Cyberdéfense
Des cybermenaces complexes, destructrices et à visée coercitive, pèsent sur la sécurité de l’Alliance. Ces menaces se font aussi de plus en plus fréquentes. Le cyberespace est le théâtre d’une contestation permanente ; des actes de malveillance s’y déroulent quotidiennement, allant d’attaques peu sophistiquées jusqu’à des campagnes menées à l’aide de technologies de pointe. En réponse à cette évolution, l’OTAN et les Alliés renforcent la capacité de l’Alliance à détecter et prévenir les actes de cybermalveillance et à y répondre. Pour accomplir les trois tâches fondamentales de l’Alliance que sont la dissuasion et la défense, la gestion et la gestion des crises et la sécurité coopérative, l’Organisation et les Alliés s’appuient sur des moyens de cyberdéfense forts et résilients. L’Alliance doit être préparée à défendre ses réseaux et opérations contre les cybermenaces toujours plus complexes auxquelles elle est confrontée.
- La cyberdéfense est l’un des volets de la tâche fondamentale de l’OTAN qui consiste à assurer la dissuasion et la défense.
- En matière de cyberdéfense, l’OTAN protège ses propres réseaux, opère dans le cyberespace (notamment au travers des opérations et missions de l’Alliance), aide les Alliés à renforcer leur résilience nationale, et offre une plateforme pour la consultation politique et l’action collective.
- En juillet 2016, les Alliés ont réaffirmé le mandat défensif de l’OTAN et reconnu le cyberespace en tant que milieu d’opérations.
- L’OTAN sert de plateforme de consultation politique pour ce qui est de partager les préoccupations concernant les actes de cybermalveillance, de mettre en commun les approches et réponses nationales, et de réfléchir à de possibles réponses collectives. Les Alliés sont résolus à améliorer le partage de l’information et à renforcer l’assistance mutuelle pour prévenir les cyberattaques, en atténuer les conséquences, rétablir la situation et répondre à ces attaques.
- Les Alliés s’attachent à promouvoir un cyberespace libre, ouvert, pacifique et sûr, et s’emploient à renforcer la stabilité et à réduire le risque de conflit en soutenant l’application du droit international et des normes volontaires en matière de comportement responsable des États dans le cyberespace. En 2016, les Alliés ont décidé de mettre en œuvre l’engagement en faveur de la cyberdéfense. En 2023, ils ont renforcé cet engagement et se sont fixé de nouveaux objectifs ambitieux pour améliorer encore, de manière prioritaire, leurs moyens nationaux de cyberdéfense, y compris pour ce qui est de leurs infrastructures critiques.
- L’OTAN accroît ses capacités cyber grâce à la formation, à l’entraînement et aux exercices.
- La politique de cyberdéfense globale entérinée en 2021 contribue aux tâches fondamentales de l’OTAN et à sa posture générale de dissuasion et de défense, et renforce encore la résilience de l’Alliance.
- Au sommet qu’ils ont tenu à Vilnius, en 2023, les Alliés ont entériné un nouveau concept destiné à renforcer la contribution de la cyberdéfense à la posture générale de dissuasion et de défense de l’Alliance, et ont doté l’OTAN d’une nouvelle capacité d’aide à distance en cas d’incident cyber (VCISC), qui assistera les pays lorsqu’ils devront prendre des mesures d’atténuation face à des actes de cybermalveillance majeurs.
- Au sommet de Washington, en 2024, les Alliés sont convenus de mettre sur pied le Centre OTAN intégré pour la cyberdéfense afin d’améliorer la protection des réseaux, la connaissance de la situation et l’intégration du cyberespace en tant que milieu d’opérations.
- L’OTAN collabore sur les questions de cyberdéfense avec, entre autres, l’Union européenne (UE), l’Organisation des Nations Unies (ONU) et l’Organisation pour la sécurité et la coopération en Europe (OSCE).
