L’OTAN et la compétition stratégique dans le cyberespace

Les Alliés y rappellent également une conviction qu’ils ont acquise de longue date : le cyberespace, l’espace créé par l’interconnexion mondiale des ordinateurs et par les données, est le théâtre d’une contestation permanente, qui est le fait de toute une série d’acteurs étatiques et non étatiques. Au regard du contexte actuel de compétition généralisée dans le cyberespace entre agences militaires, services de renseignement, entreprises, criminels, pirates informatiques, hacktivistes et autres aventuriers, force est de constater qu’ils n’ont pas tort.

Ce constat paraît d’autant plus clair depuis que la Russie a lancé une campagne cyber en appui de son agression contre l’Ukraine. La guerre actuelle montre bien les enjeux de la compétition stratégique dans le cyberespace, la Russie cherchant à dégrader et à perturber les réseaux militaires, gouvernementaux et civils ukrainiens, ainsi que tout ce qui en dépend. Même si la Russie n’a pas encore réussi à avoir un impact stratégique en Ukraine en recourant à des moyens cyber, il ne faut pas oublier qu’elle pourrait le faire et que ses cyberopérations de renseignement militaire ont déjà provoqué des frictions dans l’effort de guerre ukrainien et des nuisances pour la population. S’il est vrai que les tentatives russes de désorganiser la défense militaire et le quotidien des civils en Ukraine ont montré que les cyberopérations n'avaient qu'un effet limité lorsqu’il s’agit d’exercer une coercition stratégique, nous devrions garder à l’esprit que pour combattre les cyberopérations russes dans la durée, il faut des ressources et une détermination importantes. Par ailleurs, toute analyse à long terme des opérations cyber offensives menées par la Russie en Ukraine doit aussi prendre en compte les risques d’erreur d’appréciation et d’escalade horizontale.

L’OTAN exprime avec force son soutien politique à l’Ukraine et souscrit pleinement à la fourniture d’une assistance militaire bilatérale par des Alliés. Toutefois, l’Organisation n’est pas directement partie à la guerre, et l’Ukraine n’est pas un État membre. L’OTAN devra donc se projeter au-delà de la guerre en Ukraine pour décider du rôle qu’elle pourrait jouer dans la compétition stratégique dans le cyberespace. Selon nous, il convient de ne pas envisager la contribution éventuelle de l’OTAN sous l’angle de la dissuasion ou du combat, mais plutôt au travers du prisme de la stabilité, qui est au cœur de la raison d’être de l’Alliance depuis 1949.

Que doit faire l’OTAN pour renforcer la stabilité de l’Alliance sur les questions cyber, pour faire en sorte que le système international ne soit pas davantage perturbé par des cyberopérations hostiles, et pour éviter d'en venir à ce que l’internet soit déstabilisé par un usage détourné des technologies ? Il s’agit là de chantiers de grande ampleur qui détermineront si l’OTAN réussira à s’imposer en tant qu’acteur de la cybersécurité. Nous estimons que si l’Organisation veut prendre part à la compétition qui entoure la cybersécurité, elle doit faire en sorte de se trouver aux avant-postes s'agissant d'assurer la stabilité dans le cyberespace.

Depuis sa création, l’Alliance a certes connu quelques moments difficiles, mais dans l’ensemble, elle est restée remarquablement stable. Cela s’explique en partie par le leadership fort exercé par les États-Unis, mais aussi par les avantages qu'il y a à être membre : la garantie de sécurité offerte par l’OTAN compense largement les dépenses et les efforts à consentir dans la durée, tant pour les petits que pour les grands pays. On pourrait même dire que malgré les appels récurrents à une autonomie stratégique européenne et les ruptures dans les échanges politiques transatlantiques sur la sécurité pendant la présidence Trump, l’OTAN est plus stable aujourd’hui qu’elle ne l’a été pendant de nombreuses années, notamment en raison de l’élan de solidarité né en réaction à la guerre de la Russie contre l’Ukraine.

