Cyberdéfense : l'OTAN change son angle d'approche

Aujourd'hui, le panorama des cybermenaces est très différent de ce qu'il était il y a quelques années. Les experts et les responsables s'accordent à dire que la rapidité et la sophistication des attaques ont évolué de façon spectaculaire. Une autre différence fondamentale tient à leur diversité. Les cyberrisques menacent les avantages, qu'ils soient économiques, politiques ou sociaux, que l'invention du cyberespace par l'homme peut offrir.

L'importance croissante que prend le « cyber » comme nouveau « Grand jeu » mérite qu'on se demande si l'action et le rôle actuels de l'OTAN sont suffisants. Forte de sa vaste expérience et de son statut unique d'acteur important de la sécurité mondiale, l'OTAN devrait-elle jouer un rôle différent, plus proactif, en contribuant à la cybersécurité à l'échelle internationale ?

Les cyberattaques sur la scène mondiale

Davantage d'États considèrent désormais que les cybercapacités sont un instrument légitime et nécessaire de leur boîte à outils stratégique, aux côtés de la diplomatie, des performances économiques et de la puissance militaire. Cela suscite des préoccupations quant à la possibilité d'assister, dans un proche avenir, à une véritable guerre entre États dans le cyberespace. De plus, on constate que des acteurs non étatiques s'intéressent occasionnellement aux cybercapacités, dont l'utilisation avérée ne semble pour l'instant guère établie.

La rapidité et la sophistication des cyberattaques augmentent au fil du temps.

Toutefois, certains universitaires, comme Thomas Rid, estiment que la cyberguerre n'aura pas lieu. À ce jour, l'expérience a montré que les cybercapacités, lorsqu'elles sont effectivement utilisées par des États, sont plutôt assimilées à de l'espionnage ou à du sabotage ; il est donc peu probable que le seuil d'une attaque armée soit atteint. Il y a une certaine logique dans cet argument, mais il est de plus en plus évident que certains États considèrent les cybercapacités comme faisant partie intégrante de l'arsenal militaire opérationnel et qu'ils n'ont pas peur de les employer en tant que telles, même s'ils hésitent à le reconnaître publiquement.

La diversité des cybermenaces

Les divers usages qu'il est possible de faire des cybercapacités représente l'un des plus grands défis de l'OTAN, qui doit comprendre le rôle qui est le sien en matière de cyberdéfense. Dans cette réflexion sur le rôle de l'Organisation dans le domaine « cyber », deux grands types de cyberattaques sont à prendre en compte. Premièrement, le cyberespionnage – que ce soit au niveau stratégique ou opératif – peut compromettre la confidentialité des informations et des systèmes d'information, l'ennemi étant susceptible d'entrer en possession de données secrètes ou sensibles. Deuxièmement, le cybersabotage peut avoir d'importantes conséquences matérielles, en particulier quand des infrastructures comme les réseaux d’énergie ou de transport sont prises pour cible, ou quand des données sont manipulées pour semer la confusion et entraver la prise de décision en matière de commandement et de contrôle.

La prise pour cible de réseaux d'énergie fait partie des nombreuses cybermenaces, des données étant manipulées pour semer la confusion et entraver la prise de décision en matière de commandement et de contrôle.

En outre, les services de l'OTAN à tous les niveaux et dans tous les domaines peuvent également être visés par des tentatives d'extorsion ou de fraude à des fins lucratives, ou dans un premier temps par une attaque prenant l'une des formes décrites plus haut. L'omniprésence de l'Internet sur les appareils mobiles, conjuguée à la prolifération des médias sociaux, complique encore plus le défi que représente la sécurité opérationnelle dans le cyberespace.

Pour relever ces défis, l'OTAN a besoin d'une approche globale qui soit axée sur tout ce qui touche au cyberespace et qui tienne compte de ces diverses menaces évolutives dans un cadre unique, à la fois solide et souple.

L'offre actuelle de l’OTAN

Pour simplifier, le rôle de l'OTAN en matière de cyberdéfense peut être divisé en deux grands thèmes. La première priorité est la protection de ses propres réseaux, comme les Alliés l'ont décidé au sommet du pays de Galles en 2014. Il s'agit là d'une tâche ambitieuse étant donné l'étendue de l'empreinte géographique de l'Alliance, présente sur une multitude de sites et d'installations opérationnelles et dans des environnements très diversifiés, allant d'une métropole comme Bruxelles à des zones désertiques et inhospitalières. En s'acquittant de cette partie de son rôle, l'OTAN doit s'assurer que les systèmes d’information et de communication sur lesquels l'Alliance s'appuie pour ses opérations et ses missions sont protégés contre les menaces émanant du cyberespace.

