Nous sommes en cyberguerre !

Certaines guerres se déroulent aujourd’hui dont les effets ne sont pas ou peu perçus. La cyberguerre en est une. Elle n’est pas déclarée, comme celles que se livrent les services de renseignement, et ses formes sont multiples. Des agresseurs régaliens ou crapuleux peuvent choisir des cibles régaliennes, économiques ou sociales sans distinction. L’ANSSI (Agence nationale de la sécurité des systèmes informatiques) a recensé les attaques majeures, en France, qui progressent fortement et sont passées de 54 à 192 en 2020.

Exiger une rançon pour restituer vos données, saturer de requêtes inopportunes les serveurs de la cible pour l’empêcher d’opérer, obliger la victime à dégrader son mode opératoire en débranchant certains outils : la panoplie est large et les victimes bien diverses. Entreprises, hôpitaux, médias : tout le monde est touché. Même l’État, quand le CNED se voit dans l’incapacité de remplir sa mission entre Éducation nationale et élèves confinés… Et il y a les attaques que l’on n’identifie pas, comme installer une porte dérobée sans s’en servir immédiatement, ou les rançons payées en secret pour ne pas ébruiter la honte d’avoir été trop poreux, ou encore un virus à effet différé…

Les vulnérabilités de notre société trop mondialisée et trop numérisée sont légion. Il est logique qu’un adversaire, dans le cadre d’un conflit larvé ou déclaré, tente par divers types d’intrusions de prendre le contrôle ou de détruire des rouages essentiels des opérations militaires et de la vie civile.

Après les sabotages massifs des systèmes de contrôle de la distribution d’eau et d’énergie, de ses transports, de ses télécommunications, de ses médias et de ses paiements, quelle serait la résilience d’un pays ? De notre pays ? Les scénaristes d’Hollywood nous inventent un lieutenant John McLane façon héros de cavalerie US, mais si le spectacle est plaisant, il n’est pas très crédible. Par contre, l’existence de failles qui permettent des catastrophes en chaîne est une hypothèse plausible. Rappelons que des images de drones Reaper et Predator de l’armée américaine ont été récupérées sur des ordinateurs de prisonniers irakiens en 2009.

La frontière peut être extrêmement ténue entre la cible régalienne et la cible privée comme entre l’acte de guerre national et le crime crapuleux. Ceux qui prennent en otages les données de certaines firmes et se font payer pour les restituer font une bonne affaire et s’entraînent pour la prise de contrôle d’autres systèmes et données plus sensibles.

Le modèle de couverture des risques habituels repose sur deux actions : la prévention de ce que l’on peut empêcher ou dont on peut diminuer l’impact et l’externalisation du reste. Dans la prévention, il n’y a pas que l’analyse des vulnérabilités et la tentative d’y remédier. Il convient aussi d’organiser a priori la redondance quand c’est possible et d’imaginer des modes de fonctionnement dégradés et autonomes, si c’est possible, des réseaux les plus vulnérables. L’externalisation, le recours à l’assurance, est plus problématique, il ne pourrait satisfaire que des intérêts privés, moduler la solvabilité des assureurs. Mais il n’est pas d’indemnisation financière satisfaisante pour la perte de souveraineté d’un pays qui perdrait une cyberguerre.

La France dit qu’elle travaille à cette guerre, qu’elle s’y prépare. Elle admet que sa doctrine est maintenant offensive autant que défensive, tant mieux : des boucliers seuls n’ont jamais fait gagner de guerre, il faut aussi des épées ! La discrétion qui règne sur ces sujets au sein de la grande muette est normal. Mais si Sun Tzu fut un temps occulté par Clausewitz et Liddell Hart, la Chine a peut-être repris un leadership conceptuel avec Qiao Liang et Wang Xiangsui et leur « guerre hors limites ».