Les clés d'un investissement réussi dans la cyberdéfense

L'engagement en faveur de la cyberdéfense s'inscrit dans le contexte d'une évolution de la complexité et de l'impact des cyberattaques. Ces dernières années, les cyberattaques perpétrées contre des infrastructures énergétiques critiques, des entreprises de télécommunications, des agences gouvernementales et, tout récemment, des partis politiques, ont mis en évidence l'impact de ce type d'attaques sur la société et sur l'économie.

Plus près de nous, le secrétaire général de l'OTAN a indiqué dans son dernier rapport annuel que les experts en cyberdéfense de l'Organisation avaient dû gérer en moyenne 500 cyberincidents par mois en 2016, ce qui représente une hausse de 60 % environ par rapport à 2015.

Les cyberattaques ont pour but de miner la confiance dans le cyberespace, un enjeu essentiel compte tenu de notre degré de dépendance à l'égard des technologies interconnectées, indispensables non seulement pour nos communications mais également pour le modèle social et la croissance économique de demain.

Comment affecter au mieux les ressources ?

L'Alliance a reconnu au plus haut niveau que ces défis ne pourraient être relevés sans le financement de capacités de pointe et d'activités de formation.

Pour y parvenir, les décideurs des capitales devront tenter de répondre à un certain nombre de questions importantes, parmi lesquelles : Combien dépenser ? Quel est le niveau minimal d'investissement ? Quels sont les domaines à financer en priorité pour atteindre un niveau de cybersécurité de base, compte tenu en particulier du caractère dynamique du panorama des menaces ?

Sur la base d'informations librement accessibles au public, on constate que certains Alliés ont déjà commencé à apporter des réponses à ces questions. Ainsi, la France a adopté en 2014 le Pacte Défense Cyber, assorti d'une enveloppe de 1 milliard d'euros à consacrer à la cyberdéfense, et le Royaume-Uni a annoncé en 2016 un investissement de 1,9 milliard de livres à l'appui de son programme national de cybersécurité.

Les investissements de défense sont un domaine complexe, qui ne se prête guère à une simple analyse coût-avantage. Il convient néanmoins de garder à l’esprit que le coût de la cybersécurité (ou de la « cyberinsécurité ») peut être conséquent. Par exemple, selon une étude publiée en 2015 par l'Atlantic Council et l'Université de Denver, d'ici 2030, la « cyberinsécurité » pourrait, dans le cas le plus défavorable, coûter 90 000 milliards de dollars à l'économie mondiale. Plus inquiétant encore, il ressort également de cette étude que les avantages qu'offre le cyberespace pourraient à terme être complètement annihilés par le coût de la cyberinsécurité. Par conséquent, les dépenses annoncées ci-dessus semblent modestes à l'aune de ce que l'insécurité pourrait coûter au total.

À quoi peut-on consacrer un budget de cyberdéfense ?

Avant de répondre à cette question, quelques éléments méritent d'être signalés.

Premièrement, l'enveloppe à prévoir pour la cyberdéfense peut être fonction de la mesure dans laquelle les pays sont exposés aux cyberrisques et sont tributaires d'un accès sécurisé et illimité au cyberespace. En d'autres mots, ce n'est que dans le cas où un pays n'utiliserait pas les technologies de l'information et de la communication que l'on pourrait affirmer qu'aucun investissement en matière de cyberdéfense n'est nécessaire. De plus, le caractère dynamique du panorama des menaces et la spécificité de l'exposition aux cyberrisques en fonction de chaque situation – ce que les experts appellent la « surface d'attaque » – font qu'il est difficile de déterminer ce qu'il y a lieu de dépenser. Tout cela pointe vers la nécessité d'une approche de la cyberdéfense axée sur l'évaluation et la gestion des risques, afin que les ressources soient utilisées pour contrer en priorité les menaces susceptibles de causer les plus grands dommages.

Deuxièmement, en théorie, une somme affectée à la cyberdéfense pourrait s'avérer plus « productive » que si elle était consacrée à l'acquisition d'une capacité de défense d'un autre type. Les dépenses effectuées pour l'installation d'un pare-feu ou pour la sensibilisation des utilisateurs contribuent à la protection contre toute une série de cyberattaques, y compris celles qui visent à obtenir de l'argent ou à perturber les infrastructures. Autrement dit, en matière de cyberdéfense, un investissement modeste peut faire une grande différence.

Enfin, les responsables du budget doivent être conscients qu'une cyberdéfense efficace est le fruit non seulement du recours à des technologies appropriées, mais également du recrutement de personnes adéquates, formées au niveau adéquat, ainsi que de l'exécution de politiques efficaces. En règle générale, contrairement à ce qui se passe pour les acquisitions de défense plus conventionnelles, où l'accent est mis sur les équipements, éléments tangibles s'il en est, l’efficacité des moyens de cyberdéfense se mesure davantage en termes de partage de l’information, de coopération et de coordination, autant de facteurs pour le moins intangibles.

Outre ces activités aux contours relativement imprécis, il est très difficile d'appréhender le coût des autres pièces du puzzle de la cyberdéfense : on pense par exemple au surcoût correspondant au temps passé par les utilisateurs à appliquer des mesures d'hygiène informatique de base, ou encore à l'effort de développement supplémentaire nécessaire pour intégrer des moyens de cyberdéfense aux logiciels qui équipent les matériels militaires.

Dernier point, le cycle de mise à jour des moyens de cyberdéfense est plus court que celui des autres types de capacités de défense. Le cas des logiciels antivirus en est l'illustration parfaite : l'ubiquité croissante du cyberespace permet l'actualisation en temps réel des listes d'empreintes numériques de différents virus utilisées par les logiciels en question. En comparaison, les pièces majeures des équipements de défense sont censées durer des années. À titre d'exemple, le Hercules C-130 a effectué son premier vol en 1954, et ses différentes variantes sont toujours en service.


