RENFORCER LA PROTECTION DES INFRASTRUCTURES CRITIQUES CONTRE LES MENACES CYBERNÉTIQUES - Nato-pa.int
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
AVANT-PROJET DE RAPPORT RENFORCER LA PROTECTION DES INFRASTRUCTURES CRITIQUES CONTRE LES MENACES CYBERNÉTIQUES Avant-projet de rapport général Joëlle GARRIAUD-MAYLAM (France) Rapporteure générale 010 CDS 22 F – Original : français – 4 avril 2022 Fondée en 1955, l'Assemblée parlementaire de l'OTAN est une organisation interparlementaire consultative, institutionnellement distincte de l'OTAN. Tant qu’il n’est pas adopté par les membres de la commission, le présent document de travail représente exclusivement ment le point de vue de son rapporteur. Il est basé sur des informations provenant de sources accessibles au public ou de réunions tenues dans le cadre de l'AP-OTAN, lesquelles sont toutes non classifiées.
I- INTRODUCTION ...................................................................................................................... 1
II- LA PROTECTION CYBERNÉTIQUE DES INFRASTRUCTURES CRITIQUES : UN
CADRE LÉGAL INTERNATIONAL EN DÉVELOPPEMENT À LA MISE EN ŒUVRE
COMPLEXE ET INSUFFISANTE .............................................................................................. 2
A. LA RECONNAISSANCE GRADUELLE PAR LES ÉTATS DE L’APPLICABILITÉ
DU DROIT INTERNATIONAL DANS LE CYBERESPACE ............................................ 2
B. DES DÉSACCORDS PERSISTANTS QUI FONT PESER UN RISQUE SUR LA
CYBERSÉCURITÉ DES INFRASTRUCTURES CRITIQUES ....................................... 3
III- LA DIFFICULTÉ DE PROTÉGER LES INFRASTRUCTURES CRITIQUES ALLIÉES FACE
À DES MENACES CYBERNÉTIQUES PROTÉIFORMES ....................................................... 4
A. DES ACTEURS DIVERS AUX OBJECTIFS VARIÉS .................................................... 4
B. LA MULTIPLICITÉ ET L’AUGMENTATION DES MENACES COMPLEXIFIENT LA
PROTECTION DES SERVICES ESSENTIELS ET LA DISSUASION DES
CYBERATTAQUES ........................................................................................................ 6
IV- L'IMPACT DES CYBERATTAQUES SUR LES INFRASTRUCTURES CRITIQUES DES
PAYS ALLIÉS ET PARTENAIRES : TROIS ÉTUDES DE CAS ................................................ 7
A. LES ENTREPRISES PRIVÉES FACE AUX RISQUES CYBERNÉTIQUES :
L’EXEMPLE DE L’ATTAQUE CONTRE L’OPÉRATEUR D’OLÉODUCS
COLONIAL PIPELINE EN 2021 ..................................................................................... 7
B. LES MENACES CYBERNÉTIQUES CONTRE LES SERVICES PUBLICS
INDISPENSABLES : LE CAS DE LA CYBERATTAQUE CONTRE LE SERVICE
DE SANTÉ IRLANDAIS EN 2021................................................................................... 8
C. L’INTRUSION DANS LES RÉSEAUX DU COMITÉ NATIONAL DÉMOCRATIQUE
EN 2016 ET LA NÉCESSITÉ D’ASSURER LA RÉSILIENCE CYBERNÉTIQUE
DES PROCESSUS ET INSTITUTIONS DÉMOCRATIQUES ........................................ 9
V- L’APPROCHE DE L’ALLIANCE POUR PROTÉGER LES INFRASTRUCTURES
CRITIQUES DES MENACES CYBERNÉTIQUES .................................................................. 10
A. LES MESURES PRISES PAR LES ÉTATS MEMBRES.............................................. 10
B. LE RÔLE DE L’OTAN DANS LE DÉVELOPPEMENT DE LA SÉCURITÉ ET DE LA
RÉSILIENCE CYBERNÉTIQUES ................................................................................ 12
VI- CONCLUSIONS ET RECOMMANDATIONS PRÉLIMINAIRES ............................................. 14
A. AU NIVEAU NATIONAL : RENFORCER LA PROTECTION DES
INFRASTRUCTURES CRITIQUES ET ADOPTER UNE APPROCHE INTÉGRÉE
ET PANSOCIÉTALE DE LA CYBERSÉCURITÉ ......................................................... 14
B. AU NIVEAU COLLECTIF : DÉVELOPPER DES RÉPONSES COMMUNES AUX
DÉFIS CYBERNÉTIQUES ENTRE LES ALLIÉS ET AVEC LEURS PARTENAIRES . 16
C. AU NIVEAU INTERNATIONAL : ŒUVRER AU RENFORCEMENT DU CADRE
LÉGAL ET DE SA MISE EN ŒUVRE .......................................................................... 17
BIBLIOGRAPHIE .................................................................................................................... 19
Les infrastructures critiques des États membres de l’OTAN et des pays partenaires sont aujourd’hui confrontées à une vague croissante et sans précédent de cyberattaques aux conséquences déstabilisantes et dévastatrices. Des entités publiques et privées aussi indispensables au fonctionnement, au bien-être et à la cohésion des sociétés alliées que les fournisseurs d’énergie, les opérateurs de télécommunications, les banques, les hôpitaux, les compagnies de transports et les institutions démocratiques sont prises pour cible. Le présent avant-projet de rapport montre que, malgré un consensus international concernant l’applicabilité du droit international dans le cyberespace, le développement et la mise en œuvre de normes y encadrant les comportements restent insuffisants. Il met en évidence la difficulté à assurer la protection cybernétique des services essentiels alliés face à la diversité des acteurs malveillants, de leurs objectifs et des outils et techniques qu’ils utilisent. Il souligne également, à travers trois études de cas, l’impact des cyberattaques sur les sociétés alliées et partenaires et analyse certaines des politiques et mesures adoptées pour y faire face. Devant l’ampleur et la gravité de la menace cybernétique pesant sur leurs infrastructures critiques, les Alliés doivent intensifier leurs réponses nationales et collectives. L’objectif de cet avant-projet de rapport est de participer à ces efforts. Il appelle les États membres et l’OTAN à placer la protection des infrastructures critiques contre les cyberattaques au cœur de leurs approches de la sécurité et de la résilience, y compris dans le cadre de la révision à venir du Concept stratégique. Il suggère, par ailleurs, des mesures pratiques aux niveaux national, collectif et international afin de renforcer la résilience cybernétique des services essentiels alliés.
