The Heat Index, baromètre des cyberconflits

Le Heat Index est un indice produit par une équipe de la Johns Hopkins University. L’objectif de cet indice est d’évaluer la probabilité d’occurrence de futurs cyber conflits. L’indice est basé sur un ensemble de variables (capacités cyber des Etats, vulnérabilités, motivations, etc.) dont le traitement est supposé fournir une photographie, à l’instant t, de la situation internationale et du risque de cyberconflit. Si cette grille de lecture est intéressante, l’entreprise n’en reste pas moins discutable sur quelques points.

La base ne s’intéresse qu’à des conflits impliquant deux belligérants : Russie versus Ukraine, Chine versus Inde, etc. C’est d’ailleurs un choix assumé : “Cyber attacks by one country against another are a recurring feature of 21st Century geopolitics”. Mais c’est aussi un choix discutable. Les cyberconflits sont-ils voués à n’être que bilatéraux ? Sans doute non.

Le baromètre proposé n’offre guère de surprises, en termes d’informations. Arrivent en effet en tête du classement des cyber affrontements entre Russie et Ukraine, Chine et Inde, etc. Autant de scénarios connus. L’indice, en traitant des informations open-source, ne permet pas d’isoler de potentiels conflits jusqu’alors ignorés.

Le classement permet d’établit deux listes : celle des agresseurs (aggressors), celle des pays agressés (defenders). Le périmètre des agresseurs comprend : Russie, Chine, Israël, Etats-Unis, Corée du Nord, UK, Iran, Turquie, Inde, Egypte, Pakistan, Grèce. Celui des « agressés » comprend Ukraine, Inde, Iran, USA, Russie, Taïwan, Palestine, Japon, UK, Corée du Sud, Australie, Canada, Israël, Grèce, Népal, Ethiopie, Pakistan, Turquie.  Mais un nombre significatif de pays sont ainsi à la fois agresseurs et agressés. En reportant toutes les données dans une carte (voir l'illustration ci-dessous dans laquelle nous reportons les pays qui dans le baromètre apparaîssent comme agresseurs, défenseurs, mais aussi à la fois agresseurs et défenseurs), nous visualisons le monde des cyberconflits, en cours ou potentiels. On observe immédiatement que la planète serait coupée en deux univers, car le cyberconflit paraît épargner toute l’Amérique du Sud et l’Amérique centrale, pratiquement tout le continent africain, sans parler de l’Europe (!) et de l’Asie du Sud. Toute cette partie du monde serait donc vraiment épargnée par les cyberconflits, plus pacifique, moins belliqueuse, moins exposée à ce type d’affrontement ? Les trous dans la carte sont plus sûrement justifiables par la nature des données qui sont exploitées pour produire le baromètre.    

War, cyber war and cyber operation exclusion clauses

Last November 25, 2021, the Lloyd’s Market Association published 4 model clauses (LMA 5564/5565/5566/5567) titled “war,cyber war and cyber operation exclusion clauses”. The objective is to exclude from insurance and reinsurance policies, all losses caused by war and cyber operations.

I - The 4 clauses provide different levels of covers.

- Exclusion n°1 (LMA 5564): excludes losses from all kinds of cyberattacks by State actors

- Exclusion n°2 (LMA 5565): covers losses (with specified coverage limits): that are not due to retaliatory operations between the 5 “specified States”; that do not have a major detrimental impact on national security and defense

- Exclusion n°3 (LMA 5566): provides the same conditions as exclusion n°2, except that it does not specify coverage limits

- Exclusion n°4 (LMA 5567): same coverage as exclusion n°3, but it adds the coverage of effects on “bystanding cyber assets”. 

II - The four documents are titled “War, Cyber War and Cyber Operation Exclusion”. The definitions of “war” and “cyber operations” are provided. But no definition of “cyber war” is proposed. “Cyber operation means the use of a computer system by or on behalf of a state to disrupt, deny, degrade, manipulate or destroy information in a computer system of or in another state”.

