent prendre des décisions rapides en cas d’attaques avérées. Ces systèmes de détection sont basés sur des logiciels d’apprentissage automatique (machine learning) utilisant l’IA. Il s’agit néanmoins de rester vigilant car l’IA peut-être utiliser pour tromper les modèles appris (on parle alors d’adversarial machine learning). Ainsi, Isabelle Chrisment, professeure en informatique et chercheuse à l’INRIA, souligne que « l’infrastructure, pour être résiliente, doit non seulement être réactive mais aussi proactive, en étant capable d’évoluer et de modifier [en continu] ses paramètres de configuration et son processus d’acquisition de connaissances ».[4]

Toutefois, le nombre d’objets connectés continue et continuera d’augmenter, augmentant de fait la surface d’attaque sur la couche logique[5] du cyberespace. Les objets connectés grand public, souvent peu ou pas sécurisés pour des raisons de coût, présentent de nombreuses vulnérabilités et sont des portes d’entrée faciles pour de potentiels attaquants.

D’autres technologies, encore émergentes, sont également susceptibles de transformer le contexte dans lequel s’exercera la cyberdéfense à l’horizon 2035, mais leur impact reste encore incertain. On peut citer par exemple :

  • Le edge computing, qui permet de réduire les besoins en bande passante en proposant un traitement des données au plus près de leur source ;
  • La blockchain, un système qui fait converger stockage sécurisé des données, système distribué et cryptographie ;
  • La réalité virtuelle et augmentée, déjà expérimentée dans de nombreux domaines et en constant perfectionnement ;
  • L’impression 4D, qui permet d’ajouter une dimension mécanique à un objet imprimé en 3D ;
  • L’informatique quantique, qui augmentera considérablement la puissance de calcul des ordinateurs pour la résolution de problèmes complexes.

En outre, comme le rappelle Olivier Ezratty, auteur et consultant en nouvelles technologies et en innovation, certaines tendances technologiques répondent à une logique purement émotionnelle difficile à anticiper, comme par exemple l’explosion des réseaux sociaux ces dernières années. De même, certains grands événements internationaux ont eu sur les usages des outils numériques un impact inattendu et imprévisible, bien que finalement particulièrement structurant. Par exemple, ce sont les attentats du 11 septembre 2001 qui ont provoqué le premier boom des outils numériques permettant de travailler à distance. Cette année, c’est la pandémie de Covid-19 qui a normalisé le télétravail et accéléré la digitalisation des outils de travail dans de nombreux secteurs et entreprises ne le pratiquant pas systématiquement.[6]

L’usage combiné de toutes ces technologies, déjà établies ou émergentes, contribue à un phénomène plus global : l’hyperconnectivité, qui fait elle aussi peser de nouvelles menaces pour toutes les catégories d’utilisateurs :

  • Les citoyens, qui seront de plus en plus confrontés à la problématique de la protection de leurs données personnelles ;
  • Les entreprises, qui sont de plus en plus victimes de cyberattaques d’ampleur (rançongiciels, vol de données, etc.) ;
  • Les États, qui font face à des réels défis de souveraineté, et à des attaques de plus en plus nombreuses sur leurs infrastructures critiques, comme en France les Opérateurs d’Importance Vitale[7] (OIV).[8]

Quel droit pour le cyberespace ?

Depuis 2013, le Groupe d’experts gouvernementaux (GGE) des Nations Unis affirme que le droit international existant était applicable à l’espace numérique, que les obligations existantes sont donc suffisantes et l’adoption de nouveaux textes n’est pas forcément nécessaire. C’est en ce sens que la France a lancé en 2018 l’Appel de Paris pour la confiance et la sécurité dans le cyberespace. L’Appel de Paris propose une série de grands principes pour la régulation dans le cyberespace, dont « l’applicabilité du droit international, un comportement responsable des États, le monopole étatique de la violence légitime et la reconnaissance des responsabilités spécifiques des acteurs privés, notamment en matière de prévention des failles de sécurité et de renoncement à certaines pratiques pouvant porter atteinte à la stabilité du cyberespace ».

La France se positionne clairement en faveur de l’applicabilité du droit international dans le cyberespace, comme précisé dans la Stratégie nationale de la cyberdéfense, dans laquelle la France affirme sa position « en faveur de la reconnaissance claire et univoque de la licéité des moyens de réponse à une cyberattaque, qu’ils impliquent un recours à la force (légitime défense) ou non (contre-mesures, mesures de rétorsion, etc.), et de l’applicabilité du droit international humanitaire aux cyberopérations conduites dans le cadre de conflits armés ». Cette position est partagée par de nombreux pays, dont la Chine ou de la Russie, qui militent malgré tout pour l’établissement de réglementations nouvelles spécifiques au cyberespace. Cette divergence majeure a donné lieu en 2018 à une scission au sein des Nations Unies, qui ralentit aujourd’hui les discussions : en parallèle des travaux portés par le GGE, à l’origine des négociations sur la régulation dans le cyberespace, la création d’un groupe de travail à composition non limitée, ou Open-Ended Working Group (OEWG), portée par la Russie, a été votée, multipliant ainsi les cadres de négociations et les visions en matière de régulation du cyberespace.

Quelles conséquences opérationnelles pour les Armées ?

L’hyperconnectivité aura des conséquences importantes sur les opérations militaires. Elle augmentera considérablement la taille du champ de bataille numérique (extension des trois couches, physique, logique et sémantique) et multiplieront la diversité des environnements technologiques. La capacité d’adaptation des Armées devra suivre.

En outre, l’hyperconnectivité provoquera la prolifération des données, civiles et militaires, déjà abondantes. Les données militaires sont par nature sensibles et leur protection devra rester une priorité absolue. Cela pose la question de la mise en place et en œuvre d’un cloud souverain dédié aux données militaires. De plus, ces données devront être traitées, ce qui impliquera l’utilisation d’outils performants, capable de traiter et d’analyser de gros volumes de données (big data). C’est là que l’utilisation de solutions basées sur de l’IA (machine learning, deep learning) trouve son sens pour des usages tels que la planification et la conduite d’opération, les flux logistiques, la maintenance prédictive, la gestion des ressources humaines, etc.

Adaptée à un usage militaire, la 5G est également porteuse de promesses tout en renforçant l’hyperconnectivité. Avec une augmentation de débit (multiplication par 10 par rapport à la 4G) et une diminution de la latence (division par 10), elle pourrait permettre, dans le civil comme dans les Armées, de développer des usages tels que les véhicules autonomes, les smart cities, l’industrie, la chirurgie à distance, etc.[9]

 

[1] Propos présentés par Olivier Zajec.

[2] Propos présentés par Olivier Zajec.

[3] Propos présentés par Alix Desforges.

[4] Propos présentés par Isabelle Chrisment.

[5] Le cyberespace est souvent considéré à travers trois couches : physique (les matériels), logique (les logiciels) et sémantique (l’information qui circule dans le cyberespace).

[6] Propos présentés par Olivier Ezratty.

[7] Un OIV est une organisation identifiée par l’État comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population.

[8] Propos présentés par Isabelle Chrisment.

[9] Propos présentés par Isabelle Chrisment.