I- INTRODUCTION
1. Le recours par la Russie à des cyberattaques contre des entreprises privées et des
services publics en Ukraine avant et pendant son agression illégale et injustifiée du pays
ainsi que la vague de cyberattaques par rançongiciel qui a affecté de nombreuses
compagnies essentielles alliées pendant la pandémie de Covid-19 ont mis en évidence la
menace grave, complexe et protéiforme qui pèse sur les infrastructures critiques dans le
cyberespace.
2. Un consensus international a récemment émergé autour de l’applicabilité du droit
international dans le cyberespace et de normes non-contraignantes visant à préserver les
infrastructures critiques des cyberattaques. Néanmoins, de nombreux désaccords
demeurent entre États et la mise en œuvre de ce cadre légal reste insuffisante. Encouragés
par ce manque d'unanimité, de coopération et de volonté, et profitant de l’accessibilité et de
la sophistication croissantes des outils et des techniques de piratage, divers acteurs
étatiques et non-étatiques mènent des cyberattaques fréquentes et dévastatrices contre des
infrastructures critiques alliées. Certains sont motivés par le profit, d’autres par l’acquisition
de secrets politiques ou commerciaux, d’autres encore visent à déstabiliser et à intimider les
pays membres de l’OTAN et leurs partenaires et à remettre en cause les valeurs
démocratiques aux fondements de leurs sociétés.
3. Si elle leur permet d’innover et de gagner en efficacité, la digitalisation et
l’interconnexion sans cesse plus grande de nos sociétés les rendent aussi plus vulnérables
aux cyberattaques. La frontière entre les mondes physique et numérique s’est estompée.
Les infrastructures critiques constituent, à ce titre, des cibles particulièrement attrayantes
pour les acteurs malveillants menant de telles attaques car les technologies de l'information
et de la communication sont désormais indispensables à leur fonctionnement. Or, elles
constituent l’épine dorsale de nos sociétés. Le bien-être, la subsistance et la cohésion des
populations alliées en dépendent. La destruction ou la dégradation de leurs réseaux
informatiques par une cyberattaque peuvent donc avoir un cout humain, économique et
politique considérable.
4. Pour faire face à cette menace, depuis les années 2000, les Alliés ont
progressivement adopté des politiques et des mesures en vue de renforcer la résilience de
leurs infrastructures critiques. Ils ont développé des réponses nationales innovantes et
efficaces à différents niveaux : stratégique et structurel, réglementaire et capacitaire, et
diplomatique et multilatéral. Bien qu’il s’agisse d’une prérogative principalement nationale,
l’OTAN participe également aux efforts pour accroître la protection cybernétique des
services essentiels en facilitant l’échange de bonnes pratiques entre les Alliés et avec leurs
partenaires et en renforçant leurs capacités de cyberdéfense à travers des exercices et des
formations.
5. Malgré ces avancées, beaucoup reste encore à faire. Dans leur communiqué du
sommet de Bruxelles en juin 2021, les chefs d’État et de gouvernement des pays membres
de l’OTAN ont noté que « les cybermenaces pesant sur la sécurité de l’Alliance sont
complexes, destructrices, coercitives et de plus en plus fréquentes ». Ils y ont également
souligné que « la résilience et la capacité de détecter et de prévenir les vulnérabilités et les
intrusions, d’en atténuer les effets et d’y faire face revêtent une importance cruciale ». Le
présent avant-projet de rapport vise à contribuer à ces efforts. Il appelle les Alliés et l’OTAN
à faire du développement de la protection des infrastructures critiques face aux
cyberattaques un élément central de leurs politiques de cyberdéfense, et plus largement de
leur approche de la sécurité et de la résilience, y compris dans le cadre de la révision à venir
du Concept stratégique. Il exhorte aussi, entre autres mesures, les Alliés à adopter une
1
AVANT-PROJET DE RAPPORT – 010 CDS 22 Fapproche intégrée et pansociétale de la cybersécurité, à intensifier leur coopération entre
eux et avec leurs partenaires dans la lutte contre les menaces cybernétiques et à continuer
de s’engager en faveur du développement de normes internationales régissant le
cyberespace et de leur application.
6. Dans le cadre de cet avant-projet de rapport, les infrastructures critiques (ou services
essentiels) sont définies comme tout réseau, installation ou système indispensables au
bien-être, au bon fonctionnement et à la cohésion d'une société. Cela inclut les acteurs
publics et privés opérant dans des secteurs clés tels que l'énergie, la finance, les
télécommunications, l'approvisionnement en eau et en nourriture, les transports et les
services médicaux. Cet avant-projet de rapport intègre aussi dans cette définition les
institutions et processus électoraux qui forment le socle des sociétés démocratiques alliées.