III - Although the definition of “cyber operations” focuses on state-to-state aggressive activities, it also includes operations realized “on behalf” of a State. Such perimeter may include a wide spectrum of actors (state actors such as intelligence agencies, militaries, and non-state actors such as organized crime groups, terrorist organizations…) and situations.

IV - The approach is constructed on the basis of only 2 categories of actors: the State and the insurer.  

- State level:

o   “States: means sovereign state »

o   Government of the State (intelligence, security services) (who is in charge of the attribution process)

o   Vital functions of a State: “financial institutions and associated financial market infrastructure, health services or utility services”

o   “Specified States means China, France, Germany, Japan, Russia, UK or USA”

o   “Impacted state means any state where a cyber operation has had a major detrimental impact on: 11.1. the functioning of that state due to the direct or indirect effect of the cyber operation on the availability, integrity or delivery of an essential service in that state; and/or 11.2. the security or defence of that state.

o   Those who act “on behalf” of a State

- The insurer

V - The coverage of losses is based on the attribution of the cyber-operations. Who is in charge of the attribution?

a) the government of the State where the attacked system is located,

b) if the government of the State is unable to attribute the attack, then “it shall be for the insurer to prove attribution by reference to such other evidence as is available”. 

Report of the GAO on the implementation of FISMA requirements

The recent report of the GAO on the implementation of FISMA requirements, which was released on January 11, 2022, highlights the insufficient enforcement of the rules defined by law.

The Federal Information Security Modernization Act of 2014 (FISMA) was enacted to "provide a mechanism for improved oversight of agencies' information security programs". According to this new report, “inspectors general (IG) identified uneven implementation of cyber security policies and practices.” In 2020, “seven of the 23 civilian Chief Financial Officers Act of 1990 (CFO) agencies had effective agency-wide information security programs” (in 2017 and 2018, only 6 agencies complied with the rules, and 5 in 2019). 

GAO recommendations are only partially taken into account: “GAO has also routinely reported on agencies’ inconsistent implementation of federal cybersecurity policies and practices. Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings; about 900 were not yet fully implemented as of November 2021.”  The Department of Defense does not fully comply with the rules and this situation is impacting its cybersecurity: “90 percent of cyberattacks could be defeated by implementing basic cyber hygiene and sharing best practices”. The GAO made a series of recommendations to the DoD, so that the latter improves its “cyber hygiene”. But « As of December 2021, DOD had not yet implemented any of the seven recommendations ».  

What then are the reasons for such insufficient application of the law? Some have been formulated: according to the agencies, this is due to the « lack of resources » (be it human resources, time restrictions, etc.). They claim they do “not have enough time to implement new requirements and/or remediate findings identified in the annual FISMA reviews before the next FISMA review starts”. They also criticize the purely bureaucratic approach imposed on them by the FISMA: “FISMA reviews are too focused on compliance and are not focused enough on effectiveness”.  

Countering Russian State-Sponsored cyber-attacks

“Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure”. January 11, 2022. 

This document, co-authored by three US agencies (the CISA, NSA and FBI), provides an overview of Russian state-sponsored (APT) cyber-attack methods and actors. The document recalls a whole set of cybersecurity rules that organizations must put in place in order to anticipate attacks, detect them and know how to deal with them. The implementation of counter-attacks (offensive responses) is not mentioned in this report.

Budapest Convention on Cybercrime: 20 years of existence

The Budapest Convention on Cybercrime (ETS n°185) was enacted and opened for signature on November 23, 2001. Since then, the Convention ha entered into force in 66 countries worldwide.  The Council of Europe website provides the list of States which have adopted the Convention. We will emphasize that : 

- All EU member States are party to the Convention.

-  Great powers have joined in this project (the United States, Canada, Australia...). But many others, which appear to be hotspots of the international cybercrime, are absent (Brazil, China, Russia, India...)

