Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

La délicate collaboration internationale en matière de cyber-défense

auteur de l'article Jerome Saiz , dans la rubrique Cyber Pouvoirs

Commentaires Commentaires fermés sur La délicate collaboration internationale en matière de cyber-défense

Alors que l’OTAN réunit un panel d’experts cyber à l’occasion de la conférence CyCon (du 3 au 6 juin à Tallinn, en Estonie), force est de constater que le cyber occupe encore une place à part en matière de défense internationale.

Car si les Etats se promettent depuis longtemps de faire défense commune dans le cadre d’accords d’assistance bi-latéraux ou au sein d’organisations internationales telles l’OTAN ou l’Union Européenne, en matière de cyber-défense tout reste encore à faire.

Prenons, par exemple, l’idée d’un « parapluie cyber », calqué évidemment sur la notion de parapluie nucléaire : un Etat, disposant d’une capacité de cyber-défense avancée, pourrait proposer à d’autres de les faire bénéficier de sa protection en échange, par exemple, du placement de sondes de détection avancées sur les réseaux de ces derniers. Outre l’effet dissuasif, les Etats associés deviendraient alors également des méta-capteurs d’information et ils pourraient également bénéficier, au-delà d’une protection en cas d’attaque informatique, de l’accès à une expertise ou une formation cyber qui leur fait défaut.

L’idée nous semblait bonne et nous imaginions déjà la France jouer un rôle de premier plan dans ces relations internationales 2.0.

Jusqu’à ce que nous ayons l’occasion d’en discuter avec un officier de l’Etat-major des armées. Le concept de parapluie cyber est alors vite passé à la trappe, mais la réflexion qui s’en est suivie a permis de faire le point sur la notion encore naissante d’assistance internationale dans le domaine de la cyber-défense. Et de constater qu’à l’inverse du parapluie le besoin d’assistance en matière de cyber-défense est, quant à lui, bien réel.

Il faut reconnaître que l’utilisation du terme de « parapluie » n’est guère pertinente. Cela laisse imaginer un bouclier, et donc une prise d’engagement quant à son efficacité. Or l’on sait qu’en matière de cyber-défense plus qu’ailleurs les engagements de résultat sont autant d’occasions de se ridiculiser tant les groupes d’hacktivistes sont à l’affût d’opportunité de montrer leurs talents.
L’image évoque également la défense périmétrique, une approche que le cyber tente de dépasser depuis quelques années déjà. Et enfin, depuis les innombrables discussions sur l’attribution des attaques informatiques, et par extension la dissuasion, l’on a bien compris que le domaine cyber n’est tout simplement pas un bon candidat aux parallèles avec le nucléaire.

Exit donc le concept du parapluie. Mais si la question sous-jacente d’une coopération internationale de cyber-défense demeure quant à elle d’actualité, encore faut-il déterminer le contexte dans lequel une telle initiative pourrait s’inscrire…

Au sein de l’OTAN ? Cela paraît compliqué. Déjà parce que l’OTAN ne dispose pas de « force d’intervention cyber » : ses capacité de cyber-défense sont destinées à protéger ses propres infrastructures et à garantir son fonctionnement dans l’hypothèse d’un conflit, et non à porter assistance aux pays membres durant une cyber-attaque.

Certes l’organisation fait bien de l’assistance au développement auprès des pays membres qui en feraient la demande, et cela peut évidemment concerner les capacités de défense cyber. Mais il s’agit avant tout de diffusion de bonnes pratiques ou d’assistance au développement de projets. Et cela même en temps de crise : durant les récents événements en Ukraine le commandant suprême des forces alliées en Europe (SACEUR) a proposé aux 28 pays membres de l’OTAN un certain nombre de mesures de protection cyber. Charge à eux de les appliquer…

Et puis, surtout, l’organisation même de l’OTAN ne se prête pas aisément à un tel fonctionnement. Tenus par les articles du traité, ses membres ne peuvent pas en réclamer l’assistance à la légère.

Ainsi l’article 5 du traité de l’OTAN, celui qui permet de demander l’assistance des alliés en cas d’agression, est conçu pour répondre à une crise lourde. « Un Etat pourra certes invoquer l’article cinq afin d’avoir une assurance politique avant de répondre. Mais ensuite, chaque Allié choisit sa contribution » , précise ainsi notre officier. Autrement dit, le recours à l’article 5 se justifie uniquement dans le cadre d’une crise grave qui ne serait par définition pas uniquement cyber (ou alors c’est qu’il est bien trop tard), et qui justifie potentiellement une réponse armée. « La vraie question qui se pose aujourd’hui à l’OTAN c’est de savoir ce que l’on fait dans le cadre d’une crise – notamment cyber – dont le seuil d’intensité se situe juste sous celui de l’article 5 » , poursuit notre officier.

Une telle réflexion est un chantier majeur en soi (la seule définition de ce qui représente une agression cyber, et sa qualification d’attaque armée, est un travail de longue haleine…), et il est illusoire – voire contre-productif – d’envisager une position claire et des engagements signés dans un futur proche.

Si ce n’est l’OTAN, alors peut être que l’Union Européenne pourrait s’emparer du sujet ? Sur le papier l’article 222 du Traité sur le fonctionnement de l’Union européenne (la clause de solidarité) mentionne effectivement que « si un État membre est l’objet d’une attaque terroriste ou la victime d’une catastrophe naturelle ou d’origine humaine […] L’Union mobilise tous les instruments à sa disposition, y compris les moyens militaires mis à sa disposition par les États membres, pour […] protéger les institutions démocratiques et la population civile d’une éventuelle attaque terroriste; porter assistance à un État membre sur son territoire, à la demande de ses autorités politiques, dans le cas d’une attaque terroriste; porter assistance à un État membre sur son territoire, à la demande de ses autorités politiques, en cas de catastrophe naturelle ou d’origine humaine » .

