“Le cyberespace est un nouveau champ de bataille dépourvu de normes”

À quels risques l’État s’expose-t-il aujourd’hui ?

Pour l’État et ses services, le principal danger du cyberespace réside dans la prééminence de l’attaque par rapport à la défense. Il y est beaucoup plus facile d’attaquer en bricolant un logiciel malveillant que de se défendre face à des attaques qui sont chaque jour plus diverses. Les menaces relèvent essentiellement du cyberespionnage, de la manipulation de l’opinion ou encore des actions de sabotage qui consistent à détruire, endommager ou modifier les programmes informatiques et les données. Le développement d’attaques dites APT (Advanced Persistent Threat), c’est-à-dire des opérations menées dans la durée pour contrôler des réseaux ou des bases de données, n’est pas non plus à négliger.

Quels sont les autres risques ?

Les attaques possibles contre les infrastructures critiques comme les barrages hydroélectriques, les hôpitaux, les systèmes de communication ou les centrales nucléaires sont les plus à craindre. Pour ces dernières, on sait désormais que c’est possible puisque les États-Unis et Israël ont réussi à le faire en Iran en introduisant un ver informatique dans la centrale de Bouchehr pour modifier les vitesses de rotation des centrifugeuses d’enrichissement d’uranium et provoquer des dysfonctionnements. Une telle attaque pourrait tout à fait être perpétrée en France. Il suffit pour cela d’une simple clé USB infectée, comme cela a été le cas pour la cyberattaque en Iran.

En France, l’État est-il paré pour ne pas subir de telles attaques ?

La première chose à dire, c’est que la sécurité et la sûreté totales sont un leurre. Malgré tout, il est tout sauf inutile d’essayer de mettre tous les moyens de notre côté pour empêcher les actions les plus graves sur nos infrastructures sensibles et en particulier sur les opérateurs d’importance vitale (OIV). Il est possible de s’en prémunir, et c’est tout le rôle de l’Agence nationale de sécurité des systèmes d’information (Anssi), mais il est nécessaire de renforcer la règle des “3 R” – résistance, résilience et redondance – des systèmes d’information de l’État et des OIV pour minimiser les dégâts des prochaines attaques. En revanche, il reste extrêmement difficile de parer à toutes les éventualités dans la mesure où les pirates informatiques innovent sans cesse et créent des armes informatiques en constante mutation. Néanmoins, les choses commencent à s’accélérer depuis le livre blanc de 2013 avec une structuration plus avancée de l’appareil d’État autour des problématiques cyber. La Revue stratégique de cyberdéfense (de février 2018) a aussi permis à la fois de formaliser et de promettre que l’État mette en place des modalités de direction et de coordination des activités cybernétiques avec notamment des chaînes opérationnelles de protection, d’action militaire, de renseignement et d’investigation judiciaire. En dépit de sa situation budgétaire, l’État doit néanmoins accroître ses effectifs dans le domaine. L’Anssi a moitié moins de personnels que son homologue allemand, tandis que le Governement Communications Headquarters britannique double les effectifs cumulés de l’Anssi et de la DGSE.

Aujourd’hui, est-il vraiment possible d’appréhender cette menace ?

Dans le cyberespace, où la puissance se diffuse et se dissémine, les acteurs étatiques n’ont pas le monopole de la violence : on y trouve aussi bien des pirates informatiques isolés ou coalisés que des “proxies”, ces cybercorsaires qui se mettent au service d’autres États, à la fois pour que ces derniers puissent mener des attaques plus efficaces parce que les corsaires en ont la compétence et la technologie, et surtout pour rendre plus difficile voire impossible l’attribution de ces attaques aux États commanditaires. Il est aujourd’hui très difficile pour les services de l’État de repérer les attaquants, qui peuvent se trouver dans une multitude de pays et passer par différents canaux. Cela a enfin pour effet de rendre inopérants les mécanismes de légitime défense dans la mesure où il est pratiquement impossible, d’un point de vue technique, d’attribuer une attaque à tel ou tel acteur de façon certaine. Toutes les imputations que l’on a pu voir ces dernières années contre la Russie, la Chine, l’Iran ou la Corée du Nord sont avant tout politiques.

Le concept de souveraineté numérique est régulièrement remis sur la table pour accroître la sécurité informatique. Comment faire pour atteindre sinon préserver cette souveraineté numérique ?

Pour atteindre cette souveraineté numérique, il nous faut pouvoir développer un écosystème numérique endogène avec nos propres solutions logicielles et matérielles. Mais pour que ce dernier puisse exister, encore faut-il conduire une politique industrielle de développement technologique et de protection du marché français et/ou européen. Aujourd’hui, cette volonté politique est invisible. Le système idéologique dans lequel on navigue actuellement (le néolibéralisme et les principes du libre-échange) ne le permet pas. Or lorsque l’on regarde les grands acteurs du cyberespace – les États-Unis, la Chine et la Russie dans une moindre mesure –, force est de constater que chacun protège son marché, son écosystème d’innovation et ses grandes firmes technologiques et que tous limitent les transferts de technologies. L’Europe, elle, n’est pas du tout entrée dans cette voie-là. C’est pourquoi aussitôt qu’une PME ou start-up commence à émerger dans le domaine, elle est systématiquement rachetée par un grand groupe étranger.

Quand bien même l’on disposerait d’équipements franco-français, cela préserverait-il du risque ?

