Close

Dissuasion dans le domaine cyber : quelle solution stratégique ?

De manière générale, une stratégie de dissuasion consiste « à inciter un ennemi potentiel à ne pas attaquer une cible en lui faisant croire que les coûts et les conséquences qui résulteront de l’attaque seront supérieurs aux avantages potentiels qu’il pourra en retirer »[1]. La dissuasion est une stratégie qui a notamment été développée pendant la Guerre froide dans le cadre du développement des capacités nucléaires. Dans ce cadre, la France considère la dissuasion davantage comme une fonction stratégique de découragement qui est « strictement défensive » et que « l’emploi de l’arme nucléaire ne serait concevable que dans des circonstances extrêmes de légitime défense »[2].

Si la conception classique de la dissuasion a été discutée dans le domaine cyber dès les années 1990, elle s’est rapidement révélée inadaptée aux spécificités du cyberespace[3]. En effet, à la différence de l’arme nucléaire qui est considérée comme une arme à n’employer qu’en dernier recours, les armes cyber sont couramment utilisées, notamment sous le seuil de l’agression armée. En outre, les difficultés d’attribution des cyberattaques ou encore les difficultés de connaitre la temporalité et les réels impacts de ces dernières sont autant d’obstacles qui ne permettent pas d’appliquer une dissuasion similaire à celle des moyens nucléaires.

Le concept stratégique de la dissuasion a donc été adapté au domaine cyber. Deux approchent ont notamment été retenues au niveau académique[4] :

  • L’approche par « punition » qui repose sur des mesures offensives sanctionnant le comportement hostile d’un adversaire. Dans le cyberespace, il s’agit notamment de se doter de capacités cyber-offensives permettant par exemple de contre-attaquer ou de lancer une attaque préventive contre des attaquants potentiels ;
  • L’approche par « déni » qui consiste à convaincre les cyberattaquants qu’ils n’obtiendront pas les avantages qu’ils recherchent, en adoptant des mesures défensives à tous les niveaux d’une attaque, c’est-à-dire de la prévention jusqu’à la réponse à incident.

Cependant, ces deux approches stratégiques, prises isolément, se révèlent imparfaites pour faire cesser l’augmentation continue des cybermenaces dans leur ensemble (de la lutte contre la cybercriminalité à la cyberguerre). L’approche par « punition » nécessite, en effet, de disposer d’importantes capacités cyber-offensives et se heurte généralement à la difficulté d’attribution des cyberattaques. De son côté, l’approche par « déni » vise plus à décourager les cyberattaquants en sécurisant les systèmes d’information et réseaux critiques nationaux, notamment via une coopération publique-privée renforcée permettant aux États de se doter de composants matériels et logiciels fiables et robustes. Cette approche est donc centrée sur la défense et la consolidation de la résilience des infrastructures numériques nationales plus que sur une capacité de dissuasion proprement dite.

Aujourd’hui, une approche holistique et « inter-domaines » est préconisée dans les stratégies nationales cyber, notamment aux États-Unis par la Cyberspace Solarium Commission. Cette approche stratégique implique davantage de coordination entre les différents acteurs nationaux publics et privés mais aussi plus d’implication en matière de régulation et de coopération internationale dans le domaine cyber.

Une approche holistique incluant notamment les approches par « déni » et par « punition »

La dissuasion dans le domaine cyber repose aujourd’hui sur des mesures de nature cyber ou non combinant les approches mentionnées précédemment dites par « déni » et par « punition ». La stratégie américaine de dissuasion en « couches » (strategy of layered cyber deterrence) de la Cyberspace Solarium Commission consacre cette approche dans son rapport publié en mars 2020. Cette Commission préconise une nouvelle stratégie cyber qui a pour objectif de réduire la gravité et la fréquence des cyberattaques contre les intérêts américains sur le long terme tout en conservant une capacité de riposte en fonction de l’intensité des cyberattaques. La Commission distingue ainsi trois niveaux (ou « couches ») de mesures :

  • Les mesures visant à réguler les comportements dans le cyberespace et limiter la prolifération des cyber-opérations ;
  • Les mesures visant à assurer la sécurité des infrastructures vitales et démocratiques du pays ;
  • Les mesures s’appuyant sur les capacités militaires.

Dans son rapport, la Commission américaine fait la promotion d’une résilience nationale cyber et affirme la nécessité de renforcer la coopération entre les secteurs public et privé en matière de cybersécurité. La Commission consacre donc une approche de la dissuasion par « déni ». Pour autant, elle réaffirme la stratégie « defend forward » (« arrêter la menace avant qu’elle n’atteigne sa cible ») adoptée par le Département de la défense américaine (DOD) en 2018[5], ce qui consacre également une approche par « punition ». Notons également que la position américaine dite « d’engagement persistant », qui stipule que les États-Unis traquent, ciblent et menacent continuellement ses adversaires dans le cyberespace contribue d’une certaine manière à une dissuasion par « punition »[6].

