Du fait de leur proximité avec les opérations clandestines ou de renseignement, les cyberopérations sont caractérisées par l’incertitude entourant leurs auteurs et leurs intentions, mais aussi par l’ambiguïté de certains de leurs effets. De ce fait, les acteurs qui sont victimes d’espionnage, de sabotage ou de subversion sont placés dans une situation éloignée des répertoires plus classiques de la coercition et de la dissuasion. Ces derniers s’inscrivent en effet plutôt dans une grammaire où la crédibilité et l’articulation des signaux sont la clé d’une manœuvre offensive ou défensive efficace.
Durant la décennie 2010, ces acteurs ont donc soit recouru à des réponses clandestines ou discrètes qui nous échappent pour le moment, soit revu leurs tables d’équivalence afin d’essayer de réduire l’incertitude dans laquelle les dirigeants et leurs successeurs pourraient se retrouver. La réponse à une cyberopération s’inscrit donc dans un processus social d’apprentissage, susceptible de façonner le contexte des interactions stratégiques futures.
Le principal obstacle à toute réponse publique est souvent identifié au problème de l’attribution d’une cyberopération. Ce dernier terme, qui peut aussi bien se limiter à la recherche de l’identité de l’agresseur qu’inclure la réponse à l’agression, renvoie au processus par lequel la victime d’un acte malveillant tente de réduire l’incertitude pour, premièrement faire stopper l’attaque ou en atténuer certains effets, deuxièmement structurer sa réponse et troisièmement satisfaire des objectifs de nature diverse, intérieurs comme extérieurs, sur différents horizons temporels (1).
Mais les caractéristiques techniques facilitant l’anonymat et le secret nécessitent de disposer de capacités avancées en matière technique et organisationnelle afin de les conserver. Autrement dit, les attaquants commettent des erreurs, peuvent être négligents et jouer de malchance, d’autant plus si leur cible est un système bien protégé à l’architecture technique, logicielle et organisationnelle hétérogène. Par ailleurs, le contexte de rivalités géopolitiques, de crises diplomatiques ou de tensions interétatiques aide aussi à donner du sens. En retour, la littérature sur les actions clandestines et l’attribution des cyberopérations souligne l’existence d’un dilemme spécifique découlant d’une mauvaise appréciation de la situation, de conclusions hâtives et d’une réponse mal calibrée. L’identification de l’attaquant et la détermination de ses intentions sont donc des processus éminemment stratégiques et politiques aussi bien que techniques.
Tout aussi politique est le type de réponse adopté par la victime, qu’il s’agisse d’exposer publiquement l’agresseur, de tenter de lui faire payer les conséquences de ses actes ou d’indiquer – explicitement ou non – quelles normes ont été transgressées (2). Les pratiques en la matière reposent sur l’interprétation des États, et si l’on observe une tendance croissante à l’exposition des interprétations juridiques pouvant éventuellement servir de guide (3), l’attribution ne s’accompagne pas d’une qualification juridique de l’acte (4). Néanmoins, en dépit des divergences sur l’opportunité et les modalités d’une attribution publique des cyberopérations, les pratiques internationales sont fortement influencées par le précédent des États-Unis (5). Depuis 2014 en effet, le gouvernement fédéral n’hésite pas à accuser des États ou leurs exécutants de cyberattaques contre des acteurs américains, mais aussi étrangers. Par ailleurs, la présidence Trump s’est caractérisée par la banalisation de l’action administrative et judiciaire contre des individus ou des entités accusés d’avoir instigué, facilité ou exécuté des cyberopérations. La multiplication des mises en accusation et des sanctions diplomatiques et financières est un volet majeur de la réponse publique du gouvernement des États-Unis (6). Dans certaines occurrences, l’attribution publique a pu être répercutée collectivement, dans le cadre des réseaux de partenariats et d’alliances centrés sur les États-Unis. Enfin, une partie de la réponse publique a consisté à prévenir et à alerter les acteurs privés des composantes techniques et opérationnelles de certains acteurs malveillants accusés d’être liés à la Russie, à la Chine, à la Corée du Nord ou à l’Iran (7).
Cette approche tous azimuts pose la question des effets recherchés par les réponses publiques et de leur efficacité. Les objectifs des acteurs ne sont pas toujours explicites, ou sont susceptibles d’interprétation quant à la cohérence stratégique d’ensemble. Les pratiques émergentes de l’attribution publique relevant aussi parfois d’acteurs bureaucratiques – du moins aux États-Unis –, restituer la logique générale dans laquelle leurs buts sont inscrits relève d’une reconstruction a posteriori. Même lorsque les décisions émanent d’autorités plus centralisées, la nature particulière du dilemme d’attribution se traduit dans la confidentialité des logiques stratégiques qui les guident. Il est néanmoins possible de bâtir une grille de lecture permettant de rendre compte de ces logiques ou, à défaut, de servir de guide à la prise de décision.
