La résilience, un élément clé de la défense collective

Nous vivons à une époque où les technologies de pointe sont accessibles à un plus grand nombre et où presque toutes les infrastructures sociales, économiques ou militaires sont « sécurisées » ou vulnérables aux perturbations – temporaires ou plus durables – causées par un assaillant de l'extérieur, voire de l'intérieur.

À l'ère d'une mondialisation conjuguée à davantage de complexité et de confrontations, la résilience demeure une préoccupation des Alliés et nécessite une adaptation constante face à l'émergence de failles et menaces nouvelles.

L'univers virtuel et ses faiblesses

Le cyberespace présente sans doute les risques les plus extrêmes, dans la mesure où il assure l'interconnexion de la planète tout entière en temps réel. N'importe qui peut donc s'attaquer à une cible électronique, depuis n'importe quel endroit et à tout moment. Cette vulnérabilité complique la tâche des responsables de la cyberdéfense, qui peuvent rarement savoir à l'avance qu'une attaque se profile, quelle en est la cible ou qui en est à l'origine. La cyberdéfense consiste dès lors à tenter de protéger en permanence tous les éléments importants des infrastructures économiques ou militaires nationales contre des assaillants qui ont toute latitude pour choisir la cible à perturber ou la faille à exploiter.

Les systèmes SCADA – qui assurent le contrôle automatisé des réseaux électriques ou des pipelines – ne sont qu'un exemple parmi d'autres de la manière dont les infrastructures dont nous dépendons au quotidien sont de plus en plus automatisées, contrôlées à distance ou intégrées dans des réseaux toujours plus complexes et vulnérables aux attaques.

Alors que nous passons d'un « internet des objets » à un internet qui envahit tout, de plus en plus d'infrastructures dont nous dépendons au quotidien sont automatisées, contrôlées à distance ou intégrées dans des réseaux toujours plus complexes. Les systèmes SCADA – qui assurent le contrôle automatisé des réseaux électriques ou des pipelines – n'en sont qu'un exemple parmi d'autres. Les interconnexions transfrontalières illustrent également cette problématique : récemment, une panne d'électricité en Italie a immédiatement privé de courant une partie de la Suisse, et la surcharge d'une seule installation de transport d'énergie en Inde a plongé temporairement 400 millions de personnes dans le noir.

La mondialisation des réseaux et l'intégration croissante des infrastructures physiques dans l'univers virtuel – le stockage de données dans des « clouds » et non plus dans des machines, par exemple – ont permis de réaliser des gains d'efficacité et des économies indéniables. En revanche, elles ont aussi fortement amplifié les conséquences d'une panne et multiplié le nombre de points nodaux et de surfaces d'attaque susceptibles d'être exploités par des individus malveillants.

La préparation du secteur civil

L'état de préparation du secteur civil au sein de l'Alliance favorise lui aussi ce sentiment croissant de vulnérabilité dans la société. L'OTAN est tributaire des ressources civiles pour mettre à disposition les forces et les capacités militaires dont elle a besoin dans ses missions de défense collective ou de projection de forces au-delà de son territoire. Pendant la Guerre froide, nombre de ces ressources, telles que les chemins de fer, les ports, les aérodromes, les réseaux électriques ou l'espace aérien, étaient aux mains de l'État et pouvaient aisément passer sous le contrôle de l'OTAN en cas de crise ou en temps de guerre. Aujourd'hui, en revanche, 90 pour cent des approvisionnements et des moyens logistiques de l'OTAN sont acheminés par des entreprises privées, et en termes de soutien du pays hôte aux forces de l'OTAN déployées à l'avant sur le territoire des Alliés orientaux, 75 pour cent reposent sur des contrats avec le secteur privé.

De la même manière, face à des cyberattaques par déni de service distribué contre ses réseaux tournés vers l'extérieur, l'OTAN doit compter sur la coopération du secteur des télécommunications et des entreprises de sécurité internet pour filtrer et relever les données, identifier les logiciels malveillants et augmenter la bande passante.

