La plupart des menaces liées au cyberespace existaient bien avant l’émergence d’Internet. Mais la croissance des réseaux offre de nouveaux moyens d’action particulièrement puissants, rapides et peu coûteux qui permettent d’agir à une échelle sans précédent avec des conséquences d’une ampleur parfois inédite.
La technologie elle-même pose de nouveaux défis qui rendent la menace plus diffuse, plus imprévisible, et bousculent la réflexion stratégique. Qu’il s’agisse d’intrusion dans les systèmes à des fins d’espionnage, de sabotage, de corruption d’information ou de déstabilisation, les outils sont les mêmes et empruntent souvent les mêmes réseaux. La qualification d’une attaque dépend dès lors de ses initiateurs et de leurs motivations. Or la question de l’attribution reste extrêmement problématique. Il est quasiment impossible d’identifier l’attaquant à coup sûr s’il a efficacement masqué ses traces et, même si un faisceau d’indices permet de retracer l’origine d’une attaque avec un degré plus ou moins élevé de certitude, cela reste difficile à prouver. In fine, l’attribution est avant tout une décision politique. Et la qualification de l’attaque qui en découle l’est tout autant. Elle dépend des représentations des protagonistes et du rapport de force entre acteurs. Dans le cadre du ver Stuxnet par exemple, l’Iran aurait pu choisir de qualifier l’attaque comme étant un acte de guerre.
Contrairement aux autres champs militaires, le cyberespace n’est pas un milieu naturel mais un environnement entièrement construit par l’homme et, surtout, en recomposition permanente et très rapide. Or l’architecture même des réseaux affecte directement leur vulnérabilité, on peut donc la modifier pour réduire les risques. Ainsi, les effets d’une cyberattaque dépendront certes du niveau de compétences des attaquants mais aussi de la qualité des informations qu’ils détiennent sur la cible, à savoir les systèmes d’information et de communication visés, et de ses capacités de résistance et de résilience. Et les attaques les plus efficaces sont en général celles qui restent non détectées.
Il reste toujours une part d’incertitude quant aux effets des cyberattaques d’autant qu’il est impossible de les tester en situation réelle. Lorsque la victime détecte une attaque, elle peut l’analyser et remédier ainsi à ses vulnérabilités (ce qui rendrait une seconde attaque similaire inopérante), voir s’en saisir pour l’adapter à ses propres fins. Difficile aussi de maitriser les effets collatéraux, ce qui nécessite une connaissance approfondie de l’interconnexion et la géographie des systèmes d’information adverses pour envisager les possibles effets de cascade.
Les concepts stratégiques de dissuasion et de réponse graduée hérités de la guerre froide s’appliquent dès lors mal au cyberespace. Comment riposter si l’on ne peut pas identifier l’ennemi ou prouver son identité ? Quelles conséquences en cas d’erreur d’identification ? Comment répliquer quand l’ennemi n’a pas d’infrastructures équivalentes à détruire ? Que répondre lorsque l’attaque est découverte plusieurs mois ou années après ? Il s’agit de bon nombre d’interrogations qu’on peut se poser et qui mettent en exergue toute la complexité d’une logique guerrière dans le cyberespace.
Les États sont dès lors prudents dans la manipulation de ces nouvelles capacités mais la tentation est forte de les utiliser, car elles permettent de mener des actions offensives sans nécessairement se dévoiler ni déclarer ouvertement la guerre. Du moins pour le moment, en l’absence de consensus international sur les modalités d’application d’un droit des conflits armés propre au cyberespace. Les discours se musclent et rien ne garantit que ce qui se passe dans le cyberespace n’aurait pas de conséquences en dehors de cet espace. En effet, en 2011, les États-Unis affirmaient que les cyberattaques pouvaient être considérées comme un acte de guerre, justifiant d’y répondre par tous les moyens, y compris à travers l’utilisation d’armes conventionnelles, voire de frapper de façon préemptive en cas de danger imminent. En 2012, le Manuel de Tallinn, rédigé par un groupe d’expert de l’OTAN, formulait des recommandations pour l’application du droit des conflits armés dans le cyberespace, notamment en termes de légitimation de la réponse armée.
Le potentiel d’escalade des cyber conflits pourrait s’en trouver renforcé, alors que la riposte, si elle peut être nécessaire à la dissuasion, n’est pas toujours la réponse la plus pertinente dans le cyberespace.
Dossier rédigé par Yannick Houphöuet, contributeur CIberObs