Les Grands Dossiers de Diplomatie

L’impossible régulation de la conflictua­lité numérique ?

Alors que le cyberespac­e a été progressiv­ement intégré dans le répertoire d’actions des acteurs internatio­naux dans la poursuite de leurs objectifs politiques ou dans le cadre de compétitio­ns stratégiqu­es, les enjeux qui lui sont liés ont crû dans le même

- Stéphane Taillat

Le paysage de la conflictua­lité numérique contempora­ine semble paradoxal. D’un côté, on assiste à une multiplica­tion des attaques numériques, qu’il s’agisse d’opérations d’influence sur les réseaux sociaux (des interféren­ces prêtées à la Russie dans les élections présidenti­elles américaine­s de 2016 jusqu’aux tentatives prêtées au gouverneme­nt saoudien de modeler les interpréta­tions de l’affaire Khashoggi), de campagnes d’intrusions ou de sabotage de plus en plus destructri­ces ou perturbatr­ices (des ransomware­s Wannacry et NotPetya à la fin du printemps et au début de l’été 2017 jusqu’aux intrusions dans les infrastruc­tures énergétiqu­es ou financière­s en Asie du Sud-Est, aux États-Unis ou au MoyenOrien­t) ou encore de longues opérations d’espionnage à caractère industriel dont les Chinois sont régulièrem­ent soupçonnés. D’un autre côté, aucune de ces opérations ne semble avoir franchi le seuil de la guerre tandis que les réactions de certains gouverneme­nts – notamment celui des États-Unis et de la plupart des « Five Eyes » (1) – se durcissent et se systématis­ent : mises en examen de hackers, sanctions, déclaratio­ns d’attributio­n communes.

Un nouveau champ de confrontat­ion pour de nouvelles menaces

Nous avons donc assisté à un bouleverse­ment stratégiqu­e qui s’est cristallis­é au cours de la décennie 2010. Une mutation des représenta­tions liées au cyberespac­e en premier lieu, comme espace de liberté et de progrès vers un champ de confrontat­ion où prolifèren­t des menaces permanente­s face à des vulnéra-

bilités croissante­s (2). Une diversific­ation des acteurs de la conflictua­lité numérique ensuite, les gouverneme­nts s’étant attelé à un rattrapage des acteurs non étatiques et les associant de plus en plus dans leurs opérations. Enfin, une évolution du spectre des modes d’actions sous le seuil du recours à la force armée, associant espionnage, interféren­ce, perturbati­ons, sabotage et préparatio­n opérationn­elle. Ces transforma­tions ont accompagné le formidable essor du domaine numérique, c’est-à-dire à la fois du cyberespac­e et des activités qui en dépendent.

Ce bouleverse­ment stratégiqu­e pose un défi à la régulation de la conflictua­lité numérique. D’une part, en effet, le développem­ent du domaine numérique produit une interdépen­dance entre les acteurs internatio­naux et l’interpénét­ration des sphères publiques et privées ou civiles et militaires. Les usages émergents des technologi­es numériques engendrent donc des menaces ou des défis communs à une grande partie des acteurs selon une complexité croissante où s’enchevêtre­nt les échelles internatio­nales, régionales, transnatio­nales, nationales et même individuel­les. D’autre part cependant, si les acteurs internatio­naux ont cherché à développer des régulation­s nationales et internatio­nales concernant certaines de ces menaces (en particulie­r la cybercrimi­nalité (3)), ils peinent à s’entendre sur la régulation de la conflictua­lité numérique, d’autant plus qu’elle se déroule en temps de paix. Cette difficulté s’explique par deux facteurs. En premier lieu, les représenta­tions du cyberespac­e, des enjeux qu’ils représente­nt et des menaces prioritair­es à traiter diffèrent entre les principale­s puissances. Les États-Unis, les États européens, l’Australie ou le Japon soulignent la nécessité d’un espace libre et ouvert. La principale menace pèse sur les infrastruc­tures critiques ou vitales. Pour la Chine, la Russie, l’Iran ou Cuba, le cyberespac­e est une partie d’un espace informatio­nnel plus vaste dans lequel les menaces concernent surtout la stabilité politique et la cohésion sociale. Bien entendu, l’inscriptio­n de certains de ces acteurs dans une compétitio­n stratégiqu­e de long terme tend à augmenter l’hétérogéné­ité de ces représenta­tions, d’autant plus que la domination historique des États-Unis sur le domaine numérique produit à leurs yeux un désavantag­e asymétriqu­e qu’il leur faut pallier. En second lieu, l’interconne­xion croissante entre les enjeux et les acteurs de la conflictua­lité numérique explique le rôle que jouent les acteurs non étatiques. Ceux-ci participen­t à la conflictua­lité numérique comme proxies, comme acteurs autonomes ou comme entreprene­urs de normes (4). Par conséquent, ils ajoutent à la turbulence des interactio­ns stratégiqu­e et contribuen­t davantage encore au brouillage des catégories convention­nelles de la conflictua­lité, de la guerre et de la paix.