Répondre publiquement à une cyberopération peut en effet obéir à plusieurs logiques. D’une part, l’attribution stigmatise l’agresseur et en expose éventuellement les tactiques, techniques et procédures. Le naming and shaming n’est pas un procédé de condamnation morale, mais une manière d’influencer le comportement futur de la cible en la poussant à la retenue, en déclenchant des remises en question, en annulant les atouts techniques et opérationnels dont elle dispose. Le risque est néanmoins grand de lui bâtir une réputation d’efficacité, de malveillance et d’audace qui augmente sa réputation interne et internationale. D’autre part, la réponse publique peut contribuer à démontrer des capacités à investiguer et à imposer aux agresseurs les conséquences de leurs actes. Les sanctions financières et judiciaires peuvent avoir des effets non négligeables sur les commanditaires ou les exécutants, mais leur efficacité est étroitement dépendante d’une capacité directe à les faire appliquer. Par ailleurs, la démonstration des capacités est susceptible d’en annuler la pertinence future en indiquant les moyens de les contourner et d’en limiter, voire d’en annuler les effets. Ainsi, ces logiques s’inscrivent également dans une relation dialectique avec la cible.
Plus largement donc, les réponses publiques aux cyberopérations entrent dans le champ d’une dissuasion élargie, qui s’appuie autant sur les capacités de réponse immédiate que sur des effets à long terme sur le contexte juridique, normatif, politique et opérationnel. L’enjeu est donc double. Analytiquement, il importe de redéfinir le cadre de la dissuasion classique pour ne pas rester prisonnier des catégories de la guerre froide. Politiquement, il est primordial de saisir les conséquences d’une stratégie normative en matière de stabilité internationale. On ne peut en effet négliger divers risques : celui d’une fragmentation normative entre des acteurs refusant d’adhérer à des règles communes au-delà d’un socle étroitement défini ; celui d’un antagonisme croissant entre ceux qui définissent les normes et les règles du jeu d’une part, et ceux qui les considèrent comme un moyen de les priver de leur marge de manœuvre d’autre part ; celui d’affaiblir la portée des accords internationaux par un comportement qui semble les contredire ; celui résultant de l’interdépendance croissante des acteurs, publics et privés, civils et militaires, étatiques et non étatiques.
Reste que les effets de toute dissuasion demeurent difficiles à évaluer. L’absence de cyberattaques aux effets catastrophiques, le ralentissement opérationnel de certains acteurs, la retenue apparente peuvent tout autant résulter d’une crainte de représailles, découler de normes émergentes progressivement contraignantes ou être le produit d’un changement de stratégie ou de modes d’action. Dans l’interaction dialectique avec ces pratiques, les réponses publiques aux cyberopérations contribuent en effet aux mutations opérationnelles et stratégiques du domaine numérique.
Notes
(1) Thomas Rid et Ben Buchanan, « Attributing Cyber Attacks », Journal of Strategic Studies, vol. 38, no 1-2, 2015, p. 4-37.
(2) Florian Egloff, « Public Attribution of Cyber Intrusions », Journal of Cybersecurity, vol. 6, no 1, septembre 2020.
(3) François Delerue, Cyber Operations and International Law, Cambridge University Press, Cambridge, 2020 ; François Delerue, Frédérick Douzet et Aude Géry, « Les représentations géopolitiques du droit international dans les négociations internationales sur la sécurité et la stabilité dans le cyberespace », Étude de l’IRSEM no 75 , novembre 2020 ; Michael N. Schmitt, « Taming the Lawless Void : Tracking the Evolution of International Law Rules for Cyberspace », Texas National Security Review, vol. 3, no 3, été 2020.
(4) Martha Finnemore et Duncan B. Hollis, « Beyond Naming and Shaming : Accusations and International Law in Cybersecurity », European Journal of Information Law, septembre 2020. Merci à Aude Géry d’avoir aidé à préciser ce point.
(5) À noter que la France ne pratique pas d’attribution publique.
(6) Garret Hinck et Tim Maurer, « Persistent Enforcement : Criminal Charges as a Response to Nation-State Malicious Cyber Activity », Journal of National Security Law and Policy, vol. 10, no 3, 2020, p. 525-561.
(7) C’est le cas de l’US Cyber Command, de la NSA et même du FBI sur la plate-forme VirusTotal par exemple.
Légende de la photo ci-dessus : Face à une action cyber subie, faut-il seulement réagir ? (© Carsten Reisinger/Shutterstock)
