L'OTAN et la cyberdéfense

  • Mis à jour le: 11 Sep. 2014 11:55

Dans le contexte de dépendance grandissante vis-à-vis de la technologie et de l'internet, l'Alliance poursuit ses efforts pour faire face au large éventail de cybermenaces dont les réseaux de l'OTAN sont la cible chaque jour. La sophistication croissante des cyberattaques fait de la protection des systèmes d'information et de communication (SIC) de l'Alliance une tâche urgente. Cet objectif est considéré comme une priorité dans le concept stratégique de l'OTAN, et il a été réaffirmé dans les déclarations diffusées à l’issue des deux plus récents sommets ainsi que lors des réunions ministérielles de l'OTAN.

  • Principales activités dans le domaine de la cyberdéfense

    Politique OTAN de cyberdéfense

    Afin de suivre le rythme de l'évolution rapide de l'ensemble des menaces et d'assurer une cyberdéfense solide, l'OTAN a adopté une nouvelle politique renforcée, qui a été entérinée par les ministres de la Défense des pays de l’Alliance en juin 2014. Cette politique pose comme principe que la cyberdéfense fait partie de la tâche fondamentale de l'Alliance qu'est la défense collective, elle confirme que le droit international s'applique dans le cyberespace, et elle intensifie notre coopération avec l’industrie. La priorité absolue est de protéger les systèmes de communication de l'Alliance et ceux qu'elle exploite.

    La nouvelle politique reflète également les décisions sur des questions comme la gouvernance rationalisée de la cyberdéfense, les procédures pour l'assistance aux pays de l'Alliance, et l'intégration de la cyberdéfense dans la planification au niveau opératif (y compris les plans civils d'urgence). De plus, la politique définit des modalités pour poursuivre les activités de sensibilisation, de formation, d'entraînement et d'exercice, et elle appelle à de nouveaux progrès dans diverses initiatives de coopération, y compris celles menées avec les pays partenaires et les organisations internationales. Elle prévoit également un renforcement de la coopération avec l'industrie, par le biais d'un partage de l'information et d'une gestion coopérative de la chaîne d’approvisionnement.

    Les pays de l’Alliance se sont en outre engagés à améliorer le partage de l'information et l'assistance mutuelle pour prévenir les cyberattaques, atténuer leurs conséquences et rétablir ensuite la situation. La nouvelle politique est complétée par un plan d'action qui fixe des objectifs et des échéances de mise en œuvre concrets.

    Aide aux pays de l’Alliance

    La priorité absolue de l'OTAN en matière de cyberdéfense est de protéger les systèmes d'information et de communication de l'Alliance et ceux qu'elle exploite, et l'OTAN a besoin d'une infrastructure de soutien sûre et fiable au niveau des pays, s'agissant en particulier des systèmes nationaux pouvant être jugés essentiels pour les missions de l'OTAN. L'Organisation s'emploie donc, avec le concours des autorités nationales, à définir les principes, les critères et les mécanismes garantissant un niveau approprié de cyberdéfense pour les SIC des pays. L'Alliance continuera de recenser les dépendances de l'OTAN vis-à-vis des SIC nationaux des Alliés pour les tâches essentielles de l’Alliance, et travaillera avec les pays membres pour développer des normes communes.

    L'OTAN apporte aussi son aide aux pays membres qui s'emploient à protéger leurs propres infrastructures critiques, en partageant des informations et des pratiques de référence et en conduisant des exercices de cyberdéfense pour aider à développer les compétences nationales. De même, les pays de l'Alliance peuvent, sur une base volontaire et avec le concours de l'OTAN, aider d'autres Alliés à développer leurs capacités nationales de cyberdéfense.

    Développer les capacités de cyberdéfense de OTAN

    La capacité OTAN de réaction aux incidents informatiques (NCIRC) protège les réseaux appartenant à l'OTAN en assurant un soutien centralisé et permanent en matière de cyberdéfense pour les différents sites de l'OTAN. Cette capacité devrait évoluer en permanence afin de suivre l'évolution rapide des menaces et de l'environnement technologique.

    Pour favoriser une approche commune, à l'échelle de l'Alliance, du développement des capacités de cyberdéfense, l'OTAN fixe également des objectifs pour la mise en œuvre par les pays membres de capacités nationales de cyberdéfense par le biais du processus OTAN de planification de défense (NDPP).

    La cyberdéfense a également été intégrée à l'initiative de défense intelligente de l'OTAN. La défense intelligente permet aux pays d'unir leurs efforts pour développer et pour maintenir des capacités dont ils ne pourraient pas supporter seuls les coûts de développement ou d'acquisition, et de dégager ainsi des moyens leur permettant de renforcer d'autres capacités. Les projets de défense intelligente menés jusqu'à présent dans le domaine de la cyberdéfense sont le projet de plate-forme d'échange d'informations sur les logiciels malveillants (MISP), le projet de développement d'une capacité multinationale de cyberdéfense (MNCD2) et le projet multinational de coopération sur la formation et l'entraînement à la cyberdéfense (MN CD E&T).

