Sécurité et défense : De la relation entre « cyber » et « nucléaire »
Sont apparues ces dernières années des expressions telles que « cybermenace nucléaire », « cybersécurité nucléaire », « cybersécurité pour la protection physique des installations nucléaires », ou encore « dilemme de sécurité cyber/nucléaire », qui établissent l’existence de relations entre l’atome et le numérique. Les deux objets, cyber et nucléaire, occupent une place centrale dans les stratégies de sécurité et défense des États et dans la définition des rapports de force internationaux. Mais leur rencontre n’est pas sans risque.
Niveaux d’exposition aux cybermenaces du nucléaire civil et militaire
Fragilités du nucléaire civil
Plusieurs observateurs en conviennent : les infrastructures nucléaires sont insuffisamment préparées à affronter les cybermenaces (1), et ce alors même que les États et les acteurs du domaine nucléaire ont une conscience déjà significative des enjeux. L’actualité ne cesse de le rappeler : le secteur nucléaire subit des cyberattaques, mais est également victime d’incidents techniques comme des bugs logiciels (voir tableau ci-contre). Informatisé, connecté, en réseau, le domaine nucléaire est exposé aux mêmes risques et menaces cyber que tous les autres secteurs d’activité, critiques ou non. Les centrales nucléaires offrent une surface relativement importante aux cyberattaques. En moyenne, une centrale comporte 10000 capteurs, connectés par 5 000 km de câbles. Les 431 centrales réparties dans 31 pays utilisent des systèmes numériques et analogiques, pour le fonctionnement, la supervision, le stockage des données, etc. (2). Les cyberincidents survenus dans le domaine nucléaire ont représenté 12 % du total des réponses traitées par L’ICS-CERT en 2010 ; 5 % en 2011 ; 10,4 % en
(3) 2013 ; 6 % en 2014 (15 cas sur 245) ; 2,3 % en 2015 (7 cas du 295) (4).
Fragilités du nucléaire militaire
Aucun système ne saurait prétendre à une immunité totale dès lors qu’il est constitué d’ordinateurs, réseaux, logiciels. Le nucléaire de défense n’échappe pas à la règle (5). Les systèmes d’armes nucléaires sont soumis à des attaques incessantes, affirmait en 2012 l’un des responsables du Département de l’énergie américain (6).
Le Royal United Services Institute for Defence and Security Studies (RUSI) a publié en juillet 2016 un rapport sur la relation entre cybermenaces et armes nucléaires : les menaces que fait
(7) peser le cyber sur l’organisation de la défense nucléaire sont multiples. De rappeler (page 2) la multitude de cibles potentielles : les systèmes de commandement et de contrôle dont il convient de garantir le fonctionnement, les ordinateurs et/ou les individus, les ordinateurs, logiciels, liens de communication liés aux armes nucléaires, logiciels piratés, hardware corrompus, les données secrètes qu’il faut protéger, les infrastructures civiles ou militaires susceptibles d’implications sur les forces nucléaires… La complexité croissante des systèmes informatisant la chaîne
de l’arsenal nucléaire est également source potentielle d’accidents (8). Le rapport Hacking UK Trident
(9) décline lui aussi l’idée de la vulnérabilité aux cyberattaques des systèmes d’armes nucléaires : les vecteurs d’attaques sont multiples (injection de malwares au stade de la conception des systèmes, interception de données, drones sous-marins capables de détecter les bâtiments en s’approchant au plus près, nanotechnologies implantées dans les sous-marins permettant de capter et stocker des données, cyberattaques ciblant les soustraitants…), et l’absence de connexion à l’internet ou à tout réseau public ne constitue pas une protection absolue. L’accroissement de la complexité des techniques de cyberattaque élargit le champ des possibles et défie les capacités défensives. Le rapport circonscrit toutefois le périmètre des agresseurs aux acteurs étatiques, seuls en mesure de disposer à la fois de la volonté et des capacités pour mener de telles opérations.
Les impératifs : sécurisation accrue et modernisation
Au regard du volume de cyberattaques et cyberincidents observés dans le monde ces dernières décennies, étant donné l’évolution des modes d’attaques et l’incertitude qui pèse sur la capacité des moyens de sécurité et de défense actuels à protéger durablement les infrastructures critiques, le secteur nucléaire est appelé à renforcer sa cybersécurité et à se moderniser. Certes, le nombre de cyberattaques et cyberincidents documentés peut sembler insignifiant dans l’océan planétaire des cyberagressions. Mais l’opération « Stuxnet » a montré au monde entier ce qu’il est possible de faire en matière de cyberattaques visant des infrastructures nucléaires. Par ailleurs, les analyses alarmistes signifiant aux armées leurs vulnérabilités dans les multiples composantes de l’arsenal nucléaire ne sauraient être ignorées.
Renforcer le niveau de sécurisation tant dans le domaine civil que dans le domaine militaire
L’agence Internationale pour l’énergie Atomique (AIEA) a souligné à plusieurs reprises la nécessité d’intégrer la question cyber dans la sécurisation des installations nucléaires. Les enjeux sont rappelés dans ses Nuclear Security Studies (NSS), et plus particulièrement les NSS-13 et NSS-17 de 2011, et
(10) (11) NSS-19 de 2013 (12). Dans la NSS-13, les cyberattaques sont identifiées comme une menace potentielle à la sécurité physique des installations nucléaires. Il faut protéger, dit le document, tous les systèmes informatiques dont dépendent la sécurité et la sûreté physique des infrastructures et moyens de gestion de la matière nucléaire.
La Nuclear Threat Initiative (NTI), qui a mis en place un groupe de travail intitulé«cyber-nuclearweaponsstudy Group » (dont les réflexions portent sur la relation cyber/arme nucléaire, mais aussi et plus largement sur la sécurité des installations nucléaires face aux menaces cyber) a publié une étude en 2016 dans laquelle il conclut que :
(13)
• les États, les acteurs du nucléaire, opérateurs et régulateurs, sont bien entendu très conscients de la cybermenace, mais le niveau de prise en compte est très inégal d’un État à l’autre. Un premier bilan met en évidence quatre catégories, regroupant les États en fonction de leur niveau de prise en compte de la cybermenace ;
(14)
• les méthodes traditionnelles de cyberdéfense dans ce secteur ne sont pas à la hauteur des enjeux. Le numérique y a créé de nouvelles vulnérabilités. Il faut de nouvelles approches pour réduire considérablement ces risques spécifiques, au rang desquelles :
– l’institutionnalisation de la cybersécurité : notion qui sous-entend la mise en oeuvre d’un cadre réglementaire spécifique (rôle de l’état) en s’appuyant sur l’expérience de la sûreté nucléaire et de la sécurité physique des installations. Il faut former, motiver et recruter de nouveaux talents pourdévelopperlesecteurdelacybersécurité nucléaire et favoriser des échanges internationaux et la coopération autour du sujet spécifique de la cybersécurité nucléaire,
– la mise en oeuvre d’une défense active, les architectures de cybersécurité statiques actuelles étant insuffisantes,
– la réduction de la complexité – ennemie de la sécurité – en développant, quand cela est possible, des systèmes non numériques. Les systèmes développés jusqu’alors ont sans doute atteint dans bien des cas une complexité trop élevée, qui ne permet plus d’en évaluer le niveau de risque. Les auteurs préconisent donc une désinformatisation, autant que possible, de l’appareil nucléaire industriel.
Moderniser
Le rapport publié par le Government Accountability Office en mai 2016 a souligné l’urgence de la nécessaire modernisation de systèmes informatiques vieillissants. Plusieurs agences fédérales utilisent des systèmes, logiciels et matériels obsolètes qui ne sont plus maintenus et ont parfois près d’un demi-siècle d’existence (15). Il rappelle que de tels systèmes obsolètes, qu’il qualifie de « aging legacy systems », sont présents au coeur de l’organisation de la défense américaine. Ainsi, le système de commandement et de contrôle de l’arme de dissuasion serait piloté à l’aide d’ordinateurs datant des années 1970 (IBM Series/1 Computer), utilisant des disquettes 8 pouces. La question de l’existence des « legacy systems » dans les équipements militaires n’est pas nouvelle (16). Mais quand elle touche aux plus sensibles, que sont ceux de l’arsenal nucléaire, elle devient plus critique.
Lors de récentes séances (7 juin 2017) du sous-comité des forces stratégiques du Sénat américain, plusieurs responsables et experts se sont exprimés sur le programme d’acquisition, sur la doctrine et la stratégie nucléaire et ont confirmé la nécessité de modernisation (17). Celle-ci, maintes fois reportée, ne peut plus attendre, affirment-ils. Les capacités ont atteint leur limite d’âge, poursuivent-ils, et la modernisation consistera notamment à intégrer dans les capacités nucléaires les technologies du XXIE siècle. À titre d’exemple, le général Robin Rand cite le cas du B-52, qui restera en service au moins jusqu’en 2050, mais dont les systèmes radars devront être modernisés, car utilisant les technologies des années 1960-1980. La modernisation de l’appareil est d’ailleurs déjà engagée : il est entré dans l’ère numérique après modifications de sa configuration, permettant à l’équipage d’avoir une vue partagée de l’espace de bataille.
En France, un rapport du Sénat du mois de mai 2017, intitulé La nécessaire modernisation de la dissuasion nucléaire, aborde lui aussi la question du lien cyber/nucléaire : les systèmes de communication, détection, surveillance sont au coeur des systèmes de la défense nucléaire. La prise en compte des cybermenaces est donc essentielle dans cette modernisation de l’arsenal de dissuasion (18).
Le lien cyberdéfense/ défense nucléaire : questions stratégiques, doctrinales
Le même rapport estime que les enjeux de la relation cyber/nucléaire sont à la fois techniques (l’opération « Stuxnet » fait là encore référence, mais sont également rappelés les risques associés à toute la chaîne de construction de l’arsenal nucléaire, comprenant l’industrie, la sous-traitance, la recherche, et les risques d’espionnage auxquels elle est confrontée) et doctrinaux (peut-on par exemple envisager une réaction nucléaire à une cyberattaque ?).
Les cas de recours au nucléaire envisagés par la doctrine américaine ne semblent pas pouvoir inclure une option de riposte à une cyberattaque majeure. Rien n’est clairement dit par les États qui se réservent le droit de recourir à l’arme atomique dans le
cas de menaces et atteintes majeures à leur espace souverain. L’attribution des cyberattaques demeurant un processus long et encore incertain dans bien des cas, cette option de réaction nucléaire semble peu envisageable et paraît disproportionnée.
Cyberdissuasion versus dissuasion nucléaire
Sur le plan théorique, conceptuel, stratégique ou doctrinal, le modèle de la dissuasion nucléaire n’a cessé de fournir depuis près de vingt ans les bases d’une réflexion autour de la notion de «cyberdissuasion». Les stratégistes ont recherché les analogies entre un atome fait arme de destruction massive et un cyber fait arme de perturbation massive, sans toutefois parvenir à des conclusions permettant de formuler cette stratégie de cyberdissuasion (19). Elle viserait à empêcher tout État de lancer des cyberattaques majeures méritant le qualificatif d’acte de guerre et mettant en péril la nation tout entière. On a ici en tête le spectre d’un Cybergeddon.
Pour l’heure, à vrai dire, rien n’interdit le recours à un cyberarmement, et rien ne semble devoir en réguler, limiter, contrôler le développement, contrairement au nucléaire. Cyber et nucléaire sont d’ailleurs engagés dans deux dynamiques inverses : l’arsenal nucléaire est, ou devrait être, en diminution ; quand l’arsenal cyber est dans une dynamique de croissance, incontrôlable, de prolifération. C’est donc, selon nous, sur un autre plan qu’il faut chercher le point de rencontre entre dissuasion nucléaire et cyberdéfense : le recours aux cyberarmes ou aux cyberopérations peut-il se substituer à l’emploi de la force nucléaire ? Le recours aux cyberarmes/cyberopérations peutil contrer les stratégies de dissuasion nucléaire (affaiblir ou annihiler les capacités nucléaires d’un adversaire) ?
