Alexandre Papaemmanuel, enseignant-chercheur à Sciences Po Paris et co-auteur de l'ouvrage Les espions de l’Élysée (Tallandier), revient sur la résilience cyber des Ukrainiens et sur le rôle des Gafam en Ukraine, et présente quatre propositions pour améliorer la cyber-résilience de la France à l'occasion de la LPM 2024-2030.
Pour certains, la cyberguerre en Ukraine n'a pas eu lieu. Cela ne dissimule-t-il pas une forme d'attaque plus astucieuse et discrète qui peut potentiellement avoir un impact majeur sur le temps long ?
On a tendance à dire que le “cyber Pearl Harbor” n’a pas eu lieu. Malgré tout, il y a eu des affrontements cyber en Ukraine. Il y en a notamment eu avant le début du conflit, lorsque nous étions sous le seuil d’un conflit interétatique. Rappelons-nous qu’en 2014, pendant la présidentielle en Ukraine, il y a eu une opération pour déstabiliser le processus électoral. En 2015 et 2016, nous avons vu des opérations très concrètes contre des opérateurs d’importance vitale (OIV), paralysant la distribution des Ukrainiens en électricité. En 2017, il y a eu le logiciel malveillant NotPetya qui a bloqué de nombreux acteurs publics et privés.
Depuis 2014, le cyber a été au service d’actions de sabotage, d’espionnage et de subversion. L’Ukraine a mis en place une ligne de cyberdéfense, anticipant et se préparant, aux côtés de partenaires solides, tant publics que privés, pour stopper ces cyberattaques russes. Comme l’indiquait le général Aymeric Bonnemaison lors de sa récente audition devant la Commission de la défense nationale et des forces armées, “la défense peut prendre l'ascendant sur l'offensive”. C’est l’un des enseignements majeurs de cette guerre.
L’action cyber est par définition souterraine et parfois on ne découvre qu’ultérieurement combien les moyens cyber ont été mis à contribution sur des actions importantes. Ce sera peut-être le cas dans quelques années, car revendiquer une opération c’est également se dévoiler.
Un an après le début du conflit, où en est le rapport de force entre la Russie et l'Ukraine dans le domaine cyber ?
L’Ukraine a résisté et à même contre-attaqué. Ce qu’elle fait aujourd’hui, quotidiennement et de façon héroïque sur le terrain, avec tous ses équipements, elle l’a aussi mis en œuvre dans le domaine cyber. L’action de Mykhailo Fedorov, le ministre ukrainien de la transformation numérique, a été déterminante et a permis, avec sa “diplomatie de la Silicon Valley”, d’agréger le soutien de nombreux géants de la tech. L’une des spécificités du cyber étant que les acteurs privés peuvent avoir un impact dans des conflits inter-étatiques. Ajoutons à cela la mobilisation citoyenne de l’IT Army - sorte de légion de volontaires pour soutenir l’Ukraine afin d’effectuer des attaques ciblées et défendre les systèmes d’information de l’Ukraine - et un soutien étatique des pays Baltes en forme de “cyber-diplomatie”.
Le général Bonnemaison (COMCYBER) pense que “nous ne gagnerons pas une guerre avec le cyber seul”. Selon vous, faut-il systématiquement lier la cyberguerre à la guerre traditionnelle ? Ou croyez-vous à une guerre 100 % cyber dans un avenir proche ?
Aujourd’hui, parmi les champs de l’hybridité, le cyber est devenu une arme utilisée par certains États pour défendre leurs intérêts ou déstabiliser leurs ennemis. Le retour d’expérience de la guerre qui se joue aux frontières de l’Europe souligne l’importance d’une défense numérique nationale et européenne, pour rester en avance sur ses ennemis. L'un des défis du futur du champ de bataille étant l’intégration d’une action cyber dans des opérations multi-milieux/multi-champs (M2MC). Mais, même si le cyber n’est pas une arme suffisante pour gagner la guerre à elle seule, il est en revanche une capacité indispensable pour conserver l’initiative.
Chacun peut être la porte d’entrée d’une attaque étrangère qui vise à déstabiliser un pays.
Alexandre Papaemmanuel, Sciences Po Paris
Après la cyberattaque de l'ONACVG, doit-on craindre une augmentation massive des attaques informatiques dans les pays ayant pris position en faveur de l'Ukraine ?
La question de l’attribution est à manier avec précaution car elle relève bien souvent du politique. Cependant, l’Agence nationale de la sécurité des systèmes d'information (Anssi) a, dès le début 2022, posé un diagnostic en soulignant que les tensions internationales s’accompagnaient maintenant d’effets dans le cyberespace. Dans un monde qui est interconnecté, ces attaques peuvent bien évidemment avoir des impacts sur des entités françaises. Il faut anticiper et s’y préparer. Depuis le début du conflit en Ukraine, l’Anssi a toujours eu cette volonté de pas tomber dans la surenchère et a essayé d’accompagner avec beaucoup de pédagogie cette crise, tout en réduisant au maximum la probabilité que de tels événements puissent arriver sur le territoire national.
