Le rôle de l’OTAN dans le cyberespace

L’Alliance atlantique est confrontée à des cybermenaces de plus en plus fréquentes, complexes, destructrices et coercitives, raison pour laquelle les Alliés ont pris ces dix dernières années des mesures importantes en matière de cyberdéfense. Ils se sont récemment accordés (en 2018) sur la manière d’intégrer dans les opérations et missions de l’Alliance les effets cyber souverains qu’ils fournissent à titre volontaire, ainsi que sur la création du Centre des cyberopérations. Mais l’OTAN en fait-elle suffisamment pour relever les défis, complexes et en constante évolution, qui émanent du cyberespace ?

Le cyber en point de mire

Les dirigeants des pays de l’Alliance ont pour la première fois reconnu la nécessité de renforcer les capacités de défense contre les cyberattaques en 2002, au sommet de Prague. Depuis lors, ils ont accordé à ce sujet une attention croissante à chaque sommet de l’OTAN : la première politique de cyberdéfense de l’OTAN a été adoptée à celui de 2008 ; en 2014, les Alliés ont déclaré que la cyberdéfense faisait partie intégrante de la défense collective et que les cyberattaques pourraient désormais aboutir à l’invocation de la clause de défense collective (l’article 5) du traité fondateur de l’Organisation ; et en 2016, ils ont reconnu le cyberespace en tant que domaine opérationnel militaire et se sont engagés à faire du renforcement de leurs moyens respectifs de cyberdéfense des infrastructures et réseaux nationaux une priorité.

Bien que l’OTAN et ses membres aient progressé de manière significative dans la lutte stratégique, opérationnelle et technique contre les actes de cybermalveillance, les dirigeants des pays de l’Alliance ont indiqué à leur dernier sommet (en 2018 à Bruxelles) être confrontés à des cybermenaces de plus en plus fréquentes, complexes, destructrices et coercitives.
La nature à la fois persistante et évolutive de ces menaces oblige l’Alliance atlantique à réévaluer en permanence les réponses qu’elle y apporte et à se demander si elle s’y adapte correctement. Évaluer le rôle de l’OTAN dans le cyberespace revient ainsi à se poser trois questions clés :

• Quel est l’objectif premier de l’OTAN dans le cyberespace ?


• Quels obstacles l’Organisation doit-elle surmonter pour atteindre cet objectif ?


• L’OTAN fait-­elle tout ce qu’il faut vis-à-vis du cyberespace, environnement complexe s’il en est ?

Objectifs à atteindre, défis à relever

La déclaration la plus claire concernant l’objectif de l’OTAN, en tant qu’Alliance, pour le cyberespace a été faite à Varsovie et réitérée à Bruxelles : « Nous devons être à même d’opérer dans le cyberespace avec autant d’efficacité que dans les airs, sur terre et en mer afin de renforcer et de soutenir la posture globale de dissuasion et de défense de l’Alliance. »

Le plus grand obstacle à cette ambition réside sans doute dans le fait que, bien que cet objectif soit de nature militaire, il est impossible de l’atteindre uniquement par des moyens militaires. Toutes les missions et opérations de l’Alliance s’appuient en effet dans une certaine mesure sur les ressources des autorités civiles ou du secteur privé, que ce soit pour les infrastructures de communication, la logistique, l’équipement ou encore les infrastructures critiques du pays hôte – autant de capacités fondamentales qui, à l’instar des cibles militaires, ont déjà fait l’objet de cyberattaques, et qui seraient très certainement prises pour cible en cas de crise ou de conflit.

Les actes de cybermalveillance ne sont en outre pas l’apanage des militaires : bon nombre ont été publiquement imputés à des hacktivistes ou encore à des services de renseignement étatiques. Au final, on constate donc que la problématique, si elle constitue bien un défi d’ordre militaire, est en réalité inextricablement liée à l’action des autorités civiles, du secteur privé et même d’individus.