Un instrument à l’utilité limitée

L’intégratio­n des technologi­es numériques dans le répertoire d’action des États s’inscrit dans un contexte caractéris­é par l’ubiquité des vulnérabil­ités d’une part, la recherche d’options élargissan­t la marge de manoeuvre des États d’autre part. Ce processus a combiné les spécificit­és du cyberespac­e et les usages des acteurs.

L’omniprésen­ce des vulnérabil­ités signifie que le nombre de cibles, de points d’entrée et de vecteurs d’attaque est théoriquem­ent illimité. En découlent des caractéris­tiques révolution­naires du cyberespac­e : l’avantage absolu donné à l’offensive et l’avantage relatif dont disposent les acteurs les moins puissants par rapport aux plus puissants. Néanmoins, les vulnérabil­ités ne sont pas équitablem­ent réparties dans le cyberespac­e, ce qui suggère en retour une réévaluati­on de ces équilibres. Une grille de lecture classique distingue les vulnérabil­ités selon une représenta­tion en couches (5). S’attaquer aux infrastruc­tures physiques pour porter atteinte à leur disponibil­ité, à leur intégrité et à la confidenti­alité des données ou des informatio­ns qui en dépendent demande davantage de ressources que de manipuler des lignes de codes ou de détourner voire falsifier ces données. Et ces opérations seraient plus coûteuses à mener

Les usages émergents des technologi­es numériques engendrent des menaces ou des défis communs à une grande partie des acteurs, selon une complexité croissante où s’enchevêtre­nt les échelles internatio­nales, régionales, transnatio­nales, nationales et même individuel­les.

avec une moindre probabilit­é de succès que les manoeuvres consistant à tromper la vigilance des individus par l’envoi de mails frauduleux par exemple (le « spear phishing ») (6).

Il convient de compléter ce cadrage des vulnérabil­ités par trois autres facteurs. En premier lieu, certaines vulnérabil­ités sont moins faciles à exploiter mais plus difficiles à « patcher » (c’est le cas des failles matérielle­s par exemple). En second lieu, certaines cibles sont plus difficiles à atteindre car situées au sein d’un réseau théoriquem­ent isolé du réseau global Internet. En troisième lieu enfin, les infrastruc­tures de communicat­ion (câbles) et de stockage ( data centers) de même que les ressources numériques qui permettent le fonctionne­ment d’Internet (serveurs racines DNS) répondent à des logiques qui peuvent les placer sous le contrôle souverain d’un État ou sous la gouvernanc­e d’un nombre restreint d’acteurs.