En Europe, le Royaume-Uni a également consacré dans sa Stratégie nationale de Cybersécurité 2016-2021 une approche holistique de la dissuasion dans le domaine cyber[7]. Tout en précisant que le pays continuera de développer ses capacités cyber-offensives, la stratégie britannique consacre une approche globale en matière de cybersécurité et de résilience pour rendre difficile les cyberattaques sur ses infrastructures critiques.

Plus implicitement, la Chine a affirmé, dans sa Stratégie nationale de sécurité dans le cyberespace de 2016, qu’elle concentrerait ses efforts sur la protection de ses infrastructures[8]. Néanmoins, tout en se montrant publiquement hostile au développement de la dissuasion dans le cyberespace dans un sens offensif, la Chine a, dans les faits, quand même renforcé ses capacités cyber-offensives pour disposer de mesures de ripostes notamment en réaction à la montée capacitaire des États-Unis[9].

Vers une stratégie systématique du découragement« inter-domaines »

L’adoption d’une approche holistique du découragement s’accompagne d’une conception plus « inter-domaines » combinant des mesures de nature cyber ou non. Autrement dit, les États se réservent le droit de recourir à l’ensemble des instruments nationaux et internationaux pour dissuader les cyberattaquants de conduire des cyberattaques, ce qui peut être par exemple l’utilisation du recours à l’action cinétique. Ce fut par exemple le cas d’Israël contre des cyber-attaquants du Hamas en mai 2019[10]. Les stratégies chinoise[11], américaine[12] et britannique reconnaissent d’ailleurs la possibilité de recourir à des mesures de nature non cyber pour sanctionner les comportements hostiles dans le cyberespace comme le recours au droit international, à la diplomatie ou encore aux mesures militaires classiques.

Les implications aux niveaux national et international

La dissuasion dans le domaine cyber est aujourd’hui un concept stratégique qui se renouvelle et qui laisse place davantage à une stratégie plus globale intégrant des moyens défensifs et offensifs, de nature à la fois cyber et non cyber. Au niveau national, l’approche holistique et « inter-domaines » de la dissuasion dans le domaine cyber impliquera nécessairement de renforcer la coordination nationale sur les enjeux du cyberespace. Plus particulièrement, il s’agira de mieux coordonner l’action des acteurs de la sécurité nationale avec les acteurs de la défense nationale mais aussi avec les acteurs de la justice. Cette coordination nationale est d’ailleurs l’un des enjeux organisationnels de la cyberdéfense française soulevé par la Revue stratégique de cyberdéfense de 2018[13]. L’objectif est de mettre en place quatre chaînes opérationnelles : la chaîne « protection », la chaîne « action militaire », la chaîne « renseignement » et la chaîne « investigation judiciaire ».

Au niveau international, les applications de la nouvelle conception de la dissuasion dans le domaine cyber devraient concerner le renforcement de l’implication des États dans l’application ou l’élaboration de normes internationales relatives au cyberespace ou pour lutter contre la cybercriminalité et la prolifération des cyberarmes. Il devrait en résulter davantage de diplomatie et de coopération internationale, notamment dans les domaines militaire, du renseignement ou judiciaire.

 

[1] https://www.airuniversity.af.edu/Portals/10/ASPJ_French/journals_F/Volume-09_Issue-1/iasiello_f.pdf

[2] https://www.defense.gouv.fr/content/download/206186/2286591/Livre-blanc-sur-la-Defense-et-la-Securite-nationale%202013.pdf

[3] https://www.cfr.org/blog/cyber-deterrence-dead-long-live-cyber-deterrence

[4] https://www.airuniversity.af.edu/Portals/10/ASPJ_French/journals_F/Volume-09_Issue-1/iasiello_f.pdf

[5] https://www.lawfareblog.com/cyberspace-solarium-commission-report-and-persistent-engagement ; https://media.defense.gov/2018/Sep/18/2002041658/-1/-1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF

[6] https://fr.weforum.org/agenda/2019/06/la-dissuasion-dans-le-cyberespace/

[7] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/643419/French_translation_-_National_Cyber_Security_Strategy_2016.pdf

[8] https://www.worldscientific.com/doi/pdf/10.1142/S2630531319500021

[9] https://www.worldscientific.com/doi/pdf/10.1142/S2630531319500021

[10] https://siecledigital.fr/2019/05/06/apres-avoir-subi-une-cyberattaque-israel-repond-par-la-force/

[11] https://www.rand.org/content/dam/rand/pubs/research_reports/RR1300/RR1366/RAND_RR1366.pdf ; https://www.dems.defense.gouv.fr/sites/default/files/2019-10/dossier_22_chine_2019.pdf

[12] https://media.defense.gov/2017/Nov/20/2001846608/-1/-1/0/CPP_0004_MCKENZIE_CYBER_DETERRENCE.PDF

[13] http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf