Les Grands Dossiers de Diplomatie
L’impossible régulation de la conflictualité numérique ?
Alors que le cyberespace a été progressivement intégré dans le répertoire d’actions des acteurs internationaux dans la poursuite de leurs objectifs politiques ou dans le cadre de compétitions stratégiques, les enjeux qui lui sont liés ont crû dans le même
Le paysage de la conflictualité numérique contemporaine semble paradoxal. D’un côté, on assiste à une multiplication des attaques numériques, qu’il s’agisse d’opérations d’influence sur les réseaux sociaux (des interférences prêtées à la Russie dans les élections présidentielles américaines de 2016 jusqu’aux tentatives prêtées au gouvernement saoudien de modeler les interprétations de l’affaire Khashoggi), de campagnes d’intrusions ou de sabotage de plus en plus destructrices ou perturbatrices (des ransomwares Wannacry et NotPetya à la fin du printemps et au début de l’été 2017 jusqu’aux intrusions dans les infrastructures énergétiques ou financières en Asie du Sud-Est, aux États-Unis ou au MoyenOrient) ou encore de longues opérations d’espionnage à caractère industriel dont les Chinois sont régulièrement soupçonnés. D’un autre côté, aucune de ces opérations ne semble avoir franchi le seuil de la guerre tandis que les réactions de certains gouvernements – notamment celui des États-Unis et de la plupart des « Five Eyes » (1) – se durcissent et se systématisent : mises en examen de hackers, sanctions, déclarations d’attribution communes.
Un nouveau champ de confrontation pour de nouvelles menaces
Nous avons donc assisté à un bouleversement stratégique qui s’est cristallisé au cours de la décennie 2010. Une mutation des représentations liées au cyberespace en premier lieu, comme espace de liberté et de progrès vers un champ de confrontation où prolifèrent des menaces permanentes face à des vulnéra-
bilités croissantes (2). Une diversification des acteurs de la conflictualité numérique ensuite, les gouvernements s’étant attelé à un rattrapage des acteurs non étatiques et les associant de plus en plus dans leurs opérations. Enfin, une évolution du spectre des modes d’actions sous le seuil du recours à la force armée, associant espionnage, interférence, perturbations, sabotage et préparation opérationnelle. Ces transformations ont accompagné le formidable essor du domaine numérique, c’est-à-dire à la fois du cyberespace et des activités qui en dépendent.
Ce bouleversement stratégique pose un défi à la régulation de la conflictualité numérique. D’une part, en effet, le développement du domaine numérique produit une interdépendance entre les acteurs internationaux et l’interpénétration des sphères publiques et privées ou civiles et militaires. Les usages émergents des technologies numériques engendrent donc des menaces ou des défis communs à une grande partie des acteurs selon une complexité croissante où s’enchevêtrent les échelles internationales, régionales, transnationales, nationales et même individuelles. D’autre part cependant, si les acteurs internationaux ont cherché à développer des régulations nationales et internationales concernant certaines de ces menaces (en particulier la cybercriminalité (3)), ils peinent à s’entendre sur la régulation de la conflictualité numérique, d’autant plus qu’elle se déroule en temps de paix. Cette difficulté s’explique par deux facteurs. En premier lieu, les représentations du cyberespace, des enjeux qu’ils représentent et des menaces prioritaires à traiter diffèrent entre les principales puissances. Les États-Unis, les États européens, l’Australie ou le Japon soulignent la nécessité d’un espace libre et ouvert. La principale menace pèse sur les infrastructures critiques ou vitales. Pour la Chine, la Russie, l’Iran ou Cuba, le cyberespace est une partie d’un espace informationnel plus vaste dans lequel les menaces concernent surtout la stabilité politique et la cohésion sociale. Bien entendu, l’inscription de certains de ces acteurs dans une compétition stratégique de long terme tend à augmenter l’hétérogénéité de ces représentations, d’autant plus que la domination historique des États-Unis sur le domaine numérique produit à leurs yeux un désavantage asymétrique qu’il leur faut pallier. En second lieu, l’interconnexion croissante entre les enjeux et les acteurs de la conflictualité numérique explique le rôle que jouent les acteurs non étatiques. Ceux-ci participent à la conflictualité numérique comme proxies, comme acteurs autonomes ou comme entrepreneurs de normes (4). Par conséquent, ils ajoutent à la turbulence des interactions stratégique et contribuent davantage encore au brouillage des catégories conventionnelles de la conflictualité, de la guerre et de la paix.
Un instrument à l’utilité limitée
L’intégration des technologies numériques dans le répertoire d’action des États s’inscrit dans un contexte caractérisé par l’ubiquité des vulnérabilités d’une part, la recherche d’options élargissant la marge de manoeuvre des États d’autre part. Ce processus a combiné les spécificités du cyberespace et les usages des acteurs.
L’omniprésence des vulnérabilités signifie que le nombre de cibles, de points d’entrée et de vecteurs d’attaque est théoriquement illimité. En découlent des caractéristiques révolutionnaires du cyberespace : l’avantage absolu donné à l’offensive et l’avantage relatif dont disposent les acteurs les moins puissants par rapport aux plus puissants. Néanmoins, les vulnérabilités ne sont pas équitablement réparties dans le cyberespace, ce qui suggère en retour une réévaluation de ces équilibres. Une grille de lecture classique distingue les vulnérabilités selon une représentation en couches (5). S’attaquer aux infrastructures physiques pour porter atteinte à leur disponibilité, à leur intégrité et à la confidentialité des données ou des informations qui en dépendent demande davantage de ressources que de manipuler des lignes de codes ou de détourner voire falsifier ces données. Et ces opérations seraient plus coûteuses à mener
Les usages émergents des technologies numériques engendrent des menaces ou des défis communs à une grande partie des acteurs, selon une complexité croissante où s’enchevêtrent les échelles internationales, régionales, transnationales, nationales et même individuelles.
avec une moindre probabilité de succès que les manoeuvres consistant à tromper la vigilance des individus par l’envoi de mails frauduleux par exemple (le « spear phishing ») (6).
Il convient de compléter ce cadrage des vulnérabilités par trois autres facteurs. En premier lieu, certaines vulnérabilités sont moins faciles à exploiter mais plus difficiles à « patcher » (c’est le cas des failles matérielles par exemple). En second lieu, certaines cibles sont plus difficiles à atteindre car situées au sein d’un réseau théoriquement isolé du réseau global Internet. En troisième lieu enfin, les infrastructures de communication (câbles) et de stockage ( data centers) de même que les ressources numériques qui permettent le fonctionnement d’Internet (serveurs racines DNS) répondent à des logiques qui peuvent les placer sous le contrôle souverain d’un État ou sous la gouvernance d’un nombre restreint d’acteurs.
En outre, les technologies numériques entretiennent l’ambiguïté quant à l’identité et aux intentions d’un acteur. Elles permettent donc à certains de mener des opérations d’intrusion ou de perturbation en conservant un seuil raisonnable d’anonymat ou, à tout le moins, de capacité de déni plausible (7). Il en résulte un dilemme lié à l’opportunité d’attribuer une action à son perpétrateur de la part de celui qui en serait la victime. Cette opportunité, de même que la façon dont communiquer cette information sur l’identité de l’agresseur, est politique par nature. C’est-à-dire qu’elle découle de choix opérés par des décideurs dans un contexte donné et selon leur perception de ce qui est en jeu. D’autre part, elle dépend également de la capacité de ces décideurs à gérer un processus complexe impliquant des niveaux d’analyse très divers, des agences ou des bureaux aux perspectives différentes voire opposées et des enjeux se situant sur plusieurs domaines (8). Enfin, le processus d’attribution inclut nécessairement la question de la communication des éléments à disposition ainsi que celle de la réponse. Bien sûr, le temps de latence engendré par ce processus est un obstacle supplémentaire. Lire ce problème sous l’angle des enjeux permet donc de mettre en lumière la complexité des calculs stratégiques dans un contexte particulier. Enfin, maîtriser les effets des opérations numériques est problématique. En premier lieu, l’interdépendance créée par les réseaux, la manière dont s’y articulent des domaines et des échelles très divers posent le risque d’un effet de bord ou d’un retour de flamme. En second lieu, la complexité du domaine numérique rend possibles des effets en cascade au caractère imprévisible. En troisième lieu, les phénomènes de mauvais calculs, de perceptions erronées et de malentendus peuvent faire craindre l’escalade découlant de représailles de la part de la cible. Ainsi, la cyberdéfense – entendue comme la manière d’exploiter le cyberespace à des fins stratégiques – est marquée par des incitations à l’action offensive. Néanmoins, l’utilité très relative des opérations et armes numériques suggère une dynamique vers la retenue. La conflictualité numérique dépend étroitement de la capacité à la prise de risque des acteurs, laquelle est
La cyberdéfense – entendue comme la manière d’exploiter le cyberespace à des fins stratégiques – est marquée par des incitations à l’action offensive. Néanmoins, l’utilité très relative des opérations et armes numériques suggère une dynamique vers la retenue.
liée à leurs objectifs politiques et à leurs enjeux.
