Magazine DSI

Penser le cyber : tempête de vents solaires sur les États-Unis ?

Les réformes annoncées dans la loi de programmation budgétaire de la Défense pour 2021 ainsi que les projets de décrets exécutifs en matière de cybersécurité ne semblent pas s’accompagner d’une montée en puissance de l’agence dans ces trois dimensions, mais plutôt d’un surcroît de responsabilités et de missions. Ainsi, la défense est fragmentée et manque de coordination. Dans une audition devant le Sénat le 25 mars 2021, le général Nakasone, commandant le Cyber command, a ainsi rappelé que les hackers avaient opéré non pas à partir de serveurs basés à l’étranger (ce qui aurait peut-être permis leur détection ou leur freinage dans le cadre de Persistent Engagement), mais depuis le territoire des États-Unis où la National security agency (NSA) n’est pas autorisée à opérer. Par ailleurs, si l’administration Biden a ressuscité le poste de conseiller à la cybersécurité au sein du Conseil de sécurité nationale, elle tarde à mettre en œuvre la décision du Congrès relative au bureau du coordinateur national de la cybersécurité. De fait, l’architecture institutionnelle baroque du gouvernement fédéral pourrait ici nécessiter une forme de « déconfliction » entre les deux rôles.

Ces cyberopérations d’espionnage remettent plus largement en question la posture stratégique globale des États-Unis face aux menaces numériques. Ayant annoncé une réponse dès les premières révélations, l’administration Biden est cependant confrontée au dilemme que représentent les opérations d’espionnage, qui ne sont pas explicitement prohibées en temps de paix et auxquelles les États-Unis se livrent très largement en bénéficiant des avantages acquis par l’antériorité de leurs cyber-opérations. Les réponses attendues, présentées comme des moyens de dissuader de telles actions « sous le seuil », semblent combiner le renforcement de la résilience et des capacités de réaction de la cyberdéfense en profondeur, des sanctions ciblées financières (gel des avoirs) et judiciaires (mises en accusation) et des cyberopérations clandestines censées signaler que des lignes rouges ont été franchies.

Néanmoins, cette posture est problématique pour au moins deux raisons. D’une part, elle ne rend pas compte de la façon dont, ayant privilégié les capacités et actions offensives, les agences américaines (notamment la NSA) ont créé des précédents. Ces derniers ont contribué à ce que les États-Unis soient considérés comme une menace par certains États tout en leur fournissant des arguments de légitimation pour justifier leur propre comportement. S’enclenche ainsi un dilemme de sécurité où l’attitude offensive (y compris dans les réponses exposant les comportements jugés inacceptables de leurs adversaires) génère une pression interne et un consensus en faveur de réponses plus agressives. Par ailleurs, l’empilement de capacités offensives sous la forme de vulnérabilités ou de malwares a pu contribuer à leur prolifération, notamment à la suite du vol d’une partie de l’arsenal de la NSA en 2016.

Mais d’autre part, les mesures prises pour dissuader au nom du principe de « l’imposition des conséquences » – et donc de l’exercice de contre-­mesures ou de représailles – semblent inefficaces. Selon un article récent publié par Monica Kaminska dans le Journal of Cybersecurity, cela s’explique par la logique de gestion des risques dont elles découlent (2). En d’autres termes, il s’agirait de limiter les effets des cyberopérations menées contre les États-Unis plutôt que d’exercer des représailles au risque de l’escalade, du dérapage ou de malentendus sur l’identité effective de l’agresseur. On peut compléter son analyse en observant que ce décalage entre la stratégie déclaratoire dissuasive et déterminée et une stratégie opérationnelle de gestion des risques contribue à alimenter le dilemme de sécurité. Si, en effet, le déclaratoire peut faire monter les enchères, l’opérationnel peut souligner la faiblesse et enhardir l’adversaire. Dans ce contexte, le maintien d’interactions « persistantes » entre les agences « au contact » dans l’espace numérique permettrait peut-être de gérer la friction et l’incertitude sans incliner à la paralysie ou à l’inaction (3).

Notes

(1) Sur les conséquences de ces piratages, voir l’analyse de Zack Dorfman : « China Used Stolen Data to Expose CIA Operatives in Africa and Europe », Foreign Policy, 21 décembre 2020 (https://​foreignpolicy​.com/​2​0​2​0​/​1​2​/​2​1​/​c​h​i​n​a​-​s​t​o​l​e​n​-​u​s​-​d​a​t​a​-​e​x​p​o​s​e​d​-​c​i​a​-​o​p​e​r​a​t​i​v​e​s​-​s​p​y​-​n​e​t​w​o​r​ks/) ; « Beijing Ransacked Data as US Sources Went Dark in China », Foreign Policy, 22 décembre 2020 (https://​foreignpolicy​.com/​2​0​2​0​/​1​2​/​2​2​/​c​h​i​n​a​-​u​s​-​d​a​t​a​-​i​n​t​e​l​l​i​g​e​n​c​e​-​c​y​b​e​r​s​e​c​u​r​i​t​y​-​x​i​-​j​i​n​p​i​ng/) ; « Tech Giants Are Giving China a Vital Edge in Espionage », Foreign Policy, 23 décembre 2020 (https://​foreignpolicy​.com/​2​0​2​0​/​1​2​/​2​3​/​c​h​i​n​a​-​t​e​c​h​-​g​i​a​n​t​s​-​p​r​o​c​e​s​s​-​s​t​o​l​e​n​-​d​a​t​a​-​s​p​y​-​a​g​e​n​c​i​es/).

(2) Monica Kaminska, « Restraint Under Condition of Uncertainty : Why the United States Tolerates Cyberattacks », Journal of Cybersecurity, vol. 7, no 1, 2021.

(3) Austin Carson, Secret Wars : Covert Conflict in International Politics, Cornell University Press, Ithaca, 2018.

Article paru dans la revue DSI n°153, « US Navy vs Marine iranienne : Opération « Praying Mantis » », Mai-Juin 2021.

À propos de l'auteur

Stéphane Taillat

Maître de conférences à l’université Paris-VIII détaché aux Écoles de Saint-Cyr Coëtquidan, chercheur au Centre de géopolitique de la datasphère (GEODE) et au pôle « mutations des conflits » du Centre de recherche des Écoles de Saint-Cyr Coëtquidan (CREC).

0
Votre panier