"Introduction à la Cyberstratégie" d'Olivier Kempf

Les infrastructures cybernétiques pénètrent le quotidien des hommes depuis longtemps. Il est assez difficile de trouver une date à cette ère puisque il y en a pour la faire remonter au temps des câbles télégraphiques. Quoi qu'il en soit, depuis le XIXe siècle, ce que l'on a coutume de nommer le cyberespace est une dimension prégnante de l'action humaine.

Dans ce milieu, des actions y sont menées à toutes fins : d'abord et surtout économiques, puis "stratégiques", mais pas seulement. Le cyberespace est devenu un milieu à part entière et tout milieu suppose une stratégie qui lui est propre. qiconque s'intéresse aux affaires mondiales n'a pu râter avec quelle ampleur le cyber s'est imposé dans les préoccupations stratégiques depuis quelques années. Cela fait quelques années que c'est un sujet de vives attentions : le cyberespace était entré trop discrètement dans le livre blanc sur la défense et la sécurité nationale de 2008, et il y fera une entrée en force dans celui de 2012. Que s'est-il passé entre ces deux dates ? Les attaques massives dans le cyberespace de 2007 contre l'Estonie et la guerre de Géorgie ont été deux éléments déclencheur d'une prise de conscience supplémentaire.

Mais de quoi la cyberstratégie est-elle le nom ? C'est à cette question que répond magistralement l'auteur d' "Introduction à la cyberstratégie", le stratégiste Olivier Kempf (Egeablog). Dès le début de son ouvrage il brosse le portrait d'un sujet mal connu. Il est possible de sortir trois des points majeurs de l'ouvrage pour mieux le présenter :

• qu'est-ce que le cyberespace ?
• En quoi le cyberespace permet-il à nouveau l'expression d'actions stratégiques offensives ?
• En quoi l'arme cybernétique est-elle limitante ?

Première grande action, l'auteur nous offre une définition de ce milieu. Il part des quelques définitions officielles qui existent (celles de l'ANSSI et du CICDE) pour nous montrer qu'elles sont insuffisantes pour englober toute la complexité de ce milieu. Par exemple :

• la première définition ("l'espace de communication constitué par l'interconnexion mondiale d'équipements de traitement automatisé de données numérisées") ne prend en compte que des considérations techniques : le cyberespace ne serait qu'un milieu virtuel naissant de l'interconnexions de réseaux de toutes sortes ?
• La seconde définition, quant à elle (le cyberespace est "un domaine global constitué du réseau maillé des infrastructures des technologies de l'information (dont Internet), des réseaux de télécommunications, des systèmes informatiques, des processeurs et des mécanismes de contrôle intégrés. Il inclut l'information numérique transportée ainsi que les opérateurs des services en ligne"), conserve elle aussi cet aspect technique central mais l'ouvre également à une donnée essentielle, et non moins centrale : le cyberespace sert à transport de l'information.

Le cyberespace serait donc la conjonction, d'au moins, deux éléments centraux : les infrastructures physiques et l'information qui y transite. De là, l'auteur nous propose d'aborder le cyberespace selon une approche en couches :

• la couche matérielle qui est constituée des infrastructures proprement dites et qui permettent d'interconnecter des machines qui ont vocation à communiquer entre elles ;
• la couche logique qui recouvrent tout ce qui donne vie à ces machines (algorithmes, logiciels, programmes, etc...) et leur permettent d'utiliser leurs "organes" pour leur faire produire les travaux que l'on attend d'elles ;
• la couche sémantique ou informationnelle qui renferme toute l'activité humaine dans le cyberespace se quantifiant en informations échangées ou produites.

Partant de là, le stratégiste nous fait remarquer que si dans la grande tradition technologique américaine (voir "La technologie américaine en question - le cas américain" de Joseph Henrotin aux éditions Economica) la première couche intéresse au plus point à Washington, il s'agit de remarquer que la Russie, comme la Chine, est plus sensible à la troisième couche. Mais les positions évoluent.

Toujours selon le propos de l'ouvrage, il faudrait voir le cyberespace comme une nouvelle sphère stratégique qui viendrait théoriquement se superposer aux premières :

• terre,
• mer,
• air,
• électromagnétique, 
• nucléaire,
• exospatial,
• et le cyberespace.

Fruit de différentes caractéristiques, ce milieu est novateur car il est l'un de ceux qui permettent à nouveau la manœuvre stratégique offensive depuis la fin de la Guerre froide. Celle-ci se fait dans l'intérêt de la puissance politique qui l'emploie, et plus particulièrement, elle se fait aussi bien contre l'ennemi que contre l'allié qui peut se révéler adversaire.

La caractéristique majeure, que l'auteur souligne à maintes reprises, qui ouvre la voie à l'offensive stratégique est la très difficile imputabilité des actions dans le cyberpespace. La Russie n'a pas été reconnue officiellement comme étant l'instigatrice des attaques contre l'Estonie ou la Géorgie...

