Nous avons rencontré Jarno Limnéll, docteur en science militaire et directeur cyber-sécurité chez Stonesoft. Selon lui, la notion de cyberguerre est encore dominée par des discussions techniques alors qu’elles devraient être aussi, voire surtout, stratégiques.

L’usage militaire distingue en effet le niveau tactique du stratégique. Et c’est ce dernier point qui manquerait encore cruellement aux réflexions sur la guerre cyber. « La cyberguerre est encore trop largement traitée sous un angle technique. Et même quand les politiciens en parlent, ils manquent souvent d’une compréhension globale des effets potentiels du cyber sur la guerre« , explique Jarno Limnéll.

Et ce sont justement ces effet, à long terme, qui inquiètent Limnéll. « On observe que les politiques considèrent la frappe cyber comme une option intermédiaire, plus dure que de simples menaces mais beaucoup plus soft qu’une intervention militaire conventionnelle. Et cela semble mener à une tentation de plus en plus grande de la part des Etats d’utiliser le domaine du cyber pour atteindre des objectifs politiques. Mais, encore une fois, ils en ignorent totalement les aspects stratégiques« , poursuit-il.

Le danger, c’est que dans le terme cyberguerre il y a le mot guerre. « Parler de cyberguerre est en réalité trompeur. Il s’agit simplement d’une extension du domaine de la guerre, et cela doit être considéré comme tel. On ne parle pas de « guerre de terre », ou de « guerre de mer ». C’est la même chose pour le cyber. Hélas, en distinguant aujourd’hui la cyberguerre cela a comme effet de brouiller la ligne entre la guerre et la paix », précise Jarno Limnéll.

Le risque majeur dans une telle configuration est celui de l’escalade. « Plusieurs pays, dont les Etats-Unis, on déjà affirmé qu’ils n’hésiteraient pas à répondre par une frappe conventionnelle à une attaque dans le domaine du cyber. Donc en ayant trop facilement recours au cyber [pour atteindre des objectifs politiques mineurs, ndlr], on augmente le risque de basculer dans un conflit conventionnel« , poursuit le docteur en science militaire. Et depuis peu, d’ailleurs, les Etats-Unis ont également affirmé qu’ils n’hésiteraient pas à mener des frappes conventionnelles préventives s’ils craignent d’être victimes d’une attaque cyber.

Cette crainte de l’escalade est directement liée à la difficulté de bâtir une cyber-dissuasion efficace. « Dans le monde réel il est facile de connaître la force d’une nation : les pays n’hésitent pas à faire des démonstrations et des parades afin de ne laisser aucun doute quant à leurs capacités militaires et leur intentions si un pays étranger venait à les attaquer. Mais comment créez-vous la dissuasion dans le monde cyber ? L’on suspecte les capacités de tel ou tel pays, et d’autres en parlent ouvertement, mais rien n’est encore prouvé. Je crains donc que dans un avenir proche certains pays ne soient contraints de se servir de leur capacités de cyberguerre pour établir une forme de dissuasion« , avance Jarno Limnéll.

Il estime qu’une cible facile et politiquement neutre pourrait être un groupe d’hacktivistes ou un Etat-voyou. « Je ne serais pas surpris d’apprendre une telle cyber-attaque prochainement, puis de voir un Etat en prendre publiquement la responsabilité. Ce serait pour lui un bon moyen de bâtir sa cyber-dissusasion« .

Evidemment, devoir se servir du cyber dans le cadre d’une véritable attaque pour simplement démontrer ses capacités en la matière fait courir le risque d’escalade que craint précisément Jarno Limnéll. C’est pourquoi il propose, plutôt, une autre approche destinée à bâtir la dissuasion d’une Nation de manière plus pacifique.

Une bonne cyber-dissuasion selon Limnéll est faite de :

• Une bonne capacité de cyber-défense. Et celle-ci peut être démontrée quotidiennement sans risquer une quelconque escalade !
• Une résilience certaine. C’est ici le point le plus critique. Bâtir une capacité de résilience (des réseaux, mais globalement de la société elle-même) est probablement le défi des prochaines décennies. La résilience est aujourd’hui le parent pauvre des débats sur la sécurité IT et la cyber-guerre.
• De vrais moyens d’attribution. L’attribution est certes délicate dans le monde cyber. Mais si la recherche d’un attaquant ne se déroule pas uniquement dans le domaine du cyber mais fait appel à des techniques de renseignement et d’investigations traditionnelles, elle a des chances d’aboutir.
• Des capacités offensives discutées en public et une doctrine d’emploi publique. « L’offensif est encore souvent un tabou, chez moi en Finlande notamment (et en France également, ndlr). Mais cela n’a pas lieu d’être, bien au contraire : en discuter ouvertement participe à créer la dissuasion« , conseille Jarno Limnéll.

Ces quatre piliers de la cyber-dissuasion doivent bien entendu être bâtis ensembles. Les trois premiers sont publics, peuvent être évalués, et ils rendent le recours au quatrième moins systématique. Le simple fait d’en parler devient alors source de crédibilité.

A lire également : l’OTAN s’empare de la cyberguerre