The map below shows all of the countries in which the Convention has entered into force since 2001.

Even if the number of partners is honorable today, it should be noted that this result is the fruit of 20 years of work. The annual rate of integration remains relatively low (below, the number of countries which annually adopt the Convention).

Conferences on Cyber Security and Defense in 2022 and 2023

The conferenceindex.com website provides a very long list of cybersecurity and defense conferences organized around the world in 2022 and 2023: 

- 331 conferences in 2022

- 222 conferences from January to september 23, 2023. 

Here is the geographic distribution of 2022 Conferences. The top-5 countries are: United States (39 conferences), Italy (26), Turkey (24), United Arab Emirates (24), and France (19). 

Let’s remind that the authors of this inventory do not claim to provide a completely exhaustive inventory. The figures presented here must therefore be used with all the necessary precautions.

International Conference on Cryptology, Coding Theory and Cyber Security 2022 (I4CS22)

The first International Conference on Cryptology, Coding Theory and Cyber Security 2022 (I4CS22) will be held on 4-15-16 Jully 2022 in Casablanca, Morocco. I4CS is an international conference on the theory and applications of cryptology, coding theory, and cyber security. 

Paper submission; February 16, 2022. 

Rapport de l'Atlantic Council sur les conflits à venir

Alors que le gouvernement américain se prépare à publier une nouvelle stratégie de défense nationale, le think The Atlantic Council a proposé fin décembre un rapport intitulé “Seizing the Advantage: A Vision for the Next US NationalDefense Strategy” (72 pages, Washington, 21 décembre 2021) dans lequel il dresse un bilan de la situation dans laquelle se trouve l'Amérique aujourd'hui sur le plan de la sécurité et de la défense nationale et propose quelques mesures qui devraient être prises dans l'urgence pour contrer les velléités de la Chine et de la Russie, menaces à la paix mondiale. 

Le rapport s’ouvre sur une affirmation discutable : « the risks to the United States, its interests, and those of its allies and partners are more pronounced than even four years ago”. Ce qui nous semble discutable ici, c’est cette assimilation systématique qui est faite entre les intérêts des Etats-Unis et ceux de ses alliés ou partenaires. La Chine et la Russie défient l’Amérique, et si la pression s’exerce également sur d’autres Etats dans le monde, que ce soit en Asie, en Europe ou ailleurs, elle n’est sans doute pas partout la même. Mais cette Amérique là se plaît toujours à faire universels ses projets et ses intérêts.

Dans ce rapport, plus généralement dans l’approche géostratégique et politique américaine officielle, la menace terroriste est désormais reléguée à l’arrière-plan. Exit la menace terroriste islamiste, de l’Etat islamique? Dès les premières pages du document, est insérée une citation extraite de la National Defense Strategy (2018) du Département de la Défense américain : « Inter-state strategic competition, not terrorism, is now the primary concern in U.S. national security ».

Il ne resterait donc plus, pour décider du sort du système international, que 3 Etats : les Etats-Unis, menacés par la Chine et la Russie. Les autres acteurs que sont l’Iran et la Corée du Nord ajoutent bien sûr à la menace mais ne semblent pas aussi centraux. Viennent complexifier la situation bien d’autres défis : la violence des organisations extrémistes, le changement climatique, l’augmentation de l’arsenal nucléaire des puissances hostiles, etc.

Ce conflit avec la Chine et la Russie est analysé sous l’angle des affrontement hybrides (désignant une combinaison d’actions de nature politique, économique, diplomatique, militaire, d'opérations d’information, de cyber-opérations, d'opérations spéciales…), formes qu’il prend aujourd’hui. Mais la vision du conflit et du système international délivrée est classique, renvoyant à des affrontements frontaux entre grandes puissances, entre Etats, dans lesquels est réaffirmée l’importance de facteurs tels que la masse ou le nombre (d’armes autonomes, de missiles, de cyberattaques…), la vitesse (des frappes, de la prise de décision…) et la surprise.

