Close

Le persistent engagement : vers une cyberdéfense plus offensive des États-Unis ?

Analyse réalisée au profit du Commandement de la cyberdéfense.

Créé en 2010, l’United States Cyber Command (USCYBERCOM) s’est initialement développé autour d’une approche réactive et défensive. Le concept d’active defense (2011), qui cantonnait ses cyber-opérations offensives à la défense des réseaux du département de la Défense (DoD) et au soutien des opérations militaires, s’est révélé inadapté à la fréquence et la sophistication accrues des cyberattaques[1].

Les États-Unis ont été la cible de plusieurs cyber-opérations d’envergure au cours des dernières années. Parmi lesquelles, les vols de données de l’Office of Personnel Management[2] (2013), Anthem Inc.[3] (2014) et United Airlines[4] (2015), qui n’ont pas fait l’objet de représailles américaines car situés en dessous du seuil de l’agression armé. Ces attaques ont pourtant pu avoir des implications importantes car les assaillants ont été en mesure de collecter des informations sensibles sur certains responsables américains.

Dans ce contexte, l’interférence russe dans les élections présidentielles américaines de 2016 a été décisive dans l’infléchissement stratégique de l’USCYBERCOM. Arrivé à sa tête en 2018, le désormais général d’armée (GA) Paul Nakasone s’est inscrit en rupture de la doctrine d’active defense, en proposant une posture plus proactive et offensive. Son approche fait écho à la National Security Strategy (NSS-2017) de l’administration Trump qui, outre la désignation d’adversaires de la Maison-Blanche dans le monde (Chine, Russie, Corée du Nord, Iran et le terrorisme djihadiste), fait état d’une compétition susceptible de bouleverser l’équilibre stratégique international en faveur des États-Unis[5].

Selon le GA Nakasone, l’inaction inhérente à la posture réactive et défensive promue par le concept d’active defense présente des risques face aux efforts adverses qui se poursuivront sans relâche. La question n’est plus de savoir s’il faut agir mais comment[6]. La stratégie cyber du DoD de 2018 appelle à cet égard à contrer les menaces à leur source via le concept de defense forward. Il s’agit de prévenir, vaincre ou dissuader les cyber-activités malveillantes qui visent les infrastructures critiques, qu’elles aient un impact ou non sur les capacités militaires[7]. Le defense forward est une forme d’application dans le cyberespace du principe, reconnu par les États-Unis, de légitime défense préventive et préemptive.

Dans le cadre du defense forward, le GA Nakasone a conceptualisé dans divers articles la persévérance et la confrontation continue (persistent engagement), qui doit permettre d’augmenter la sécurité nationale et de conforter la supériorité stratégique des États-Unis dans le monde. Partant du principe que les États sont en contact permanent avec leurs adversaires dans le cyberespace, leur défense y est déterminée par « la façon dont ils se donnent les moyens d’agir et agissent ». Pour le général Nakasone :

Agir « implique d’opérer en dehors de ses propres frontières, d’être en dehors de ses propres réseaux, pour s’assurer de comprendre ce que les adversaires font. Un État a perdu l’initiative et l’avantage dès lors qu’il se retrouve à défendre à l’intérieur de ses propres réseaux[8] ».

En d’autres termes, le persistent engagement traduit la nécessité de reprendre l’initiative, en affirmant la supériorité opérationnelle américaine par la conduite préventive et continue de cyber-opérations offensives contre les adversaires, dans le but d’affecter leurs capacités d’action et les empêcher ainsi d’atteindre leurs objectifs. Ce concept, en affirmant la supériorité opérationnelle américaine, a vocation à dissuader le potentiel adverse. Les États-Unis mettent l’accent sur la collecte de renseignements et sur les opérations dans les réseaux étrangers, afin de découvrir et de contrer les menaces avant qu’elles n’atteignent les réseaux nationaux et nuisent aux intérêts américains.

