jeudi 11 février 2016

[Lecture] Gagner les cyberconflits

Avec un tel titre, le lecteur de ce blog ne s'étonnera pas que nous ayons choisi d'en faire une lecture attentive. En effet, l'étude de la conflictualité dans le cyberespace étant notre fil rouge, il faut saluer toute les productions françaises dans ce domaine, surtout lorsqu'elles font avancer le débat. D'emblée, les auteurs posent le cadre de leur recherche et souhaitent (comme le sous-titre l'indique) aller "au-delà du technique". A ce stade les mordus de TTPs, de Kill Chain et autres analyses d'IOC pour APT doivent décrocher... et ils auraient tord. Car oui, voilà un livre qui parle du "cyber" sans parler technique, nul n'est besoin de consulter notre Dictionnaire de la cybersécurité et des réseaux pour aborder cet ouvrage. La thèse défendue est ainsi résumée dans la conclusion.

http://www.amazon.fr/Gagner-Cyberconflits-Huyghe-Fran%C3%A7ois-Bernard/dp/2717868100/ref=sr_1_1?ie=UTF8&qid=1455044557&sr=8-1&keywords=gagner+les+cyberconflits

"Pour gagner le cyberconflit, il faut aller au-delà de la technique et intégrer aux calculs d'autres facteurs, souvent fuyants et intangibles, mais qui constitueront pourtant les ingrédients de l'efficacité et qui sont intrinsèquement liés à l'acteur même de la stratégie: l'Homme."

Mais de quoi ce livre est-il fait?
Organisé en deux ensembles distincts, le premier traitant de l'intention des acteurs, le second de la réalisation de l'action, il est issu d'une étude réalisée pour l'IRIS conduite entre 2013 et 2014. L'étude s'appuie sur une quarantaine de cas pratiques d'attaques informatiques ou plus précisément d'opérations numériques. Chaque cas a fait l'objet d'une fiche qui repose sur une grille d'analyse commune : contexte, action, acteur, cible, chronologie, moyens cyber utilisés, discours d'accompagnement, effet dans le monde virtuel, effet dans le monde réel, références. On peut regretter de ne pas disposer de ces fiches synthétiques en annexe de l'ouvrage mais le format nécessairement réduit du livre ne s'y prête pas. En outre, même si nous ne disposons pas des "sources", le livre présente les principales conclusions et c'est bien là l'essentiel.


L'intention des acteurs
Si les lecteurs au fait des réflexions stratégiques sur les questions cyber peuvent aisément survoler la présentation des acteurs (déjà bien développée dans l’Introduction à la cyberstratégie d'Olivier Kempf ou notre Cyberstratégie, l'art de la guerre numérique) il faut lire avec attention les chapitres suivants. Ainsi de la "spécialisation sectorielle", les auteurs soulignent l'absence de cloisonnement entre les trois domaines classiques de l'action stratégique : domaine militaire, géopolitique et économique. 
"Le cyberespace étant, avant tout, un espace de perceptions, une entreprise ou un acteur économique y est avant tout identifié par sa nationalité réelle ou supposée et par sa relation avec un gouvernement." p.42
Le chapitre 3, présente les mécanismes d'alliance dans le cyber qui, contrairement aux alliances classiques fondées sur l'addition de forces, reposent sur le partage de vulnérabilités. Car en effet, l'alliance dans le cyber suppose le partage d'informations et donc un affaiblissement relatif (le doute étant levé sur les capacités techniques réelles des parties). Ainsi, "la confiance devient le critère de remplacement pour constituer une alliance" (p.48). 
Sur les aspects normatifs et juridiques (chap 4), "l'enjeu est celui du seuil et du moment du déclenchement d'une réponse militarisée de l’État ayant pris position", c'est une forme de "ligne rouge" entre État portée par leurs discours. Le chap 5 interroge la question des cultures stratégiques et de leur impact sur la manière dont les États pensent l'usage des moyens cybernétiques. Ainsi, selon les auteurs,
" Il serait paradoxal que l'idéologie, les traditions nationales, la représentation générale que l'on se fait des autres pays et de ses intérêts, les façons de concevoir le temps, les relations entre individu et collectif, l'économique et le politique et autres éléments culturels ne se reflètent pas dans sa cyberstratégie."(p.65).
Ainsi, le système NSA incarne la réponse aux trois besoins successifs : surveiller l'ennemi soviétique, s'assurer la prééminence technologique dans la période qui suit la chute du Mur et mener une lutte contre le terrorisme après 2011. En fin de première partie, les auteurs interrogent les choix du type d'agression (chap 6). La "trilogie hobbesienne mérite l'examen" on parle alors des causes de conflits selon Hobbes : la compétition, la défiance et la gloire (p.76). Le chapitre étudie ainsi les trois modes classiques d'agression, l'espionnage, le sabotage ("qui fait surtout perdre du temps à la cible...la bonne question est que fait l'agresseur de ce temps? p.84) et la subversion ("vise à renverser ou retourner un certain ordre, ce qui ne peut se faire qu'en jouant sur des représentation mentales" p.85) en illustrant les cas étudiés. Le chapitre se termine sur les effets symboloques de l'agression:
Toute agression connue a un impact psychologique ou sémantique. Car le premier message qu'elle véhicule est qu'elle existe. Ce qui implique: La preuve d'une vulnérabilité dans un monde techniquement parfait (...) La démonstration d'une capacité.