II- LA PROTECTION CYBERNÉTIQUE DES INFRASTRUCTURES CRITIQUES : UN
CADRE LÉGAL INTERNATIONAL EN DÉVELOPPEMENT À LA MISE EN ŒUVRE
COMPLEXE ET INSUFFISANTE
A. LA RECONNAISSANCE GRADUELLE PAR LES ÉTATS DE L’APPLICABILITÉ DU
DROIT INTERNATIONAL DANS LE CYBERESPACE
7. Jusqu’au début du XXIe siècle, le cyberespace était largement considéré comme un
domaine dépourvu de règles différenciant les comportements acceptables et inadmissibles
(Schmitt, 2020). Depuis, un cadre légal international minimal a été établi dans le cadre des
Nations unies. En 1998, l'Assemblée générale a adopté une résolution (parrainée par la
Russie) demandant l’élaboration de « principes internationaux qui renforceraient la sécurité
des systèmes mondiaux d'information et de télécommunication » (Korzak, 2021). Un Groupe
d’experts gouvernementaux (GEG) a été créé en 2004 pour définir les comportements
responsables que les États devraient adopter dans le cyberespace. Mais la communauté
internationale ne s’est véritablement penchée sur la question de l’applicabilité et du respect
du droit international dans le domaine cybernétique qu’à la suite des cyberattaques menées
par la Russie contre l’Estonie en 2007 et la Géorgie en 2008 (Schmitt, 2020). Le GEG (qui
compte aujourd'hui 25 États membres) a ainsi affirmé dans des rapports en 2013, 2015 et
2021 que le droit international s'applique dans le cyberespace (Moynihan, 2019). En 2018,
l’Assemblée générale a créé un second groupe de travail (GTCNL) doté d'un mandat
similaire mais ouvert à tous les États membres. Alors que des craintes légitimes existaient
que la Russie et la Chine l’utilisent afin de renforcer le contrôle étatique sur l'Internet, le
rapport qu’il a adopté en mars 2021 reprend largement à son compte les normes non-
contraignantes adoptées par le GEG (CFR, 2021).
8. Il découle du travail de ces deux organes onusiens que les acteurs étatiques et
non-étatiques ne doivent pas mener, soutenir sciemment ou permettre volontairement des
cyberattaques contre des infrastructures critiques (GEG, 2021 ; GTCNL, 2021). Le rapport
du GEG enjoint aussi les États à prendre des mesures appropriées afin de faire cesser toute
activité cybernétique malveillante émanant de leur territoire et visant les infrastructures
critiques d'un autre État (GEG, 2021). Les deux groupes ont établi des listes
non-exhaustives d’infrastructures critiques contre lesquelles des cyberattaques ne devraient
pas être menées, y compris les entités opérant dans les domaines de la santé, des
transports, de l’assainissement, des télécommunications, de l’énergie et des services
financiers. Contrairement au GTCNL, le GEG ajoute les processus électoraux à sa liste
(Ciglic, 2021).
2
AVANT-PROJET DE RAPPORT – 010 CDS 22 FB. DES DÉSACCORDS PERSISTANTS QUI FONT PESER UN RISQUE SUR LA
CYBERSÉCURITÉ DES INFRASTRUCTURES CRITIQUES
9. Si l’applicabilité du droit international dans le cyberespace fait désormais consensus à
l’échelle internationale, l’absence de normes contraignantes engendre cependant une
incertitude quant à l’acceptation par certains États de l’illégitimité des cyberattaques contre
les infrastructures critiques. Par ailleurs, certaines questions cruciales demeurent irrésolues.
En particulier, le seuil du recours à la force dans le cadre des opérations cybernétiques, y
compris contre les infrastructures critiques, n’est pas clairement défini. Des désaccords
existent entre les États concernant la caractérisation d’une cyberattaque qui n’entrainerait
des conséquences physiques immédiates, telles que des décès ou des dommages
importants, que de manière indirecte (par exemple, si des patients perdent la vie en raison
d’une coupure d’électricité dans un hôpital résultant d’une cyberattaque contre une
installation électrique) ou qui mettrait une infrastructure critique hors de fonctionnement sans
l’endommager physiquement. Cette lacune légale engendre une incertitude quant aux
conditions dans lesquelles une nation peut recourir à la force dans un cadre de légitime
défense en réponse à une cyberattaque. Elle crée donc un risque qu’une divergence
d’interprétation à propos d’une cyberattaque de faible intensité ne déclenche un conflit armé
(Schmitt, 2020).
10. Les désaccords entre États sur la définition d’une attaque dans le cyberespace ont
des conséquences sur l’applicabilité du droit international humanitaire. Or, celui-ci interdit
expressément « d'attaquer, de détruire, d'enlever ou de rendre inutilisables des objets
indispensables à la survie de la population civile » (Gisel et al., 2021). Un consensus
international s’est dégagé concernant son applicabilité dans le cas de cyberattaques
menées parallèlement à des opérations militaires conventionnelles. Il en découle que les
principes d'humanité, de nécessité militaire, de proportionnalité et de distinction entre les
biens et les personnes civils et militaires s’appliquent dans le domaine cybernétique dans les
situations de conflit armé. Plusieurs pays de l’OTAN considèrent cependant que ces
principes devraient aussi régir les cyberattaques menées dans le cadre d’un conflit
n’incluant pas d’opérations militaires conventionnelles. Certains États alliés jugent que,
même si le droit humanitaire ne concerne que les situations de guerre, ces principes doivent
également être appliqués dans le cyberespace en temps de paix. La Russie et la Chine,
entre autres, s’y opposent et laissent planer une ambiguïté quant à la protection
cybernétique des infrastructures critiques en temps de guerre comme de paix (Conseil de
sécurité, 2021 ; Basu et al., 2021).
11. Des désaccords persistent aussi concernant le cadre légal de la lutte contre les
cyberattaques menées par des groupes criminels, notamment contre des infrastructures
critiques alliées. La Convention de Budapest du Conseil de l'Europe est le principal
instrument juridique traitant de ce sujet. Elle précise les normes et les procédures encadrant
la réponse à la cybercriminalité des États qui y sont parties. Moscou a exprimé de longue
date son opposition à cette convention qu’elle considère comme ne respectant pas les
principes de souveraineté et de non-ingérence (CFR, 2020). La Russie a donc fait pression
pour que des débats soient lancés au sein des Nations unies à partir de janvier 2022 sur
l’élaboration d’une convention internationale sur la cybercriminalité. Les craintes sont vives
que la Russie, avec le soutien d’autres États autoritaires, utilise ces négociations pour
renforcer le contrôle gouvernemental sur les contenus mis en ligne par les citoyens et pour
réduire au silence ses opposants (Brown, 2021).