Cependant, malgré la mise en place d’une posture de défense par l’Anssi, de nombreuses attaques ont lieu contre des institutions stratégiques et vulnérables. Malgré tout, nous ne pouvons pas forcément lier ces attaques à la volonté d’un pays tiers de nous attaquer. Pourquoi ? Ces cyberattaques sont peut-être simplement le fait de cybercriminels attirés par l’appât du gain ou bien des pays tiers testant leurs cyberattaques en se dissimulant derrière des codes que nous pourrions attribuer à une autre puissance étrangère. Aujourd’hui, force est de constater que le parquet de Paris compte plus de 600 enquêtes ouvertes à la suite de cyberattaques.
Se faisant, le rôle des individus et des organisations auxquelles ils appartiennent doit être questionné. Car désormais, dans cette architecture de sécurité, ceux-ci sont soient des maillons de résistance ou des maillons faibles. Si avant les lignes de front étaient tenues par des soldats, des hommes et des femmes, qu’ils soient ou non professionnels engagés sur le terrain, désormais, dans les moments de paix, tous les individus portent une responsabilité cyber. Chacun peut être la porte d’entrée d’une attaque étrangère qui vise à déstabiliser un pays.
Pour la prochaine loi de programmation militaire (LPM), l’État entend encore améliorer la résilience cyber de la Nation. Quelles sont vos attentes à ce sujet ?
Sous l’impulsion de visionnaires déterminés dont le premier fut l’Amiral Arnaud Coustillière (Pôle d'excellence cyber), les livres blancs, Revues nationales stratégiques (RNS) et LPM ont contribué depuis dix ans à la sédimentation progressive de la cybersécurité au profit de notre sécurité nationale, aboutissant ainsi à la création d’un Commandement de la cyberdéfense (COMCYBER) en 2017. Cependant, et même s’il y a eu un investissement important, que nous devons poursuivre, je vois quatre axes d’amélioration :
1/ La masse RH cyber.
Un chantier important doit s’ouvrir sur les standards de recrutement d’un cyber combattant n’ayant pas toujours vocation à opérer sur les lignes de front et pour lequel le processus de sélection par un parcours du combattant n’est peut-être pas le plus adapté. De plus, les missions, l’évolution de carrière comme la culture du management, doivent sans doute être repensées pour ce milieu obéissant à ces règles propres (autonomie, horizontalité, etc.). Mais au-delà de ces évolutions RH, il faudra surtout que la prochaine LPM puisse confirmer l’objectif stratégique de cyber résilience par une augmentation des ressources humaines du COMCYBER sans grever pour autant les capacités des Armées.
2/ La liberté d'action par l’intégration des effets cyber aux opérations.
Le COMCYBER, émanation des Armées et non Armée Cyber, doit répondre aux besoins opérationnels des Armées. Ainsi le concept de multi-milieux (terre, mer, air auxquels on peut ajouter l’espace exo-atmosphérique et le cyber) et de multi-champs (informationnel et électromagnétique) pose le COMCYBER comme un acteur aux carrefours de l’action opérationnelle aussi bien dans la conception, la planification et la conduite des opérations militaires de cyberdéfense. Le cyber militaire français dispose d’une palette d'actions dont peu d’homologues étrangers peuvent se prévaloir. Ainsi, la combinaison d’une action cyber défensive pour remonter la source d’une tentative d’attaque avec une action d’influence peut accélérer et démultiplier l’obtention des effets militaires recherchés. De plus, les objets connectés se multiplient sur le champ de bataille, la compréhension du champ électrométrique peut être discriminante pour comprendre un déploiement logistique ennemi via le réseau informatique de ses conteneurs connectés.
La LPM devra donc offrir une panoplie de capacités techniques spécifiques à la cyberdéfense inscrivant définitivement le commandement de la cyberdéfense comme acteur opérationnel des niveaux stratégique, opératif et tactique en complément et non en substitution des capacités des Armées. Cette liberté d’action cyber doit permettre de renforcer notre capacité à monitorer et à se défendre, “mais aussi à prendre l'initiative, à passer de clairs messages stratégiques dans l'espace numérique” comme le président de la République l’a rappelé dans ses vœux.
Le COMCYBER doit permettre à la France d’agir en allié dans l’espace Euro-Atlantique, d’être moteur de l’autonomie stratégique européenne.
Alexandre Papaemmanuel, Sciences Po Paris
3/ Un écosystème cyber large.
