Sous un titre un peu
péremptoire, l'intention est ici de reposer le débat de l'analyse
de la menace dans le cyber et plus précisément, de l'analyse de la
conflictualité numérique. En effet, pas un seul jour sans que l'on
agite le spectre de l'attaque qui « paralysera notre société »,
la grosse, la vraie, celle qui va éteindre les lumières du
continent, faire exploser les centrales nucléaires, dérailler les
trains et perturber le trafic aérien. Bref « the Big One ».
Le discours est récurent et relayé au plus haut, orientant ainsi la
réflexion et le débat stratégique avec lui. On reviendra avec
délectation sur les déclarations de Leon Panetta, secrétaire
d'Etat à la Défense en 2012, mettant en garde contre des
cyber-attaques chinoises « capable d'entraîner des destructions
physiques et des pertes humaines », le
fameux « cyber-Pearl Harbor » :
In 2012, then-Secretary
of Defense Leon Panetta warned of a cyberattack against the US that
“would cause physical destruction and the loss of life.”[1]
Referring to such an attack as a “cyber-Pearl Harbor,” Panetta
explained how this scenario might look: the derailment of a passenger
train or one loaded with lethal chemicals, the contamination of a
major city’s water supply, and the shutdown of a power station
effecting large parts of the country. Overall, Panetta warns that
these kinds of cyberattacks could ultimately “paralyze and shock
the nation and create a new, profound sense of vulnerability.”[2]
Or, à bien y regarder,
cela fait bientôt 25 ans que l'on en parle et elle ne vient pas
vraiment... Il ne faut certes pas négliger une menace probable, mais
il faut également revisiter le discours afin de ne pas souffrir d'un
effet de tunnel et ainsi ne pas détecter d'autres menaces émergentes
et peut-être moins spectaculaires.
- Le « cyber
Pearl Harbor » on en parle mais on ne voit rien venir...
Si le terme cybergueddon
a été popularisé par une série télé en 2012, il conjugue en une
expression unique l'expression de peurs pré-existantes et
apocalyptiques. Il y a en premier lieu la référence à Armageddon
(ou Harmaguédon), lieu symbolique de la défaite du roi Josias en
609 av JC, abandonné par son dieu. Terme biblique, qui est
aujourd'hui assimilé à une catastrophe destructrice symbolisant les
derniers instants de l'apocalypse. Enfin, l’apposition du terme
« cyber » rajoute au mystère et à l'inconnu.
Cybergueddon, cyber Pearl Harbor, 11-septembre numérique, de quoi
parle-t-on véritablement ?
La profusion de
« buzz-terms » entraîne la confusion entre plusieurs
notions et objets d'analyse. On confond ici des « scénarios »
d'emploi de l'arme numérique (ou cyber-électronique) avec les
intentions stratégiques d'acteurs étatiques (dans le cas évoqué
de la Chine-Iran-Russie, rayer la mention inutile...). Or, l'arme ne
fait pas la stratégie, elle en est l'outil. Ainsi, si sur le plan
théorique, l'exploitation de vulnérabilités peut entraîner des
dommages dont le périmètre est difficilement mesurable, la question
du passage à l'acte reste entière. C'est donc la question de la
méthode de raisonnement qui est à remettre en cause, échafauder
des hypothèses d'emploi qui se fondent exclusivement sur les
capacités réelles ou supposées d'un adversaire induit
nécessairement une vision partielle de la menace. Dans le domaine
« cyber », ce qu'il est possible de faire n'est pas
nécessairement ce qui est le plus utile ou le plus efficace pour
atteindre ses objectifs stratégiques.