12. L’augmentation récente des cyberattaques par rançongiciel contre les infrastructures
critiques alliées a mis en évidence le rôle joué par les États tolérant la présence sur leur
territoire de groupes de cybercriminels en dépit de leurs engagements. Plusieurs pays alliés,
dont la France et les Pays-Bas voudraient aller plus loin que la norme non-contraignante
3
AVANT-PROJET DE RAPPORT – 010 CDS 22 Fadoptée par les groupes de travail onusiens sur la question. Ils souhaitent la reconnaissance
d’une règle contraignante de diligence raisonnable applicable dans le cyberespace selon
laquelle les États seraient en devoir de s'assurer que ni leur territoire ni leur infrastructure
cybernétique ne soient utilisés pour mener des cyberattaques. Plusieurs États, dont la
Russie et la Chine, s’y opposent.
III- LA DIFFICULTÉ DE PROTÉGER LES INFRASTRUCTURES
CRITIQUES ALLIÉES FACE À DES MENACES CYBERNÉTIQUES
PROTÉIFORMES
A. DES ACTEURS DIVERS AUX OBJECTIFS VARIÉS
13. Les acteurs menaçant la cybersécurité des infrastructures critiques alliées sont
nombreux et leurs motivations varient. Plusieurs États autoritaires comptent parmi les
principaux responsables. La Russie, la Chine, l'Iran et la Corée du Nord perpétuent ainsi la
majorité des cyberattaques d’origine étatique répertoriées à l’échelle mondiale depuis 2005
(FP Analytics, 2021). La fréquence de ces attaques tend d’ailleurs à augmenter. De 2017 à
2020, le nombre de cyberattaques menées par des États a doublé (Hewlett-Packard , 2021).
14. La Russie est la plus active dans le domaine cybernétique et fait peser une menace
constante sur les infrastructures critiques des pays alliés et partenaires. De juillet 2020 à juin
2021, 58% des cyberattaques attribuées à un État à l’échelle mondiale y trouvaient leur
origine (Burt, 2021). Certaines de ces cyberattaques sont des actes d'espionnage politique
ou industriel (FP Analytics, 2021). La plupart s’inscrivent néanmoins dans le cadre de la
stratégie de guerre hybride et de déstabilisation développée par Moscou à l’encontre des
pays démocratiques. Les États-Unis, l'Ukraine et le Royaume-Uni en sont les cibles les plus
fréquentes (Burt, 2021). La Russie envisage le domaine cybernétique comme faisant partie
d’un spectre informationnel large, allant de la désinformation à la guerre électronique. Les
cyberattaques, y compris celles contre les infrastructures critiques, sont donc souvent
combinées à une composante psychologique (IISS, 2021). Ces actions visent à intimider les
pays ciblés, influencer leurs politiques intérieure et étrangère, déstabiliser leur société en
engendrant du chaos et saper la confiance accordée par les citoyens aux autorités. C’était
notamment l’objectif des attaques destructrices contre le réseau électrique ukrainien en
décembre 2015, attribuées à une unité militaire cybernétique russe par les services de
renseignement ukrainiens, qui ont privé d’électricité près de 250 000 personnes pendant
plusieurs heures (Dupuy et al., 2021 ; The Economist, 2021).
Le recours par la Russie à des cyberattaques contre des services essentiels lors de sa
nouvelle invasion de l’Ukraine en 2022
Bien que son activité dans ce domaine ait été plus limitée que ce qu’avait anticipé la plupart des
experts, la Russie a perpétré des cyberattaques visant à mettre hors de fonctionnement des services
essentiels avant et pendant sa nouvelle invasion injustifiée et illégale de l’Ukraine au début de 2022,
en dépit de son engagement à respecter le droit international dans le cyberespace (Sanger et al.,
2022).
En janvier 2022, alors que les forces armées russes s’apprêtaient à lancer leur offensive meurtrière,
une cyberattaque a mis hors de fonctionnement plus de 70 sites Internet gouvernementaux
ukrainiens. Les autorités ukrainiennes ont accusé des cybercriminels liés aux services de
renseignement biélorusses de l’avoir menée sur ordre de la Russie (The Guardian, 2022 ; Polityuk,
2022). Au même moment, l’entreprise américaine Microsoft a annoncé avoir détecté dans des
dizaines de réseaux informatiques publics et privés ukrainiens un logiciel destructeur (« wiper »),
surnommé WhisperGate, conçu pour rendre les systèmes informatiques inopérants tout en ayant
l’apparence d’un rançongiciel (Microsoft, 2022 ; Sanger, 2022).
4
AVANT-PROJET DE RAPPORT – 010 CDS 22 FLes autorités ukrainiennes estiment que cette cyberattaque pourrait avoir également été menée par
un groupe biélorusse lié aux autorités russes (McMillan et Volz, 2022). Le mois suivant, dans les jours
précédents le début de l’invasion, les sites Internet de plusieurs organismes gouvernementaux et de
deux banques ukrainiennes ont été la cible d’une attaque par déni de service, attribuée par les
autorités ukrainiennes, britanniques et américaines à la Russie (Holland et Pearson, 2022). Les
autorités ukrainiennes ont décrit l’attaque comme « la plus importante dans l’histoire de l’Ukraine »
(Hopkins, 2022). Par ailleurs, la veille du début de l’offensive militaire russe, Microsoft a détecté un
logiciel destructeur ayant infecté des centaines d'ordinateurs appartenant à des ministères ukrainiens
ainsi qu’à des institutions financières basées en Ukraine, en Lettonie et en Lituanie (Bajak, 2022).
L’entreprise américaine a mis à jour en quelques heures ses systèmes de détection de virus afin de
bloquer le logiciel, baptisé FoxBlade, et partagé les détails de son code avec plusieurs pays
européens afin d’éviter qu’il ne se propage (Sanger et al., 2022).
