Military Innovation and Technological Change

Michael E. O'Hanlon signe ce mois de janvier 2022 un "policy brief" publié par la Brookings Institution sur le thème des innovations technologiques dans le domaine militaire pour faire face aux cyberattaques. La démarche est prospective et tente d'imaginer ce que seront ou devraient être les changements technologiques à l'horizon des 20 prochaines années. 

Michael E. O'Hanlon, Military Innovation and Technological Change: preparing for the next generation of cyber threats, Policy Brief, 12 pages, January 2022, Brookings Institution, USA. 

Selon l'auteur les évolutions technologiques seront plus rapides au cours des deux prochaines décennies qu'elles ne l'ont été au cours des 2 ou 3 précédentes, en particulier parce que désormais davantage de pays (Chine, Russie notamment) sont en mesure de concurrencer les acteurs traditionnels de l'innovation. Les efforts devraient d'autre part être plutôt concentrés sur les moyens permettant de bloquer les attaques, donc sur le sécuritaire/défensif (avec un focus sur le domaine cyber), que sur les pures technologies offensives, en particulier létales. 

CRS Report on Cybersecurity and Deterrence Policy

Chris Jaikaran, "Cybersecurity; Deterrence Policy", CRS Report, Washington, January 18, 2022, 29 pages. 

"Many policymakers have embraced deterrence as a driving policy position for addressing attacks in cyberspace. However, deterring attacks remains elusive as nations disagree on acceptable behavior and criminal groups proliferate. This CRS report examines the policy of deterrence, how it may be implemented, and options for Congress." ...

Allianz Risk Barometer 2022

Le Baromètre des Risques d'Allianz 2022 place le cyber en première position de son classement des risques dans le monde pour 2022. L'étude identifie 10 sources de risques pour les Etats, et en établit un classement pays par pays. Ces 10 risques sont les suivants: cyber-incidents, interruption des activités commerciales, catastrophes naturelles, pandémies, changements de législation, changement climatique, incendies/explosions, évolutions des marchés, pénurie de main d'œuvre, évolutions macro-économiques. Dans un grand nombre de pays le risque cyber est soit en première position, soit en seconde. La carte ci-dessous, reconstituée à partir des données publiées dans le rapport, indique en rouge les pays pour lesquels le cyber-risque est au premier rang, en orange les pays dans lesquels il ne serait qu'en seconde position. Pour la Chine, qui n'apparaît pas sur cette carte, le risque cyber est en 4ème position. La Russie n'est pas intégrée à la liste des pays que référence le rapport rendu public.  

La place du cyber dans la politique du gouvernement de la République Tchèque

Le nouveau gouvernement de la République tchèque vient de publier son programme politique, document de 58 pages, en date de janvier 2022. Le document est disponible en anglais: "Policy Statement of the Government of the Czech Republic". Un assez long chapitre (pp.36-38) intitulé "Digitisation" est dédié au numérique, à l'internet, au cyber, aux données, à la transparence. A l'ordre du jour: numérisation des services de l'Etat, accélération de l'open data, renforcement de la cybersécurité dans les secteurs public et privé, coopération avec l'UE et l'OTAN, lutte contre les menaces hybrides, élargissement de la couverture internet dans le pays...

SolarWinds - new report by GAO

A new 50 pages report produced by the GAO (United States Government Accountability Office) has been published on January 2022, on the "Federal Response to SolarWinds and Microsoft Exchange Incidents" (GAO-22-104746). 

Espagne - Stratégie de Sécurité Nationale 2021

C’est avec une année d’avance sur l’agenda qui aurait dû être le sien que l’Espagne a publié fin décembre 2021 sa stratégie de sécurité nationale (la précédente datait de 2017, la nouvelle aurait dû être publiée fin 2022). Cette publication anticipée est justifiée par un changement accéléré de l’environnement stratégique international : effets produits par la pandémie, accélération du recours à des stratégies hybrides (mélange d’actions étatiques et non étatiques pour faire pression sur les gouvernements démocratiques) dans le monde, changement climatique, cyberattaques, crise financière… Les incertitudes sont nombreuses, les Etats restent néanmoins toujours aussi interdépendants, le risque est alors grand de crises produisant leurs effets en cascade, avec des mouvements migratoires s’amplifiant, et potentiellement de nouveaux conflits armés. Pour faire face à ces défis les organisations internationales se trouvent face à un dilemme : d’un côté la tentation ou tendance au repli stratégique des Etats, de l’autre la nécessité de coopérer et partager l’information pour une approche collective des enjeux.

