L'OTAN ET LE CYBERESPACE : RENFORCER LA SÉCURITÉ ET LA DÉFENSE, STABILISER LA DISSUASION
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
COMMISSION DES SCIENCES ET DES TECHNOLOGIES (STC) L’OTAN ET LE CYBERESPACE : RENFORCER LA SÉCURITÉ ET LA DÉFENSE, STABILISER LA DISSUASION Projet de rapport général Susan DAVIS (États-Unis) Rapporteure générale 087 STC 19 F | Original : anglais | 18 avril 2019 Tant que ce document n’a pas été adopté par la commission des sciences et des technologies, il ne représente que le point de vue de la rapporteure générale.
TABLE DES MATIÈRES
I. INTRODUCTION ............................................................................................................... 1
II. LES CYBERATTAQUES SOUS LES ANGLES STRATÉGIQUE ET OPÉRATIONNEL
.......................................................................................................................................... 2
A. LES CYBERATTAQUES ET LEURS AUTEURS ...................................................... 2
B. LES CYBERATTAQUES SOUS L’ANGLE STRATÉGIQUE ..................................... 3
C. LES CYBERATTAQUES SOUS L’ANGLE OPÉRATIONNEL ................................... 4
D. LES STRATÉGIES DE LUTTE CONTRE LES CYBERATTAQUES.......................... 5
III. LA POLITIQUE DE L’OTAN EN MATIÈRE DE CYBERSÉCURITÉ ET DE
CYBERDÉFENSE ............................................................................................................. 6
A. LE DÉVELOPPEMENT DES CYBERCAPACITÉS DES ALLIÉS .............................. 6
B. L’INTÉGRATION DES CYBERCAPACITÉS DANS LA PLANIFICATION OTAN....... 7
C. LA COOPÉRATION CONCRÈTE À L’OTAN ............................................................ 8
D. LES PARTENARIATS DE L’OTAN EN MATIÈRE DE CYBERDÉFENSE ................. 9
IV. LES CYBERPOLITIQUES ET LA STABILITÉ DE LA DISSUASION DE L’OTAN ............. 11
A. LE PROBLÈME DE L’ATTRIBUTION ..................................................................... 12
B. L’AMBIGUÏTÉ DES SEUILS ET DES REPRÉSAILLES .......................................... 12
C. LA DYNAMIQUE DE L’ESCALADE ........................................................................ 13
D. L’AFFICHAGE DES CAPACITÉS ET DE LA DÉTERMINATION ............................ 14
V. REMARQUES FINALES .................................................................................................. 14
BIBLIOGRAPHIE SÉLECTIVE ......................................................................................... 16087 STC 19 F
I. INTRODUCTION
1. Alors que chaque sphère de la société est en train de devenir de plus en plus connectée, les
cybermenaces enregistrent une hausse spectaculaire. Chacun – du particulier à la communauté
internationale – doit réfléchir à la façon de faire face à ces menaces, qui deviennent chaque jour de
plus en plus sérieuses. L’Alliance transatlantique n’y échappe pas. Les réseaux appartenant à
l’OTAN et exploités par elle subissent des centaines de cyberincidents chaque mois, sans parler des
intrusions sur les réseaux critiques des Alliés, qui augmentent considérablement.
2. Il n’est donc pas surprenant que la sécurité, la défense et la dissuasion dans le cyberespace
aient pris un caractère d’urgence pour l’OTAN et son Assemblée parlementaire (AP-OTAN).
Ces questions figurent également parmi les priorités de la commission des sciences et des
technologies (STC) lors de ses visites et ses réunions semestrielles. Ces dernières années, la STC
a également examiné de façon approfondie certains aspects relatifs au cyberespace (voir
l’encadré 1).
3. Ce projet de rapport général, qui sera soumis pour examen à la STC, ne peut raisonnablement
aborder tous les types de cybermenaces auxquelles sont confrontés les membres de l’Alliance. Il se
concentre donc sur celles qui touchent à la raison d’être de l’OTAN, c’est-à-dire les cyberattaques
qui menacent l’intégrité territoriale, l’indépendance politique ou la sécurité nationale d’un Allié, et qui
peuvent amener les membres de l’Alliance à invoquer la clause de défense collective prévue à
l’article 5 du traité de Washington. La lutte contre ces menaces se trouve au cœur de la mission de
l’OTAN.
4. L’Alliance a tout d’abord pris conscience de la nécessité de renforcer la cybersécurité et la
cyberdéfense lors du sommet de Prague en 2002. En 2008, l’OTAN a adopté sa première politique
en matière de cyberdéfense. Toutefois, le véritable tournant s’est produit en 2014, lors du sommet
du pays de Galles, lorsque l’Alliance a adopté la politique de cyberdéfense renforcée et pris d’autres
décisions clés. Pour la première fois, les dirigeants des membres de l’Alliance ont indiqué clairement
que « les cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité
et la stabilité des États et de la zone euro-atlantique » (OTAN, 2014).
5. Depuis le sommet du pays de Galles, l’OTAN et les Alliés ont clairement inclus la sécurité, la
défense et la dissuasion dans le cyberespace parmi les tâches fondamentales de l’OTAN, et pris
des dispositions pour que cela devienne une réalité. Aujourd’hui, tout adversaire potentiel doit savoir
qu’une cyberattaque causant suffisamment de dommage à un Allié sera considérée comme une
attaque armée à l’encontre de tous les Alliés, lesquels invoqueront l’article 5 pour se défendre
collectivement. Lors du sommet de l’OTAN à Bruxelles en 2018, les dirigeants des membres de
l’Alliance ont une fois de plus réitéré leur engagement : « Tout en réaffirmant le mandat défensif de
l’OTAN, nous sommes déterminés à employer toute la gamme des capacités, y compris cyber, pour
assurer la dissuasion et la défense et ainsi lutter contre l’éventail complet des cybermenaces,
notamment celles qui sont exercées dans le cadre d'une campagne hybride » (OTAN, 2018).
