On peut définir la cyber-guerre comme une guerre qui se mène sur les réseaux. Elle met en présence trois grandes catégories d'acteurs: Etats et dépendances, entreprises grandes et petites, organisations criminelles. Comme toute guerre, elle a deux aspects: la défensive dite aussi cyber-sécurité , visant à se protéger des attaques de l'ennemi (ou du concurrent) - l'offensive, visant à pénétrer et détruire l'ennemi.
La cyber-guerre mobilise un nombre de moyens humains et techniques en forte hausse. Mais, même dans les pays bien dotés en ressources humaines, cette mobilisation se heurte à un manque permanent de spécialistes. La cyber-guerre ne connait ni le chômage ni la crise.
Longtemps conduite de façon discrète, sinon secrète, la cyber-guerre s'officialise de plus en plus.. Elle occupe désormais une bonne partie du web. Il n'est plus possible d'y échapper. Seule demeure discrète la cyber-criminalité. Ceux qui ne prennent pas la cyber-guerre suffisamment au sérieux, en n'y affectant pas un nombre suffisant de moyens, mettent en jeu leur survie, quand il s'agit des entreprises, ou leur poids géopolitique quand il s'agit des Etats. On a pu dire, à tort ou à raison, que la perte de compétitivité des entreprises françaises à l'international tient au fait que celles-ci, traditionnellement en retard en ce qui concerne les nouvelles technologies, n'avaient pas pris assez au sérieux les enjeux de la cyber-guerre.
Un point important de la cyber-guerre est qu'elle mobilise désormais des agents intelligents non-humains, qui complètent et parfois remplacent, tant dans la défensive que l'offensive, les personnels humains. On pourra se référer sur ce point à l'étude d'Alain Cardon " Vers un système de contrôle total", 20 octobre 2011 http://www.admiroutes.asso.fr/larevue/2011/121/controletotal.pdf . Mais cette étude elle-même, bien que récente, nécessite aujourd'hui d'être actualisée. Il est vrai que ces agents ne sont pas encore organisés en autonomie totale, donnant naissance à un nouveau cyber-pouvoir totalement incontrôlé par les humains. Mais ils donnent à leurs contrôleurs humains des capacités d'action que ceux-ci n'avaient pas initialement prévues et qu'ils découvrent au fur et à mesure, quitte à se laisser dépasser.
Il ne s'agit pas ici de présenter, même de façon sommaire, le domaine foisonnant de la cyber-guerre. Mentionnons seulement quelques pistes de recherche
Cyber-sécurité et cyber-guerre aux Etats-Unis.
Il s'agit désormais d'un domaine majeure de la politique fédérale de défense. La raison en a été donnée récemment: riposter aux cyber-attaques dont les Etats-Unis seraient de plus en plus victimes, venant en premier lieu de la Chine, mais aussi de puissances mineures comme l'Iran. Ceci ne doit pas faire oublier que les Etats-Unis mènent depuis la guerre froide une guerre tous azimuts sur les réseaux, visant à espionner le monde entier. Ils déploient pour ceci tous les moyens d'écoute et de traitement disponibles: satellites, aéronefs, UAV notamment. Le réseau mondial Echelon, souvent dénoncé, n'a cessé de s'étendre sous divers autres noms. La Darpa vient par exemple de lancer un programme dit TERN ou Eyes in the ski visant é étendre les moyens déjà considérables de monitoring des activités mondiales sur le Web. Voir http://www.spacewar.com/reports/DARPAsNew_TERN_Program_Aims_for_Eyes_in_the_Sky_from_the_Sea_999.html
Cette année, les efforts du Congrès ainsi que des diverses agences impliquées dans la cyber-sécurité pour sensibiliser les autorités semblent porter leurs fruits. Ainsi, Barack Obama a ratifié le 3 janvier la National Defense Authorization Act (NDAA), une loi annuelle spécifiant le budget et les dépenses du Département de la Défense américaine pour l'année fiscale. Cette loi approuve, au sein d'un budget total de 633 milliards de dollars alloué au Département de la Défense, une action de 3,4 milliards de dollars dédiés aux activités liées au cyber-espace. Cette loi impose aussi au Département de la Défense de rapporter au Congrès chaque trimestre toutes les attaques initiées ainsi que les principales opérations défensives liées à la cyber-sécurité.
Ainsi, le département de la cyber-sécurité serait lui-même composé de trois grands secteurs : la protection des systèmes d'information nationaux et industriels, la protection des réseaux gouvernementaux ainsi qu'un secteur de mission de combat qui serait destiné à porter des attaques à l'extérieur. Ces trois secteurs définiraient les nouvelles divisions du US Cyber Command, le commandement chargé de la sécurité de l'Information de l'armée. C'est d'ailleurs le Général Keith Alexander, Directeur de la NSA, qui en a la charge.