Le contexte international posé, le document décline alors une longue série de « risques et menaces » à la sécurité nationale : tension stratégique et régionale, terrorisme, épidémies, menaces contre les infrastructures critiques, catastrophes, espionnage et ingérence, désinformation, vulnérabilités du cyberespace, de l’espace maritime, maritime, aérospatial, instabilité économique, crime organisé flux migratoires illégaux, vulnérabilité énergétique, prolifération d’armes de destruction massive, effets du changement climatique.

Le paragraphe dédié aux menaces dans le cyberespace décline tous les mots clefs actuels : cyberattaques, ransomware, cybercrime, cyber-espionnage, surface d’attaque croissante, réseaux sociaux, télétravail, 5G, internet des objets, données, sécurité de l’information, intelligence artificielle, big data, algorithmes, vie privée, systèmes autonomes, et enfin informatique quantique.   

Le document énonce des principes et des objectifs assez généraux. En matière de protection du cyberespace par exemple, il est question d’en garantir un usage sûr, de protéger les droits des citoyens, le progrès économique et social, et pour cela il est nécessaire d’accroître les moyens technologiques, humaines et financiers au service de la cybersécurité.

The Heat Index, baromètre des cyberconflits

Le Heat Index est un indice produit par une équipe de la Johns Hopkins University. L’objectif de cet indice est d’évaluer la probabilité d’occurrence de futurs cyber conflits. L’indice est basé sur un ensemble de variables (capacités cyber des Etats, vulnérabilités, motivations, etc.) dont le traitement est supposé fournir une photographie, à l’instant t, de la situation internationale et du risque de cyberconflit. Si cette grille de lecture est intéressante, l’entreprise n’en reste pas moins discutable sur quelques points.

La base ne s’intéresse qu’à des conflits impliquant deux belligérants : Russie versus Ukraine, Chine versus Inde, etc. C’est d’ailleurs un choix assumé : “Cyber attacks by one country against another are a recurring feature of 21st Century geopolitics”. Mais c’est aussi un choix discutable. Les cyberconflits sont-ils voués à n’être que bilatéraux ? Sans doute non.

Le baromètre proposé n’offre guère de surprises, en termes d’informations. Arrivent en effet en tête du classement des cyber affrontements entre Russie et Ukraine, Chine et Inde, etc. Autant de scénarios connus. L’indice, en traitant des informations open-source, ne permet pas d’isoler de potentiels conflits jusqu’alors ignorés.

Le classement permet d’établit deux listes : celle des agresseurs (aggressors), celle des pays agressés (defenders). Le périmètre des agresseurs comprend : Russie, Chine, Israël, Etats-Unis, Corée du Nord, UK, Iran, Turquie, Inde, Egypte, Pakistan, Grèce. Celui des « agressés » comprend Ukraine, Inde, Iran, USA, Russie, Taïwan, Palestine, Japon, UK, Corée du Sud, Australie, Canada, Israël, Grèce, Népal, Ethiopie, Pakistan, Turquie.  Mais un nombre significatif de pays sont ainsi à la fois agresseurs et agressés. En reportant toutes les données dans une carte (voir l'illustration ci-dessous dans laquelle nous reportons les pays qui dans le baromètre apparaîssent comme agresseurs, défenseurs, mais aussi à la fois agresseurs et défenseurs), nous visualisons le monde des cyberconflits, en cours ou potentiels. On observe immédiatement que la planète serait coupée en deux univers, car le cyberconflit paraît épargner toute l’Amérique du Sud et l’Amérique centrale, pratiquement tout le continent africain, sans parler de l’Europe (!) et de l’Asie du Sud. Toute cette partie du monde serait donc vraiment épargnée par les cyberconflits, plus pacifique, moins belliqueuse, moins exposée à ce type d’affrontement ? Les trous dans la carte sont plus sûrement justifiables par la nature des données qui sont exploitées pour produire le baromètre.