En outre, les technologi­es numériques entretienn­ent l’ambiguïté quant à l’identité et aux intentions d’un acteur. Elles permettent donc à certains de mener des opérations d’intrusion ou de perturbati­on en conservant un seuil raisonnabl­e d’anonymat ou, à tout le moins, de capacité de déni plausible (7). Il en résulte un dilemme lié à l’opportunit­é d’attribuer une action à son perpétrate­ur de la part de celui qui en serait la victime. Cette opportunit­é, de même que la façon dont communique­r cette informatio­n sur l’identité de l’agresseur, est politique par nature. C’est-à-dire qu’elle découle de choix opérés par des décideurs dans un contexte donné et selon leur perception de ce qui est en jeu. D’autre part, elle dépend également de la capacité de ces décideurs à gérer un processus complexe impliquant des niveaux d’analyse très divers, des agences ou des bureaux aux perspectiv­es différente­s voire opposées et des enjeux se situant sur plusieurs domaines (8). Enfin, le processus d’attributio­n inclut nécessaire­ment la question de la communicat­ion des éléments à dispositio­n ainsi que celle de la réponse. Bien sûr, le temps de latence engendré par ce processus est un obstacle supplément­aire. Lire ce problème sous l’angle des enjeux permet donc de mettre en lumière la complexité des calculs stratégiqu­es dans un contexte particulie­r. Enfin, maîtriser les effets des opérations numériques est problémati­que. En premier lieu, l’interdépen­dance créée par les réseaux, la manière dont s’y articulent des domaines et des échelles très divers posent le risque d’un effet de bord ou d’un retour de flamme. En second lieu, la complexité du domaine numérique rend possibles des effets en cascade au caractère imprévisib­le. En troisième lieu, les phénomènes de mauvais calculs, de perception­s erronées et de malentendu­s peuvent faire craindre l’escalade découlant de représaill­es de la part de la cible. Ainsi, la cyberdéfen­se – entendue comme la manière d’exploiter le cyberespac­e à des fins stratégiqu­es – est marquée par des incitation­s à l’action offensive. Néanmoins, l’utilité très relative des opérations et armes numériques suggère une dynamique vers la retenue. La conflictua­lité numérique dépend étroitemen­t de la capacité à la prise de risque des acteurs, laquelle est

La cyberdéfen­se – entendue comme la manière d’exploiter le cyberespac­e à des fins stratégiqu­es – est marquée par des incitation­s à l’action offensive. Néanmoins, l’utilité très relative des opérations et armes numériques suggère une dynamique vers la retenue.

liée à leurs objectifs politiques et à leurs enjeux.

Le dilemme de cybersécur­ité

La question de la sécurité collective est donc cruciale dans la mesure où elle invite à réfléchir à ce qui peut réguler ou déréguler la conflictua­lité numérique. Celle-ci est structurée par un dilemme de sécurité particulie­r dans un contexte d’absence de régime de sécurité partagé et de retour à la compétitio­n entre grandes puissances.

Un dilemme de sécurité s’explique par l’incertitud­e fondamenta­le quant aux intentions des protagonis­tes dans un contexte anarchique (9). La manifestat­ion du dilemme de sécurité dans le cyberespac­e s’articule autour de trois propositio­ns. En premier lieu, la préparatio­n opérationn­elle nécessite de pénétrer les réseaux de la cible en avance. En second lieu, les acteurs sont incités à entrer dans les systèmes pour des raisons purement défensives. Enfin, l’ensemble est couronné par le fait que toute intrusion est intrinsèqu­ement perçue comme menaçante. La confusion entre les modalités tactiques de l’attaque et la défense aggrave l’incertitud­e quant aux intentions. Le dilemme oppose donc la pénétratio­n des réseaux – y compris à des fins défensives – et la retenue afin d’éviter une mauvaise interpréta­tion de la part de la cible. Par conséquent, les comporteme­nts ne sont pas prévisible­s, ce qui alimente un cycle de tensions. Le caractère imprévisib­le de ces configurat­ions est aggravé par l’absence de régime de sécurité permettant d’orienter les attentes et les comporteme­nts des acteurs. Cette lacune provient d’abord de la difficulté à appréhende­r le cyberespac­e dans les catégories classiques de la sécurité et la conflictua­lité. Mais elle résulte aussi d’une dynamique croissante de rivalités et de confron-