La réalisation de l'action
Cette deuxième partie s'ouvre sur un excellent débat concernant l'identité. Si dans les conflits conventionnels, l'ennemi est identifié, dans le cyber, l'identité relève d'un choix. Ce choix affecte naturellement la signification de l'action car le doute sur l'identité persiste (inattribution) et ce, même en cas de "revendication". Ainsi la numérisation entraîne avec elle "le trouble de ce qu'est l'identité" p.95. Le cas particulier de l'usage de la revendication est alors étudié en détail. Celle-ci est soit  subordonnée à l'action principale (on cherche d'abord et avant tout un effet "terrain") soit "les autres composantes de l'agression sont utilisés pour soutenir la revendication: l'effet sémantique est l'effet principal recherché."p.98.
Dans ce même chapitre sont abordés les différents choix pour la victime également (publicité, acceptation, dénégation  et silence). Les manipulations d'identité sont ainsi, pour les auteurs, un instrument essentiel à la disposition des acteurs, victimes ou agresseurs.

Dans le chapitre 8 traitant du choix des cibles, l'analyse relève deux modes distincts. Le ciblage direct (visant la découverte de vulnérabilité sur la cible) du ciblage indirect (affectant l'écosystème qui est relié à la cible). On y retrouve ainsi, les sous-traitants, les technologies duales, mais également les vulnérabilités informationnelles liées notamment aux développement des réseaux sociaux. Après le choix de la cible, le facteur temps est étudié. La temporalité de l'action (chap 9) révèle beaucoup sur les acteurs. Ainsi, des cas étudiés, les auteurs soulignent une importante dichotomie entre des actions de temps court (inférieur à 6 mois) et des actions de temps long (parfois plusieurs années). Cette dichotomie est articulée autours du type d'action à conduire, le temps de l'espionnage n'étant pas celui de la subversion ni du sabotage. En outre, la temporalité dans le cyber semble avoir sa propre logique.
"Il existe un double temps des cyber-actions: un temps propre au cyberespace qui tend au raccourcissement des boucles de diffusion (...) et un temps plus long, celui de la planification des opérations complexes." p.117
Par ailleurs, la question de l'efficacité de l'action est liée à sa temporalité. Car les effets doivent être mesurées "dans la vie réelle" de la cible, et ces résultats dépendent nécessairement du moment ou s'effectue la mesure. Cette réflexion amène naturellement les auteurs à s'interroger sur les critères de succès d'une opération (chap. 10). Comment définir la victoire ? Nous retrouvons ici des idées communes. L'absence de "bataille décisive", la nécessité de la "croyance en la victoire", etc. Je retiens pour ma part l'idée "qu'il n'y a pas de succès sans discours accompagnant ce succès"(p. 124) car le succès d'une opération réside dans l'acceptation commune qu'il y a succès. Ce qui implique d'agir sur les relais d'opinion qui contribueront à "construire" cette perception.

