La France doit déterminer sa cyberstratégie

Après la cyberguerre, la cybersécurité et le cyberterrorisme, voici la cyberstratégie, qui n'a rien d'un concept gadget formé avec des mots à la mode. Une chaire traite de ce sujet à l'École militaire, où se tiendra dans quelques jours un colloque important sur la question. La doctrine officielle américaine en ce domaine existe et la France devra réviser la sienne très vite comme bien d'autres pays.

De fait, il y a plus de dix ans qu'il est question d'un Pearl Habour informatique, rebaptisé Cybergeddon, c’est-à-dire l’Armageddon (ou apocalypse) cybernétique. Et si une attaque informatique peut paralyser les infrastructures vitales d'un pays (son approvisionnement en eau ou en électricité ou son système bancaire par exemple), il est normal que l'Etat se charge aussi de défendre cette sécurité. Du coup, des dizaines de publications préconisent la coopération internationale, le renforcement de nos défenses techniques, la détection des attaques, la résilience, et autres excellentes idées. Mais cela ne suffit pas à former une vraie stratégie.

La première question à se poser est qui est l'ennemi ? Une attaque informatique – déni d'accès, virus redoutable... – peut violer des données vitales ou paralyser des systèmes. Nul doute qu'il faille y répondre avec les meilleures techniques. Mais qui nous attaque ? Un service d'Etat, une cyberbrigade d'une puissance étrangère ? Des « hackers patriotes » d'un autre pays (manipulés par des services secrets) ou des défenseurs de la neutralité du net ? Des concurrents économiques ? Des groupes qui vendent leurs services aux plus offrants (avec des milliers d'ordinateurs zombies contrôlés clandestinement) ? Des militaires, des militants, des marchands, des mercenaires ? Il faut des services de renseignement pour donner la bonne réponse. Et dans un monde de l'anonymat et du camouflage, suivant son statut, la riposte n'est pas la même.

Il est aussi indispensable de se demander, si l'on ne veut pas se contenter de défendre sa citadelle avec des patches et des firewalls, comment dissuader un attaquant et comment le punir. A qui adresser le message pour le persuader qu'il a plus à perdre qu'à gagner en nous attaquant ? Quel était son but ? Nous visait-il vraiment ? Et surtout comment et par quelles armes riposter, une fois subi un dommage ? Par des moyens informatiques ? Par la force armée ? Si le raisonnement « tu m'envoies un virus, je t'envoie mes paras » paraît bizarre, n'oublions pas que les Etats-Unis considèrent des attaques informatiques comme des « actes de guerre ». En attendant de pouvoir signer des traités de cyberpaix fiables, il y a de quoi réfléchir pour les Clausewitz 2.0 et les Sun Tzu du numérique. Mais surtout une décision politique à prendre pour tracer des règles qui concernent notre démocratie.