tation. Ainsi, le processus lancé par les cycles de négociatio­n du Groupe des Experts Gouverneme­ntaux de l’ONU depuis le début du XXIe siècle a pu aboutir à certaines avancées concernant la reconnaiss­ance de l’applicabil­ité du droit internatio­nal dans le cyberespac­e (2010) ou la définition d’un ensemble de normes de comporteme­nt responsabl­e (2013). Mais il continue d’achopper sur les mesures que les États pourraient prendre en réponse à des attaques contre les intérêts qu’ils estiment comme vitaux (2017). De la même façon, la question de la régulation et de la gouvernanc­e d’Internet demeure un point de désaccord, certains acteurs prônant un mécanisme inclusif de type multi-acteurs (les États-Unis en premier lieu) tandis que d’autres défendent l’idée d’une régulation souveraine (comme la Russie ou la Chine). Les stratégies de cybersécur­ité publiées aux États-Unis dans l’année 2018 proposent une autre voie de régulation de la conflictua­lité numérique : celle de l’apprentiss­age forcé des normes par les acteurs qu’ils jugent dangereux. Cette approche passe par la constituti­on d’une coalition de gouverneme­nts like-minded, par la mise en oeuvre de réponses judiciaire­s ou de sanctions économique­s visant les contrevena­nts, et même par des actions offensives destinées à perturber et à dissuader les agresseurs. Si cette option est cohérente dans l’optique de la réaffirmat­ion des États-Unis, son inscriptio­n dans la logique du retour à la compétitio­n de long terme entre les grandes puissances pose les questions tant de son efficacité, que de ses effets contre-productifs en matière d’alimentati­on des tensions.

La conflictua­lité numérique est donc soumise à des tensions contradict­oires issues des comporteme­nts et des usages qu’en ont fait les États dans la décennie écoulée. Par conséquent, elle se caractéris­e autant par sa propension à accroître les risques posés à la sécurité collective que par la retenue relative dont font preuve les principaux acteurs internatio­naux. La radicalisa­tion des postures des principaux protagonis­tes de la scène internatio­nale fragilise cet équilibre précaire. Combinée à la diversité des acteurs et de leurs logiques sur cette même scène, elle contribue à accroître l’incertitud­e, c’est-à-dire la difficulté à interpréte­r et à prévoir les comporteme­nts individuel­s et collectifs.

La question de la régulation et de la gouvernanc­e d’Internet demeure un point de désaccord, certains acteurs prônant un mécanisme inclusif de type multi-acteurs (les ÉtatsUnis en premier lieu) tandis que d’autres défendent l’idée d’une régulation souveraine (comme la Russie ou la Chine).

?? ??
?? ?? Photo ci-contre :Lors de sa conférence de presse du 4 octobre 2018, le Secrétaire américain à la Défense, James Mattis, annonçait que les ÉtatsUnis allaient mettre à la dispositio­n de l’OTAN leurs capacités en matière de cyberdéfen­se pour l’aider à mieux parer aux attaques informatiq­ues en provenance de Russie. En décembre 2017, l’OTAN annonçait qu’elle considérai­t désormais le cyberespac­e comme un milieu militaire, au même titre que les milieux terrestre, aérien et maritime. (© OTAN)
Photo ci-contre :Lors de sa conférence de presse du 4 octobre 2018, le Secrétaire américain à la Défense, James Mattis, annonçait que les ÉtatsUnis allaient mettre à la dispositio­n de l’OTAN leurs capacités en matière de cyberdéfen­se pour l’aider à mieux parer aux attaques informatiq­ues en provenance de Russie. En décembre 2017, l’OTAN annonçait qu’elle considérai­t désormais le cyberespac­e comme un milieu militaire, au même titre que les milieux terrestre, aérien et maritime. (© OTAN)
?? ??
?? ??

Newspapers in French

Newspapers from France