Pour ce qui concerne la cyberdéfense, l’OTAN a engagé toute une série d’initiatives de renforcement des capacités visant à favoriser la stabilité de l’Alliance, notamment des programmes d’entraînement et de formation, des exercices et des jeux de guerre, mais aussi l’élaboration d’une stratégie et d’une doctrine interarmées reposant sur des visions clairement définies comme l’engagement en faveur de la cyberdéfense. Même si la stabilité intérieure ne doit jamais être considérée comme acquise, et alors que des adversaires essayent actuellement, par des actes de subversion cyber et des campagnes de désinformation, de provoquer des divisions entre les Alliés, nous estimons qu’il faut davantage prêter attention au rôle de promoteur de la stabilité que joue l’OTAN dans deux autres domaines, à savoir le système international et le cyberespace proprement dit.

L’OTAN étant la première alliance militaire au monde, tout ce qu’elle dit et fait a un impact sur la stabilité internationale, même si ses actes prêtent souvent à des interprétations bien différentes. Ainsi, la Russie et la Chine se sont servies de la décision prise par l’OTAN de reconnaître le cyberespace comme un milieu d'opérations pour alimenter l’idée selon laquelle l’Occident « militariserait » le cyberespace. Certains pourraient aussi voir d’un mauvais œil la création du Centre des cyberopérations de l’OTAN (CyOC) et l’intégration, dans la planification et la conduite des missions et des opérations de l’Alliance, des effets cyber offensifs souverains fournis à titre volontaire par les Alliés (mécanisme-cadre SCEPVA). Cela étant dit, en temps de paix, l’OTAN ne lance pas d’opérations cyber en dehors de l’espace qu’elle défend. Ce sont les activités de certains Alliés, menées à titre individuel, qui ont un impact sur la compétition stratégique cyber. Les États-Unis, par exemple, ont adopté une doctrine d’engagement permanent, dans le cadre de laquelle ils considèrent qu’il est nécessaire d’aller au contact de l’ennemi en lançant des « opérations hors zone » dans l’espace numérique contesté, un point de vue largement partagé par le Royaume-Uni. Ils entendent ainsi influer sur le comportement de l’adversaire et sur la mise en place de normes de « compétition autorisée » dans le cyberespace, au lieu d’attendre que des diplomates se mettent d’accord sur un cadre global régissant le comportement des États, cadre qui ne serait probablement pas respecté de toute façon.

Cette situation constitue un défi pour l’OTAN. En vertu des traités qu’elle a signés, l’Organisation a l'obligation de préserver la paix et la stabilité. Pourtant, les actions de certains grands Alliés pourraient mettre en péril la stabilité dans le cyberespace. Le cas échéant, quelle attitude l’OTAN doit elle adopter vis-à-vis de ces Alliés influents, sans compromettre ses positions juridiques et normatives dans d’autres domaines ? Que peut-elle répondre à ceux qui l’accuseront inévitablement de contribuer à l’instabilité globale dans le cyberespace ? À l'inverse, si la stratégie des États-Unis et de ses proches partenaires porte ses fruits et permet de réduire le nombre de cyberactivités hostiles, comment l’OTAN pourrait-elle ajuster sa doctrine et ses activités en temps de paix de façon à assumer une posture plus interventionniste et proactive dans le cyberespace, à l'appui de la stabilité internationale ? Si on en revient à la question de la stabilité interne, comment régler les désaccords qui naissent entre les Alliés concernant le bon équilibre entre stratégie défensive et offensive dans le cyberespace ? Pour répondre à ces questions, il va falloir faire preuve d'habileté et de réactivité sur le plan politique.