L’USCYBERCOM adopte avec le persistent engagement une posture plus proactive, voire assumée, qui est susceptible d’avoir des impacts sur les tiers concernés (partenaire, allié, neutre et adversaire) et sur la régulation de la conflictualité dans le cyberespace.

Une posture davantage proactive pour contrer les cybermenaces à leur source

Conformément au defense forward, le persistent engagement nécessite de collecter du renseignement à l’étranger afin de partager des indications & warning (I&W), qui permettront au gouvernement américain (USG) de renforcer sa cybersécurité et aux entreprises privées d’améliorer leurs solutions[9].

Une restructuration des dispositifs nationaux de la cyberdéfense américaine

Pour le GA Nakasone, la répartition des efforts de l’USCYBERCOM dans le cadre du persistent engagement est la suivante : deux-tiers doivent être consacrés à doter les entités liées à l’USG et le secteur privé de moyens d’agir et un tiers au renforcement de sa propre capacité d’action[10]. La coopération avec le public et le privé est cruciale. Alors que le périmètre de l’USCYBERCOM chevauche celui de la NSA ou du département de la Sécurité intérieure (DHS), le rôle d’animation de l’écosystème cyber lui permet de se distinguer, en plus d’accroître ses ressources, son prestige et son autonomie[11]. En se plaçant au cœur de la cyberdéfense nationale, l’USCYBERCOM confirme sa montée en puissance.

À cet égard, la sécurisation des élections de mi-mandat (2018) illustre la façon dont le commandement a permis à d’autres entités gouvernementales d’agir. Le Russia Small Group, un groupe de travail destiné à contrer les cyberattaques de la Russie contre les États-Unis, a permis à l’USCYBERCOM et à la NSA de partager leurs informations au FBI et au DHS, qui ont ainsi été en mesure d’empêcher une interférence dans le processus démocratique. Au niveau technique, l’USCYBERCOM a investi dans des plateformes de partage d’informations entre les gouvernements fédéraux, étatiques et locaux, dans des domaines très variés. Par exemple, la norme de signalisation des évacuations médicales (9-line) a permis de rationaliser l’ensemble des interventions de la National Guard sur tout le territoire américain[12].

Comme le secteur privé est désormais à l’origine de la plupart des innovations technologiques, la recherche de partenariats est indispensable à l’amélioration de la défense collective et à l’obtention d’informations sur les menaces. Avec la création de l’incubateur DreamPort[13], l’USCYBERCOM s’est doté d’un lieu dédié entre autres à l’organisation de réunions non classifiées avec des entités non affiliées à l’USG. Outre le recueil de bonnes pratiques, DreamPort accueille des stagiaires qui alimentent l’innovation cyber[14]. Néanmoins, le GA Nakasone s’est pour le moment peu appesanti sur la manière d’associer l’industrie, parfois encore réticente à coopérer avec la puissance publique. Alors que des entreprises regrettent que le partage d’informations avec l’USG soit à sens unique[15], celles qui recherchent des parts de marché à l’étranger peuvent être réticentes d’avoir une réputation de travailler avec le DoD[16].

Une affirmation de la capacité à agir dans les réseaux étrangers

Dans son Command Vision de 2018, l’USCYBERCOM indique qu’il opérera désormais « à l’échelle mondiale de manière transparente et continue » et non plus régionalement ou ponctuellement. Le document insiste sur la « supériorité par la persévérance » (superiority through persistence), qui vise à conserver l’initiative en confrontant les adversaires en permanence et partout où ils manœuvrent[17].

Le département de la Défense (DoD) fragmente le cyberespace en trois groupes[18] :

  • « bleu », qui englobe le réseau du DoD, la partie du cyberespace protégée par les États-Unis et les portions à défendre dans le cadre d’opérations (celles des alliés) ;
  • « rouge », qui désigne les portions contrôlées par des nœuds adverses ;
  • « gris », qui regroupe les portions qui ne sont ni « bleues », ni « rouges », donc tout le cyberespace qui n’est contrôlé ni par les États-Unis, ni par leurs adversaires.