6. Ce projet de rapport général n’a pas pour but de donner un compte rendu exhaustif de
l’ensemble des politiques, activités et discussions qui sont engagées dans les pays de l’Alliance et
à l’OTAN au regard de la sécurité, la défense et la dissuasion dans le cyberespace. Son objectif est
plutôt :
- de présenter le contexte des cybermenaces auxquelles est confrontée l’Alliance ;
- de décrire les principales composantes des politiques et activités actuelles de l’OTAN ayant
trait au cyberespace ;
- de répondre aux questions cruciales relatives à la stabilisation de la cyberdissuasion.
1087 STC 19 F
7. Ce projet de rapport sera présenté lors de la session de printemps de l’AP-OTAN en 2019.
Une version révisée sera ensuite soumise pour adoption lors de la session annuelle de 2019.
Elle contiendra des recommandations pratiques qui serviront de base à la rédaction d’une
recommandation de politique générale, qui sera présentée au secrétaire général de l’OTAN et aux
membres de l’Alliance.
ENCADRÉ 1 : RÉCENTS RAPPORTS CONNEXES DE LA STC
• Cyberespace et sécurité euro-atlantique
• L'internet des objets : promesses et dangers d'une
technologie de rupture
• L'ingérence de la Russie dans les élections et les
référendums des pays de l'Alliance
• Transactions secrètes : l'usage des messageries cryptées,
du dark web et des cryptomonnaies par les terroristes
II. LES CYBERATTAQUES SOUS LES ANGLES STRATÉGIQUE ET OPÉRATIONNEL
8. Pour engager une discussion argumentée, il est indispensable de comprendre comment les
cyberattaques s’inscrivent dans le paysage actuel des cybermenaces ainsi que dans le nouveau
cadre stratégique et opérationnel.
A. LES CYBERATTAQUES ET LEURS AUTEURS
ENCADRÉ 2 : CYBEROPÉRATIONS
9. Le terme « cyberattaque » est malheureusement MALVEILLANTES
employé à tort et à travers dans le débat public. Si les contours
peuvent effectivement être flous dans la pratique, il est crucial Les cyberinfractions englobent toutes
d’établir une distinction entre les cyberattaques à proprement les activités criminelles commises via
parler et d’autres types de cyberopérations, comme par internet, les réseaux informatiques ou
exemple les cyberinfractions, les opérations d’information un système d’information.
commises à l’aide d’internet, ainsi que la cyberexploitation (voir
La cyberexploitation (qui inclut le
l’encadré 2 ci-contre). Bien qu’une solide cybersécurité et cyberespionnage) est l’ensemble des
cyberdéfense soit la meilleure parade contre toutes ces « actions menées dans le cyberespace
menaces, chacune d’elles requiert des approches très pour acquérir des renseignements,
distinctes sur le plan de l’action publique. manipuler, recueillir des informations ou
exécuter d’autres actions de
facilitation » (US DOD, 2019).
10. Seule une cyberattaque produisant des effets militaires
suffisants dans le cyberespace ou le domaine physique peut Les opérations d’information
conduire à l’invocation par l’Alliance de l’article 5 (voir aussi la commises à l’aide d’internet ont pour
section IV). Bien sûr, d’autres cyberopérations posent de but « d’influencer, de déstabiliser,
d’altérer ou d’usurper la prise de
graves problèmes à l’OTAN et aux Alliés. Comme l’a montré la décisions des adversaires, réels ou
rapporteure dans son rapport général de 2018, les opérations potentiels » (US DOD, 2019).
d’information commises à l’aide d’internet s’inscrivent dans le
cadre d’une menace hybride plus générale à l’encontre de Les cyberattaques peuvent être
comprises comme « des actions
l’OTAN. Les agents du contre-espionnage mènent une lutte menées dans le cyberespace qui
constante contre les espions du numérique, et les malfaiteurs produisent d’importants effets de déni
peuvent avoir plus de facilité à accéder au siège de l’OTAN par dans cet espace (dégradation,
le cyberespace que par des méthodes d’attaque plus interruption ou destruction), ou une
traditionnelles. manipulation qui produit un déni se
manifestant dans un domaine
physique » (US DOD, 2019).
2087 STC 19 F
11. Les cyberattaques ne sont pas l’apanage des États ou ENCADRÉ 3 :
de leurs intermédiaires. Des codes malveillants (voir ÉTAPES D’UNE CYBEROPÉRATION
RÉUSSIE
l’encadré 3) sont amplement disponibles en ligne, et les
pirates informatiques peuvent en développer d’autres.
Néanmoins, les cyberattaques menées ou parrainées par Une cyberopération s’effectue à l’aide
des États constituent la menace la plus importante pour d’un code informatique malveillant.
Pour réussir, le malfaiteur doit trouver
l’Alliance. La planification et l’exécution des cyberattaques une vulnérabilité, se frayer un accès et
les plus dévastatrices nécessitent des connaissances, des déposer une charge (Lin, 2010).
compétences et des aptitudes très pointues, ainsi que des
ressources considérables sur le plan financier et Premièrement, le malfaiteur doit
organisationnel (Slayton, 2017 ; Davis, 2014). À l’heure exploiter une vulnérabilité – un défaut
ou une anomalie – dans le réseau qu’il
actuelle, seuls les États et leurs intermédiaires peuvent a pris pour cible.
atteindre ce seuil de ressources. Ils sont donc l’objet central Deuxièmement, il doit se frayer un
de ce projet de rapport. Bien évidemment, les Alliés doivent accès au réseau ciblé, que ce soit à
rester vigilants quant aux cyberattaques commises par des distance, par l’intervention consciente
ou inconsciente d’un initié, à l’aide
groupes terroristes. Pour autant, la cybersécurité et la d’une opération d’infiltration ou via la
cyberdéfense déployées par l’OTAN demeurent chaîne d’approvisionnement.
primordiales pour déjouer de telles attaques (les actions de Troisièmement, le malfaiteur doit
dissuasion à l’encontre d’acteurs non étatiques étant très déposer une charge qui va exécuter
difficiles à mener, surtout dans le cyberespace). l’action voulue dans le réseau visé.