Approche de l’OTAN en matière de cyberdéfense
Le cyberespace fait l’objet d’une contestation permanente, et il est de plus en plus le théâtre d’actions et de campagnes malveillantes menées par des acteurs cherchant à déstabiliser l’Alliance ; ainsi, des adversaires potentiels cherchent à endommager nos infrastructures d’importance critique, à perturber le fonctionnement de nos services publics, à dérober des renseignements, à voler des contenus soumis à la propriété intellectuelle ou à entraver nos activités militaires. La guerre d’agression menée par la Russie contre l’Ukraine montre bien à quel point les activités cyber font partie intégrante des conflits modernes. La Russie a par ailleurs intensifié ses activités hybrides visant des pays membres ou partenaires de l’OTAN, y compris sous la forme d’actes de cybermalveillance. La Chine affiche des ambitions et mène des politiques coercitives qui sont contraires aux intérêts, à la sécurité et aux valeurs de l’OTAN. Ses opérations hybrides ou cyber malveillantes, sa rhétorique hostile et ses activités de désinformation prennent les Alliés pour cible et portent atteinte à la sécurité de l’OTAN. Les Alliés s’emploient activement à contrer les cybermenaces, substantielles, continues et de plus en plus nombreuses, qui visent notamment leurs systèmes démocratiques et leurs infrastructures critiques, y compris lorsqu’elles s’inscrivent dans des campagnes hybrides.
Politique de cyberdéfense de l’OTAN
Au sommet de l’OTAN tenu à Bruxelles en 2021, les Alliés ont entériné une nouvelle politique de cyberdéfense globale, qui contribue aux trois tâches fondamentales de l’OTAN et à sa posture générale de dissuasion et de défense. Ils ont réaffirmé le mandat défensif de l’OTAN et se sont engagés à employer toute la gamme des capacités, y compris cyber, pour assurer à tout moment la dissuasion, la défense et la lutte contre l’éventail complet des cybermenaces, y compris en envisageant des réponses collectives. Les réponses doivent être continues et faire appel à divers éléments de la boîte à outils OTAN, qui comprend des instruments politiques, diplomatiques et militaires. Les Alliés sont par ailleurs convenus que, dans certaines circonstances, les effets cumulés d’actes de cybermalveillance majeurs sont tels que ces actes peuvent être considérés comme équivalant à une attaque armée et peuvent conduire le Conseil de l’Atlantique Nord à décider, au cas par cas, d’invoquer l’article 5 du Traité de l’Atlantique Nord. En raison de la nature même du cyberespace, les activités doivent être menées suivant une approche globale conjuguant des efforts politiques, militaires et techniques ; la politique de 2021 et le plan d’action qui l’accompagne en sont le fil conducteur sur ces trois plans.
L’OTAN demeure déterminée à agir dans le respect du droit international applicable, notamment la Charte des Nations Unies, le droit international humanitaire et le droit international des droits de la personne. Elle continue de promouvoir un cyberespace libre, ouvert, pacifique et sûr, et nous poursuivrons les efforts visant à renforcer la stabilité et à réduire le risque de conflit en veillant au respect du droit international et à l’application de normes volontaires en matière de comportement responsable des États dans le cyberespace.
Au sommet de Vilnius, en 2023, les Alliés ont entériné un nouveau concept destiné à renforcer la contribution de la cyberdéfense à la posture générale de dissuasion et de défense de l’OTAN. Ce concept, qui vise une intégration plus poussée des trois niveaux auxquels est traitée la cyberdéfense à l’OTAN (politique, militaire et technique), permet une coopération civilo-militaire permanente – en temps de paix, en période de crise et en période de conflit – et favorise les éventuels échanges avec le secteur privé, ce qui améliore la connaissance commune de la situation et accroît la cyberrésilience – un prérequis essentiel lorsqu’on entend rendre l’Alliance plus sûre et mieux à même d’atténuer le risque de subir des dommages importants du fait des cybermenaces.
À ce même sommet de Vilnius, les Alliés ont par ailleurs réaffirmé et renforcé l’engagement de l’OTAN en faveur de la cyberdéfense, et se sont fixé de nouveaux objectifs ambitieux pour améliorer encore, de manière prioritaire, les moyens nationaux de cyberdéfense, y compris pour ce qui est des infrastructures critiques. Ils ont en outre doté l’OTAN d’une capacité d’aide à distance en cas d’incident cyber (VCISC), qui assistera les pays lorsqu’ils devront prendre des mesures d’atténuation face à des actes de cybermalveillance majeurs, et ils ont décidé de chercher à développer, comme il conviendra, des partenariats efficaces et mutuellement bénéfiques, notamment avec les pays partenaires, avec d’autres organisations internationales, avec le secteur industriel et avec le monde universitaire, en vue d’aider l’OTAN à améliorer la stabilité internationale dans le cyberespace.