S’exprimant sur les cyber-opérations au Joint Force Quarterly, le GA Nakasone a écrit :

« Si nous ne faisons que défendre dans le cyberespace bleu, nous avons échoué. Nous devons au contraire manœuvrer de manière transparente dans l’espace mondial interconnecté de combat, aussi près que possible des adversaires et de leurs opérations, et le modeler en permanence pour nous créer un avantage opérationnel, tout en le déniant aux adversaires[19] ».

Les ambitions de l’USCYBERCOM dans ces différents espaces n’est pas clair, notamment s’il cherche à créer des tensions dans le cyberespace rouge ou à rivaliser avec ses adversaires en prenant le contrôle du cyberespace gris. Il en ressort que ses activités ont vocation, dans les deux cas, à dépasser les réseaux nationaux des États-Unis. Si l’USCYBERCOM cherche à opérer uniquement dans le cyberespace rouge, ses opérations seront de facto de plus en plus mondiales à mesure que les adversaires étendront leurs nœuds de réseaux. S’il ne souhaite agir que dans le cyberespace gris, cela implique qu’il prenne le contrôle d’infrastructures neutres vis-à-vis de l’adversaire[20].

Les États-Unis agissent ainsi en « observateur » sur les réseaux d’un pays partenaire pour y recueillir des renseignements sur les activités adverses[21]. Ils peuvent également y agir en tant que « passant », en y transitant dans le but d’affecter les systèmes et les réseaux des adversaires. Lors de l’opération Glowing Symphony (2016), l’USCYBERCOM a notamment agi, dans le cadre d’une coalition alliée, dans des réseaux allemands pour y supprimer un serveur qui hébergeait des contenus de propagande de l’État islamique[22].

La diplomatie est alors indispensable pour apaiser les inquiétudes des partenaires des États-Unis qui craignent que ces derniers utilisent le persistent engagement pour agir sans autorisation dans leurs réseaux. Pour obtenir leur consentement, le GA Nakasone a conceptualisé le hunt forward, par lequel des équipes américaines se rendent dans des pays partenaires pour travailler conjointement sur des menaces communes. L’USCYBERCOM partage ensuite ses conclusions aux acteurs américains compétents. Outre l’Ukraine et la Macédoine, les États-Unis ont effectué une mission de ce type au Monténégro (2019) afin de préparer la sécurisation des élections présidentielles américaines de 2020[23]. Depuis son adhésion à l’OTAN, le pays fait en effet l’objet d’un harcèlement régulier de la Russie.

Certains partenaires étrangers peuvent malgré tout rester réfractaires à l’idée de laisser leurs réseaux devenir un théâtre d’affrontement entre pays-tiers. Même s’ils rejoignent les États-Unis sur la nature des cybermenaces, ils peuvent être réticents au hunt forward pour des questions de souveraineté[24].

De nouvelles règles du jeu dans la régulation de la conflictualité dans le cyberespace ?

Susceptibles d’alimenter l’instabilité mondiale, les cyber-opérations offensives menées dans le cadre du persistent engagement pourraient à terme placer les États-Unis en porte-à-faux vis-à-vis des positions qu’ils adoptent dans les instances internationales sur la stabilité du cyberespace.

L’utilisation de cyberattaques pour façonner les comportements adverses

L’administration Trump considère le cyberespace comme un milieu dans lequel ses adversaires sont déterminés à agir contre les intérêts américains. La tâche de l’USCYBERCOM est de les contrer et non plus de les influencer. Le statut des cyber-opérations offensives a été clarifié dans ce sens par une loi d’autorisation de la Défense nationale (2018), qui autorise le DoD à prendre des mesures proportionnelles et appropriées afin de « perturber, défaire et dissuader » les opérations de la Russie, la Chine, la Corée du Nord et l’Iran[25]. En deux ans sous le GA Nakasone, l’USCYBERCOM a certainement conduit plus de cyber-opérations offensives que lors du reste de son histoire. Trois ont notamment été rendues publiques avec celles qui ont ciblé l’Internet Research Agency[26] (Russie), l’Iran[27] et le botnet Trickbot[28].