Exception :
B. LES CYBERATTAQUES SOUS L’ANGLE Les attaques par déni de service
STRATÉGIQUE distribué ne reposent pas sur une
défaillance du réseau visé, mais
consistent à submerger le réseau avec
12. Les pessimistes dressent un sombre tableau de la
un nombre ingérable de sollicitations.
menace des cyberattaques. Ils craignent que les États ou
leurs intermédiaires ne commettent des attaques à grande
échelle contre a) des réseaux militaires en guise de première frappe de neutralisation ; ou b) des
infrastructures civiles critiques en vue de causer des pertes massives. Une cyberattaque visant un
État n’atteint pas forcément le niveau de destruction physique d’un « 11 septembre cyber », mais ce
type de menace nécessite toutefois la conception de cyberstratégies individuelles et collectives pour
s’assurer que l’OTAN et ses États membres puissent faire face à toutes les menaces potentielles.
13. Pour transformer une cyberopération sophistiquée en une attaque personnalisée, les États et
autres acteurs mal intentionnés doivent dans la pratique faire preuve d’une grande expertise et
déployer de gros efforts. Plus important encore, à l’instar de n’importe quelle action menée par un
État, les cyberopérations sont le reflet des politiques menées par les pays dans le but d’atteindre
des objectifs nationaux (Lewis, 2018). Dans ce contexte, les cyberattaques sont utilisées par les
États comme des actes de violence ou de coercition en vue d’obtenir certains résultats politiques ou
militaires (Lewis, 2018).
14. D’un autre côté, la motivation stratégique d’un État à attaquer une infrastructure critique civile
est extrêmement faible (hormis peut-être dans des conflits de longue durée, comme on le verra plus
bas). Une attaque gratuite constituerait une violation du droit international et un attaquant, même
déterminé, doit reconnaître que, traditionnellement, les attaques visant une infrastructure critique
civile ont peu d’effet sur le plan militaire et entraînent généralement un renforcement de la résistance
et de la résilience de la population (Lewis 2018). En fait, elles ne produisent pas le chaos politique
généralisé ni les effets stratégiques que certains redoutent et que d’autres espèrent peut-être.
15. En somme, les cyberattaques préventives prenant pour cibles des réseaux militaires pour
neutraliser un adversaire ou une infrastructure critique civile sont apparemment des options moins
envisageables pour les États et leurs intermédiaires, même si elles ne sauraient être exclues.
3087 STC 19 F
C. LES CYBERATTAQUES SOUS L’ANGLE OPÉRATIONNEL
16. De la même manière qu’une guerre moderne ne peut être remportée en utilisant une seule
catégorie de capacités militaires, une cyberattaque ne permet pas non plus à elle seule de gagner
une guerre. Cela dit, coordonnée avec d’autres opérations militaires, elle peut de façon certaine
jouer un rôle essentiel en portant atteinte à l’infrastructure critique intérieure et militaire. Les forces
armées ont réagi à cette éventualité en intégrant davantage des cybercapacités défensives et
offensives dans la planification de leurs opérations (Lewis, 2018 ; Davis, 2014).
17. Dans la mesure où les cybercapacités peuvent avoir un impact important sur le plan militaire,
l’OTAN et de nombreuses forces armées considèrent le cyberespace comme un autre champ
d’action militaire et ont commencé à intégrer les cybercapacités en prenant les dispositions
suivantes :
- Développement des cybercapacités ;
- Combinaison de plusieurs options cyber (par exemple, guerre électronique, opérations
antisatellite et opérations d’information) ;
- Restructuration des structures de commandement ;
- Conception de doctrines cyber intégrées à la doctrine générale ;
- Examen de l’application du droit national et international aux cybercapacités.
18. Certains analystes estiment que les États auront recours aux cyberattaques en temps de paix
et dans des situations de crise pour exécuter des actions précises et limitées évitant de franchir le
seuil de l’attaque armée (Lewis, 2018). En d’autres termes, les États resteront cantonnés aux
opérations hybrides, dans la zone grise située à mi-chemin entre la guerre et la paix, où il n’existe
pas de normes en matière comportementale (Lewis, 2018). En revanche, certains membres de
l’OTAN comme les États-Unis se sont engagés sur la voie de la « réaction systématique ». Selon le
Général Paul M. Nakasone, qui est à la tête du cybercommandement des États-Unis, « dans le
cyberespace, c’est l’usage des cybercapacités qui est important sur le plan stratégique […] Donc
l’avantage est à ceux qui sont dans l’action permanente » (Nakasone, 2019).
19. En temps de guerre, les cybercapacités offensives sont de plus en plus considérées comme
procurant un appui pour préparer le champ de bataille ou recueillir des renseignements.
Les cyberattaques sont susceptibles de ne causer que des pertes ou des dégâts matériels limités
car elles produisent principalement des effets dans le domaine cyber ou celui de l’information,
comme par exemple :
- Dégradation, déstabilisation ou destruction de réseaux de commandement et de contrôle
militaire ou de systèmes d’armes et de capteurs, entraînant un ralentissement de la prise
de décisions ou un succès tactique si l’opération a lieu au bon moment ;
- Effets psychologiques sur la population du pays attaqué ou de la communauté
internationale, par exemple pour saper la confiance des citoyens dans la capacité de
leur gouvernement à gagner la guerre ; et
- Effet symbolique sur la population du pays, par exemple pour accroître la confiance dans
les actions gouvernementales (Lewis, 2016).