L'OTAN offre toute une série de possibilités de formation, d'entraînement et d'exercices par l'intermédiaire, par exemple, de l'École de l’OTAN à Oberammergau.

L'OTAN a pour seconde priorité d'aider ses membres à renforcer leurs propres capacités et compétences dans le domaine de la cyberdéfense. Elle s'y emploie par divers moyens, notamment un processus biennal de définition d'objectifs communs de cyberdéfense – par exemple, l'élaboration d'une stratégie de cyberdéfense – auxquels chaque Allié doit souscrire. Les progrès accomplis au regard de la réalisation de ces objectifs fixés conjointement font l'objet d'un examen à intervalles réguliers. De plus, l'OTAN offre toute une série de possibilités de formation, d'entraînement et d'exercices par l'intermédiaire de divers instituts de formation, notamment l'École de l’OTAN à Oberammergau et la future Académie de cyberdéfense au Portugal. Le Centre d'excellence pour la cyberdéfense en coopération de Tallinn (Estonie) – accrédité par l'OTAN – joue également un rôle important à cet égard.

Menées conjointement, ces activités sont censées se renforcer, puisqu'un réseau n'est jamais plus fort que son élément le plus faible. La sécurité de l'Alliance et son aptitude à exécuter des tâches agréées de défense collective, de gestion de crise et de sécurité coopérative dépendent, en grande partie, des capacités et des compétences de chaque Allié en matière de cyberdéfense.

D'autres acteurs internationaux

En outre, vis-à-vis de l'extérieur, l'OTAN, alors qu'elle fait connaître plus largement son point de vue sur la cyberdéfense, évolue dans un ensemble de plus en plus complexe d'acteurs internationaux. L'ONU réfléchit, par l'intermédiaire d'un groupe spécial d'experts gouvernementaux, aux principes applicables aux normes de comportement des États dans le cyberespace. Cette réflexion a été stimulée en partie par un projet de longue date – soutenu par la Russie et la Chine – visant à faire approuver un traité international réglementant l'utilisation du cyberespace, ce qui pourrait donner aux gouvernements autoritaires une plus grande latitude d'ingérence et de censure vis-à-vis de sites internet critiques à l'égard de leurs régimes.

L'Organisation pour la sécurité et la coopération en Europe a adopté une deuxième série de mesures de confiance dans le domaine de la cyberdéfense. Ces mesures visent à accroître la transparence des relations entre les États en encourageant les signataires à suivre une série commune de démarches, comme une coopération entre leurs centres de réaction aux attaques informatiques..

Signature d'un arrangement technique sur la cyberdéfense le 10 février 2016 par le chef du CERT de l'UE (centre d'alerte et de réaction aux attaques informatiques), M. Freddy Dezeure, et le chef de la cybersécurité à la NCIRC (capacité OTAN de réaction aux incidents informatiques), M. Ian West. © NATO

Enfin, l'Union européenne (UE) est un autre acteur prépondérant qui mène un grand nombre d'activités pour contribuer à élever le niveau des normes de cybersécurité parmi ses 28 pays membres et dans le secteur privé. On peut notamment citer le renforcement des capacités pour la cybersécurité civile, le soutien à la formation, l'intensification de la coopération entre les services de répression de la cybercriminalité et le législateur (notamment au moyen d'instruments juridiques contraignants).

L'OTAN comme facilitateur pour le domaine « cyber »

Le caractère public-privé de la gouvernance d'Internet met en évidence la nécessité de travailler en collaboration – il s'agit d'une question essentielle dans la réflexion sur le rôle de l'OTAN. Au regard de la situation à l'est, l'Alliance a de nouveau récemment pris conscience des réalités des relations internationales lorsque la Russie a imposé unilatéralement sa puissance étatique à la Crimée. Cependant, la coopération entre États et organisations internationales partageant les mêmes valeurs reste le meilleur moyen de répondre à de nombreux cyberrisques.