Il est incontestable que ce transfert de propriété et de responsabilité vers le secteur privé a généré un meilleur rapport coût-efficacité ; mais la chasse aux coûts et aux frais en faveur de la rentabilité a également pour conséquences une moindre redondance et une diminution de la résilience. En outre, comme la distinction traditionnelle entre paix et guerre s'estompe face aux menaces hybrides qui restent sous le seuil à franchir pour l'activation de la clause de défense collective de l'OTAN (l'article 5 de son traité fondateur), les pouvoir spéciaux conférés aux gouvernements par la législation sur les situations d'urgence en temps de guerre sont aujourd'hui plus difficiles à appliquer dans la pratique, voire obsolètes.

Que ce soit pour mobiliser des troupes dans le cadre de la défense collective ou pour renforcer sa capacité de défense ou de récupération face aux attaques hybrides, l'OTAN dépend de plus en plus des infrastructures et des moyens du secteur privé.

Par conséquent, en matière de résilience, l'Organisation est confrontée à deux défis distincts mais étroitement liés : le premier est de veiller à pouvoir rapidement déplacer toutes les forces et tout l'équipement requis vers n'importe quelle partie de l'Alliance confrontée à une menace ou à une attaque imminente, tout en garantissant un accès complet et sans restriction à toutes les infrastructures nécessaires à cette fin ; et le deuxième est de pouvoir anticiper, identifier et atténuer les attaques hybrides, et d'assurer ensuite la récupération, avec un impact négatif minimum sur la cohésion sociale, politique et militaire de l'Alliance.

La préparation du secteur civil relève avant tout de la responsabilité des pays, et les Alliés doivent défendre leurs réseaux informatiques essentiels contre les cyberattaques, en particulier les réseaux dont l'OTAN dépend pour ses opérations. Ceci dit, la sécurité des Alliés repose sur le respect de cet engagement par tous les pays, et il est dans l'intérêt de l'OTAN de bénéficier d'un maximum de transparence pour évaluer les vulnérabilités ou les lacunes potentielles et mesurer avec précision les progrès accomplis. L'objectif doit être d'éviter les mauvaises surprises dans les situations de crise, au moment où l'Alliance a besoin d'informations fiables rapidement et où elle doit procéder à des analyses, prendre des décisions et réagir dans l'urgence.

En conséquence, la résilience – sa définition, comment l'évaluer et comment la renforcer à travers l'Alliance – est devenue un thème clé dans la perspective du sommet de l'OTAN à Varsovie en juillet.

Dans la sphère militaire classique, la résilience est de plus en plus souvent considérée comme un corollaire des mesures de dissuasion et de réassurance, dans le cadre d'une stratégie de sécurité globale pour l'Alliance. Les sept exigences de base à évaluer sont les suivantes :

1) garantie de la continuité des pouvoirs publics et des services publics essentiels ;

2) résilience des approvisionnements énergétiques ;

3) aptitude à gérer efficacement des mouvements incontrôlés de personnes ;

4) résilience des ressources en vivres et en eau ;

5) aptitude à gérer un grand nombre de victimes ;

6) résilience des systèmes de communication ;

7) résilience des systèmes de transport.

Ces sept exigences couvrent l'ensemble du spectre des crises, notamment une menace hybride qui prend forme, mais aussi les scénarios les plus exigeants envisagés par les responsables de la planification de l'Alliance.

Comment l'OTAN peut-elle donc contribuer au renforcement de la résilience dans ses 28 pays membres ?