Le dilemme de cybersécurité
La question de la sécurité collective est donc cruciale dans la mesure où elle invite à réfléchir à ce qui peut réguler ou déréguler la conflictualité numérique. Celle-ci est structurée par un dilemme de sécurité particulier dans un contexte d’absence de régime de sécurité partagé et de retour à la compétition entre grandes puissances.
Un dilemme de sécurité s’explique par l’incertitude fondamentale quant aux intentions des protagonistes dans un contexte anarchique (9). La manifestation du dilemme de sécurité dans le cyberespace s’articule autour de trois propositions. En premier lieu, la préparation opérationnelle nécessite de pénétrer les réseaux de la cible en avance. En second lieu, les acteurs sont incités à entrer dans les systèmes pour des raisons purement défensives. Enfin, l’ensemble est couronné par le fait que toute intrusion est intrinsèquement perçue comme menaçante. La confusion entre les modalités tactiques de l’attaque et la défense aggrave l’incertitude quant aux intentions. Le dilemme oppose donc la pénétration des réseaux – y compris à des fins défensives – et la retenue afin d’éviter une mauvaise interprétation de la part de la cible. Par conséquent, les comportements ne sont pas prévisibles, ce qui alimente un cycle de tensions. Le caractère imprévisible de ces configurations est aggravé par l’absence de régime de sécurité permettant d’orienter les attentes et les comportements des acteurs. Cette lacune provient d’abord de la difficulté à appréhender le cyberespace dans les catégories classiques de la sécurité et la conflictualité. Mais elle résulte aussi d’une dynamique croissante de rivalités et de confron-
tation. Ainsi, le processus lancé par les cycles de négociation du Groupe des Experts Gouvernementaux de l’ONU depuis le début du XXIe siècle a pu aboutir à certaines avancées concernant la reconnaissance de l’applicabilité du droit international dans le cyberespace (2010) ou la définition d’un ensemble de normes de comportement responsable (2013). Mais il continue d’achopper sur les mesures que les États pourraient prendre en réponse à des attaques contre les intérêts qu’ils estiment comme vitaux (2017). De la même façon, la question de la régulation et de la gouvernance d’Internet demeure un point de désaccord, certains acteurs prônant un mécanisme inclusif de type multi-acteurs (les États-Unis en premier lieu) tandis que d’autres défendent l’idée d’une régulation souveraine (comme la Russie ou la Chine). Les stratégies de cybersécurité publiées aux États-Unis dans l’année 2018 proposent une autre voie de régulation de la conflictualité numérique : celle de l’apprentissage forcé des normes par les acteurs qu’ils jugent dangereux. Cette approche passe par la constitution d’une coalition de gouvernements like-minded, par la mise en oeuvre de réponses judiciaires ou de sanctions économiques visant les contrevenants, et même par des actions offensives destinées à perturber et à dissuader les agresseurs. Si cette option est cohérente dans l’optique de la réaffirmation des États-Unis, son inscription dans la logique du retour à la compétition de long terme entre les grandes puissances pose les questions tant de son efficacité, que de ses effets contre-productifs en matière d’alimentation des tensions.
La conflictualité numérique est donc soumise à des tensions contradictoires issues des comportements et des usages qu’en ont fait les États dans la décennie écoulée. Par conséquent, elle se caractérise autant par sa propension à accroître les risques posés à la sécurité collective que par la retenue relative dont font preuve les principaux acteurs internationaux. La radicalisation des postures des principaux protagonistes de la scène internationale fragilise cet équilibre précaire. Combinée à la diversité des acteurs et de leurs logiques sur cette même scène, elle contribue à accroître l’incertitude, c’est-à-dire la difficulté à interpréter et à prévoir les comportements individuels et collectifs.
La question de la régulation et de la gouvernance d’Internet demeure un point de désaccord, certains acteurs prônant un mécanisme inclusif de type multi-acteurs (les ÉtatsUnis en premier lieu) tandis que d’autres défendent l’idée d’une régulation souveraine (comme la Russie ou la Chine).