Voir article http://www.clearancejobs.com/defense-news/1048/cybersecurity-news-round-up-2013-defense-budget-outlines-new-mandates-to-enhance-cybersecurity
Voir aussi Washington Post http://www.washingtonpost.com/world/national-security/pentagon-to-boost-cybersecurity-force/2013/01/19/d87d9dc2-5fec-11e2-b05a-605528f6b712_story_1.html
Cyber-sécurité en Europe
A niveau européen, chaque Etat dispose d'un minimum de politique de cyber-défense. Au plan de l'Union, constatant d'ailleurs le manque d'ambition de ces politiques, les autorités viennent de décider un plan de cyber-sécurité pour « protéger l'internet ouvert et les libertés en ligne ». La politique s'organisera autour de cinq priorités: - parvenir à la cyber-résilience - faire reculer considérablement la cybercriminalité - développer une politique et des moyens de cyber-défense en liaison avec la politique de sécurité et de défense commune (PSDC) - développer les ressources industrielles et technologiques en matière de cyber-sécurité - instaurer une politique internationale de l'Union européenne cohérente en matière de cyber-espace et promouvoir les valeurs essentielles de l'Union.
La politique internationale de l'Europe en matière de cyber-espace encourage le respect des valeurs essentielles de l'Union, définit des règles pour un comportement responsable et prône l'application dans le cyber-espace de la législation internationale existante tout en aidant les pays hors Union à renforcer leurs capacités en matière de cyber-sécurité. Au plan des moyens, à compter de janvier, 2013, un Centre européen de lutte contre la cyber-criminalité (EC3) entrera en activité et contribuera à protéger les entreprises et les citoyens européens contre la cybercriminalité. Le Centre est situé dans les locaux de l'Office européen de police (Europol), à La Haye (Pays-Bas).
Au plan réglementaire, une proposition de directive sur la SRI « Sécurité des Réseaux d'information » devrait devenir un volet essentiel de la stratégie globale. Elle obligerait tous les États membres, les facilitateurs de services internet clés et les opérateurs d'infrastructures critiques telles que les plateformes de commerce électronique et les réseaux sociaux, ainsi que les acteurs économiques des secteurs de l'énergie, des transports, des services bancaires et des soins de santé à garantir un environnement numérique offrant des gages de sécurité et de confiance dans toute l'Union. La proposition de directive prévoit notamment les mesures suivantes:
- les États membres doivent adopter une stratégie de SRI et désigner des autorités nationales compétentes en la matière, qui disposeront de ressources financières et humaines suffisantes pour prévenir et gérer les risques et incidents de SRI et intervenir en cas de nécessité,
- un mécanisme de coopération entre les États membres et la Commission doit être instauré pour diffuser des messages d'alerte rapide sur les risques et incidents au moyen d'une infrastructure sécurisée, pour collaborer et organiser des examens par les pairs,
- les opérateurs d'infrastructures critiques de secteurs tels que les services financiers, les transports, l'énergie et la santé, les facilitateurs de services internet clés (notamment les magasins d'applications en ligne, les plateformes de commerce électronique, les passerelles de paiement par internet, les services informatiques en nuage, les moteurs de recherche ou les réseaux sociaux) ainsi que les administrations publiques doivent adopter des pratiques en matière de gestion des risques et signaler les incidents de sécurité significatifs touchant leurs services essentiels.
On doit constater que ces projets suscitent déjà de la part des acteurs visés diverses protestations, fondées ou non, comme l'on pouvait s'y attendre.
Mais, plus gravement, il ne s'agit en rien de mesures à la hauteur, tant sur le plan de la défensive que de l'offensive, des politiques de défense mises en place aux Etats-Unis, politiques que nous venons de rappeler. Ceci traduit la faiblesse, sinon l'inexistence d'une PESC (Politique étrangère et de sécurité commune)
Voir http://europa.eu/rapid/press-release_IP-13-94_fr.htm
Cyber-sécurité et intelligence économique en France
La France s'est dotée, tant sous les gouvernements de droite que de gauche, de politiques visant à défendre ses centres nerveux et ses entreprises des attaques extérieures. On signalera notamment à cet égard le service confié à Alain Juillet, ancien Haut Responsable à l'Intelligence économique auprès du Premier ministre. Cet activité a visé à rajeunir et actualiser les traditions des services militaires et civils consacrés au contre-espionnage et à la recherche d'information dans ces domaines.
Des entreprises privées avaient dès le début pris le relais. Aujourd'hui a été crée par elles le Portail de l'intelligence économique (IE) http://www.portail-ie.fr/ . Dans ce cadre, Alain Juillet, Bruno Racouchot, directeur de Comes Communication, et Ludovic François, directeur de la Revue internationale d'intelligence économique, ont mis en place une réflexion de fond sous forme d'une Lettre Communication et Influence, qui vient de faire paraître son n° 41
voir http://www.communicationetinfluence.fr/2013/02/26/n-41-fevrier-2013-guerre-economique-temps-durs-et-idees-molles/
Nous découvrons par ailleurs l'existence d'une organisation dite Alliance géostratégique qui publie des articles concernant non seulement la géostratégie mais la cyber-guerre et la cyber-sécurité. Nous ne pouvons pas en dire plus à cette heure. http://alliancegeostrategique.org/
Ajoutons que nous avons été informé récemment d'un projet qui paraît extrêmement intéressant dans son principe. L'objectif en est de créer un Observatoire des Evolutions algorithmiques. Il s'agirait d'un investissement collectif visant à identifier et le cas échéant neutraliser les multiples agents logiciels en voie d'autonomisation qui prolifèrent désormais sur les réseaux, conformément au diagnostic précité d'Alain Cardon. Nous y reviendrons sans doute.