Cinq axes sont concevables :

La cyberdéfense

Le premier axe est la cyberdéfense. L'OTAN dénombre 200 millions d'incidents sur ses réseaux chaque jour et environ 200 tentatives d'intrusion plus sérieuses chaque mois. Un tel niveau d'activité hostile dans le domaine cybernétique est aussi, aujourd'hui, la « nouvelle norme » pour les Alliés. La tâche première de l'OTAN a été d'améliorer la protection de ses propres réseaux en affectant des moyens supplémentaires à la capacité OTAN de réaction aux incidents informatiques (NCIRC), afin qu'elle puisse détecter les cyberattaques de manière précoce et y répondre plus rapidement. Deux équipes d'intervention rapide ont également été créées pour aider les Alliés et gérer les incidents auxquels l'OTAN est confrontée.

L'OTAN s'efforce maintenant d'aider les Alliés à améliorer leur cyberrésilience par l'introduction d'objectifs capacitaires dans le processus OTAN de planification de défense et par l'élaboration d'un nouveau mémorandum d'entente entre l'Organisation et les Alliés à titre individuel ; l'objectif de cet accord est de mettre en place des connexions sécurisées et des mécanismes de partage de l'information et de gestion de crise. Plusieurs Alliés ont décidé de coopérer à la mise au point de moyens concrets, notamment une plateforme d'échange d'informations sur les logiciels malveillants, et au développement de capacités spécifiques dans des domaines comme l'entraînement et la formation ou la configuration des systèmes pour une prise de décision efficace.

L'Estonie a été la cible de graves cyberattaques par le passé et elle accueille désormais le Centre d'excellence de l'OTAN pour la cyberdéfense en coopération, qui organise régulièrement des exercices destinés aux Alliés et aux partenaires de l'Alliance. © NATO

Chaque année, le Centre d'excellence pour la cyberdéfense en coopération, situé en Estonie, aide l'OTAN à organiser des exercices axés sur les technologies de pointe, dans le but d'améliorer les compétences des opérateurs de la cyberdéfense qui utilisent un cyberpolygone mis à la disposition de l'Organisation par l'Estonie.

Enfin, et au vu de l'importance de l'industrie qui possède 90 pour cent des réseaux dont dépendent l'OTAN et ses pays membres, l'Alliance travaille actuellement à la mise en place d'un cyberpartenariat OTAN-industrie pour encourager le partage de l'information et promouvoir les meilleures pratiques. L'OTAN pourra ainsi mieux appréhender l'évolution rapide de l'innovation dans le domaine des technologies de l'information et mieux intégrer les technologies émergentes de même par les nouveaux concepts dans sa cyberdéfense. Le projet de créer une « plateforme d'innovation » à l'Agence OTAN d’information et de communication devrait faciliter le dialogue et la compréhension mutuelle entre l'OTAN et les petites et moyennes entreprises technologiques, qui sont souvent les plus innovantes dans ce domaine.

À l'approche du sommet de Varsovie, plusieurs autres mesures sont sur la table. Parmi elles figure un « engagement » ou « promesse » pour la cyberdéfense, en vue d'accélérer la mise en œuvre par les pays des objectifs capacitaires OTAN. Pour ce faire, les pays membres de l'Alliance doivent résolument mettre l'accent sur la cyberdéfense et y allouer les ressources adéquates.

Il est également proposé d'examiner les conséquences politiques, juridiques et opérationnelles qu'aurait la déclaration du cyberespace en tant que domaine, comme l'ont déjà fait de nombreux Alliés dans le cadre de leur propre cyberstratégie. Cette approche dénote une prise de conscience croissante de la dimension « cyber » présente dans la plupart des conflits et crises actuels, et de la nécessité pour les commandants de l'OTAN – alors que l'Organisation accélère le rythme de ses activités militaires pour la défense collective – de disposer de l'autorité et des outils requis pour défendre l'Alliance contre les techniques évoluées de cyberattaque et mener tout un éventail de cyberopérations.