20. Sachant que les forces armées mettent au point des doctrines opérationnelles, un sujet de
préoccupation est de déterminer comment empêcher les cyberattaques de frapper des réseaux
civils, et peut-être de générer des blessés parmi la population. Bien que ce soit une question cruciale,
il convient de noter que ce risque est relativement faible lorsque ce sont des réseaux militaires qui
sont visés. Ils sont en effet isolés les uns des autres, ainsi que des réseaux civils (Lewis, 2016).
4087 STC 19 F
21. Lorsqu’il s’agit d’un conflit de longue durée, l’infrastructure critique peut devenir une cible
tentante pour mettre à mal les efforts de guerre du pays attaqué ou, de façon plus incertaine, pour
saper la confiance de la population. Cela inclut par exemple les installations de l’industrie de la
défense ou les réseaux électriques utilisés par les forces armées. En temps de guerre, ce type
d’attaque peut être considéré comme conforme au droit international, mais son auteur doit malgré
tout comparer les avantages qu’elle procure avec ses coûts politiques.
D. LES STRATÉGIES DE LUTTE CONTRE LES CYBERATTAQUES
22. À l’heure où les forces armées du monde entier – y compris de pays pouvant devenir des
adversaires – se dotent de cybercapacités, l’OTAN et ses pays membres doivent concevoir des
stratégies pour lutter contre la menace de cyberattaques de grande portée visant des États.
23. L’élaboration ultérieure de normes applicables au cyberespace pourrait devenir un axe
important de soutien contre les cyberattaques. L’OTAN continue d’affirmer que le droit international
s’applique aussi au cyberespace, y compris le droit humanitaire international et la Charte des
Nations unies. L’Alliance transatlantique s’est également félicitée « des travaux sur des normes
internationales volontaires de comportement responsable des États et sur des mesures de confiance
pour ce qui est du cyberespace » (OTAN, 2016). Les Alliés ont également précisé avoir « tout à
gagner d’un cyberespace fondé sur des normes, prévisible et sûr » (OTAN, 2018). Pour autant, il
n’est pas réaliste d’espérer que l’OTAN – qui est une Alliance de 29 pays souverains – puisse
devenir le principal moteur de l’élaboration ultérieure de normes. Au contraire, chaque membre de
l’Alliance doit continuer à pousser la communauté internationale dans cette direction et encourager
d’autres États membres à faire de même. Du fait des caractéristiques des codes malveillants du
cyberespace, les instruments d’action qui sont importants dans d’autres domaines militaires –
comme la maîtrise effective des armements, le désarmement et les mesures de non-prolifération –
sont très probablement inutilisables pour l’instant, principalement parce que les vérifications sont,
semble-t-il, impossibles.
24. Par conséquent, l’OTAN utilise les mêmes stratégies générales que face à des attaques
armées : la dissuasion par interdiction et la dissuasion par représailles.
25. Les stratégies de dissuasion par interdiction ont pour but de « dissuader l’adversaire
d’effectuer une action en lui présentant une capacité crédible l’empêchant d’obtenir des gains
éventuels suffisants pour l’inciter à agir » (Davis, 2014). En d’autres termes, le défenseur doit donner
l’impression que l’attaque sera vaine : l’attaquant va soit échouer, soit au minimum ne tirer aucun
bénéfice d’une cyberintrusion (Nye, 2017). Ce type de cyberdissuasion repose directement sur une
cybersécurité et une cyberdéfense fortes (voir l’encadré 4 ci-dessous).
ENCADRÉ 4 : DÉFINITIONS DE LA
26. La cybersécurité et la cyberdéfense incluent toute une CYBERSÉCURITÉ ET DE LA
série de dispositifs préventifs, passifs et actifs. Ces capacités CYBERDÉFENSE
remplissent plusieurs fonctions : identification de la menace ;
protection du réseau ; détection de l’intrusion ; réactions aux La cybersécurité a pour but « de
prévenir l’accès non autorisé,
attaques ; enfin, résilience et récupération (US NIST, s.d. ; voir l’exploitation ou la dégradation
l’encadré 5). Les dispositifs préventifs et passifs sont d’ordinateurs, de systèmes de
fondamentalement réactifs. Or, les attaquants déterminés sont communication électroniques et
souvent très agiles et s’adaptent rapidement, déjouant ainsi les autres technologies de l’information
nouveaux dispositifs de cybersécurité ou de cyberdéfense. Par […] ainsi que des données qu’ils
contiennent » (US DOD, 2019).
conséquent, de nombreux défenseurs se tournent vers des
dispositifs plus actifs qui n’interviennent pas seulement sur leurs La cyberdéfense recouvre les
propres réseaux mais aussi sur ceux de l’attaquant en guise de actions visant « à mettre en échec
représailles. Les défenseurs peuvent ainsi : mener des les menaces ayant enfreint ou
étant sur le point d’enfreindre les
opérations de renseignement ; tenter de déjouer des attaques dispositifs de protection du
en cours, voire planifiées ; réparer rapidement les dommages cyberespace » (US DOD, 2019).