Si le flou entoure la notion de succès ou d'échec, l'imprévisibilité dans les opérations est également un facteur aggravant. Le chap 11 reviens sur les raisons de cette imprévisibilité (aléas techniques, aléas stratégiques et aléas temporels). S'il n'est pas nécessaire d'insister sur l'aléa technique (" le cyberespace tend à devenir de plus en plus international, il n'est pas encore devenu universel et incontournable"), l'aléa stratégique nous semble une notion pertinente à développer.
Les auteurs précisent que cette notion renvoie à "l'adéquation entre le mode d'action et la cible" rendant les effets de l'action parfois difficile à envisager et rajoutant à l'imprévisibilité. Le facteur humain joue ici à plein car ce sont des acteurs humains qui conduisent et répondent aux agressions numériques.

Sortant définitivement des questions techniques, les deux derniers chapitres étudient les effets du discours et de la rhétorique stratégique ainsi que les concepts d'influence. On distingue ainsi le discours "pendant" le cyberconflit du discours "sur le cyberconflit". Le premier regroupe les notions de propagande, de revendication, la volonté de donner du sens à un acte technique. Le discours "sur le cyberconflit" souligne l'importance de la "dramatisation du danger" qui s'appuie sur "le thème de la dépendance technologique". Nous ne pouvons alors qu'être d'accord avec les auteurs lorsqu'ils soulignent l'importance du "choix des mots" (c'est ce qui nous a conduit à produire un dictionnaire). En matière d'influence, on notera le fait que "la contagion communautaire ne ressemble plus guère à la propagande de masse, un message standardisé adressé par des spécialistes à des foules passives." (p.147). Le numérique permet alors de voir apparaître des "foules intelligentes" qui font évoluer la diffusion de l'information d'un modèle pyramidal vers un modèle circulaire au sein de communautés. Dans ce contexte, une nouvelle lutte apparaît pour qui a "un message à faire passer", il s'agit de la lutte pour l'attention, "le jeu de l'influence consiste à attirer des flux dynamique vers son message" (p.148). Le cyber-conflit est étudié sous le spectre de "l'influence négative" qui consiste à "pousser à la faute ou à la dissension", il présente deux spécificités:
  • Le rôle du secret, l'espionnage le pré-suppose (...) le sabotage est souvent anonyme (...)
  • Le rôle de la violence par l'information. Une cyberagression suppose au moins une violation (...) cette violence par souvent par le code (...) mais trouve toujours un sens dans la couche sémantique. (p.152).
Mais la médaille à son revers puisque le principe de révélation se multiplie et "a de bonne chances de jouer un rôle croissant dans les stratégies d'influence." (p.155) ce qui ne garantie pas l'authenticité des "nouvelles". Ainsi, "le scepticisme de masse se répand" et l’angoisse d'une crise de réputation croît au sein des entreprises qui en dépendent de plus en plus. Pour reprendre une citation d'Henry Ford:

"Les deux choses les plus importantes n'apparaissent pas au bilan d'une entreprise: sa réputation et ses hommes." H.Ford
En guise de conclusion
Cet ouvrage a le double intérêt de synthétiser une partie des travaux antérieurs de recherche en cyberstratégie tout en ouvrant un champ beaucoup plus large. La frontière entre cyber-conflit et guerre de l'information est touchée du doigt et l'on adhère assez vite à la thèse "au-delà du technique". Le format resserré (165 pages) en fait un ouvrage clair, précis et à la lecture agréable. Les illustrations avec les cas étudiés, ponctuent la présentation des concepts. Livre stimulant, d'une grande qualité, il mérite une lecture attentive (stylo en main) !



Aucun commentaire:

Enregistrer un commentaire