Les menaces hybrides

Le deuxième axe concerne l'élaboration d'une stratégie de guerre hybride, approuvée en décembre dernier par les ministres des Affaires étrangères des pays de l'OTAN. L'Organisation améliore ses mécanismes de partage du renseignement et d'alerte précoce, afin de mieux anticiper et cartographier les activités en lien avec la guerre hybride. Dans ce contexte, l'OTAN travaille à l'élaboration d'une série d'indicateurs d'alerte précoce pour l'activation de diverses options de réponse aux crises. Il est en effet essentiel d'identifier les attaques hybrides (par opposition à des incidents isolés ou aléatoires) de manière précoce et de prendre rapidement des décisions pour les étouffer dans l'œuf et arrêter l'escalade.

Comprendre les menaces hybrides.

Photo reproduite avec l'aimable autorisation du service de recherche du Parlement européen

Les ambassadeurs et les ministres de la défense des pays de l'OTAN ont effectué des exercices basés sur différents simulations et scénarios, afin d'améliorer leur connaissance de la situation et leur capacité de réaction face à des menaces d'attaques volontairement ambigües et dont il est difficile de déterminer l'origine.

Face aux attaques hybrides, dont l'objectif est de semer la confusion dans l'opinion publique, d'exacerber les tensions sociales et de saper la confiance envers les gouvernements, il est nécessaire de se doter d'une communication stratégique efficace pour couper court aux fausses informations, à la propagande, aux mensonges et aux mythes.

Les Alliés ne sont pas pour autant aussi vulnérables à une attaque hybride que ne l'a été l'Ukraine lors de l'annexion illégale de la Crimée par la Russie. Ils sont toutefois encouragés à recenser les vulnérabilités potentielles liées à l'implication de la Russie dans les secteurs commerciaux, financiers, médiatiques ou énergétiques, par exemple, et à partager plus largement au sein de l'OTAN les enseignements tirés des tests de résistance visant à évaluer leur résilience.

La préparation civilo-militaire

Le troisième axe à l'examen concerne la capacité de l'OTAN à mettre en œuvre pleinement son plan d’action « réactivité » pour le renforcement et la défense des Alliés, que ce soit à l'est ou au sud. Les pays membres de l'OTAN doivent adapter leurs mécanismes et infrastructures de défense territoriaux au nouvel environnement de sécurité et rétablir les enceintes de planification qui étaient en place pendant la Guerre froide.

Les planificateurs OTAN ont notamment besoin d'accords pour le transit transfrontalier en vue du déploiement rapide de la force opérationnelle interarmées à très haut niveau de préparation et de la Force de réaction de l'OTAN. Alors que de nouveaux plans de réponse graduée sont adoptés dans le cadre de dispositions de défense collective détaillées, les Alliés doivent veiller à intégrer pleinement dans la planification militaire des éléments tels que le transport, les couloirs aériens, la coordination civilo-militaire de l'utilisation de l'espace aérien, les stocks de carburant, les équipements prépositionnés, les voies d'accès portuaires et les accords juridiques.

Les menaces hybrides et la nécessité d'une meilleure préparation civilo-militaire exigent une coopération plus étroite avec l'Union européenne.

Les mesures de réponse aux crises relatives à l'activation de plans civils d'urgence devront être actualisées et les besoins en matière de protection civile devront bénéficier d'une attention accrue, en fonction des besoins militaires associés au plan d’action « réactivité » et des paquets de capacités pour les déploiements qu'il prévoit. Un dialogue plus soutenu est actuellement noué entre les commandants militaires et les autorités nationales responsables des plans civils d'urgence.

Renforcer la coopération avec l'UE

Les relations qu'entretiennent l'OTAN et l'Union européenne (UE) constituent le quatrième axe à considérer. En matière de résilience, les deux organisations sont actives dans des domaines différents, mais leurs travaux se recoupent considérablement. Une approche cohérente, fondée sur une connaissance partagée de la situation et sur la coordination des réponses, est essentielle pour réagir efficacement aux crises.