Mais alors, qui pourrait
conduire ce type « d'attaques destructrices » et surtout
« pourquoi » ? Dans l'affrontement numérique seul
la puissance étatique dispose, aujourd'hui, à la fois des moyens
financiers et humains pour envisager d'intégrer dans son « arsenal »
des outils et des modes d'actions qui se rapprochent du
« cybergueddon ». Pour autant, ces acteurs là sont aussi
ceux qui ont probablement le moins de gains à escompter de l'usage
de ce type d'outils. En premier lieu, les expériences publiques de
sabotage étatique (ex Stuxnet) soulignent la difficulté de
l'entreprise et au-delà le phénomène de prolifération qu'il a
enclenché. Enfin, une cyber-attaque « massive » et
« disruptive » ne peut raisonnablement être lancée par
un Etat contre un autre hors d'un contexte géopolitique bien
particulier et suivant des régles et des usages propres au droit de
la guerre. On pourra objecter que certains acteurs étatiques n'ont
pas toujours un comportement rationnel, c'est vrai, cela limite la
portée de l'argument sauf à le croiser avec une étude capacitaire
(la grande majorité des Etats « dotés » sont considérés
comme des acteurs rationnels). Ainsi donc, lorsqu'on peut le faire
(techniquement), on ne le fait pas (ou du moins la probabilité est
faible). Reste le cas inverse, les acteurs « irrationnels »
non dotés.
Cet aspect ouvre le débat
sur le « cyber-terrorisme » ou plus précisément l'usage
d'une attaque informatique destructrice et meurtrière par un groupe
terroriste. Ici également, la terminologie employée (11-septembre
numérique) renvoie à un champ connu mais lui même en pleine
reconstruction. Les auteurs des attaques du 11 septembre
partagent-ils beaucoup avec ceux du 13 novembre en terme de mode
d'action, d'organisation et même de buts ? Je ne suis pas un
expert de ces questions là et ne me risquerait pas sur ce chemin.
Pourtant, dans ce domaine, il est assez courant que les groupes
terroristes puisent dans des modes opératoires alternatifs et
surprenants pour conduire leurs actions. Le détournement aérien des
années 70-80 a laissé la place aux attentats suicides puis à une
multitude d'actions individuelles coordonnées ou pas. Il est donc surprenant que le champ de l'action numérique ne soit abordé par ces groupes que sous l'angle de la communication opérationnelle (entre ses membres), la propagande et le recrutement ou encore les opérations d'informations (défaçage de sites web, détournement de comptes Twitter, divulgation de données).
En raisonnant
exclusivement sur les capacités, il est peu probable qu'un groupe
terroriste (tel que nous les observons aujourd'hui) puisse disposer
des connaissances et des outils nécessaires à la conduite d'une
opération d'envergure sur un système de contrôle industriel par
exemple. Outre les outils numériques, l'exploitation de
vulnérabilités sur un réseau électrique, une centrale, une
infrastructure aéro-portuaire ou autre, nécessite également une
expertise « métier », une connaissance fine « de
l'intérieur » du système et parfois même des essais
préalables, des tests. L'entreprise est ardue, pas impossible certes
mais complexe. Dans ce contexte, pourquoi déployer une telle énergie
alors même qu'une dizaine de combattants infiltrés avec un armement
léger obtiennent un effet de sidération durable de l'adversaire ?
- La défense avance,
mais la menace évolue
Il ne s'agit pas de
remettre en cause les vulnérabilités sur les systèmes industriels
ni la nécessité de développer une stratégie de défense efficace,
mais simplement de souligner la faible probabilité d'un
« cybergueddon » tel qu'on nous le présente. Le discours
« anxiogène » présente l'avantage de faire progresser
la défense de nos systèmes. Un public de plus en plus averti, des
approches innovantes, un regard différent sur le système
d'information industriel. Mais il faut également rester agile et
mobile dans l'analyse de la menace. A trop raisonner sur « ce
qu'il est possible de faire » et donc focaliser la pensée sur
le « haut du spectre », on attend, sur sa muraille une
attaque qui ne vient pas. Le risque est évidement de négliger la
dynamique de l'adversaire qui, s'il s'appuie aussi sur les "possibles
atteignables", agit bien souvent là où il obtiendra l'effet maximal
pour un effort minimal.
Pour poursuivre la
réflexion :
[1] Secretary of Defense Leon E. Panetta, “Remarks by Secretary Panetta on
Cybersecurity to the Business Executives for National Security, New York
City,” (speech, New York, October 11, 2012), US Department of Defense, ,
accessed March 20, 2015.
[2] Ibid.