Développer les moyens de cyberdéfense de l’OTAN
Le Centre de cybersécurité de l’OTAN (NCSC), basé au Grand Quartier général des Puissances alliées en Europe (SHAPE), à Mons (Belgique), protège les réseaux de l’OTAN en assurant un soutien centralisé 24 heures sur 24 en matière de cyberdéfense. Cette capacité s’adapte continuellement et suit l’évolution rapide des menaces et de l’environnement technologique.
L’OTAN a par ailleurs mis en place, à Mons, un Centre des cyberopérations, qui permet aux commandants militaires d’avoir une meilleure connaissance de la situation, à l’appui des opérations et missions de l’Alliance. Ce centre coordonne également l’activité opérationnelle de l’OTAN dans le cyberespace afin qu’elle y dispose de sa liberté d’action et que ses opérations soient plus résilientes aux cybermenaces.
Au sommet de Washington, en 2024, les chefs d’État et de gouvernement des pays de l’Alliance sont convenus de mettre sur pied, au SHAPE, le Centre OTAN intégré pour la cyberdéfense afin d’améliorer la protection des réseaux, la connaissance de la situation et l’intégration du cyberespace en tant que milieu d’opérations, et ce en temps de paix comme en période de crise ou de conflit. Ils se sont par ailleurs engagés à élaborer une politique pour le renforcement de la sécurité des réseaux OTAN.
Pour favoriser une approche commune, à l’échelle de l’Alliance, du développement des moyens de cyberdéfense, l’OTAN fixe également des objectifs pour la mise en œuvre, par les pays membres, de moyens nationaux de cyberdéfense dans le cadre du processus OTAN de planification de défense.
L’OTAN aide les Alliés à renforcer leurs moyens nationaux de cyberdéfense en facilitant le partage d’informations et l’échange de bonnes pratiques et en conduisant des exercices de cyberdéfense pour développer les compétences nationales. De même, les Alliés peuvent, sur une base volontaire et avec le concours de l’OTAN, aider d’autres Alliés à développer leurs moyens nationaux de cyberdéfense.
Les équipes OTAN de réaction rapide pour la cyberdéfense se tiennent prêtes 24 heures sur 24 pour aider les Alliés, sur demande et moyennant approbation par le Conseil de l’Atlantique Nord.
Renforcer la capacité de cyberdéfense de l’OTAN
La cyberdéfense est autant une question de personnes que de technologie : c’est pourquoi l’OTAN continue d’améliorer ses activités d’entraînement, de formation et d’exercices en la matière.
L’OTAN conduit régulièrement des exercices axés sur le cyber – notamment l’exercice annuel Cyber Coalition – et s’emploie à intégrer des éléments de cyberdéfense dans toute la gamme de ses exercices, y compris dans l’exercice de gestion de crise (CMX). Elle renforce également ses capacités en matière de formation et d’entraînement, notamment le cyberpolygone OTAN, qui fait appel à une installation mise à disposition par l’Estonie. En novembre 2023, l’OTAN tenait, à Berlin, sa toute première conférence générale sur la cyberdéfense, qui réunissait des décideurs aux niveaux politique, militaire et technique.
L’OTAN dispose d’un certain nombre d’outils pratiques pour améliorer la connaissance de la situation et faciliter l’échange d’informations, notamment des points de contact avec les autorités nationales de cyberdéfense dans les capitales de tous les pays de l’Alliance. Un mémorandum d’entente (MOU) spécifique définit les modalités pour l’échange d’informations diverses relatives à la cyberdéfense et pour la fourniture d’une assistance mutuelle dans ce domaine afin d’améliorer les capacités de prévention, de résilience et de réponse face à des cyberincidents.
Des informations techniques sont également échangées au moyen de la plateforme d’échange d’informations sur les logiciels malveillants (MISP), qui permet aux spécialistes en cyberdéfense des pays de l’Alliance de partager rapidement des indicateurs de compromission, contribuant ainsi à renforcer la posture générale de défense de l’Alliance.