La lutte contre les menaces provenant du cyberespace est également compliquée par le nombre important d’actes demeurant sous le seuil du conflit armé, auxquels il est difficile de trouver des réponses proportionnées et efficaces. Ce qui n’empêche pas les Alliés de s’essayer à diverses stratégies.

Certains, comme le Danemark, l’Estonie, la Lituanie, les Pays-Bas, le Royaume-Uni et les États-Unis, ont par exemple décidé de pointer publiquement du doigt les auteurs des actes de cybermalveillance afin de faire évoluer les comportements. Les États-Unis ont également adopté une nouvelle politique : depuis que le cybercommandement des États-Unis a déclaré que « certains adversaires tentaient, par des opérations menées en continu sous le seuil du conflit armé, d’éroder les institutions et d’obtenir un avantage stratégique », le pays s’est engagé sur la voie de la « réaction systématique » face aux agents qui chercheraient à exploiter ses vulnérabilités dans le cyberespace.

Bien que l’on associe souvent l’OTAN à son engagement de défense collective au titre de l’article 5, l’Organisation a en réalité très fréquemment mené des activités sans qu’il soit question de conflit armé. Ses trois tâches fondamentales sont définies dans son concept stratégique : outre la défense collective, y figurent également la gestion de crise et la sécurité coopérative. En ce moment, par exemple, elle mène une mission de formation en Iraq et participe à des opérations de sécurité maritime dans la Méditerranée. Il lui reste à continuer de rechercher la meilleure façon d’agir de la sorte dans le cyberespace, car toutes les cyberattaques, même celles de moindre envergure, ont un potentiel considérable de destruction, de perturbation et de déstabilisation.

Enfin, les facteurs précités – intervenants en grand nombre, myriade d’acteurs malveillants, actions en zone grise – sont aggravés par l’accélération constante du rythme des changements : les technologies ne cessent d’évoluer tandis que les vulnérabilités aux attaques ne cessent de s’accroître, les appareils connectés à internet et entre eux étant chaque jour plus nombreux et plus variés. Rien que pour ne pas se laisser distancer par l’évolution des menaces, il faut des ressources en personnel, des capacités techniques, des investissements et une quantité d’informations considérables.

Maintenant que l’on connaît le but premier de l’OTAN pour le cyberespace et les raisons pour lesquelles il lui sera compliqué de l’atteindre, il est temps d’examiner les travaux déjà entrepris par l’Organisation, avant de s’interroger sur son niveau d’ambition, tant dans ses objectifs que dans son action.

Travaux en cours

L’OTAN prend très au sérieux son objectif pour le cyberespace, à savoir être en mesure d’y mener des opérations militaires, tout en sachant qu’elle devra également pouvoir compter sur des moyens et des intervenants civils. Elle avance pour cela sur deux grands fronts : le traitement du cyberespace en tant que domaine opérationnel et la concrétisation de l’engagement en faveur de la cyberdéfense.

Le cyberespace en tant que domaine d’opérations

Depuis que les Alliés ont reconnu le cyberespace en tant que domaine d’opérations, au sommet de Varsovie en 2016, l’OTAN a franchi plusieurs étapes importantes, dont la plus notable est peut-être l’annonce, en octobre 2018, de la création du CyOC, le Centre des cyberopérations, avec dans un premier temps une structure d’essai. Le CyOC est la composante de théâtre de l’OTAN pour le cyberespace ; il a pour tâche de fournir les informations nécessaires à la connaissance de la situation dans le cyberespace, et d’assurer la planification centralisée des aspects cyber des opérations et missions de l’Alliance et la coordination des préoccupations opérationnelles liées au cyberespace.

En plus d’avoir décidé de cette adaptation organisationnelle critique, les Alliés se sont accordés, au sommet de Bruxelles, sur la manière d’intégrer dans les opérations et missions de l’Alliance les effets cyber souverains qu’ils fournissent à titre volontaire. Cette évolution est parfaitement en accord avec le mandat défensif de l’OTAN, car elle permet aux Alliés de se défendre dans le cyberespace comme ils le font dans les autres domaines, où ils mettent des moyens traditionnels (chars, avions, navires, etc.) à disposition pour les opérations et missions de l’Alliance.