L'objectif de ces multiples cyberattaques contre des entreprises privées et des organes
gouvernementaux essentiels était de déstabiliser la société ukrainienne afin de réduire sa capacité à
résister à une nouvelle invasion. La détermination et la résilience dont a fait preuve le peuple
ukrainien face à la brutalité de l’agression militaire russe démontrent qu’elles ont échoué. Cependant,
le recours présumé par la Russie à de telles attaques dans le cyberespace avant et pendant un conflit
armé doit interpeler les Alliés. Ils doivent faire tout leur possible pour renforcer leurs capacités et
celles de leurs partenaires à protéger les infrastructures critiques dont dépendent leurs sociétés. Cela
nécessite notamment d’accroitre l’échange d’informations et la coordination entre les entreprises
privées spécialisées et les institutions publiques alliées et partenaires.
15. La Chine représente, elle aussi, une menace dans le cyberespace. Pékin y développe
rapidement ses capacités. En 2015, le pays a annoncé son ambition de devenir une
puissance majeure dans ce domaine à l’horizon 2030 et a, à cet effet, regroupé et renforcé
la composante cybernétique de ses forces armées (IISS, 2021). Les capacités chinoises
sont considérées comme les deuxièmes plus sophistiquées au monde (FP Analytics, 2021).
Les cyberattaques menées par l’État chinois visent principalement à faire avancer ses
objectifs politiques internes et externes et à mener des opérations d’espionnage industriel et
technologique à l’encontre d’entreprises et services essentiels alliés.
16. Outre la Russie et la Chine, d’autres pays, bien qu’avec des capacités plus modestes,
posent un danger pour la cybersécurité des infrastructures critiques alliées. C’est
notamment le cas de l’Iran qui, depuis l’attaque Stuxnet sur ses propres réacteurs
nucléaires, développe activement ses capacités cybernétiques. Les cyberattaques menées
par le régime visent à discréditer les processus et institutions démocratiques dans les pays
alliés, à voler la propriété intellectuelle d’entreprises et à générer des inquiétudes et des
dissensions dans les pays qu’il considère comme ennemis, notamment au Moyen-Orient
mais aussi dans l’Alliance. Malgré une présence sur l’Internet parmi les plus faibles au
monde, la Corée du Nord constitue aussi une menace dans le domaine cybernétique. Les
autorités y consacrent des ressources substantielles au développement de leurs capacités.
Elles mènent des attaques à des fins de vol, de fraude et de blanchiment d’argent, en vue
d’acquérir les ressources financières nécessaires à la poursuite de leur programme
nucléaire et à la survie du régime (Sanger et Perlroth, 2020).
17. Bien que les cyberattaques émanant d’États constituent la menace la plus
sophistiquée et potentiellement la plus dévastatrice pesant sur les infrastructures critiques
alliées, les acteurs non-étatiques malintentionnés représentent aussi un défi à cet égard. Ils
sont responsables de la majorité des cyberattaques dans le monde (van der Meer, 2020). Ils
incluent des hacktivistes (pirates informatiques criminels aux motivations idéologiques), des
organisations terroristes, des initiés malveillants (employés actuels ou anciens qui ont accès
5
AVANT-PROJET DE RAPPORT – 010 CDS 22 Faux réseaux de la cible), et de simples amateurs. Leurs motivations sont diverses. Certains
souhaitent accroitre leur réputation, revendiquer leurs idéologies ou tester leurs capacités,
d’autres cherchent à provoquer le chaos.
18. La majorité des acteurs non-étatiques s’en prenant aux infrastructures critiques sont
néanmoins des cybercriminels motivés par le profit. Ces individus ou groupes tirent parti de
l’accessibilité, de la simplicité et de la reproductibilité croissantes des outils et des
techniques de piratage. Ils utilisent majoritairement des rançongiciels, c’est-à-dire des
logiciels malveillants qui chiffrent les données de la victime et qui ne sont désactivés
qu’après le paiement d’une rançon. Ce fléau prend de l’ampleur. En 2020, le nombre
d’attaques par rançongiciel a augmenté de 485% par rapport à 2019 et les rançons versées
ont atteint plus de 18 milliards de dollars (Glenny, 2022 ; Murphy, 2021). Les États-Unis sont
de loin le pays le plus touché par ces attaques, mais les autres pays de l’Alliance ne sont
pas épargnés (Burt, 2021). Les États, notamment la Russie et la Chine, dans lesquels ces
acteurs non-étatiques sont établis ferment souvent les yeux sur leurs activités illégales.
19. Plus grave encore, des collusions existent entre des groupes criminels et des autorités
nationales. Des États recourent à des mercenaires informatiques pour poursuivre leurs
objectifs stratégiques, ce qui leur permet notamment de complexifier l’attribution des
attaques (van der Meer, 2020). Ces relations se développent même parfois de manière
anonyme et informelle : durant l’invasion russe de la Géorgie en 2008, un site probablement
mis en ligne par les services de renseignement russes appelait tout volontaire à attaquer les
sites Internet gouvernementaux géorgiens (CCDCOE, 2021a). La Chine emploie des pirates
informatiques afin de mener des opérations d’espionnage dans le monde entier. En juillet
2021, par exemple, plusieurs Alliés ont attribué une attaque contre la plateforme Microsoft
Exchange à une dizaine de groupes de pirates informatiques parrainés par le ministère
chinois de la sécurité de l'État (AP-OTAN, 2021 ; Maison blanche, 2021). Cette attaque,
dont l’objectif était d’extraire et de voler des données, a affecté des dizaines de milliers
d’entités privées et publiques et des institutions démocratiques (CCDCOE, 2021b). Pour
d’autres États, l’emploi de mercenaires informatiques permet de profiter d’une expertise et
de capacités cybernétiques qu’ils ne possèdent pas (Egloff, 2017).
20. La difficulté à repousser la menace cybernétique pesant sur les infrastructures
critiques alliées vient aussi de la diversité des méthodes utilisées par les acteurs
malveillants. Outre les rançongiciels mentionnés ci-dessus, ils font usage d’un large arsenal
de techniques accessibles à bas coût et présentant une faible traçabilité, telles que
l’hameçonnage, les logiciels destructeurs (wiper) et les attaques par déni de service
(Monnet, 2021 ; MEAE, 2022).