Le Centre d’excellence pour la cyberdéfense en coopération (CCDCOE) de l’OTAN, installé à Tallinn (Estonie), est une plateforme multinationale et interdisciplinaire sur la cyberdéfense accréditée par l’OTAN, offrant une expertise reconnue et s’occupant de formation, de consultation, de retour d’expérience, de recherche et de développement en matière de cyberdéfense. Il ne fait pas partie de la structure de commandement de l’OTAN.
L’Académie OTAN des technologies de l’information et de la communication, située à Oeiras (Portugal), propose aux personnels des pays membres (et non membres) de l’Alliance des formations à l’exploitation et à la maintenance des systèmes d’information et de communication de l’OTAN. Elle dispense également des formations théoriques et pratiques en matière de cyberdéfense.
L’École de l’OTAN à Oberammergau (Allemagne) propose des formations et des entraînements liés à la cyberdéfense à l’appui des opérations, de la stratégie, de la politique, de la doctrine et des procédures de l’Alliance.
Le Collège de défense de l’OTAN, à Rome (Italie), favorise la réflexion stratégique sur les questions politico-militaires, y compris les questions de cyberdéfense.
Coopération avec les partenaires
Les cybermenaces ne connaissant aucune frontière, ni étatique ni organisationnelle, l’OTAN collabore avec un certain nombre de pays partenaires et d’autres organisations internationales pour renforcer la sécurité commune.
L’engagement avec les pays partenaires s’appuie sur des valeurs partagées et des approches communes de la cyberdéfense. Les demandes de coopération avec l’Alliance sont traitées au cas par cas.
L’OTAN travaille aussi, entre autres, avec l’Union européenne (UE), l’Organisation des Nations Unies (ONU) et l’Organisation pour la sécurité et la coopération en Europe (OSCE).
La cyberdéfense est l’un des domaines de coopération renforcée entre l’OTAN et l’UE, et ce au titre de la lutte contre les menaces hybrides, qui fait l’objet d’une coordination accrue entre les deux organisations. L’OTAN et l’UE partagent des informations, au travers de leurs équipes de cyberréponse, et procèdent à des échanges de bonnes pratiques. La coopération est également intensifiée dans le cadre d’entraînements, de travaux de recherche et d’exercices, avec des résultats tangibles observés dans la lutte contre les cybermenaces. L’arrangement technique sur la cyberdéfense conclu entre la Capacité OTAN de réaction aux incidents informatiques (rebaptisée Centre de cybersécurité de l’OTAN) et l’Équipe d’intervention en cas d’urgence informatique pour les institutions, organes et agences de l’Union (CERT-UE) fixe un cadre pour l’échange d’informations et le partage de bonnes pratiques entre les équipes d’intervention d’urgence.
Au sommet de l’OTAN à Vilnius, en 2023, les Alliés se sont engagés à chercher à développer des partenariats efficaces et mutuellement bénéfiques, notamment avec les pays partenaires, d’autres organisations internationales, le secteur industriel et le monde universitaire.
Coopération avec l’industrie
Le secteur privé est un acteur clé du cyberespace : les innovations et l’expertise technologiques qui en émanent sont indispensables pour permettre à l’OTAN et aux Alliés de répondre efficacement aux cybermenaces.
Conformément au concept entériné par les Alliés au sommet de Vilnius en 2023, qui doit permettre de renforcer la contribution de la cyberdéfense à la posture générale de dissuasion et de défense, l’OTAN et les Alliés s’emploient à renforcer leur collaboration avec le secteur industriel et le monde universitaire, par le partage d’informations et la conduite d’exercices et d’activités d’entraînement et de formation.
Gouvernance
La politique de cyberdéfense globale de l’OTAN est mise en œuvre par les autorités politiques, militaires et techniques de l’OTAN, ainsi que par les Alliés à titre individuel. Le Conseil de l’Atlantique Nord, principal organe de décision politique de l’OTAN, assure la supervision politique de haut niveau de tous les aspects de cette mise en œuvre.