L’OTAN n'a jamais eu beaucoup d'interactions avec la société civile et les communautés techniques et politiques composant le réseau mondial d’acteurs qui gèrent le bien commun qu’est le cyberespace. Même s’ils sont parfois parcellaires, les normes, protocoles, lois et règlements sur le cyberespace sont le produit de cadres de coopération au sein desquels les alliances militaires ont généralement peu d’influence. Néanmoins, compte tenu de ses ambitions dans le domaine de la cybersécurité, il est impératif que l’OTAN ait des contacts directs avec les autorités nationales chargées du cyber, le secteur privé et d’autres organisations supranationales comme l’Union européenne.

Ainsi, soucieuse de favoriser la cyberrésilience des Alliés, l'OTAN suit de près les agendas et initiatives lancés par l’UE en matière de cyberrésilience, ce qui est possible compte tenu du grand nombre de membres que les deux organisations ont en commun. Le concept stratégique 2022 de l’OTAN et la stratégie de cybersécurité de l’UE (2020) énoncent explicitement la nécessité de resserrer le partenariat entre les deux organisations dans le domaine de la défense et de la sécurité. Des dispositions ont été prises pour le partage du renseignement sur la menace cyber et la mise en commun de bonnes pratiques de cyberdéfense, ainsi que pour la coopération dans les domaines de la formation et de la recherche, mais il conviendrait de mener davantage de travaux conjoints. L’OTAN peut apporter sa contribution, non seulement en élaborant et en mettant en œuvre des mesures de cyberdéfense et de cyberrésilience propres à améliorer la stabilité globale du cyberespace, mais aussi en renforçant les aspects normatifs de ces formes de règlementation et de gouvernance. Autrement dit, au-delà de ses préoccupations purement militaires, l’OTAN peut montrer l’intérêt que présente la défense de valeurs et d'approches communes pour l'amélioration de la stabilité du cyberespace.

L’OTAN s’est également engagée à renforcer les échanges avec le secteur privé et les milieux universitaires au travers du cyberpartenariat OTAN-industrie (NICP). Il s’agit essentiellement d’un mécanisme d’échange d’informations qui permet à l’Alliance et aux entreprises des pays de l'OTAN de partager du renseignement non classifié sur les cybermenaces. Le Groupe de réflexion OTAN 2030 a recommandé que l’OTAN élargisse son champ de coopération au-delà de ses partenaires « classiques » de l’industrie de défense afin de tirer parti des compétences et de l’expertise du secteur privé au sens large, des milieux universitaires et des organisations non gouvernementales. En d’autres termes, les partenariats ne doivent pas se réduire à des relations client-fournisseur, mais permettre d’accéder à de nouvelles sources de créativité et à de nouvelles expériences. Il n’est pas possible de prédire l’impact que cela aura sur la stabilité du cyberespace. Mais ce qui est certain, c’est qu’il existe des occasions à saisir concernant le renforcement du partage de renseignement sur la menace cyber, la cyberrésilience, l’assistance technique, l’élaboration des politiques, et d’autres formes d’échanges productifs qui permettront d’améliorer la stabilité de ce milieu.

Ces observations sur la stabilité du système international et du cyberespace sont très loin d’épuiser le sujet, en particulier pour ce qui concerne leurs dimensions et leurs évolutions possibles. De fait, ces deux aspects de la stabilité influent de différentes manières l’un sur l’autre, mais aussi sur la stabilité au sein même de l’Alliance. La stabilité interne est le fondement permettant à une alliance d'opérer efficacement : sans accord entre les membres sur les principales problématiques cyber, l’OTAN mettra longtemps à arrêter des lignes de conduite judicieuses susceptibles d’avoir un impact positif sur la stabilité internationale et sur la stabilité du cyberespace. Les éventuels désaccords pourraient même avoir des effets négatifs, en ce sens qu’ils nuiraient à la cohérence de l’OTAN et à sa mission de stabilité. Plus important encore, ce sont les actes des adversaires stratégiques de l’OTAN qui engendrent des contraintes et des opportunités dont l’Organisation doit tenir compte dans ses politiques et son action. S’agissant de la compétition stratégique dans le cyberespace, la Russie et la Chine en particulier font peser des défis politiques et technologiques spécifiques auxquels l’OTAN devra s’attaquer avec détermination. La Russie représente la menace la plus immédiate, comme en témoignent ses opérations cyber en Ukraine et ailleurs, mais la Chine demeure le principal compétiteur sur le long terme, étant donné qu’elle expérimente et finance une large gamme de cyberopérations délétères dans le monde entier.