Agir en tant que « passant » dans des réseaux de pays tiers pour affecter les systèmes d’adversaires soulève également un une interrogation quant à la légalité. Bien que le DoD revendique une application du droit international au cyberspace, du moins de son interprétation américaine, de telles opérations pourraient aller à l’encontre de la Charte des Nations Unies et du principe de souveraineté.

Vers un abandon pragmatique de la dissuasion dans le cyberespace ?

Selon le Command Vision de 2018 de l’USCYBERCOM, les actions continues (persistent action) permettent à terme d’influencer les calculs adverses, de dissuader les agressions, ainsi que de clarifier la distinction entre les comportements acceptables ou pas dans le cyberespace[29]. Néanmoins, selon Richard Harknett, spécialiste de la dissuasion, agir contre l’agresseur ne consiste pas à modifier en amont les calculs de ce dernier mais à endommager immédiatement ses systèmes et ses réseaux. Il s’agit de marquer le seuil de ce qui est acceptable et de façonner ainsi le comportement de l’adversaire[30].

Cette approche est reprise par le GA Nakasone qui apparaît maintenant plus modeste sur la capacité de l’USCYBERCOM à influencer en amont d’autres acteurs. Le mot « dissuasion » n’apparaît plus dans ses dernières interventions relatives au persistent engagement. Plutôt que d’essayer de changer le comportement de ses adversaires, l’USCYBERCOM cherche désormais à réduire l’efficacité de leurs cyber-capacités. En effet, il considère que la coercition via des cyber-opérations ponctuelles ne peut défaire les adversaires et que seule une confrontation continue peut les empêcher d’atteindre leurs objectifs dans le temps[31]. Selon cette vision, des cyberattaques préventives et régulières permettraient de diminuer l’intensité et la fréquence des attaques adverses. Cette possibilité d’agir de manière préemptive donnerait ainsi aux États-Unis une liberté d’action qui peut être utilisée pour nuire aux adversaires[32].

Certains observateurs craignent toutefois que cette posture ne contribue au contraire à augmenter la conflictualité et les risques d’escalade en renforçant le dilemme de sécurité[33]. Face au persistent engagement des États-Unis, les conceptions chinoise et russe d’un Internet national et souverain pourraient par exemple considérer les actions offensives américaines comme une forme d’ingérence non acceptable. Pour autant, les opérations menées dans le cadre du persistent engagement pourraient également créer des précédents susceptibles de remplacer les normes de comportements responsables, aujourd’hui acceptées par une grande majorité, dans la régulation du cyberespace.

L’USCYBERCOM a par ailleurs admis l’idée que ces normes internationales étaient régulièrement ignorées par ses adversaires, qui ont montré qu’ils n’avaient aucun intérêt à les respecter. Dans ce cadre, le commandement estime qu’empêcher les adversaires belliqueux d’agir, en affectant de manière continue leurs cyber-capacités, ne peut que contribuer à la stabilité du cyberespace[34].

Comme le souligne Stéphane Taillat, maître de conférences à l’École de Saint-Cyr Coëtquidan, « l’activisme américain court donc le risque d’affaiblir les normes partagées obtenues par consensus au profit de normes fondées au mieux sur un consensus limité aux seuls États ‘occidentaux’ et au pire sur le recours aux opérations offensives sans freins évidemment ou immédiatement perceptibles[35] ». Cet activisme sera-t-il poursuivi par l’administration Biden ?

 

 

[1] Paul Nakasone, « How to Compete in Cyberspace », Foreign Affairs [en ligne], 25 août 2020.

[2] Josh Fruhlinger, « The OPM hack explained », CSO [en ligne], 12 février 2020.

