Dans leur article fondateur de 1993, John Arquilla et David Ronfeldt décrivaient l’avantage décisif que procurerait dans les conflits futurs la maîtrise informationnelle découlant de la révolution numérique (1). La « cyberguerre » dont ils annonçaient la venue mettait aux prises des forces cherchant à maximiser l’information dans la manœuvre et les effets tout en l’interdisant à l’adversaire.
À la fin de la décennie, John Hamre, secrétaire adjoint à la défense des États-Unis, évoquait le scénario d’un « Pearl Harbor électronique » en cas d’opération contre les infrastructures critiques (2). La « cyberguerre » prenait ici la forme d’une attaque surprise dans la profondeur facilitée par la numérisation croissante de la société américaine et par le développement du cyberespace. Ces deux représentations faisaient écho à une conception de la guerre et du combat marquée par une forte intensité politique et capacitaire. Entre-temps, l’instrumentalisation stratégique du cyberespace est devenue un élément du répertoire des acteurs étatiques et non étatiques, de manière limitée pour les opérations militaires et dans le cadre des conflits armés, de façon plus systématique dans le contexte de la compétition en temps de paix.
Les cyberopérations – le recours à la combinaison de ressources techniques, humaines et organisationnelles afin d’exploiter les vulnérabilités d’un système d’information et de communication – ont notamment contribué à la reconfiguration de la grammaire stratégique. Celle-ci s’est élargie au-delà du jeu des menaces coercitives pour inclure des stratégies de subversion instrumentalisant les faiblesses et les ressources d’un système sociotechnique ou sociopolitique adverse sous le seuil du conflit armé ou du recours à la force (3). Plutôt que de signaler des intentions et des capacités, il s’agit de jouer sur les niveaux d’ambiguïté pour modeler les rapports de force dans le cadre de la compétition ou du conflit. De cette manière, elles permettent d’atteindre des objectifs politiques ou des avantages stratégiques en évitant une réponse coercitive trop forte, tout en offrant une solution de continuité au-delà du seuil si nécessaire. En raison de la complexité opérationnelle et de la nécessité d’éviter l’escalade, l’efficacité des cyberopérations dans ce cadre reste limitée et ambiguë. Toutefois, on semble observer l’entrée dans une nouvelle phase qui s’accélère depuis 2017, dans laquelle les infrastructures critiques et les systèmes opérationnels sont de plus en plus la cible d’intrusions, voire de tentatives de perturbation.
Parallèlement, les cyberopérations sont aussi présentes dans le cadre des conflits armés, indépendamment des opérations militaires ou articulées à celles-ci. Les logiques d’emploi diffèrent selon le niveau de l’action (tactique, opératif ou stratégique) et la fonction (substitution aux moyens cinétiques, soutien aux opérations, complément aux autres modes d’action). D’une part, l’omniprésence des systèmes et des réseaux numériques tend à faire converger les opérations de lutte informationnelle, les actions de renseignement à grande échelle et la perturbation physique ou cognitive des infrastructures de commandement et de contrôle. Des opérations américaines contre Al-Qaïda en Irak en 2007 à celles contre l’infrastructure de propagande et de recrutement de l’Organisation État islamique en passant par la guerre russo-géorgienne de 2008 et les opérations en Ukraine, on voit se multiplier le recours aux cyberopérations pour mener des opérations de renseignement, de déception, d’influence et de perturbation. D’autre part, cet activisme semble caractérisé par d’importantes limites qui en restreignent le champ d’efficacité à des paramètres spécifiques. La complexité opérationnelle (en matière de ciblage, de maîtrise des effets, de maintien de contrôle sur la cible, de gestion des capacités) ainsi que l’importance cruciale du timing s’ajoutent aux difficultés de coordination entre les lignes d’opérations, entre les niveaux de commandement et d’action, entre les milieux (4). En découle un allongement du cycle opérationnel ainsi que la mobilisation importante de ressources techniques, humaines et organisationnelles. Enfin, la difficulté à traduire les effets des opérations numériques entre les différents niveaux tactiques, opératifs et stratégiques en limite l’utilité en dehors de contextes particuliers (5).
Or l’action dans le cyberespace est une condition sine qua non de la planification et de la conduite des opérations militaires contemporaines et futures. La numérisation des forces armées en fait un élément structurant pour le combat multi-champs/multi-milieux. La mise en données du champ de bataille et la mise en réseaux des différents éléments du système de forces doivent permettre de créer des capacités collectives dans le cadre du « combat collaboratif » : une connaissance partagée en temps réel, une capacité à manœuvrer et à produire des effets de façon synchronisée, une compensation de la masse par l’information. Enfin, tout cela doit contribuer à accélérer le tempo des opérations militaires (6). D’où des défis techniques, organisationnels et opérationnels qui ajoutent à la complexité : capacité sécurisée de stockage et de partage des données, interopérabilité et sécurité des systèmes d’information et de communication, multiplication des plates-formes numérisées, niveau d’intégration des capacités de lutte informatique, développement de capacités d’aide à la décision par l’intelligence artificielle, culture et pratiques du commandement et du contrôle, etc.
Ces paramètres de vulnérabilité et de complexité prennent une importance renouvelée dans le contexte du retour possible à la haute intensité. Encore faut-il définir ce que recouvre cette notion. Au premier abord, elle désigne le durcissement des opérations sur le champ de bataille où la létalité, les capacités de frappes précises dans la profondeur et la multiplication des capteurs penchent vers une forte attrition et des difficultés à manœuvrer (7).
Sur ce plan tactico-opératif, cela se traduirait par des dilemmes importants dans la conduite de cyberopérations. La complexité augmentant avec le temps, il est probable que ces dernières connaissent un rendement décroissant. Mais la notion d’intensité peut aussi se lire à travers un prisme politique dans le cas où les enjeux d’un conflit ou d’une crise deviendraient plus existentiels. Le recours à des cyberopérations offensives ou à des opérations d’influence au niveau stratégique serait à considérer. D’une part, la vulnérabilité et l’exposition croissante des infrastructures critiques présenteraient un risque réel en cas d’attaque préventive ou de tentative de paralysie ou de dislocation. Les mécanismes de la dissuasion resteraient suspendus à la capacité de maintenir la crédibilité des moyens de rétorsion dans un contexte où ceux-ci pourraient aussi être vulnérables à des opérations de perturbation, de déception ou de destruction. D’autre part cependant, les cas où des opérations préalables de paralysie des infrastructures ont pu être envisagées montrent les limites et les risques d’une telle approche. L’opération contre la défense aérienne libyenne en 2011 n’a pas été mise à exécution en raison du faible délai de préparation et de la méconnaissance relative de la configuration matérielle et logicielle des systèmes visés (8). La préparation d’une opération américaine afin de paralyser la défense aérienne, les transports et les réseaux énergétiques iraniens lors du premier mandat de Barack Obama aurait demandé de nombreux mois de préparation, sans compter la nécessité de maintenir les effets sur une longue durée le cas échéant (9). Enfin, l’interconnexion et l’interdépendance globale augmenteraient les risques, y compris pour l’initiateur. Toutefois, il est possible que l’intensité politique de la crise ou du conflit incite à une plus grande prise de risques.