L'OTAN dialogue actuellement avec l'UE, en vue d'une coopération renforcée dans quatre domaines : la planification civilo-militaire, la cyberdéfense, le partage de l'information, ainsi que les travaux d'analyse et une communication stratégique coordonnée pour repérer la désinformation et communiquer un discours crédible. L'un des premiers résultats obtenus est un accord technique, conclu début février, entre la capacité OTAN de réaction aux incidents informatiques (NCIRC) et le centre d'alerte et de réaction aux attaques informatiques de l'UE (CERT) pour l'échange d'information.

Dans la perspective du sommet de Varsovie, l'OTAN et l'UE poursuivent leurs échanges entre services, alors que l'UE finalise sa propre stratégie de réponse aux menaces hybrides. L'objectif des deux organisations est d'harmoniser leurs procédures et de travailler de façon complémentaire pour apporter une réponse globale aux menaces. Elles ambitionnent de recenser des approches pragmatiques et flexibles qui pourraient se traduire par une déclaration commune OTAN-UE au sommet de Varsovie. Les deux organisations travaillent en outre à l'élaboration de « manuels d'instructions » compatibles, afin de garantir une plus grande participation croisée à leurs activités respectives, notamment en ce qui concerne les exercices et la formation.

Il est par ailleurs important que l'OTAN et l'UE coopèrent pour relever les autres défis en matière de résilience qui ne résultent pas d'attaques délibérées. Le défi le plus urgent est la crise migratoire. L'OTAN a récemment déployé une force opérationnelle maritime en mer Égée, afin d'aider la Grèce, la Turquie et l'Agence européenne pour la gestion des frontières (Frontex) à suivre les flux de réfugiés et de migrants, et de contribuer ainsi à la lutte contre les activités illicites des passeurs et des trafiquants.

La coopération avec les pays partenaires

Enfin, les pays partenaires de l'OTAN peuvent eux aussi contribuer au renforcement de la résilience globale de l'Alliance. L'Ukraine, mais aussi de nombreux autres pays partenaires, ont déjà été la cible d'opérations hybrides. L'expérience de ces pays et les enseignements qu'ils en ont tirés peuvent aider l'OTAN à mieux comprendre les différents types de tactiques hybrides et leur impact. Un partage accru de l'information et un système d'alerte précoce peuvent aider les décideurs de l'OTAN à identifier les signes avant-coureurs d'une attaque susceptible de prendre naissance dans un pays partenaire et de se propager rapidement sur le territoire de l'Alliance.

L'OTAN intensifie sa coopération avec la Finlande et la Suède – deux des pays partenaires de l'OTAN les plus actifs – afin de relever les nouveaux défis de sécurité dans la région nordico-balte et au-delà.

Inversement, grâce à son expérience et à son expertise, l'OTAN peut aider ses pays partenaires à améliorer leur propre capacité de résilience. Il n'est pas surprenant que des domaines liés à la résilience, tels que la cyberdéfense et la planification civile d'urgence, soient de plus en plus présents dans les paquets pour le renforcement des capacités de défense, destinés à des pays partenaires tels que la Géorgie, la République de Moldova, la Jordanie et l'Iraq. Dans la région de la Baltique, la Suède et la Finlande – deux des pays partenaires de l'OTAN les plus actifs, qui bénéficient de nouvelles opportunités en matière de dialogue et de coopération – ont subi elles aussi des pressions liées aux stratégies hybrides de la Russie. Ces partenaires nordiques se sont rapprochés de l'OTAN au travers de consultations, de formations et d'exercices, mais aussi dans le cadre des arrangements de soutien du pays hôte pour l'assistance en cas de crise.

En conclusion, les Alliés doivent constamment s'adapter face aux nouvelles vulnérabilités et menaces qui émanent d'acteurs non étatiques – tels que l'État islamique en Iraq et au Levant – et d'acteurs étatiques comme la Russie. La résilience restera un élément essentiel de la défense collective. De ce fait, l'OTAN continuera d'être moins exposée à tout ce qui pourrait menacer sa cohésion, son indépendance et sa sécurité.