causés par les attaques ; enfin, dans les situations extrêmes,
5087 STC 19 F
punir les attaquants (Hoffman et Levite, 2017). ENCADRÉ 5 :
Bien évidemment, les dispositifs de cyberdéfense les PROCÉDÉS POUR AMÉLIORER LA
CYBERSÉCURITÉ ET LA CYBERDÉFENSE
plus actifs continuent de susciter de nombreuses
difficultés pratiques, juridiques et politiques. • Mise en place de dispositifs de
cybersécurité de base
27. Bien que les capacités de cybersécurité et de • Amélioration de la connaissance de la
situation
cyberdéfense continuent de s’améliorer, la plupart des
• Augmentation des échanges
experts estiment que l’avantage est aux attaquants, et d’informations
que cette situation n’est pas près de changer. En • Installation de logiciels de détection et de
disposant de suffisamment de temps, de surveillance plus élaborés
compétences et de ressources, les attaquants • Investissement dans la recherche et le
peuvent facilement commettre une cyberattaque en développement de nouvelles technologies
• Formation de la main-d’œuvre, par
détectant les points faibles du système visé, en s’y exemple en matière d’hygiène
frayant un accès et en déposant une charge. C’est la informatique
principale raison pour laquelle l’Alliance doit compléter • Incitation de la main-d’œuvre à respecter
sa dissuasion avec des stratégies de dissuasion par les règles
représailles. En d’autres termes, les Alliés doivent • Organisation de formations et d’exercices
sur le cyberespace
essayer de « prévenir les attaques en menaçant de • Organisation régulière de cyberaudits
faire subir des dommages inacceptables, de sorte que • Création d’une « équipe rouge » en
dans les calculs coûts-avantages de l’attaquant, la matière de cybersécurité et de
meilleure option ne soit pas d’attaquer » (Morgan, cyberdéfense
2009 ; en italique dans la version originale). Certains • Conclusion d’accords de coopération et
d’assistance
experts considèrent en revanche que l’avantage n’est • Tromperie des éventuels attaquants (par
pas tant que cela aux attaquants. À titre d’exemple, exemple, mise en place de « pots de
plus les cyberarmes sont sophistiquées, plus le miel » sur les installations)
défenseur a des chances de stopper l’attaquant, et • Cryptage des fichiers sensibles
plus l’attaquant est susceptible de commettre des • Protection des parties sensibles du réseau
erreurs. De plus, une raison majeure pour laquelle les
attaquants ont eu jusqu’ici l’avantage pourrait être les défaillances persistantes au sein des
organisations (Slayton, 2017).
III. LA POLITIQUE DE L’OTAN EN MATIÈRE DE CYBERSÉCURITÉ ET DE CYBERDÉFENSE
28. Au niveau politique, l’Alliance continue d’adapter ses politiques de sécurité, de défense et de
dissuasion dans le cyberespace en actualisant régulièrement ses plans d’action à l’aide d’objectifs
et de délais concrets. Le Conseil de l’Atlantique Nord fournit les propositions politiques et en assure
la supervision à haut niveau ; le Comité de cyberdéfense approfondit la gouvernance politique et
adapte la politique sur les questions cyber ; enfin, le Bureau de gestion de la cyberdéfense
coordonne la politique dans l’ensemble des structures de l’OTAN. Depuis le très important sommet
du pays de Galles en 2014, l’Alliance et ses pays membres ont privilégié les actions suivantes :
- Développement des capacités nationales ;
- Intégration des cybercapacités dans la planification opérationnelle ;
- Coopération dans les activités concrètes ;
- Constitution d’un solide réseau de partenaires.
A. LE DÉVELOPPEMENT DES CYBERCAPACITÉS DES ALLIÉS
29. Comme le stipule l’article 3 du traité de l’Atlantique Nord, chaque membre de l’Alliance a la
responsabilité de maintenir et d’accroître sa capacité individuelle et collective de résistance à des
cyberattaques. Au niveau de l’Alliance, cette responsabilité s’exerce dans le cadre du processus
OTAN de planification de défense (NDPP). Ce plan prévoit en effet que chaque Allié fixe ses propres
objectifs de planification, et que les autres membres de l’Alliance vérifient régulièrement si ce pays
a atteint ses objectifs et rempli sa mission. Les premiers objectifs en matière de capacités de
6087 STC 19 F
cyberdéfense ont été fixés en 2013. Ils concernent notamment la gouvernance de la cyberdéfense,
les capacités de réaction des réseaux de l’OTAN, ainsi que les programmes de formation et
d’entraînement (Robinson, 2017).
30. Lors du sommet de Varsovie en 2016, les Alliés ont convenu que l’amélioration des moyens
de cyberdéfense des réseaux et des infrastructures nationaux était devenue un objectif prioritaire.
Ils ont donc, dans le cadre du processus normal du NDPP, pris un engagement en matière de
cyberdéfense, celui d’accroître le développement des capacités et le partage équitable des charges.
Dans le cadre de cet engagement, les États membres ont promis d’améliorer leur résilience et leur
capacité de réaction dans le cyberspace, et de se soumettre à des évaluations annuelles. Les
membres de l’Alliance doivent donc poursuivre sept grands objectifs (OTAN, 2016) :
- Développer toute la gamme des capacités nécessaires pour améliorer les moyens de
cyberdéfense des infrastructures et réseaux nationaux ;
- Allouer des ressources pour renforcer les capacités nationales de cyberdéfense ;
- Accroître l’interaction entre les parties prenantes nationales afin d’échanger les
pratiques exemplaires ;
- Améliorer la compréhension et l’évaluation collectives des cybermenaces ;
- Améliorer les compétences et les connaissances en ce qui concerne le cyberespace ;
- Encourager la formation, l’entraînement et les exercices sur le cyberespace ;
- Promouvoir le respect des engagements pris dans le domaine de la cyberdéfense.
B. L’INTÉGRATION DES CYBERCAPACITÉS DANS LA PLANIFICATION OTAN
31. Lors du sommet de Varsovie en 2016, l’Alliance a reconnu le cyberespace en tant que domaine
d’opérations. Conformément à la mission défensive de l’OTAN, les Alliés ont donc reconnu que
l'OTAN devait se défendre dans le cyberespace « aussi efficacement qu’elle le fait dans les airs, sur
terre et en mer » (OTAN, 2016). Cette reconnaissance permet à l’OTAN d’être mieux à même
« d’assurer une protection et de mener des opérations dans tous ces domaines, ainsi que de
préserver [sa] liberté d'action et de décision, en toutes circonstances » (OTAN, 2016). Elle constitue
également, de manière plus générale, un soutien à la politique de dissuasion et de défense de
l'OTAN.