Le Comité de cyberdéfense, qui relève du Conseil de l’Atlantique Nord, est le comité pilote pour la gouvernance politique et la politique de cyberdéfense en général. Le Bureau des C3 (C3B) de l’OTAN est le principal comité consultatif pour toutes les questions touchant aux aspects techniques et à la mise en œuvre de la cyberdéfense. Les autorités militaires de l’OTAN et l’Agence OTAN de communication et d’information sont expressément responsables de l’énoncé des besoins opérationnels, ainsi que de l’acquisition, de la mise en œuvre et de l’exploitation des capacités de cyberdéfense de l’Organisation. Le Commandement allié Transformation est quant à lui chargé de la planification et de la conduite de l’exercice annuel Cyber Coalition.
Le directeur des systèmes d’information (CIO) facilite l’intégration, l’harmonisation et la cohésion des systèmes TIC (technologies de l’information et de la communication) dans l’ensemble de l’OTAN, et supervise le développement et l’exploitation des capacités TIC. Il est également l’autorité unique pour toutes les questions de cybersécurité dans l’ensemble de l’Organisation, ce qui implique de diriger les activités de gestion des incidents, d’orienter des investissements spécifiques, d’améliorer la posture de cybersécurité de l’OTAN, et d’accroître la sensibilisation à la cybersécurité dans l’ensemble de l’Organisation.
L’Agence OTAN d’information et de communication, par l’intermédiaire du Centre de cybersécurité de l’OTAN (NCSC, installé à Mons, en Belgique), est responsable de la fourniture des services techniques de cybersécurité dans l’ensemble de l’OTAN. Le NCSC joue un rôle clé, qui consiste à réagir à tout cyberincident touchant l’OTAN. Il gère et signale les incidents, et il communique les informations cruciales sur ceux-ci aux responsables de la gestion des systèmes et de la sécurité ainsi qu’aux utilisateurs.
Évolution
Même si l’OTAN a toujours assuré la protection de ses systèmes d’information et de communication, c’est au sommet de Prague, en 2002, que la cyberdéfense a été pour la première fois inscrite à son agenda politique. Les dirigeants des pays de l’Alliance réunis au sommet de Riga, en 2006, ont réaffirmé la nécessité de protéger davantage ces systèmes.
Après les cyberattaques qui ont touché des institutions publiques et privées de l’Estonie en 2007, les ministres de la Défense des pays de l’Alliance sont convenus qu’il était urgent de mener des travaux dans ce domaine. Suite à ce constat, l’OTAN a adopté sa première politique de cyberdéfense en janvier 2008.
À l’été 2008, le conflit entre la Russie et la Géorgie a montré que les cyberattaques pouvaient devenir un élément essentiel de la guerre conventionnelle.
Au sommet tenu à Lisbonne en 2010, l’OTAN a adopté un concept stratégique dans lequel elle indiquait pour la première fois que les cyberattaques pouvaient, passé un certain seuil, constituer une menace pour la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique.
En juin 2011, les ministres de la Défense des pays de l’OTAN ont approuvé la deuxième version de la politique de cyberdéfense, qui énonce une vision des efforts coordonnés à mener en matière de cyberdéfense dans l’ensemble de l’Alliance, compte tenu de l’évolution rapide des menaces et de l’environnement technologique.
En avril 2012, la cyberdéfense a été intégrée dans le processus OTAN de planification de défense. Les besoins pertinents en matière de cyberdéfense sont recensés et priorisés dans le cadre de ce processus.
Au sommet que l’OTAN a tenu en 2012 à Chicago, les dirigeants des pays de l’Alliance ont réaffirmé qu’ils étaient déterminés à renforcer les moyens de cyberdéfense de l’Alliance en plaçant tous les réseaux de l’OTAN sous un dispositif centralisé de protection et en mettant en œuvre une série de modernisations des capacités de cyberdéfense de l’OTAN.
En juillet 2012, dans le cadre de la réforme des agences de l’OTAN, l’Agence OTAN d’information et de communication a été créée.
En février 2014, les ministres de la Défense des pays de l’Alliance ont chargé l’OTAN d’élaborer une nouvelle politique de cyberdéfense renforcée intégrant la défense collective, l’assistance aux Alliés, la gouvernance rationalisée, diverses considérations juridiques et les relations avec l’industrie.
En avril 2014, le Conseil de l’Atlantique Nord a décidé de renommer le Comité de la politique et des plans de défense (Cyberdéfense) en Comité de cyberdéfense.