À moyen terme, l'OTAN pourrait renforcer son rôle de « facilitateur cyber » dans les cinq domaines suivants ::

Intégration de la cyberdéfense. Intégrer la cyberdéfense dans les opérations et les missions de l'Alliance en établissant un cadre doctrinal clair pour faire évoluer la contribution « cyberdéfense », que les Alliés apportent à ces opérations d'un rôle de soutien à un rôle plus autonome.

Développement capacitaire entre Alliés. L'OTAN pourrait proposer une plateforme distincte d'avis et d'échange de bonnes pratiques spécialisées entre les Alliés au moyen d'une plus grande diversité des canaux formels et informels, notamment le processus de planification de défense de l'OTAN. De tels mécanismes pourraient comprendre une capacité organique proposant aux Alliés des orientations sur le terrain, un soutien opérationnel et technique et des avis concernant le développement et la mise en œuvre des capacités de cyberdéfense. Il s'agirait notamment de donner des avis sur l'établissement d'un programme de cybersécurité militaire ou d'animer l'échange de bonnes pratiques sur l'allocation de ressources à la cyberdéfense.

Soutien à l'élaboration de normes internationales. L'Alliance pourrait également définir plus clairement son rôle au niveau mondial en soutenant, dans le cadre de ses engagements internationaux, l'élaboration de normes de comportement responsable des États dans le cyberespace et des mesures de confiance dans le domaine « cyber ». Elle devrait également encourager les Alliés à faire de même.

Échange du renseignement avec les services de police. Il serait également possible de faire plus en facilitant l'échange d'informations sur la connaissance de la situation dans le domaine de la cyberdéfense, à la fois entre Alliés et avec d'autres organisations internationales compétentes, notamment celles qui savent, grâce à leur expérience opérationnelle comment le cyberespace peut être utilisé de façon détournée. Sur le marché noir, les États peuvent acheter à moindre coût des capacités sophistiquées de cyberattaque, dont le développement nécessiterait normalement du temps et des ressources. En conséquence, l'interaction avec les services de police est essentielle et la coopération pratique avec Interpol et Europol représenterait une première étape utile.

Collaboration avec l’UE. L'OTAN doit cultiver sa complémentarité avec l'UE sur les questions de cyberdéfense. Il est devenu banal de parler de coopération OTAN-UE en termes de complémentarité mutuelle, compte tenu notamment du débat actuel sur la guerre hybride ou sur les conflits en zones grises. Néanmoins, les deux organisations doivent encore se mettre pleinement d'accord sur la manière dont les questions de cyberdéfense qui se posent pour l'une affectent l'autre. D'une part, les forces armées comptent sur la protection des infrastructures critiques qui trouve son fondement dans les politiques de l'UE, notamment via la législation et les normes industrielles. Elles peuvent également bénéficier des connaissances en cybercriminalité que peut leur apporter le Centre européen de lutte contre la cybercriminalité, à La Haye. D'autre part, la prospérité économique des pays membres de l'UE, et par extension de la région dans son ensemble, peut être menacée – et elle l'est en effet – par des acteurs de niveau étatique dont les motivations peuvent être mieux comprises par l'OTAN.

L'interaction avec les services de police est essentielle et la coopération pratique avec Interpol et Europol au travers d'un échange du renseignement représenterait une première étape utile.

Bien sûr, de tels mécanismes nécessiteraient que les Alliés se mettent d'accord sur des aspects de la plus haute importance, comme le mandat de l'OTAN pour ce qui est des infrastructures civiles, ce qui prendrait du temps. De même, la mise en place d'une coopération avec les services de police demanderait beaucoup d'efforts en raison des préoccupations légitimes et persistantes concernant les aspects juridiques et culturels d'une coopération entre entités de défense et services de police. Il y a toutefois des signes de progrès, par exemple la récente signature d'un arrangement technique sur l'échange d'informations entre les centres respectifs de l'OTAN et de l'UE chargés de réagir aux attaques informatiques.

Ces propositions représentent pour l'OTAN autant de possibilités réalistes et pratiques de s'affirmer au niveau mondial comme le garant par excellence de la sécurité dans le « Grand cyberjeu », qui ne cesse d'évoluer.

Les points de vue exprimés dans cet article sont ceux de leurs auteurs et ne représentent pas l'opinion ou la politique officielle de l'OTAN.

A propos de l'auteur

Neil Robinson travaille sur les questions liées à la politique de cyberdéfense au sein de la Division Défis de sécurité émergents au siège de l'OTAN.