32. La reconnaissance du cyberespace en tant que domaine d’opérations reflète le changement
d’optique de l’OTAN qui, considérant auparavant la cybersécurité et la cyberdéfense comme une
tâche de sûreté de l’information, intègre aujourd’hui les cybercapacités dans sa tâche de sûreté de
la mission (Shea, 2017). En d’autres termes, l’Alliance ne se consacre plus seulement à la protection
des réseaux de l’OTAN ou à l’appui des efforts déployés par les pays pour renforcer leurs dispositifs
de cybersécurité et cyberdéfense. En revanche, elle se concentre de plus en plus sur la manière
d’intégrer les cybercapacités – y compris les effets cyber offensifs mis volontairement à disposition
par les différents Alliés – dans les opérations et les missions de l’OTAN. La raison de ce changement
d’optique est la nécessité d’encourager un développement homogène des capacités ainsi que la
conception d’une stratégie claire sur la façon dont ces capacités peuvent être utilisées dans un
contexte opérationnel (Robinson, 2017). Les cybercapacités, qui ont commencé à ajouter de la
valeur aux opérations, procurent un nouvel ensemble d’outils et permettent à l’OTAN d’agir « à la
vitesse de la pertinence » (Robinson, 2017). Comme dans d’autres domaines, l’OTAN a établi
clairement que l’intégration des effets cyber devait s’accompagner d’un strict contrôle politique et du
respect du droit international.
33. Depuis 2016, plusieurs Alliés ont confirmé leur volonté de mettre des cybercapacités
offensives – mais aussi défensives – à la disposition des opérations de l’OTAN ; c’est le cas du
Danemark, de l’Estonie, des États-Unis, des Pays-Bas et du Royaume-Uni (Pernik, 2018). Les effets
cyber offensifs ne seront pas placés sous le commandement et le contrôle de l’OTAN, mais du pays
allié contributeur, comme c’est le cas pour les forces spéciales nationales employées dans des
opérations OTAN.
7087 STC 19 F
34. Les principes juridiques et politiques régissant l’intégration de ces capacités ont été définis en
novembre 2017. En 2018, l’Alliance a approuvé une vision et une stratégie militaires pour le
cyberespace en tant que domaine d’opérations, dans le but d’élaborer sa propre doctrine pour le
cyberespace avant la fin 2019. Dans la pratique, cela permettra une coopération plus étroite entre
le commandant suprême des forces alliées en Europe (SACEUR), le Commandement allié
Opérations et l’agence OTAN d’information et de communication (NCIA) (Shea, 2017).
35. Pour permettre à la structure de commandement de l’OTAN d’intégrer effectivement des
cybercapacités, les Alliés ont également décidé d’installer à Mons (Belgique) un centre des
cyberopérations, qui sera pleinement opérationnel en 2023. Ce centre sera chargé de fournir une
connaissance de la situation, de coordonner les cyberactions et de centraliser la planification des
opérations et des missions (Brent, 2019).
C. LA COOPÉRATION CONCRÈTE À L’OTAN
36. La coopération concrète qui a lieu à l’OTAN dans le domaine du cyberespace consiste d’une
part à protéger les réseaux appartenant à l’Organisation et exploités par elle, et d’autre part à
accroître la cybersécurité et la cyberdéfense dans les pays de l’Alliance au moyen de l’amélioration
des connaissances, la formation, l’entraînement, l’organisation d’exercices, l’échange d’informations
et l’entraide.
37. Au sein de la structure OTAN, de nombreux organes politiques, militaires et techniques jouent
un rôle clé au regard de la mise en œuvre des cyberpolitiques de l’Organisation, à savoir : le Bureau
de consultation, commandement et contrôle (C3B), les autorités militaires de l’OTAN, la NCIA, le
Commandement allié Opérations et le Commandement allié Transformation. Par ailleurs, d’autres
entités de la famille OTAN au sens large œuvrent, dans le cadre de leurs missions respectives, pour
le renforcement de la cyberdéfense et la cyberdissuasion au sein de l’Alliance. C’est le cas de l’école
de l’OTAN à Oberammergau, du collège de défense de l’OTAN à Rome et du centre d’excellence
pour la cyberdéfense en coopération (CCD COE) à Tallinn, homologué par l’OTAN.
38. Au fil des ans, les entités de l’OTAN et la famille OTAN au sens large ont conçu et mis en
œuvre une multitude d’activités et de projets ayant trait au cyberespace. En donner la liste
exhaustive dépasse le champ d’observation du présent projet de rapport, mais en voici un
échantillon représentatif :
- Intégration des cybermenaces dans l’exercice de gestion de crise de l’OTAN afin
d’accroître la sensibilisation à ces questions dans les capitales des pays de l’Alliance,
au siège de l’OTAN, au commandement allié Opérations et au commandement allié
Transformation ;
- Création d’un cyberpolygone de l’OTAN – fourni et hébergé par l’Estonie – pour tester
les capacités de cyberdéfense ;
- Organisation de plusieurs projets de défense intelligente : une plateforme d’échange
d’informations sur les logiciels malveillants ; le développement d’une capacité de
cyberdéfense multinationale et de défense intelligente ; un projet multinational de
formation et d’entraînement sur la cyberdéfense.
39. Il convient également de citer la NCIA et le CCD COE, dont les travaux apportent un soutien
très concret à l’Alliance.
40. La NCIA répond aux besoins de l’OTAN en matière de technologie et de communications et
fournit des systèmes d’information et de communications. Elle satisfait également aux besoins de
technologies de l’information du siège de l’OTAN, de sa structure de commandement et de ses
agences. La NCIA joue donc un rôle central dans les domaines suivants : acquisition de
8087 STC 19 F
technologie ; expérimentation ; interopérabilité ; conception et ingénierie de systèmes et
d’architectures ; essais et support technique.
41. La NCIA gère par ailleurs la capacité OTAN de réaction aux incidents informatiques (NCIRC)
à Mons. La NCIRC assure en continu la protection des réseaux appartenant à l’OTAN et exploités
par elle sur plus de 65 sites, à tous les niveaux opérationnels et quels que soient les réseaux
(statiques, mobiles ou déployés). Cette capacité réalise également l’analyse des cybermenaces.