B. LA MULTIPLICITÉ ET L’AUGMENTATION DES MENACES COMPLEXIFIENT LA
PROTECTION DES SERVICES ESSENTIELS ET LA DISSUASION DES
CYBERATTAQUES
21. La multiplicité des acteurs, de leurs objectifs et des techniques qu’ils utilisent rend
complexe la protection cybernétique des infrastructures critiques alliées. Faire face à cette
menace polymorphe nécessite des investissements de cybersécurité importants. Or, ces
investissements sont aujourd’hui bien trop faibles et certaines entités continuent de
dépendre de systèmes obsolètes. Ces vulnérabilités offrent des points d’entrée aisés aux
acteurs malintentionnés (McCormick et Murphy, 2021). Le niveau insuffisant de
cybersécurité de certaines infrastructures critiques alliées permet aux pirates informatiques
de rester longtemps non détectés et donc de causer plus de dommages, ainsi que de nuire
au fonctionnement de la cible infectée au moment où elle est le plus vulnérable. Malgré ces
risques, les opérateurs sont souvent peu enclins à investir dans la sécurisation de leurs
6
AVANT-PROJET DE RAPPORT – 010 CDS 22 Fréseaux car les outils vendus sur le marché sont couteux et ne sont pas soumis à des
standards communs permettant d’évaluer leur efficacité réelle (The Economist, 2021).
22. La récente prolifération des cyberattaques menées par des acteurs non-étatiques,
notamment par rançongiciel, a souligné la nécessité pour les opérateurs d’infrastructures
critiques de prendre conscience de l’importance de mieux protéger leurs réseaux. Une
enquête récente a, par exemple, révélé que seulement 31% des entreprises privées du
domaine de l’énergie se considèrent en mesure de réagir à une cyberattaque sur leurs
réseaux (Siemens, 2021). Ce manque de préparation rend les infrastructures critiques
vulnérables à des risques cybernétiques, auxquels elles répondent de manière
contreproductive lorsqu’ils se matérialisent. Les entreprises essentielles victimes d’attaques
par rançongiciels préfèrent, en effet, souvent ne pas les signaler et payer les rançons
demandées. Cela leur permet de préserver leur réputation et d’éviter la destruction ou la
publication de leurs données (The Economist, 2021). Ces comportements créent néanmoins
un cercle vicieux incitant les acteurs malveillants à multiplier les attaques.
23. Dissuader les cyberattaques contre les infrastructures critiques nécessite d’être en
mesure de les attribuer afin de sanctionner leurs auteurs. Or, la diversité et la multiplication
des menaces cybernétiques complexifient l’attribution. Les acteurs malveillants étatiques et
non-étatiques collaborent parfois ponctuellement, se confondent ou se font passer pour
d’autres. Ils dissimulent souvent leurs traces en utilisant des relais involontaires (botnets) ou
des intermédiaires (proxies), parfois dans plusieurs juridictions. Si les objectifs de
l’agresseur peuvent permettre de révéler son identité, ils sont cependant souvent tout aussi
difficiles à déterminer et à distinguer (Lindsay, 2015). Lorsqu’une attaque est détectée,
l’entremêlement des acteurs rend complexe d’établir si elle concerne, par exemple, des
motifs financiers, un espionnage économique ou une perturbation à des fins politiques ou
idéologiques (Slayton, 2017). Les pays de l’OTAN ont néanmoins profité des évolutions
technologiques des dernières années pour accroître leur capacité technique à attribuer
certaines cyberattaques. Ils ont aussi développé des partenariats utiles dans ce domaine
avec des entreprises privées et la société civile (FP Analytics, 2021). Au-delà des aspects
techniques, l’attribution reste néanmoins un acte politique. Autrefois réticents, les Alliés font
aujourd’hui montre d’une volonté croissante de rendre publics les agissements des acteurs
malveillants contre leurs infrastructures critiques (Moynihan, 2019). Cela a notamment été le
cas en juillet 2021, lorsque plusieurs Alliés ont attribué une cyberattaque contre la
plateforme Microsoft Exchange à des groupes de pirates informatiques liés aux autorités
chinoises (Follain et al., 2021).
IV- L'IMPACT DES CYBERATTAQUES SUR LES
INFRASTRUCTURES CRITIQUES DES PAYS ALLIÉS ET
PARTENAIRES : TROIS ÉTUDES DE CAS
A. LES ENTREPRISES PRIVÉES FACE AUX RISQUES CYBERNÉTIQUES : L’EXEMPLE
DE L’ATTAQUE CONTRE L’OPÉRATEUR D’OLÉODUCS COLONIAL PIPELINE EN
2021
24. Dans les pays alliés et partenaires, la majorité des infrastructures critiques est
aujourd’hui détenue et exploitée par le secteur privé. Cela est à la fois source d’efficacité et
de vulnérabilité. L’objectif des entreprises, même essentielles, est de maximiser leurs profits,
ce qui les pousse à être sans cesse plus innovantes mais aussi souvent à ne pas considérer
l’investissement dans leur cybersécurité comme une priorité. Leur indispensabilité sociétale
en fait, par ailleurs, des cibles de choix pour les acteurs malveillant. Ainsi, les cyberattaques
contre des entreprises privées opérant dans des domaines indispensables au
fonctionnement de nos sociétés se sont multipliées au sein de l’Alliance et chez ses
7
AVANT-PROJET DE RAPPORT – 010 CDS 22 Fpartenaires au cours des dernières années. Des acteurs étatiques y ont recours. Comme
mentionné plus haut, en février 2022, dans les jours précédents la nouvelle invasion
injustifiée et illégale de l’Ukraine par la Russie, plusieurs cyberattaques -attribuées à cette
dernière- ont mis hors de service les sites Internet et les applications mobiles de plusieurs
banques ukrainiennes (RFE, 2022 ; Hopkins, 2022).