Bref, l’Union Européenne donc semble bien positionnée pour intégrer la menace cyber dans le cadre des textes existants sans devoir mener au préalable de lourds travaux d’adaptation. D’autant plus que l’article 222 mentionne spécifiquement une catastrophe ou le terrorisme, ce qui offre un seuil d’activation inférieur à la seule agression d’origine militaire. L’on est ici pleinement dans la distinction entre sécurité et défense nationale.

Hélas, une éventuelle cyber-défense européenne n’est pas encore vraiment d’actualité, même si le terme d’Europe de la cyberdéfense est déjà sur les lèvres. Mais il s’agit pour l’instant hélas, de l’aveu même du sénateur Jean-Marie Bockel, seulement d’une Europe « juridique, peut-être technologique, mais pas encore industrielle » . Et encore moins défensive ! Tout au plus, à l’image de l’OTAN, l’Union Européenne est-elle en mesure de délivrer des conseils en matière de cyber-sécurité à ses membres, via l’ENISA (European Union Agency for Network and Information Security) ou d’aider, via l’Agence Européenne de Défense, au développement de projets cyber.

Et puis d’autres questions se posent encore à l’Europe dans l’hypothèse d’une crise cyber. En matière d’organisation, d’abord (qui interviendra concrètement ? Et comment l’institution européenne assurera-t-elle déjà sa propre cyber-sécurité lors d’une crise majeure ?) et ensuite en cas de crise transfrontalière (par exemple l’attaque d’un réseau électrique couvrant trois pays). « Dans une telle situation la France ne veut pas d’autorité supra-nationale qui nous imposerait des mesures. Une intervention au niveau européen serait donc compliquée » , précise l’officier.

Evidemment, selon à qui l’on pose la question, les avis divergent : les petits pays membres de l’OTAN qui ne disposent pas d’une capacité de cyber-défense suffisante préfèreraient sans surprise une obligation forte imposée par le traité. Et c’est d’autant plus le cas pour ceux qui peuvent par ailleurs rejoindre l’Union Européenne, et qui verraient alors d’un mauvais œil cette promesse de défense solidaire leur échapper si l’UE devait se saisir des questions de défense mutuelle cyber…

Alors où placer un tel dispositif aujourd’hui ? La position de la France a le mérite d’être pragmatique : « plutôt qu’un dispositif centralisé qui devrait tout faire, nous privilégions l’entre-aide internationale, au cas par cas et selon des relations de confiance existantes » , explique notre officier.

Ainsi, lors de la crise ukrainienne la France a proposé à l’Estonie des mesures préventives purement cyber (alerte sur des détections spécifiques, analyse de malware et si besoin envoi d’un groupe d’intervention rapide composé entre autres d’experts du CALID).
Il s’agit donc ici d’accords purement bi-latéraux qui s’entendent en dehors de toute organisation centralisée et surtout en dehors de toute obligation, bien que faisant suite à des discussions dans le cadre de l’OTAN.

Les accords de défense existant, par exemple, se prêtent parfaitement à une « révision » cyber. De tels accords « parfois déjà très proches et très engageants« , précise l’officier, offrent en effet un cadre existant qui pourrait se prêter à leur extension au domaine cyber, mais évidemment toujours au cas-par-cas.

Et c’est d’ailleurs déjà le cas… sauf que l’on en parle pas ! Car contrairement à l’idée – qui a vécu – de parapluie cyber, de tels accords fonctionnent mieux lorsqu’ils restent discrets.

Dans le domaine nucléaire, en effet, l’effet dissuasif passe par la démonstration régulière des capacités du pays qui tient le parapluie.
Mais les choses sont bien différente dans le domaine cyber : « si l’on devait faire la promotion de ce type d’accord, non seulement on donnerait l’impression de garantir une protection sans assurance de pouvoir l’assurer, mais en plus cela serait vu comme une invitation à venir tester les défenses. Et un simple DDoS ou un simple defacing serait alors vu comme un échec. Mieux vaut donc ne pas en parler… » , explique en effet notre officier.

Et puis surtout la discrétion est reine : « dans le cyber on ne dit pas tout : ni tout ce que l’on voit, ni tout ce que l’on fait, ni ce que l’on sait faire. C’est un jeu de poker menteur » , poursuit l’officier.
Impossible, donc, d’afficher des promesses et des capacités de défense globales, d’offrir à chaque pays partenaire les mêmes informations ou de dévoiler à tous les mêmes capacités. D’autant plus que certains parmi eux pourraient s’en servir à des fins malveillantes. Dans le cyber comme en diplomatie le cas-par-cas est la règle plutôt que l’exception.

Point de parapluie tricolore, donc. Mais une organisation faite d’accords ad-hoc entre pays amis et choisis. En attendant une éventuelle formalisation de ces questions au sein des grandes organisations internationales, si celles-ci parviennent à conserver une liberté d’action à leurs membres. « Nous préférerions que l’Union Européenne se saisisse vigoureusement de ces sujets car entre les Etats-Unis et la Chine, il ne reste que l’espace européen. Mais les 28 n’ont pas encore pris position fermement, notamment sur la base industrielle et technologique qui fonde cette souveraineté cyber » , précise malgré tout l’officier.

En attendant, la France aide donc ses amis d’abord. Et l’aide internationale de cyber-défense passera surtout, pour le futur proche en tout cas, par le biais des accords de défense traditionnels bi-latéraux.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.