Le cyber peut-il se substituer à la puissance nucléaire ?
Tel n’est pas le chemin pris par les États, qui réaffirment la suprématie de l’arme nucléaire pour garantir la paix et la stabilité. Le sénateur Fisher, qui ouvre la séance du sous-comité des forces stratégiques du Sénat américain (7 juin 2017), rappelle les déclarations du président Barack Obama lors d’un discours à Prague en 2009 : « Aussi longtemps que les armes nucléaires existeront, les États-unis maintiendront un arsenal sûr, sécurisé et efficace permettant de dissuader tout ennemi, et de garantir la défense de nos alliés. »
(20) Dans le même ordre d’idées, un officiel de la défense américaine déclare : « Les armes nucléaires qui sont entre les mains d’adversaires potentiels constituent la seule menace existentielle claire pesant sur les États-unis et, de fait, menacent aussi ses alliés. » Exit, donc, la
(21) cybermenace existentielle. Cyber et nucléaire ne jouent pas sur le même registre : l’une est arme de destruction massive, l’autre de perturbation massive.
Les États peuvent-ils recourir sans danger à des cyberopérations pour paralyser des capacités nucléaires ?
Mais en jouant pleinement de cette capacité perturbatrice, l’arme cyber pourrait remettre en question la capacité nucléaire de l’adversaire. L’hypothèse fut émise selon laquelle des cyberopérations américaines seraient à l’origine des échecs que rencontre le programme balistique nordcoréen – idée formulée après les deux échecs successifs d’octobre 2016 (22). Mais alors, comment expliquerait-on ses nombreux succès ? Certaines analyses attribuent plus simplement ces échecs à l’absence de maîtrise totale des technologies par les ingénieurs nord-coréens (23). Quoi qu’il en soit, la capacité d’interférer avec le système de défense nucléaire adverse, d’altérer, voire d’annihiler sa capacité d’action nucléaire, demeure une option stratégique essentielle, à la fois pour les pays qui eux-mêmes possèdent l’arsenal nucléaire et pour ceux qui en sont dépourvus.
Mais cette option implique une approche proactive, offensive : elle est une attaque préemptive (24), une opération devant être menée en amont, sans doute même avant le conflit. La généralisation de cette stratégie de sabotage présenterait un risque de déstabilisation des relations internationales non négligeable : suspicion généralisée, caractère illégal de ces attaques contre des pays qui ne sont pas en guerre, absence de limite ou de définition d’un périmètre de ce qui relève des systèmes de la dissuasion nucléaire, question de droit international aussi (ces opérations de sabotage sont des attaques contre des systèmes qui touchent à la souveraineté des États. Sans doute pourraient-elles être qualifiées d’actes de guerre). Comment la communauté internationale accueillerait-elle cette extension non cinétique mais offensive des options de défense antinucléaire ? Plusieurs analystes insistent sur la notion d’incertitude qu’introduit
dans la stratégie nucléaire la notion de cyberattaques.
Le dilemme de sécurité cyber/nucléaire
Le rapport du RUSI déjà cité introduit la notion de «nouveau dilemme de sécurité cyber/nucléaire ». L’expression désigne la place importante que tiendra désormais le cyber dans les décisions liées au nucléaire et dans les équilibres stratégiques. L’un doit être pensé en fonction de l’autre. L’équilibre relatif créé par la dissuasion nucléaire est en partie remis en question par l’incertitude introduite par le cyber dans le système international. Les cyberattaques peuvent désormais jouer un rôle sur la stabilité entre États nucléaires. L’association de cyberattaques perturbant les communications, les processus de décision, de commandement, en temps de crise sur fond de menace nucléaire, complexifie l’analyse de la situation. Les cyberattaques peuvent avoir un effet sur les perceptions, sur l’interprétation des intentions des ennemis, sur le sentiment d’insécurité, de menace, sur la pression ressentie par les décideurs, et se traduire par des décisions dans le domaine nucléaire.