Au sommet du pays de Galles, en 2014, les Alliés ont entériné une nouvelle politique de cyberdéfense affirmant que la cyberdéfense faisait partie de la tâche fondamentale de l’OTAN qu’est la défense collective, ce qui signifie qu’une cyberattaque pourrait constituer un motif pour invoquer l’article 5 du traité fondateur de l’OTAN. Les Alliés ont reconnu que le droit international s’appliquait au cyberespace.
En septembre 2014, l’OTAN a lancé une initiative destinée à intensifier la coopération avec le secteur privé sur les défis et menaces en matière de cybersécurité. Le Cyberpartenariat OTAN-industrie (NICP), entériné par les dirigeants des pays de l’Alliance au sommet de l’OTAN tenu au pays de Galles, a été présenté lors d’une conférence de deux jours sur la cyberdéfense tenue à Mons, en Belgique, où 1 500 responsables et décideurs industriels étaient rassemblés pour évoquer la coopération dans ce domaine. La création du NCIP est une reconnaissance de l’importance qu’il y a à collaborer avec des partenaires de l’industrie pour permettre à l’Alliance d’atteindre ses objectifs de cyberdéfense.
En février 2016, l’OTAN et l’Union européenne ont conclu un arrangement technique sur la cyberdéfense afin de s’aider mutuellement à mieux prévenir les cyberattaques et à y répondre. Cet arrangement technique entre la NCIRC et le centre d’alerte et de réaction aux attaques informatiques de l’UE (CERT-UE) fixe un cadre pour l’échange d’informations et le partage de bonnes pratiques entre les équipes d’intervention d’urgence.
Au sommet de Varsovie, en 2016, les chefs d’État et de gouvernement des pays membres de l’Alliance ont réaffirmé le mandat défensif de l’OTAN, et reconnu le cyberespace en tant que milieu d’opérations dans lequel l’OTAN doit se défendre. L’OTAN a ainsi renforcé son aptitude à protéger et à mener ses missions et opérations. L’Alliance s’est aussi félicitée des efforts entrepris dans d’autres enceintes internationales pour élaborer des normes en vue d’un comportement responsable des États, ainsi que des mesures de confiance visant à favoriser la transparence et la stabilité du cyberespace.
Lors de ce même sommet, les Alliés ont également pris un engagement en faveur de la cyberdéfense, visant à faire du renforcement et de l’amélioration des moyens de défense cyber des infrastructures et des réseaux nationaux une priorité. Chacun des Alliés s’est engagé à améliorer sa résilience et son aptitude à répondre rapidement et efficacement aux cybermenaces, y compris celles lancées dans le cadre de campagnes hybrides.
En décembre 2016, l’OTAN et l’UE ont approuvé plus d’une quarantaine de mesures visant à favoriser la coopération entre les deux organisations, notamment pour ce qui est de lutter contre les menaces hybrides, d’assurer la cyberdéfense et de rendre leur voisinage commun plus stable et plus sûr. En ce qui concerne la cyberdéfense, l’OTAN et l’UE sont convenues de renforcer leur participation croisée à des exercices et de promouvoir la recherche, les formations et le partage d’informations.
En février 2017, les ministres de la Défense des pays de l’Alliance ont entériné un plan d’action actualisé pour la cyberdéfense, ainsi que la feuille de route pour le traitement du cyberespace en tant que milieu d’opérations. Ces mesures ont amélioré l’aptitude des Alliés à travailler ensemble, à développer des capacités et à partager des informations.
En février 2017 toujours, l’OTAN et la Finlande (qui était alors un pays partenaire, avant de devenir membre de l’OTAN en 2023), soucieuses de resserrer leur coopération en matière de cyberdéfense, ont signé un accord-cadre politique, qui leur permet d’améliorer la résilience de leurs réseaux et de mieux les protéger.
En décembre 2017, les ministres des pays de l’OTAN et de l’UE sont convenus d’intensifier la coopération entre les deux organisations dans plusieurs domaines, dont la cybersécurité et la cyberdéfense. La coopération porte notamment sur l’analyse des cybermenaces et la collaboration entre les équipes de réponse aux incidents, ainsi que sur l’échange de bonnes pratiques concernant les aspects et implications cyber de la gestion de crise.