    Renforcer la capacité de cyberdéfense de l'OTAN

    Reconnaissant que la cyberdéfense est autant une question de personnes que de technologie, l'OTAN continue d'améliorer ses activités de formation et d'entraînement, ses exercices et ses méthodes d'évaluation en matière de cyberdéfense.

    L'OTAN conduit régulièrement des exercices - notamment l'exercice annuel Cyber Coalition - et s'efforce d'intégrer des éléments et des considérations de cyberdéfense dans toute la gamme de ses exercices. L'OTAN renforce également ses capacités en matière de formation, d'entraînement et d'exercices, notamment le cyberpolygone OTAN, qui fait appel à une installation mise à disposition par l'Estonie.

    Le Centre d'excellence pour la cyberdéfense en coopération (CCD CoE) de l'OTAN, installé à Tallinn, en Estonie, est le plus grand centre de recherche et d'entraînement accrédité par l'OTAN s'occupant de formation, de consultation, d'enseignements tirés, de recherche et de développement en matière de cyberdéfense. Le CCD CoE ne fait pas partie de la structure de commandement de l'OTAN, mais il possède néanmoins une expertise et une expérience reconnues.

    L'École des systèmes d'information et de communication de l'OTAN (NCISS), située à Latina (Italie), propose aux personnels des pays membres (et non membres) de l'Alliance des formations à l'exploitation et à la maintenance de certains systèmes d'information et de communication de l'OTAN. La NCISS sera bientôt déplacée au Portugal, où elle mettra davantage l'accent sur l'entraînement et la formation en matière de cyberdéfense.

    L'École de l'OTAN à Oberammergau, en Allemagne, propose des formations et des entraînements liés à la cyberdéfense à l'appui des opérations, de la stratégie, de la politique, de la doctrine et des procédures de l'Alliance. Le Collège de défense de l'OTAN, à Rome, favorise la réflexion stratégique sur les questions politico-militaires, y compris les questions de cyberdéfense.

    Coopération avec les partenaires

    Comme les cybermenaces ne connaissent aucune frontière, ni étatique ni organisationnelle, l'OTAN collabore avec les organisations et les pays concernés pour renforcer la sécurité internationale.

    L'engagement avec les pays partenaires s'appuie sur des valeurs partagées et des approches communes de la cyberdéfense. Les demandes de coopération avec l'Alliance sont traitées au cas par cas.

    L'OTAN travaille aussi, entre autres, avec l'Union européenne (UE), l’Organisation des Nations Unies (ONU), le Conseil de l'Europe et l'Organisation pour la sécurité et la coopération en Europe (OSCE). L'Alliance coopère avec d'autres organisations internationales en veillant à ce que leurs actions soient complémentaires et en évitant toute répétition de travaux.

    Coopération avec l’industrie

    Le secteur privé est un acteur clé du cyberespace, et les innovations et l'expertise technologiques qui en émanent sont indispensables pour permettre à l'OTAN et à ses pays membres d'assurer une cyberdéfense efficace.

    Par le biais du cyberpartenariat OTAN-industrie (NICP), l'OTAN et les Alliés s'emploieront à renforcer leurs relations avec l'industrie. Le NICP aura principalement pour objet de faciliter la coopération volontaire entre l'OTAN et l'industrie. Ce partenariat s'appuiera sur les structures existantes, et réunira des entités OTAN, des centres nationaux d'alerte et de réaction aux attaques informatiques (CERT) et des représentants d'industries des pays membres de l'OTAN.

  • Gouvernance

    La politique OTAN de cyberdéfense est mise en œuvre par les autorités politiques, militaires et techniques de l'OTAN, ainsi que par les Alliés à titre individuel. Le Conseil de l'Atlantique Nord (« le Conseil ») assure la supervision politique de haut niveau de tous les aspects de cette mise en œuvre. Le Conseil est informé des incidents et des cyberattaques de grande ampleur, et il exerce le rôle de principal organe de décision pour ce qui est de la gestion des crises liées à la cyberdéfense.

    Le Comité de cyberdéfense (anciennement appelé Comité de la politique et des plans de défense - Cyberdéfense), qui dépend du Conseil, est le comité pilote pour la gouvernance politique et la politique de cyberdéfense en général : il assure une supervision et fournit des avis aux pays alliés sur les activités de cyberdéfense de l'OTAN, au niveau des experts. Au niveau opérationnel, le Bureau de gestion de la cyberdéfense (CDMB) est chargé de la coordination des activités de cyberdéfense dans l'ensemble des organismes civils et militaires de l’OTAN. Le CDMB est composé des responsables des organes politiques, militaires, opérationnels et techniques de l’OTAN qui assument des responsabilités dans le domaine de la cyberdéfense.