La LPM devra renforcer les capacités du COMCYBER d’animation de la politique nationale et internationale de cyberdéfense, notamment dans l'élaboration et la mise en œuvre des plans de coopération. Dans le prolongement du leadership français numérique du Forum de Paris sur la paix, le rôle pivot de la France passe par une cyber-diplomatie militaire affirmée. La mise en réseau du monde induit qu’une attaque cyber sur l’Ukraine se propage viralement à l’ensemble du globe, paralysant un opérateur de métro Ukrainien, un acteur mondial de la logistique ou un industriel français de premier rang. Paralyser les communications, l'électricité, les services bancaires et gouvernementaux permet d’ouvrir la voie à la prise du pouvoir. Dans une logique de réassurance, les armées doivent plus que jamais se déployer à proximité de nos alliés et partenaires pour découvrir l’infiltration de pirates informatiques dans leurs systèmes.
La cyber-diplomatie n’est pas que virtuelle, elle passe aussi par l’adage “more boots on the ground” ("plus d'hommes sur terrain"). Le “Hunt Forward”, la chasse cyber aux avant-postes, induit d’être invité à parcourir en profondeur les réseaux informatiques des pays partenaires à la recherche de signes de pénétration.
Le COMCYBER, à travers ces déploiements, peut contribuer à la diplomatie française tout en étendant la protection de nos frontières. Être en première ligne permet d’identifier et d’éradiquer des vulnérabilités menaçant notre territoire, offrant à la France un rôle de partenaire lucide à haute valeur ajoutée. Enfin, la dualité de la cybersécurité impose une ouverture vers l’extérieur pour éviter une compétition stérile sur le recrutement des ressources humaines cyber, mais également pour s’appuyer sur des informations, capacités et solutions complémentaires de celle de l’action de l’État. C’est pourquoi le commandement de la cyberdéfense doit disposer de moyens pour poursuivre cet effort de fédération d’écosystème au service de l’autonomie d’appréciation cyber de la France.
Enfin, en sécurisant les échanges avec nos partenaires, le COMCYBER doit permettre à la France d’agir en allié dans l’espace Euro-Atlantique, d’être moteur de l’autonomie stratégique européenne et un partenaire crédible au sein d'alliance solide. Le cyber doit contribuer pour reprendre les mots du président de la République à “penser autrement nos partenariats, nos alliances, tout en demeurant un leader en Europe et un allié fiable à l'OTAN”.
4/ Accélérer la numérisation des armées.
Trop souvent vécue comme une contrainte ou un dogme, la cybersécurité, si elle doit protéger, doit également faciliter le déploiement des nouvelles technologies. En effet, la guerre en Ukraine représente un point de rupture dans l’accélération de l’accès à l’information d’un champ de bataille. Des traces numériques sur le terrain aux informations des satellites commerciaux, des caméras de télévision au contenu publié sur les réseaux sociaux par les forces sur le terrain, la donnée est accessible à un degré jamais égalé. Cette transparence relative a été accélérée par la convergence entre les domaines cyber et guerre électronique, entre l’action cyber et la lutte informationnelle, entre le renseignement fermé et les sources ouvertes ou commerciales. Ce phénomène de numérisation s’est déployé car il avait une finalité opérationnelle.
Ainsi, l’héroïsme des Ukrainiens associés à des boucles de ciblage numérique réactive qui hybrident nouvelles technologies duales et armes conventionnelles de haute précision (artillerie, missiles antichars et antiaériens), ont fait basculer les équilibres attendus et le rapport de force. Bien évidemment, la nature de la guerre ne change pas pour autant, elle reste “l’art de la dialectique des volontés employant la force pour résoudre leur conflit” pour paraphraser le général Beaufre. Cependant la technologie numérique change désormais l’art de la guerre. C’est pourquoi le cyber ne doit pas être un frein mais bien un accélérateur pour intégrer des solutions numériques disruptives, celles qui renversent les rapports de forces.
Pour garder un temps d’avance, il faudra confirmer l’accélération des boucles d’adoption de technologie duale voulue par l’Agence de l'innovation de défense (AID), créer des écosystèmes de confiance avec des acteurs tiers (alliés ou privés) dans une logique de transformation mentionnée par le ministre des Armées afin de s’appuyer sur les progrès de la robotique, de la connectivité, de l'autonomie, de l’accès aux données dans un cloud souverain sécurisé et de l'IA embarquée. La cyber est ainsi au service de l’opérationnalisation de l’innovation au profit des forces. Cyber et numérisation sont les deux faces d'une même pièce. La cyber comme atout non négociable de notre souveraineté a donc une responsabilité, celle d’accompagner une audace maîtrisée et catalysée au service d’une évolution rapide de nos armées.