Le cyberespace : enjeux géopolitiques
Les cyberattaques gênent les opérations militaires, mais ne les remplacent pas. Derrière le flou de la ligne de partage entre la guerre et la paix se profilent des enjeux militaires, financiers et… démocratiques !
C’est ce qu’ont expliqué les professeurs Frédérick Douzet (géopolitique, Université Paris 8) et Kavé Salamatian (informatique, Université de Savoie), au cours d’une conférence organisée, le 27 septembre à Paris, par la chaire Castex de cyberstratégie (fondation d’entreprise EADS).
Les représentations géopolitiques. La stratégie repose sur la représentation de la réalité, que perçoivent les acteurs politiques d’un pays et qui varie d’un continent à l’autre. Le cyberespace est la représentation d’une menace pour un territoire qui, pour un Etat, est délimité par des frontières et sur lequel il exerce sa souveraineté (lois, sécurité, intérêts économiques, rivalités et coopérations régionales). Ce qui est acceptable dans certains pays ne l’est pas dans d’autres. Tout est une question de rapports de forces techniques et juridiques, précise Frédérick Douzet. Deux visions s’opposent. L’une, d’origine américaine, concerne un espace d’échanges sans frontières ni contrôle. L’autre, d’origine chinoise, porte sur un territoire à contrôler pour manifester sa puissance. Actuellement, une quarantaine d’Etats exercent un contrôle sur l’internet capté chez eux, afin de réaffirmer leur souveraineté. Il s’ensuit parfois des contradictions avec les valeurs que ce pays défend, comme la liberté d’expression et la protection de la vie privée. De petits acteurs non étatiques (pirates isolés et organisations diverses) émergent face à la supériorité des grandes puissances militaires. Cette perception d’une menace diffuse sur le territoire peut déterminer des orientations stratégiques. Ainsi, les Etats-Unis, qui ont pris conscience de leur vulnérabilité après les attentats terroristes du 11 septembre 2001, ont mal ressenti la montée en puissance de la Chine et son développement de l’internet dans les années 2000. En effet, à partir de 2009, des attaques contre des réseaux et des entreprises américaines provoquent un emballement médiatique. Le cyberspace est présenté comme une menace par la hiérarchie militaire, le complexe militaro-industriel et le monde politique. Cette rhétorique alarmiste, souligne Frédérick Douzet, constitue la représentation d’une catastrophe imminente et contre laquelle il faut se prémunir, comme la menace nucléaire et avec les mêmes dégâts en termes de destructions militaires et économiques. Dès mai 2010, est créé le « US Cybercom » ou Commandement américain chargé de la sécurité des systèmes d’information et des opérations militaires dans le cyberespace. Un an plus tard, les Etats-Unis déclarent que les cyberattaques seront considérées comme des actes de guerre. Pourtant, leur gouvernement n’est pas unanime sur la question. De son côté, l’institution américaine à but non lucratif Rand Corporation qualifie les cyberattaques « d’armes de perturbation massive », susceptibles de causer des dégâts matériels importants, mais sans faire autant de victimes que des missiles à tête nucléaire. De plus, comment riposter contre un ennemi difficile à identifier avec certitude ou dépourvu d’infrastructures s’il n’est pas un Etat ? Mais, les enjeux sont considérables : capacité à élaborer une stratégie cohérente et efficace ; investissements en recherche et développement ; sécurité des personnes.
Des attaques très onéreuses. Kavé Salamatian définit la cyberstratégie comme l’art de diriger, coordonner et positionner ses forces dans l’espace de l’internet, afin d’atteindre des objectifs. Il est possible de couper l’internet d’un pays qui dispose d’un poste centralisé avec des connexions et qui a procédé à une réflexion stratégique. Les Etats-Unis ont effectué cette réflexion pour certains pays. L’Iran, qui a mené à terme cette réflexion, a quitté la connexion italienne pour celle de la Russie, qui assure 60 % de son trafic. En 2010, plusieurs de ses sites industriels avaient été victimes du ver informatique « Stuxnet », mis au point conjointement par Israël et… les Etats-Unis, dont la participation a été découverte en avril 2012. Aujourd’hui, l’Inde, la Chine et la France ont la capacité de réaliser le Stuxnet. Selon François Géré, l’administration Obama l’a utilisé pour mener une action contre le programme nucléaire iranien, en vue de signifier au gouvernement israélien qu’il est possible de gêner l’Iran sans recourir à une action militaire classique, opinion partagée par les services de renseignements israéliens. Par ailleurs, d’après le professeur Salamatian, les attaques informatiques chinoises contre Google, fin 2009, ont mobilisé trois équipes : une pour l’évaluation de la situation en amont, une pour l’élaboration de l’attaque et une pour l’attaque elle-même. Trois mois se sont écoulés entre chacune de ces actions. Des sommes astronomiques sont dépensées en matériels (« firewalls »), mais peu d’argent est consacré aux travaux de réflexion. De son côté, le professeur Géré indique que la phase de préparation d’une action exige des moyens financiers et humains considérables. Ainsi, il a fallu plusieurs centaines de personnes de haut niveau pour mener avec succès le vol des plans de l’avion polyvalent F-35 du constructeur américain Lockheed Martin. Enfin, selon le professeur Douzet, une cyberattaque abolit le temps et la distance, mais son efficacité repose sur une excellente connaissance du réseau, laquelle prend du temps.
La cybergéographie. L’internet, indique Kavé Salamatian, est un réseau virtuel qui s’étend dans le réel avec des contraintes physiques (fibres optiques et satellites), géopolitiques et économiques (investissements). Malgré la multitude de réseaux, seulement 10 % contrôlent 90 % des connexions. Le Japon concentre 85 % de son trafic grâce à sa langue. La Chine a intégré le cyberespace dans sa stratégie. Enfin, après le Stuxnet, les Etats-Unis ont développé le « Flame », encore plus efficace. La cyberguerre apparaît donc plus comme une gestion de crise qu’une véritable guerre.
Loïc Salmon