Les coûts tangibles et les coûts intangibles de la cyberdéfense

Au vu de ces éléments, les investissements en matière de cyberdéfense peuvent se répartir entre différentes catégories : investissements tangibles ou investissements intangibles, dépenses non récurrentes ou au contraire à renouveler chaque mois, chaque année ou à intervalles irréguliers.

Le personnel est peut-être le bénéficiaire le plus évident de ces investissements, que ce soit sous la forme de salaires et d'autres dépenses indirectes comme les pensions, ou de temps consacré aux formations, cours et exercices. Compte tenu des difficultés rencontrées par les pouvoirs publics pour recruter et fidéliser des spécialistes informatiques (en raison des salaires attractifs proposés dans le secteur privé), ces coûts peuvent être élevés. Selon certains experts, il s'agirait même du principal poste de dépenses en matière de cyberdéfense.

Le coût du travail doit également être pris en compte, par exemple le temps consacré à la conception, à l'implémentation et à la maintenance des moyens de cyberdéfense, y compris la mise à jour des systèmes de sécurité, la décompilation de codes malveillants ou l'exécution d'exercices de certification.

Dernier poste de dépenses intangibles en lien avec la nature particulière de la cyberdéfense : l'investissement en temps et en efforts à consentir pour assurer la coordination, partager l'information et instaurer la coopération. On entend souvent dire que la cyberdéfense est un « sport d'équipe », et que la « confiance est essentielle ». Au vu du temps consacré à l'établissement d'un réseau digne de confiance et au partage de l'information, l'importance de ces principes semble évidente. Même à l'heure des visioconférences, rien ne vaut une réunion en face à face pour instaurer la confiance.

Les investissements tangibles sont souvent les plus évidents, mais la part du budget total qui doit leur être consacrée peut s'avérer relativement réduite par rapport au coût des activités évoquées ci-dessus. Ces dépenses couvrent l'acquisition de matériel informatique, de logiciels et de licences de logiciel (qui représentent régulièrement des milliers, voire des millions de dollars ou d'euros), ainsi que la personnalisation et l'intégration requises pour les faire fonctionner dans un environnement donné. De plus en plus, les prestataires de services de sécurité gérés proposent des moyens de cyberdéfense externalisés, sous la forme par exemple d'analyses de la menace pour le compte de leurs clients, ce qui génère des dépenses récurrentes. Dans la catégorie « Technologies », on retrouve également des dépenses telles que l'acquisition de vulnérabilités n'ayant pas encore été identifiées (appelées « jour zéro ») afin d'éviter qu'elles soient achetées et utilisées par des tiers.

Enfin, les dépenses peuvent servir à stimuler l'innovation, une approche appelée à prendre de l'importance, dans le cadre de laquelle on pourrait capitaliser sur les premiers stades des travaux de recherche et développement pour améliorer la cyberdéfense. Ces investissements peuvent par exemple prendre la forme de subventions à l'industrie ou aux activités de recherche et développement.


Le coût de l'inaction

Comprendre les subtils enjeux budgétaires de la cyberdéfense peut se révéler aussi difficile que d'enquêter sur de mystérieuses attaques survenant dans le monde virtuel.

Néanmoins, au regard des estimations de ce que peut coûter la « cyberinsécurité » et de la relative importance des cyberrisques aux yeux de nombreux pays, il ne fait guère de doute que les dépenses en matière de cyberdéfense peuvent offrir un excellent retour sur investissement. Par exemple, le coût de la cyberattaque visant la banque centrale du Bangladesh et le réseau SWIFT a été estimé à 81 millions de dollars, une somme non négligeable pour ce pays.

Dans le secteur privé, le fournisseur de communications britannique TalkTalk a été victime, en 2015, d'une cyberattaque qui lui aurait coûté entre 40 et 45 millions de livres, dont 15 millions de manque à gagner, sans compter la perte de plus de cent mille clients.

Priorités budgétaires

Pour éviter les préjudices économiques de ce type, il est important de bien réfléchir à l'objet des dépenses ainsi qu'à leur montant.
Investir dans le capital humain, c'est-à-dire dans le recrutement, la fidélisation et la formation, semble être la clé du succès. Par conséquent, il est nécessaire de cibler précisément ces dépenses, d'autant que, la recherche de nouveaux talents s'effectuant désormais à l'échelle mondiale, le secteur privé attire plus facilement dans ses filets des experts de haut vol. Il y a lieu également d'être conscient qu'à l'image de la partie immergée de l'iceberg, la majeure partie des dépenses de cyberdéfense n'apparaissent pas au premier coup d'œil : il s'agit du temps (et donc du budget) nécessaire pour instaurer la confiance grâce à l'établissement d'une coordination, d'une coopération et d'un partage de l'information dans la durée.

L'intérêt de l'engagement en faveur de la cyberdéfense

À l'OTAN, ces questions devront être réglées dans le cadre plus large des débats politiques consacrés aux dépenses de défense des Alliés. L'engagement en faveur de la cyberdéfense pourra servir de base de discussion et stimuler ainsi les échanges au sujet des dépenses de cyberdéfense et de la hiérarchisation des besoins. Grâce aux enseignements que les Alliés tireront de la mise en œuvre de l'engagement en faveur de la cyberdéfense, il sera possible d'échanger données d'expérience et bonnes pratiques dans ce domaine, et de contribuer ainsi à une cyberdéfense plus efficace et plus efficiente pour l'Alliance dans son ensemble.