[3] M. McGee, « Anthem Cyberattack Indictment Provides Defense Lessons », Bank Info Security [en ligne], 13 mai 2019.

[4] « United Airlines data breached by China-backed hackers: Bloomberg », Reuters [en ligne], 29 juillet 2015.

[5] The White House, National Security Strategy, Décembre 2017, pp. 2-3.

[6] Op. cit. Paul Nakasone, Foreign Affairs, 2020.

[7] US Departement of Defense, Cyber Strategy (Summary), 2018, p. 2.

[8] « An Interview with Paul M. Nakasone », Joint Force Quarterly, n°92, 2019, p. 7.

[9] US Departement of Defense, Cyber Strategy (Summary), 2018, p. 2.

[10] Op. cit. « An Interview with Paul M. Nakasone », JFQ, 2019, p. 6.

[11] Stéphane Taillat, « Cyber opérations offensives et réaffirmation de l’hégémonie américaine : une analyse critique de la doctrine de Persistent Engagement », Géopolitique de la datasphère, Hérodote, n°177-178, 2020, p. 321.

[12] Op. cit. Paul Nakasone, Foreign Affairs, 2020.

[13] « L’innovation en défense cyber : le modèle américain », OMC [en ligne], 4 novembre 2019.

[14] Op. cit. Paul Nakasone, Foreign Affairs, 2020.

[15] « Key Private and Public Cyber Expectations Need to Be Consistently Addressed », GAO [en ligne], 15 juillet 2010.

[16] Joshua Rovner, « More Aggressive and Less Ambitious: Cyber Command’s Evolving Approach », War on the Rocks [en ligne], 14 septembre 2020.

[17] « Achieve and Maintain Cyberspace Superiority », Command Vision for US Cyber Command, 2018, p. 6.

[18] Joint Chiefs of Staff, Cyberspace Operations, Joint Publication 3-12, 8 juin 2018, pp. I-(4-5).

[19] Paul Nakasone, « A Cyber Force for Persistent Operations », Joint Forces Quarterly, n°92, 2019, pp. 12-13.

[20] Max Smeets, U.S. Cyber strategy of Persistent Engagement & Defend Forward: Implications for the Alliance and Intelligence Collection, Center for Security Studies, ETH Zurich, 15 février 2020, pp. 3-4.

[21] Ben Buchanan, The Cybersecurity Dilemma: Hacking, Trust and Fear Between Nations, Oxford, 2017.

[22] Ellen Nakashima, « US Military Cyber Operation to Attack ISIS Last Year Sparked Heated Debate Over Alerting Allies », The Washington Post [en ligne], 9 mai 2017.

[23] G. Graff, « The Man Who Speaks Softly – and Commands a Big Cyber Army », Wired [en ligne], 13 octobre 2020.

[24] Op. cit. Joshua Rovner, 2020.

[25] 115e Congrès, 2018, sec. 1642.

[26] A. Greenberg, « US Hackers’ Strike on Russian Trolls Sends a Message », Wired [en ligne], 27 février 2019.

[27] J. Barnes, T. Gibbons-Neff, « U.S. Carried Out Cyberattacks on Iran », New York Times [en ligne], 22 juin 2019.

[28] « Report: U.S. Cyber Command Behind Trickbot Tricks », KrebsonSecurity [en ligne], 10 octobre 2020.

[29] « Achieve and Maintain Cyberspace Superiority », Command Vision for US Cyber Command, 2018, p. 6.

[30] R. Harknett, « Deterrence is not a credible strategy for cyberspace », Orbis, vol. 61, 2017, pp. 299-444.

[31] Op. cit. Paul Nakasone, Foreign Affairs, 2020.

[32] Op. cit. Stéphane Taillat, 2020, p. 316.

[33] Op. cit. Joshua Rovner, 2020.

[34] Ibid.

[35] Op. cit. Stéphane Taillat, 2020, p. 326.