La souveraineté numérique et technologique n’efface évidemment pas le risque, ni ne préserve du cyberespionnage. Mais elle ne peut que le limiter. Le fait que des organes de l’État recourent à des solutions logicielles ou matérielles produites par les Gafam (Google, Amazon, Facebook, Apple, Microsoft…) pose de vrais problèmes d’autonomie stratégique. Depuis l’affaire Snowden, on sait pertinemment que les grandes firmes technologiques américaines marchent main dans la main avec le Pentagone et la communauté du renseignement américain, et que les données captées par ces grands groupes sont légalement accessibles à la NSA et à la CIA [les services de renseignement américains, ndlr]. Faire appel à de telles entreprises est tout à fait contradictoire avec une politique d’autonomie stratégique et de souveraineté numérique.

Y a-t-il une prise de conscience ?

Si prise de conscience il y a sur la souveraineté technologique, elle n’est que très légère. Il y a tout juste deux ans de cela, la direction générale de la sécurité intérieure (DGSI) s’est dotée des logiciels de Palantir pour faire de l’analyse massive de données. Or Palantir est une société détenue par Peter Thiel, conseiller de Donald Trump, et a en plus été financée par la CIA via son incubateur In-Q-Tel. Ses logiciels contiennent aussi des backdoors, des mécanismes permettant de collecter des données à l’insu de l’utilisateur.

Quelle analyse faites-vous de l’appel de Paris [“pour la confiance et la sécurité dans le cyberespace”, lancé le 12 novembre 2018 par Emmanuel Macron, ndlr] et de la coopération internationale dans le domaine cyber qu’il a vocation à relancer ?

Le cyberespace est un tout nouveau champ de bataille dont les enjeux stratégiques et militaires ne sont pas encadrés par des règlements, des normes ou des traités internationaux. Mais à l’échelle globale, la coopération dans le domaine cyber est une question extrêmement compliquée car les intérêts des acteurs divergent sensiblement. Pour la Chine et la Russie, le cyber constitue un levier pour faire contrepoids à la prédominance américaine en compensant leur retard technologique, industriel et militaire. Les deux pays ont donc tout intérêt à continuer de développer leurs capacités cyber et à empêcher toute forme de régulation et donc de coopération dans le sens d’une régulation. Les États-Unis s’inscrivent dans la même logique. En tant qu’acteur prépondérant sur la scène cyberspatiale, coopérer pour formaliser des normes du cyberspace reviendrait pour ce pays à entamer sa puissance, qui est par ailleurs de plus en plus remise en cause par les Chinois.

Il n’y aurait donc que les petits pays pour pousser vers la paix numérique ?

Pas seulement. Comme nous avons pu le voir avec l’appel de Paris, bien que les États-Unis, la Chine et la Russie ne l’aient pas signé, un certain nombre de grandes firmes numériques l’ont fait, notamment parce qu’elles ont besoin d’une pacification des relations diplomatiques dans le cyberespace pour pouvoir améliorer leurs activités économiques et s’implanter partout où elles le souhaitent. Ce qui est assez novateur, c’est que certaines d’entre elles montrent des signes de divergences stratégiques avec les États-Unis. Et notamment le Pentagone et les agences de renseignement avec lesquels elles étaient étroitement liées depuis leur naissance. C’est notamment le cas de Google, financé en partie par la CIA et la Darpa [l’agence chargée de la R & D en matière de nouvelles technologies à usage militaire, rattachée au département américain de la Défense, ndlr], et qui est d’ailleurs allé jusqu’à ouvrir un centre de recherche en intelligence artificielle (IA) à Pékin malgré les tensions grandissantes entre les États-Unis et la Chine.

Comment l’IA promet-elle de bouleverser la façon dont l’État se protège d’attaques informatiques ?

L’intelligence artificielle est avant tout un ensemble de techniques qui permettent d’effectuer des tâches beaucoup plus rapidement. Soit parce qu’elles offrent des informations cruciales en un temps record pour les décideurs humains, soit parce qu’elles donnent la possibilité à une machine autonome de réaliser des opérations qui étaient jusqu’alors confiées à des êtres humains. En matière de cybersécurité, l’intelligence artificielle présente un intérêt en ce qu’elle permet de pallier la pénurie de main-d’œuvre hautement qualifiée dans le domaine, mais aussi de remplacer les êtres humains pour accomplir des tâches répétitives, fastidieuses et chronophages. L’IA offre en outre la possibilité de détecter, d’interpréter et de répondre à des cyberattaques plus rapidement qu’aucun humain ne saurait le faire, à condition de disposer des données en nombre et en qualité suffisante et de la puissance de calcul permettant de les traiter. Du point de vue offensif, l’IA peut permettre d’identifier plus facilement les failles de sécurité informatique, et notamment ce qu’on appelle les exploits “zero day”, ces attaques tirant partie de vulnérabilités logicielles encore inconnues des fournisseurs ou des sociétés d’antivirus. Elle promet aussi d’être un instrument très utile pour analyser les comportements des citoyens et tenter de les manipuler en fonction de ces informations.

Ces promesses poussent-elles les États à mener une nouvelle course folle à l’armement ?

Pour le moment, on ne voit pas se dessiner le chemin d’une régulation de ces nouveaux usages. Il y a bien, depuis l’année dernière, un groupe d’experts gouvernementaux sur les armes autonomes qui se réunit à Genève pour évoquer ces questions, mais comme pour son homologue pour le cyberespace, ce groupe est dans l’incapacité de se mettre d’accord sur des principes communs. Tout simplement parce que les États se sont lancés dans une course à l’armement cyber et intelligent dans laquelle chacun essaie de tirer son épingle du jeu avec, en toile de fond, l’idée que celui qui maîtrisera le plus haut niveau de sophistication de l’IA se rendra maître du monde. C’est une vision certes fantasmée de ce qu’est l’IA, mais dans laquelle les décideurs politiques croient fermement et ne sont donc pas enclins à freiner leur course en régulant ce domaine.

Propos recueillis par E. M.