25. La majorité de ces cyberattaques sont, néanmoins, actuellement le fait d’acteurs
non-étatiques, souvent motivés par le profit. Aucun domaine n’est épargné. Ainsi, le secteur
des transports a été pris pour cible. Par exemple, en juin 2021, une attaque par rançongiciel
a perturbé les services de transport maritime dans l’État du Massachusetts (McMillan et al.,
2021). De même, la sécurité alimentaire alliée peut être mise en danger par des attaques de
ce type. Toujours en juin 2021, un groupe de cybercriminels russes a paralysé pendant
plusieurs jours les systèmes informatiques de JBS, la plus grande entreprise mondiale de
transformation de viande, entrainant la fermeture de la majorité de ses usines (Harris et Lee,
2021). Le secteur des télécommunications a aussi été affecté. En aout 2021, les données de
50 millions de clients du deuxième opérateur de téléphonie mobile des États-Unis, T-Mobile,
ont été volées par un pirate informatique américain (Fitzgerald et McMillan, 2021). Les
cyberattaques contre le secteur de l’énergie sont cependant celles qui présentent le risque
le plus élevé d’entrainer des défaillances en chaine, aux conséquences potentiellement
catastrophiques pour la résilience alliée. L’ensemble des autres secteurs dépendent en effet
des infrastructures énergétiques pour leur fonctionnement.
26. La cyberattaque dont a été victime l’entreprise Colonial Pipeline aux États-Unis en mai
2021 a mis en évidence la vulnérabilité des entreprises essentielles aux cyberattaques et
leur impact déstabilisateur sur les sociétés alliées. Le groupe cybercriminel Darkside, basé
en Russie et plausiblement toléré par le gouvernement russe, a compromis avec un
rançongiciel les systèmes informatiques de cette compagnie qui fournit près de la moitié du
carburant utilisé sur la côte est américaine (Bing et Kelly, 2021 ; Rivero, 2021). L’attaque a
contraint Colonial Pipeline à interrompre le flux de pétrole dans son réseau d’oléoducs
pendant six jours, entrainant d'importantes pénuries d’essence et une forte augmentation de
son prix. Plusieurs aéroports et compagnies aériennes ont aussi été affectés (Johnson,
2021). L’entreprise n’a pu récupérer le contrôle de ses systèmes et reprendre ses opérations
qu’après avoir payé aux cybercriminels une rançon de plus de quatre millions de dollars
(The Economist, 2021).
27. Les Alliés doivent tirer les leçons de cette attaque et des perturbations qu’elle a
engendrées. Premièrement, il est nécessaire d’accroitre la pression sur les États qui
hébergent des cybercriminels sur leur territoire et tolèrent leurs activités illégales en dépit de
leurs engagements internationaux. Le président Biden a ainsi déclaré que la Russie avait
« une certaine responsabilité dans la gestion » de la cyberattaque contre Colonial Pipeline
(RFE, 2021). Deuxièmement, cette cyberattaque a posé la question du paiement de rançons
à des groupes criminels. Bien que les autorités américaines aient réussi à récupérer environ
la moitié de la somme payée par Colonial Pipeline, le versement d’une rançon encourage
les cybercriminels à continuer de mener des attaques contre des infrastructures critiques.
Troisièmement, cette cyberattaque a souligné l’importance de renforcer la coopération entre
les autorités publiques et le secteur privé et la nécessité d’adopter des normes minimales à
respecter pour les entreprises essentielles dans le domaine de la cybersécurité.
B. LES MENACES CYBERNÉTIQUES CONTRE LES SERVICES PUBLICS
INDISPENSABLES : LE CAS DE LA CYBERATTAQUE CONTRE LE SERVICE DE SANTÉ
IRLANDAIS EN 2021
28. Les services publics sont eux aussi fréquemment visés par des cyberattaques. Ils
représentent, en effet, des cibles attrayantes pour des acteurs étatiques cherchant à
8
AVANT-PROJET DE RAPPORT – 010 CDS 22 Fdéstabiliser les sociétés des pays alliés et partenaires. Ainsi, en 2007, la Russie a mené une
campagne coordonnée de cyberattaques contre de nombreuses infrastructures critiques et
entités essentielles, dont des sites Internet gouvernementaux, afin de créer de la confusion
et du chaos en Estonie.
29. En raison de leur niveau parfois insuffisant de cybersécurité et de leur caractère
essentiel, les services publics constituent aussi des cibles pour les cybercriminels motivés
par le profit. Parmi ces services, le secteur de la santé compte parmi les plus vulnérables.
Les cyberattaques à son encontre se multiplient au sein de l’Alliance et au-delà. Ces
attaques ont un impact désastreux sur la vie des citoyens et un coût financier élevé. En
2020, des attaques par rançongiciel ont ainsi frappé plus de 400 hôpitaux au Royaume-Uni
et aux États-Unis, causant des dommages estimés à 67 millions de dollars (FP Analytics,
2021). Des cyberattaques ont aussi visé des établissements médicaux en France, en
Espagne, en Tchéquie et en Allemagne, entre autres, au cours des dernières années
(CCDCOE, 2022). De même, en 2017, environ un tiers des organismes du service national
de santé britannique a été paralysé par une cyberattaque liée au rançongiciel WannaCry
(Hern, 2017).
30. La cyberattaque de mai 2021 contre le service de santé irlandais a souligné l’urgence
de renforcer la cybersécurité des infrastructures de santé. Des pirates informatiques
(identifiés comme le groupe cybercriminel Wizard Spider, basé en Russie) ont bloqué
l’accès aux données du service de santé en déployant un rançongiciel (Reynolds, 2021). Ils
ont ensuite demandé le paiement d'une rançon de 20 millions de dollars en échange d’un
outil de décryptage permettant de restaurer l’accès aux données (BBC, 2021). Le
gouvernement irlandais a refusé de payer cette rançon et s’est employé à atténuer les
conséquences de la cyberattaque sur le fonctionnement des hôpitaux (Reynolds, 2021).
Face à la détermination des autorités, les cybercriminels ont fini par leur faire parvenir l’outil
de décryptage sans contrepartie (BBC, 2021). Le système de santé a néanmoins mis près
de six mois à se remettre totalement de cette cyberattaque (Meskill, 2021 ; Hutton et Bray,
2021).