    Le Bureau des C3 (C3B) est le principal comité consultatif pour toutes les questions touchant aux aspects techniques et à la mise en œuvre de la cyberdéfense.

    Les autorités militaires de l’OTAN (NMA) et l'Agence OTAN d’information et de communication (NCIA) sont expressément responsables de l'énoncé des besoins opérationnels, ainsi que de l'acquisition, de la mise en œuvre et de l'exploitation des capacités de cyberdéfense de l'Organisation. Le Commandement allié Transformation (ACT) est chargé de la planification et de la conduite de l'exercice annuel Cyber Coalition.

    Enfin, la NCIA, par l’intermédiaire du Centre technique de la NCIRC (installé à Mons, en Belgique), est responsable de la fourniture des services techniques permettant d’assurer la cybersécurité dans l’ensemble de l’OTAN. Le Centre technique de la NCIRC joue un rôle clé, qui consiste à réagir à toute cyberattaque qui pourrait être menée contre l'Alliance. Il gère et signale les incidents, et communique les informations cruciales sur ceux-ci aux responsables de la gestion des systèmes et de la sécurité ainsi qu'aux utilisateurs.

    Le Centre de coordination de la NCIRC est un organe responsable de la coordination des activités de cyberdéfense au sein de l'OTAN et avec les pays membres, et du soutien administratif du CDMB. Il assure une liaison sur les questions de cyberdéfense avec d'autres organisations internationales comme l'Union européenne, l'OSCE et l'ONU/Union internationale des télécommunications (UIT).

  • Évolution

    Même si l'OTAN a toujours assuré la protection de ses systèmes d'information et de communication, c'est au sommet de Prague, en 2002, que la cyberdéfense a été pour la première fois inscrite à son agenda politique. Les dirigeants des pays de l’Alliance réunis au sommet de Riga en 2006 ont réaffirmé la nécessité de protéger davantage ces systèmes.

    Suite aux cyberattaques qui ont touché des institutions publiques et privées de l'Estonie en avril et mai 2007, les ministres de la Défense des pays de l'Alliance sont convenus, en juin 2007, qu'il était urgent de mener des travaux dans ce domaine.  Suite à cela, l'OTAN a adopté sa première politique de cyberdéfense en janvier 2008.

    À l'été 2008, le conflit entre la Russie et la Géorgie a montré que les cyberattaques pouvaient devenir un élément essentiel de la guerre conventionnelle.

    L'OTAN a adopté un nouveau concept stratégique au sommet de Lisbonne, en 2010 : à cette occasion, le Conseil a été chargé d'élaborer une politique OTAN de cyberdéfense en profondeur et d'établir un plan d'action pour la mise en œuvre de cette politique. 

    En juin 2011, les ministres de la Défense des pays de l'OTAN ont approuvé la deuxième version de la politique de cyberdéfense, qui énonce une vision des efforts coordonnés à mener en manière de cyberdéfense dans l'ensemble de l'Alliance, compte tenu de l'évolution rapide des menaces et de l'environnement technologique, ainsi qu'un plan d'action connexe pour sa mise en œuvre.

    En avril 2012, la cyberdéfense a commencé à être intégrée dans le processus OTAN de planification de défense (NDPP). Les besoins pertinents en matière de cyberdéfense sont recensés et priorisés dans le cadre de ce processus.

    Au sommet de Chicago, en mai 2012, les dirigeants des pays de l’Alliance ont réaffirmé qu'ils étaient déterminés à renforcer les moyens de cyberdéfense de l'Alliance en plaçant tous les réseaux de l'OTAN sous un dispositif centralisé de protection et en mettant en œuvre une série de modernisations de la NCIRC.

    En juillet 2012, dans le cadre de la réforme des agences de l'OTAN, la NCIA a été créée.

    En février 2014, les ministres de la Défense des pays de l'Alliance ont chargé l'OTAN d'élaborer une nouvelle politique de cyberdéfense renforcée intégrant la défense collective, l'assistance aux Alliés, la gouvernance rationalisée, diverses considérations juridiques et les relations avec l'industrie. 

    En avril 2014, le Conseil a décidé de renommer le Comité de la politique et des plans de défense (Cyberdéfense) en Comité de cyberdéfense.

    En mai 2014, la capacité opérationnelle totale (FOC) de la NCIRC a été atteinte, offrant ainsi une protection renforcée aux réseaux et aux utilisateurs de l'OTAN. 

    En juin 2014, les ministres de la Défense ont entériné la nouvelle politique de cyberdéfense, qui est actuellement mise en œuvre. Cette nouvelle politique et sa mise en œuvre feront l'objet d'un suivi permanent au sein de l'Alliance, tant aux niveaux politique que technique, et seront affinées et actualisées en fonction de l'évolution des cybermenaces.