L’une des mesures que l’OTAN pourrait prendre serait de renforcer et de redéfinir ses partenariats internationaux dans ce domaine. S'il est fait plus largement mention, dans le nouveau concept stratégique, des partenaires de l’Indo-Pacifique (Japon, Corée du Sud, Australie et Nouvelle-Zélande), il faudrait toutefois développer encore davantage les relations avec ces pays de sorte à instaurer de véritables partenariats mondiaux pour la cybersécurité. On notera que le Royaume-Uni, la France, les États-Unis et l’Union européenne sont tous en train d’approfondir leurs partenariats avec ces pays (notamment au travers de mécanismes comme le partenariat AUKUS et l’accord de partenariat transpacifique global et progressiste CPTPP). L’OTAN doit mettre en place ses propres processus et mécanismes pour resserrer ses liens avec ces partenaires dans le domaine de la cybersécurité.

Il serait tout aussi important d’approfondir et de renforcer les liens avec le secteur de la tech pour assurer la stabilité globale du cyberespace. En effet, la guerre en Ukraine a montré l’impact des acteurs non étatiques sur la cybersécurité et l’importance de la coopération civilo-militaire, qui a pris diverses formes, comme l’assistance technique proposée par des entreprises telles que Mandiant à des ingénieurs ukrainiens, les initiatives lancées par Microsoft et d’autres entreprises pour s'assurer que leurs plateformes restent opérationnelles malgré les cyberagressions russes, ou encore les efforts déployés par Elon Musk pour fournir à l’Ukraine un accès internet par satellite Starlink. Il sera important que l’OTAN multiplie les interactions avec ces secteurs tout en continuant de remplir sa mission de paix et de stabilité dans la région nord-atlantique et au-delà.

Par ailleurs, il est évident que la cyberdéfense de l'OTAN sera largement impactée par les technologies émergentes, comme l’informatique en nuage, l’intelligence artificielle et l’apprentissage automatique, l’internet des objets dans le secteur militaire et les systèmes hybrides humains-machines. La souplesse opérationnelle et le poids stratégique de l’OTAN dépendent de l’adoption de ces nouvelles technologies, sachant que celles-ci ont toutes des incidences sur la cybersécurité, qui ont trait à la fois à leur défense et leur résilience face aux interférences extérieures, et à leurs effets possibles sur la stabilité du cyberespace, sur la stabilité de l’Alliance et, partant, sur la stabilité du système international. L’OTAN s’emploie à intégrer ces technologies dans sa planification et ses opérations, notamment au travers de la mise en place de l’Accélérateur d'innovation de défense pour l'Atlantique Nord (DIANA) et de la définition de la stratégie OTAN pour l’intelligence artificielle. Il faudra continuer de réfléchir à la manière dont ces technologies peuvent être utilisées pour stabiliser ou déstabiliser l’Alliance.

L’OTAN s'est toujours investie dans le maintien de la stabilité. Elle a maintenant l’occasion de repenser le rôle qu’elle peut jouer dans un nouvel environnement stratégique caractérisé par deux défis simultanés et convergents : l’agression géopolitique et la révolution technologique. Elle pourrait devenir un pilier de la cyberstabilité, tant pour les membres de l’Alliance que dans le reste du monde, mais elle doit rester agile et innover. Ses politiques et ses doctrines cyber – que ce soit dans le domaine de la dissuasion, de la résilience, ou de l’engagement permanent face à des adversaires – doivent suivre le rythme de ses compétiteurs et des évolutions technologiques, mais également constituer un rempart contre toute escalade non voulue des cyberconflits et toute nouvelle déstabilisation d’internet à l’échelle mondiale.