31. Deux leçons principales doivent être tirées de cette cyberattaque abjecte. D’une part,
la cybersécurité des services publics est actuellement inadéquate au regard de leur
indispensabilité sociétale. De nombreux organismes essentiels sous-estiment l’importance
de la cybersécurité en raison de priorités concurrentes et de ressources limitées. D’autre
part, les autorités irlandaises ont fait preuve de résilience en refusant de payer aux
cybercriminels la rançon qu’ils exigeaient. Cette réponse de principe a possiblement rallongé
la durée de l'attaque et donc aggravé ses conséquences, mais elle a également créé un
précédent concernant la meilleure manière de répondre à un tel chantage et, ainsi, de
dissuader de futures cyberattaques.
C. L’INTRUSION DANS LES RÉSEAUX DU COMITÉ NATIONAL DÉMOCRATIQUE EN
2016 ET LA NÉCESSITÉ D’ASSURER LA RÉSILIENCE CYBERNÉTIQUE DES
PROCESSUS ET INSTITUTIONS DÉMOCRATIQUES
32. Les institutions et processus électoraux doivent être considérés comme des
infrastructures critiques. La confiance des citoyens envers la démocratie dépend, en effet,
de leur bon fonctionnement et de leur sureté. Plusieurs États autoritaires ont d’ailleurs lancé
des cyberattaques à leur encontre au cours des dernières années afin de saper cette
confiance et de promouvoir leurs propres modèles autoritaires. De 2015 à 2018, au moins
vingt-deux cyberattaques liées aux élections ont ainsi visé seize pays sur six continents
(Groupe de coopération NIS, 2018).
9
AVANT-PROJET DE RAPPORT – 010 CDS 22 F33. Outre les campagnes de désinformation autour des élections (Sanchez, 2021) et les
activités de surveillance et d’espionnage à l’encontre d’opposants aux régimes autoritaires
(Glowacka et al., 2021), trois types de cyberattaques peuvent être distingués.
Premièrement, des acteurs malintentionnés cherchent parfois à perturber le fonctionnement
d’un système électronique de vote ou de décompte des voix. En 2014, à quatre jours de la
tenue d’élections parlementaires en Ukraine, le groupe de cybercriminels pro-russes
CyberBerkut a ainsi utilisé un logiciel malveillant afin d’induire en erreur le système de
décompte des voix et de manipuler le résultat de l’élection. Heureusement, le logiciel a pu
être supprimé avant l’annonce des résultats, l'empêchant ainsi de publier des résultats
erronés (CCDCOE, 2021c). Deuxièmement, des cyberattaques ont été menées contre des
institutions électorales et démocratiques. Des sites Internet de commissions électorales ont
été visés, notamment en Bulgarie et en Tchéquie (Reuters, 2017a). Des parlements ont
aussi été pris pour cibles. Par exemple, les réseaux des parlements norvégien et allemand
ont été infiltrés par des pirates informatiques liés, respectivement, à la Chine en 2021 et à la
Russie en 2015 (Buli, 2021 ; BBC, 2016). Les registres d’électeurs sont également visés. En
2020, des pirates informatiques liés au régime iranien ont envoyé des messages menaçants
à plusieurs milliers d'électeurs dont ils avaient obtenu les coordonnées en infiltrant de tels
registres afin d’influencer, sans succès, l’élection présidentielle américaine de 2020 (Sanger
et Barnes, 2021b). Troisièmement, plusieurs cyberattaques ont touché des personnalités
politiques dans le cadre de campagnes électorales. Ces attaques visent le plus souvent à
accéder aux courriels d’un candidat afin de les rendre publics. En 2017, dans le cadre de la
campagne pour l’élection présidentielle française, l’équipe d’Emmanuel Macron a ainsi été la
cible de plusieurs cyberattaques par des pirates informatiques (identifié comme le groupe
Pawn Storm, soupçonné d'avoir des liens avec les autorités russes) (Reuters, 2017b).
34. La cyberattaque similaire ayant entrainé la fuite de plus de 20 000 courriels internes
de membres du personnel du Comité national démocrate et de l’équipe de Hillary Clinton
lors de la campagne présidentielle américaine de 2016 a particulièrement marqué les
esprits. Des pirates informatiques ont envoyé des courriels infectés à certains membres afin
de voler leurs informations d'identification, d’accéder aux réseaux et d’extraire les courriels.
Ceux-ci ont ensuite été rendus publics afin d’influencer l'opinion à un moment crucial de la
campagne électorale (Smith, 2016). Selon les services de renseignement américains, les
autorités russes sont responsables de cette cyberattaque (ODNI, 2017). Des leçons doivent
être tirées de cette tentative de déstabilisation. Il est nécessaire que l’Alliance renforce la
résilience cybernétique de ses institutions et de ses processus démocratiques. Les
gouvernements alliés doivent faire de la cybersécurité électorale une priorité de leurs
stratégies de cyberdéfense, renforcer la protection des entités concernées, développer des
mesures de dissuasion et se tenir prêts à recourir si nécessaire à des contre-mesures
efficaces et fortes pour défendre leurs valeurs dans le cyberespace.
V- L’APPROCHE DE L’ALLIANCE POUR PROTÉGER LES
INFRASTRUCTURES CRITIQUES DES MENACES
CYBERNÉTIQUES
A. LES MESURES PRISES PAR LES ÉTATS MEMBRES
35. Le maintien et le développement de la capacité de résilience aux cyberattaques des
infrastructures critiques sont avant tout une responsabilité nationale. Face à la multiplication
de ce type d’attaques, les Alliés ont apporté trois types de réponses : stratégique et
structurel, réglementaire et capacitaire, et diplomatique et multilatéral. En raison de
l’impossibilité d’analyser les mesures prises par chacun des trente Alliés, cet avant-projet de
rapport met en avant des politiques et initiatives innovantes spécifiques mises en place au
10
AVANT-PROJET DE RAPPORT – 010 CDS 22 FVous pouvez aussi lire