C'est-à-dire qu'il est possible de se soustraire à l'attention des diverses servitudes (diplomatie, médias, opinions publiques, etc...) qui entravaient l'action stratégique afin d'agir dans ce milieu pour y produire des effets aussi bien en son sein que dans d'autres. Si le cyberespace attend une guerre propre (comme tous les autres milieux), il sert aussi à en produit dans l'inter-milieu.

En ce sens, il offre une nouvelle corde à l'arc des acteurs en recherche de liberté. En la matière, les actions sous-marine et des forces spéciales étaient les dernières cordes à l'arc des Etats. Après tout, et comme le souligne Olivier Kempf, l'objet de la stratégie est de gagner des marges de manœuvre pour agir contre l'adversaire (bien que comme il le souligne dans son avant-dernier ouvrage la cyberstratégie doit s'accomoder une dialectique qui s'efface au profit d'une polylectique). La posture de défense serait bien dépourvue face aux attaques puisqu'elle ne peut que tenter d'y parer selon différentes configurations (défense étanche, en profondeur ou dynamique), mais sans pouvoir découvrir l'identité de l'assaillant.

Toutefois, la difficile imputabilité des actions dans le cyberpesace est inversement proportionnel à l'importance des actions offensives que l'on souhaite y mener : plus l'effet recherché de l'action est coercitif, plus sa discrétion sera moindre. C'est-à-dire qu'au delà d'un certain degré de violence des attaques, l'imputabilité ne sera plus possible. Il y a une auto-régulation dans le fait de permettre à nouveau l'offensive stratégique.

Enfin, il convient d'aborder rapidement la notion de cyberarme. Objet de tous les fantasmes, elle aurait la vertu de l'arme nucléaire : le pouvoir égalisateur de l'atome. Grisé par les réussites d'hackers isolés, on a pu prophétiser que l'action cybernétique se ferait au détriment des Etats et à peu de frais. Hors, il en est rien. Ainsi, la quantité de moyens à mettre en mouvement pour atteindre un but est proportionnel à ceux qui sont mis en œuvre pour le défendre. Cela revient à dire que pour attaquer une cible durcie par un groupe ou un Etat, il faut des moyens équivalents à ceux utilisés pour durcir la cible. Il n'est donc pas à la portée du premier venu de s'attaquer à l'un des Etats qui a une base industrielle et technologique de communication acérée. Par contre, l'inverse est vrai : la différence de potentiel de forces entre les acteurs fait que ceux en bas de l'échelle sont plus susceptibles de subir les assauts de ceux qui appartiennent au haut de l'échelle.

Mais l'usage des cyberarmes est malaisé :

• d'une part, il n'y a pas de cyberarme générique. Ainsi, elle est conçue et dimensionnée en fonction de la cible. Il n'est donc pas possible d'improviser une attaque.
• D'autre part, pour pouvoir mener des actions offensives grâce aux propritétés du cyberespace il convient de rester discret afin de rester en deça du seuil duquel l'imputabilité de l'action cybernétique demeure.

Pour infiltrer un dispositif ennemi, il convient alors de s'ingénier à utiliser les possibilités de l'intermilieux. C'est l'exemple typique du vers Stuxnet qui a frappé la centrale iranienne de Bucher et qui a été conçu grâce à des complicités internes, donc à une ou des actions clandestines.

Mais il y a une dernière grande limite à l'utilisation de cyberarmes : elle révèle le savoir-faire de l'arsenal qui l'a conçu. Si cette arme est de nature à inquiéter les autres acteurs alors c'est la voie ouverte à une course aux armements puisque toute puissance politique souffre comme d'une atteinte contre son existence le fait de ne pas pouvoir supporter la comparaison avec une autre qui détiendrait un avantage déterminant. La course à l'arme nucléaire fut irrésistible de part le monde...

Ces trois caractéristiques majeures de l'arme cybernétique fait qu'il est mal-aisé de l'utiliser : les Etats-Unis étudièrent l'utilisation d'une de leurs armes contre la Libye avant d'abandonner l'idée de le faire pour ne pas révéler l'état de leurs capacités. Oui, l'action offensive cybernétique qui a pu être observé renforce la défense puisqu'elle sait à quoi se préparer. Mieux, pour se prémunir des attaques, la défense doit préparer l'offensive, et donc les cyberarmes, pour savoir à quoi s'attendre et ne pas se laisser surprendre...

L'ouvrage est une réussite puisque c'est bel et bien une introduction à la cyberstratégie. Après sa lecture, il est possible de sortir partiellement du brouillard de la Guerre et de mieux appréhender ce nouveau milieu. Ainsi, les différentes strates apparaissent du cyberespace, ses acteurs et ses manières d'agir y apparaissent et la pensée s'en fait plus claire.

On ne saurait mieux vous en conseiller la lecture si vous souhaitez appréhender ce nouvel espace sans y perdre votre latin et, pourquoi pas, aller plus en avant dans le détail pour comprendre toutes les subtilités dans lesquelles se nichent les enjeux.

Il conviendra de revenir un peu plus en avant sur les enseignements de l'ouvrage et tenter de voir en quoi l'action cybernétique ressemble comme deux gouttes d'eau à l'action du sous-marin nucléaire.