L’évolution sur les plans de la stratégie et des directives est également positive. En juin 2018, les Alliés ont approuvé la vision et la stratégie militaires pour le cyberespace en tant que domaine d’opérations, et la première doctrine OTAN pour les opérations dans le cyberespace devrait être terminée en 2019, sous réserve d’approbation par les Alliés ; ce document d’orientation sera d’une aide précieuse pour les commandants de l’OTAN.

Ces structures et concepts n’ont toutefois de valeur que s’ils sont utilisés et mis en œuvre, raison pour laquelle l’OTAN fait également évoluer ses programmes de formation, d’entraînement et d’exercices. Le Centre d’excellence pour la cyberdéfense en coopération (CCD COE) s’est vu confier la responsabilité de recenser et de coordonner les offres de formation et d’entraînement proposées à tous les organismes OTAN dans le domaine des opérations de cyberdéfense, et ce pour l’ensemble de l’Alliance.

Les exercices centrés sur le cyber sont constamment actualisés afin de suivre les évolutions des politiques et de la doctrine : en 2018, Cyber Coalition, l’exercice phare de cyberdéfense de l’OTAN, qui réunit plus de 700 participants issus des pays de l’Alliance, de pays partenaires et de l’Organisation elle-même, a permis de tester l’intégration d’effets cyber souverains fournis à titre volontaire par un Allié ; les scénarios d’autres exercices de l’OTAN, tels que le CMX (exercice de gestion de crise destiné aux services du siège de l’Organisation) ou Trident Juncture 2018 (qui mobilise l’intégralité de la chaîne de commandement militaire), comprennent quant à eux un volet cyber de plus en plus substantiel.

L’engagement pour la cyberdéfense

À côté de ces progrès à l’OTAN, chaque Allié est encouragé, en vertu de l’engagement pour la cyberdéfense, à procéder à une adaptation pangouvernementale. Cet engagement s’inscrit dans le contexte de l’article 3 du traité de Washington, qui stipule que les Alliés « maintiendront et accroîtront leur capacité individuelle et collective de résistance à une attaque armée ». Étant donné qu’il est impossible de séparer entièrement les préoccupations militaires, civiles et industrielles dans le cyberespace, l’OTAN a tout intérêt à ce que les capacités de cyberdéfense des organismes extérieurs à l’appareil de défense s’améliorent.

L’engagement prévoit des évolutions telles que l’octroi de ressources appropriées pour la cyberdéfense dans l’ensemble des pouvoirs publics, l’échange d’informations et de bonnes pratiques ou encore l’exploitation des pratiques innovantes élaborées par le monde universitaire et le secteur privé. Les Alliés s’autoévaluent annuellement selon une série d’indicateurs communs. Dans leur dernier rapport sur la question, au sommet de Bruxelles, les Alliés ont souligné à quel point cet engagement, qui a permis d’appeler l’attention des hautes sphères politiques sur la cyberdéfense et de favoriser la collaboration intragouvernementale dans les pays de l’Alliance, demeurait utile.

Les réponses aux attaques demeurant sous le seuil du conflit armé

Les Alliés étudient également les moyens de réagir de manière plus systématique aux actes de cybermalveillance auxquels il serait disproportionné de répondre par un conflit armé. Au sommet de Bruxelles, ils ont exprimé leur détermination à employer l’éventail complet de leurs capacités, cyber incluses, pour dissuader leurs adversaires d’avoir recours aux cybermenaces, ainsi que pour s’en défendre et les contrer, y compris lorsqu’elles sont exercées dans le cadre de campagnes hybrides.