Une autre composante importante de la NCIRC est son équipe de réaction rapide (RRT), qui peut
être déployée sur des sites OTAN, des théâtres d’opérations ou en appui à un membre de l’Alliance
après accord du Conseil de l’Atlantique Nord. La RRT se compose d’un noyau de six experts, et
peut intervenir dans les 24 h suivant un incident.
42. La NCIA renforce actuellement ses moyens de formation. Le Portugal accueillera donc, au
troisième trimestre 2019, l’école OTAN des systèmes d’information et de communication et du
cyberespace, qui dispensera aux membres du personnel civil et militaire une formation sur les
systèmes informatiques et cyber de pointe utilisés à l’OTAN. Cette école aura également des
contacts avec les centres de formation des États membres, l’industrie et les milieux universitaires.
43. En février 2019, la NCIA a créé une nouvelle plateforme OTAN sur laquelle les experts en
cyberdéfense de l'ensemble de l'Alliance peuvent partager les pratiques exemplaires, échanger des
informations et coopérer dans un espace protégé par chiffrement. Il s’agit de la première étape vers
la création d’une plateforme collaborative de cybersécurité, annoncée en 2018.
44. Le CCD COE représente un autre atout important pour les Alliés en tant que source d’expertise
reconnue. Il réunit actuellement 21 États membres et pays partenaires de l’OTAN. Les centres
d’excellence homologués par l’OTAN ne font pas partie de la structure de commandement de
l’Organisation ; ce sont des organismes militaires internationaux qui répondent aux besoins divers
de l’Alliance. Leurs principaux domaines de travail sont la recherche cyber, la formation,
l’entraînement et les exercices. Les produits peut-être les plus connus sont le Manuel de Tallinn sur
le droit international applicable à la cyberguerre et le Manuel de Tallinn 2.0 sur le droit international
applicable aux cyberopérations.
45. Le CCD COE assure en outre la coordination de deux exercices importants. L’exercice phare –
Cyber Coalition – attire plus de 700 participants représentant les pays membres et partenaires de
l’OTAN, l’UE, les milieux universitaires et l’industrie. Cet exercice vise à accroître la coopération et
la coordination entre les Alliés ainsi qu’à tester les procédures OTAN et nationales en matière
d’échange d’informations, de connaissance de la situation et de prise de décision. L’édition 2018 de
Cyber Coalition était consacrée plus spécialement à l’intégration des actifs souverains mis
volontairement à disposition par les Alliés (Brent, 2019). Le second exercice clé s’appelle
Locked Shields et son édition la plus récente, en février 2019, a été baptisée Crossed Swords.
Son objectif est de tester les compétences des experts en cyberdéfense dans un scénario
d’affrontement entre une équipe rouge et une équipe bleue (Shea, 2017). Crossed Swords permet
aux participants (des experts provenant des États membres, des pays partenaires et de l’industrie)
de protéger les réseaux et les systèmes informatiques contre des cyberattaques simulées ayant lieu
en temps réel.
D. LES PARTENARIATS DE L’OTAN EN MATIÈRE DE CYBERDÉFENSE
46. Dans un monde de plus en plus interconnecté, l’existence d’un solide réseau de partenaires
est extrêmement importante, et cela s’applique en particulier au domaine de la cybersécurité et la
cyberdéfense. L’OTAN collabore donc avec un large éventail de partenaires : industrie, universités,
pays partenaires et autres organisations internationales.
9087 STC 19 F
47. L’industrie joue à cet égard un rôle central en fournissant des solutions techniques et des
innovations, mais elle possède aussi – ou gère – une part non négligeable des systèmes
d’information alliés. Avec le cyberpartenariat OTAN-industrie (NICP), l’Alliance fournit un cadre dans
lequel des entités OTAN et des experts nationaux collaborent avec des représentants de l’industrie
(et des universités) des États membres. Le NICP vise à faciliter l’échange d’informations sur les
cybermenaces et à améliorer la capacité des Alliés à détecter, prévenir et résoudre les
cyberincidents. Ce partenariat couvre 12 domaines prioritaires, parmi lesquels : la gestion de la
chaîne d’approvisionnement ; les pratiques exemplaires ; l’amélioration de la connaissance ; la
formation, l’entraînement et les exercices ; enfin, l’innovation.
48. La coopération en matière de cybersécurité et de cyberdéfense est très souvent une
composante essentielle de la collaboration de l’OTAN avec les pays partenaires. L’Organisation a
noué des partenariats particulièrement étroits avec la Géorgie et l’Ukraine, qui incluent de vastes
initiatives de coopération en matière de cyberdéfense. Dans le cadre du paquet substantiel
OTAN-Géorgie, l’Alliance apporte son soutien aux cybercapacités du pays, à son interopérabilité et
à sa coopération avec les différents membres de l’Alliance. S’agissant de l’Ukraine, l’OTAN a établi
avec elle en 2014 un fonds d’affectation spéciale pour la cyberdéfense. Ce fonds a pour but de
mettre au point des capacités strictement défensives dans le domaine de l’intervention en cas de
cyberincident, notamment la création de deux centres de gestion des incidents. L’Ukraine bénéficie
en outre d’une formation de l’OTAN sur l’utilisation des technologies et des équipements liés à ce
fonds. D’autres initiatives de coopération en matière de cyberdéfense ont également été lancées
récemment avec des pays partenaires, notamment des accords avec la Finlande, la République de
Moldova, la Jordanie et l’Iraq.