Au sommet de Bruxelles, en 2018, les dirigeants alliés ont décidé de créer un Centre des cyberopérations intégré à la structure de commandement de l’OTAN et chargé d’assurer la connaissance de la situation et la coordination de l’activité opérationnelle de l’OTAN dans et à travers le cyberespace. Les Alliés sont également convenus que l’OTAN pourrait faire appel aux capacités cyber des pays pour ses opérations et missions. Les Alliés conserveront la pleine maîtrise de ces contributions, tout comme ils restent propriétaires des chars, des navires et des avions qu’ils engagent dans des opérations et missions de l’OTAN.
En février 2019, les ministres de la Défense des pays de l’Alliance ont adopté un manuel décrivant une série d’outils visant à renforcer encore l’aptitude de l’OTAN à répondre à des actes de cybermalveillance majeurs. L’OTAN doit être à même d’utiliser tous les moyens à sa disposition, qu’ils soient politiques, diplomatiques ou militaires, pour faire face aux cybermenaces auxquelles elle est confrontée. Les possibilités de réponse énoncées dans ce manuel aident l’Organisation et les Alliés à améliorer leur connaissance de la situation dans le cyberespace, à accroître leur résilience et à collaborer avec leurs partenaires pour mieux assurer la dissuasion, la défense et la lutte contre l’éventail complet des cybermenaces.
Au sommet de Bruxelles, en 2021, les Alliés ont entériné une nouvelle politique de cyberdéfense globale, qui contribue aux trois tâches fondamentales de l’OTAN et à sa posture générale de dissuasion et de défense. L’OTAN doit assurer activement la dissuasion, la défense et la lutte contre l’éventail complet des cybermenaces, et ce en toute circonstance – en temps de paix comme en période de crise ou de conflit – et aux niveaux politique, militaire et technique. Les Alliés sont par ailleurs conscients que, dans certaines circonstances, les effets cumulés d’actes de cybermalveillance majeurs sont tels que ces actes peuvent être considérés comme équivalant à une attaque armée. Les Alliés ont décidé d’utiliser davantage l’OTAN comme plateforme de consultation politique, où ils peuvent partager les préoccupations concernant les actes de cybermalveillance, mettre en commun les approches et réponses nationales, et réfléchir à de possibles réponses collectives.
En septembre 2021, le Conseil de l’Atlantique Nord a nommé le premier directeur des systèmes d’information (CIO) de l’OTAN, chargé de faciliter l’intégration, l’harmonisation et la cohérence des systèmes TIC dans l’ensemble de l’OTAN.
Au sommet de Vilnius, en 2023, les Alliés ont entériné un nouveau concept devant permettre de renforcer la contribution de la cyberdéfense à la posture générale de dissuasion et de défense de l’OTAN. Ce concept permettra de renforcer la connaissance commune de la situation et la cyberrésilience au sein de l’OTAN, rendant l’Alliance plus sûre et mieux à même d’atténuer le risque de subir des dommages importants du fait des cybermenaces.
Au sommet de Vilnius, les Alliés ont en outre réaffirmé et renforcé l’engagement de l’OTAN en faveur de la cyberdéfense ; ils se sont fixé des objectifs plus ambitieux pour améliorer encore, de manière prioritaire, les moyens nationaux de cyberdéfense, y compris pour ce qui est des infrastructures critiques. Consciente de la nécessité de pouvoir fournir une aide rapide, l’OTAN s’est dotée d’une nouvelle capacité d’aide à distance en cas d’incident cyber (VCISC), qui assistera les pays lorsqu’ils devront prendre des mesures d’atténuation face à des actes de cybermalveillance majeurs. Les dirigeants alliés ont par ailleurs annoncé la tenue en novembre 2023, à Berlin, de la toute première conférence générale de l’OTAN sur la cyberdéfense, qui réunira des décideurs aux niveaux politique, militaire et technique.
Au sommet de Washington, en 2024, les Alliés sont convenus de mettre sur pied le Centre OTAN intégré pour la cyberdéfense afin d’améliorer la protection des réseaux, la connaissance de la situation et l’intégration du cyberespace en tant que milieu d’opérations.