Ils sont également convenus de continuer à travailler ensemble à l’élaboration de mesures qui leur permettraient de faire en sorte que toute attaque perpétrée à leur encontre ait un coût pour son auteur. Il est en effet essentiel de posséder un éventail de réponses aussi large que possible pour pouvoir contrer efficacement – et toujours dans le respect du droit international et des principes de retenue et de proportionnalité – le problème prévalent des cyberagissements qui n’atteignent pas le seuil du conflit armé.

La collaboration avec les partenaires

Enfin, l’OTAN a décidé, pour s’adapter au mieux à cet environnement en constante évolution qu’est le cyberespace, de collaborer plus étroitement avec un éventail toujours plus large de partenaires. En 2016, le secrétaire général de l’Organisation s’est associé aux présidents du Conseil européen et de la Commission européenne pour publier une déclaration conjointe sur la coopération OTAN-UE. En vertu de celle-ci et d’un arrangement technique conclu entre les centres de réaction aux incidents de l’OTAN et de l’Union européenne, les deux organisations ont notamment renforcé leur collaboration dans les domaines de l’échange d’informations, de la formation, de la recherche et des exercices.

L’OTAN resserre également ses liens avec le monde industriel dans le cadre d’un programme général intitulé « cyberpartenariat OTAN-industrie », qui comprend de nombreuses plateformes destinées à l’échange d’informations (notamment concernant les tendances des menaces) et de bonnes pratiques. Ces interactions aident l’OTAN à nouer des relations de confiance avec l’industrie et permettent à toutes les parties en présence de mieux prévenir les cyberattaques et y répondre.

Niveau d’ambition

Comme on peut le constater, l’OTAN et ses membres s’emploient activement à renforcer leurs moyens de cyberdéfense, ce qui met l’Alliance en position de se défendre aussi efficacement dans le cyberespace que sur terre, sur mer et dans les airs, permettant ainsi à ce cyberespace de contribuer à la posture générale de dissuasion et de défense de l’Alliance.

Mais en font-ils assez ?

Au vu de la place centrale qu’occupe le cyberespace dans la guerre moderne, l’Alliance atlantique doit impérativement s’y montrer aussi compétente que dans les autres domaines. L’approche adoptée ne manque pas de sens : l’Alliance cherche à s’attaquer aux principaux problèmes liés aux opérations dans le cyberespace. Elle ne doit néanmoins pas cesser de réfléchir à ce qu’elle peut faire de plus, car les cybermenaces sont appelées à avoir des conséquences toujours plus dévastatrices.

Que peut-elle faire de plus, donc ?

Les Alliés peuvent commencer par se demander à quels aspects de leurs travaux actuels accorder la plus grande priorité et les ressources les plus importantes. Le CyOC, par exemple, est la clé de voûte de l’adaptation de la structure de commandement de l’OTAN au cyberespace. À mesure qu’il approchera de sa capacité opérationnelle initiale puis totale, il sera de plus en plus vital de lui accorder une dotation en personnel adéquate et suffisamment qualifiée.

Le défi que représente la prévalence des actes de cybermalveillance demeurant sous le seuil du conflit armé n’est quant à lui pas près de disparaître ; pour y trouver la meilleure parade, tant individuellement que collectivement, les Alliés auront tout intérêt à prendre en compte les outils existants. Outre l’article 5, clause la plus connue du traité de Washington, les pays de l’OTAN ont à leur disposition l’article 4, qui prévoit des consultations chaque fois que l’un d’eux estime que « l’intégrité territoriale, l’indépendance politique ou la sécurité » d’un Allié est menacée.

Enfin, pour suivre le rythme des évolutions dans le domaine cyber, les Alliés trouveront sans doute utile de continuer de réfléchir à la direction que pourrait prendre la collaboration avec l’industrie, tant pour ce qui est du partage d’informations que des acquisitions technologiques.

In fine, l’Alliance doit continuer sur sa lancée et, par une attention continue et des moyens suffisants, faire en sorte que le cyberespace devienne simplement un domaine d’activités comme les autres.