49. Si l’OTAN coopère avec l’Organisation pour la sécurité et la coopération en Europe et les
Nations unies, c’est avec l’Union européenne qu’elle entretient le partenariat international le plus
étroit. La coordination et la coopération en matière de cybersécurité et de cyberdéfense est le
principal domaine du partenariat stratégique OTAN-UE. Ce cyberpartenariat a reçu un nouvel élan
en 2016 lorsque le président du Conseil européen, le président de la Commission européenne et le
secrétaire général de l’OTAN ont, dans une déclaration commune, décidé « d’étendre [leur]
coordination dans le domaine de la cybersécurité et de la cyberdéfense, y compris dans le cadre de
[leurs] missions et opérations, de [leurs] exercices, et en matière de formation et d'entraînement »
(Tusk, Juncker et Stoltenberg, 2016).
50. L’OTAN et l’UE mettent actuellement en œuvre 74 propositions de coopération, dans
lesquelles la cybersécurité et la cyberdéfense occupent une grande place. Les axes concrets
d’intensification de la coopération OTAN-UE sont notamment les suivants :
- Intégration de la cyberdéfense dans la planification ;
- Promotion de la recherche et de l’innovation technologique dans le domaine cyber ;
- Échange de bonnes pratiques en matière de gestion de crise et d’intervention au niveau
opérationnel ;
- Analyse des informations relatives aux menaces et aux logiciels malveillants ;
- Mise en évidence des possibles synergies, notamment entre la NCIRC et l’équipe
d'intervention en cas d'urgence informatique de l’UE (CERT-UE), qui ont déjà signé un
arrangement technique pour faciliter l’échange d’informations ;
- Renforcement de la coopération dans le domaine des entraînements et des exercices.
51. Un rapport de 2018 sur la mise en œuvre des diverses propositions de coopération OTAN-UE
relevait des interactions et des échanges d’informations dynamiques et efficaces entre les
fonctionnaires des deux organisations, notamment sur les sujets suivants : concepts et doctrines ;
formations et entraînements existants ; indicateurs de menaces ; alertes et évaluations des
menaces ; gestion de crise.
10087 STC 19 F
52. S’agissant des exercices, le personnel de l’UE ENCADRÉ 6 :
spécialisé dans la cyberdéfense a participé pour la PRINCIPALES ENTITÉS EUROPÉENNES
DU DOMAINE DE LA CYBERSÉCURITÉ ET
première fois à l’édition 2017 de Cyber Coalition et à LA CYBERDÉFENSE
l’édition 2018 de Locked Shields. En 2017, l’exercice de
gestion de crise de l’OTAN et l’exercice parallèle et
• Agence de l’UE chargée de la
coordonné (PACE) de l’UE ont eu lieu en même temps. sécurité des réseaux et de
Cela a permis aux deux organisations d’évaluer la l’information
compatibilité de leurs dispositifs de réaction aux crises, • Équipe d'intervention en cas
notamment en cas de menaces informatiques et hybrides. d'urgence informatique de l’UE
En novembre 2018, l’UE a en outre organisé un exercice • Centre européen de lutte contre la
cybercriminalité
de gestion de crise civilo-militaire en parallèle avec
• Agence européenne de défense
l’exercice de poste de commandement de l’OTAN ayant • Collège européen de sécurité et de
lieu dans le cadre de Trident Juncture 18. défense
53. De son côté, l’UE a reconnu la cybersécurité comme
une constituante fondamentale de la sécurité communautaire globale et a intensifié son adaptation
en conséquence, renforçant sensiblement la cyberrésilience de l’OTAN. Ainsi, l’UE peut désormais
s’appuyer sur plusieurs entités importantes pour aller plus loin dans les mesures de cybersécurité
(voir l’encadré 6). Par ailleurs, l’UE étant un organe de réglementation, ses initiatives peuvent faire
sensiblement progresser la cybersécurité et la cyberdéfense des réseaux nationaux, y compris des
infrastructures critiques. Les autres avancées politiques récentes les plus notables sont notamment
les suivantes :
- Adoption de la directive sur la sécurité des réseaux et des systèmes d'information –
premier ensemble de règles communautaires sur la cybersécurité –, dont le but est
d’atteindre un haut niveau commun de sécurité pour les réseaux et les systèmes
d'information de l’UE, afin de permettre le bon fonctionnement du marché intérieur ;
- Mise au point d’un cadre permettant une réponse conjointe de l’UE face aux actes de
cybermalveillance : cette boîte à outils cyberdiplomatique offre toutes sortes
d’instruments pour lutter contre les cybermenaces, comme par exemple l’imposition de
sanctions ;
- Élaboration de deux projets axés sur le cyberespace dans le cadre de la nouvelle
coopération structurée permanente de l’UE, à savoir : une plateforme de partage
d'informations en matière de réaction aux menaces et incidents informatiques ; des
équipes d'intervention rapide en cas d'incident informatique et assistance mutuelle dans
le domaine de la cybersécurité ;
- Renforcement de la mission de l’agence de l’UE chargée de la sécurité des réseaux et
de l’information ; et
- Avancée politique concernant l’élaboration d’un cadre européen de certification de
cybersécurité pour les services en ligne et les appareils grand public.
IV. LES CYBERPOLITIQUES ET LA STABILITÉ DE LA DISSUASION DE L’OTAN
54. Comme le montre ce projet de rapport, l’Alliance continue de renforcer sa cybersécurité et sa
cyberdéfense. En théorie, le concept est simple. Les défenseurs essaient de réduire les
vulnérabilités, de bloquer les points d’accès et de diminuer au maximum le caractère létal des
charges. Dans la pratique, l’OTAN s’emploie de façon continue à renforcer la cybersécurité
collective, mais il reste encore beaucoup à faire. La cyberdissuasion est en revanche un sujet
différent, plus complexe. Même en théorie, elle n’est pas simple. La dissuasion étant au cœur de la
stratégie de cyberdéfense de l’OTAN, cette section passe en revue les principaux problèmes de la
cyberdissuasion, qui serviront de base à l’élaboration de recommandations pratiques.
11Vous pouvez aussi lire