Pour contrer ces menaces, le think tank The Atlantic Council préconise :

- D’adopter des mesures offensives d’affrontement hybride dans la zone grise (formes d’affrontements en dessous du seuil de la guerre armée), de manière urgente

- De construire les forces de défense capables de se battre dans ce nouvel espace de conflit, en sachant s’adapter aux nouvelles conditions ;

- De redynamiser dans le monde les partenariats de défense, avec les acteurs habituels, et de nouveaux ;

- De focaliser les efforts sur la dimension technologique. 

Dans le discours américain il y a donc deux niveaux de légitimation de l’action. Le premier consiste à désigner l’autre comme étant l’adversaire, la menace existentielle. Le second consiste à affirmer que l’autre est l’initiateur du conflit, et que la nature des agressions subies n'est qu'une réaction nécessaire qui justifie les moyens mobilisés pour les contrer. Le récit est somme toute conventionnel. Le « cyber » n’y occupe pas une place centrale, et cela contribue aussi à revenir à une vision des conflits armés qui bien que très technologisés, s’expriment dans tous les domaines. On notera enfin que la vision ou les intérêts de l’Union Européenne ne sont guère invoqués dans cette lecture des rapports de force mondiaux.  

International Conference on Cyberconflict and Global Politics - Berlin, May 23-24, 2022

The ICCGP Conference (International Conference on Cyberconflict and Global Politics) will be held in Berlin (Germany), May 23-24, 2022. Submission Deadline: January 13, 2022.

The Stockholm Criminology Symposium - June 13–15, 2022

The main theme for this Stockholm Criminology Symposium is understanding the mechanisms that cause crime and promote desistance from crime. But there is also a general theme on Contemporary Criminology.

Last day to submit the abstract is February 28, 2022. Instructions here.

Nation States, Cyberconflict and the Web of Profit, report by Dr. Michael McGuire,

Dr. Michael McGuire, Nation States, Cyberconflict and the Web of Profit, April 2021, 33 pages, report sponsored by HP. 

This 33 pages report, authored by Dr. Michael McGuire, senior lecturer in criminology at the University of Surrey, focuses on Nation States Cyberconflict and the increasing role of States in cyberviolence. The most relevant aspect of this escalation is the intersection between Nation States and the cybercrime economy (aka “The Web of Profit”). Cybercriminals market tools and services that some States acquire; conversely, tools (malware for example) developed by States can be found on black markets, available for cybercrime (or, why not, other States). According to M. McGuire, the results of his research highlights a novel phenomenon: “a merging of traditional international relations with the cybercrime economy and the tools and techniques which now drive the digital underground.” But while the phenomenon is important, we do not think that it is completely new. Let’s remind that in his book titled “Inside Cyber Warfare“ (2012) Jeffrey Carr described how organized crime and States could converge and cooperate in cyber offense activities.

One of the most interesting points of this report consists in the methodological approach, and particularly in the typology of cyberconflicts characteristics which is proposed. 10 distinctive features are used to analyze and describe nation state cyberconflicts: asymmetric, invisible, molecular, multi-dimensional, glocal, personal, prismatic, hybridised, agnostic, and cultural. The study also identifies a set of typical nation states strategies, objectives, targets and techniques.The objective is to be able to differentiate state actions from those of cybercrime. But the exercise is made perilous precisely because of the convergence of the two.

"Military Applications of Extended Reality" (CRS In Focus)

New "In Focus" published by the Congressional Research Service, on the "Military Applications of Extended Reality". (January 4, 2022). This paper, signed by Kelley M. Sayler (Analyst in Advanced Technology and Global Security) reminds us what the definition of "extended reality" (or XR) is: 

XR = Virtual Reality (VR) + Augmented Reality (AR) + Mixed Reality (MR). 

XR has several potential and current applications in the military domain, both for training and warfighting.  But XR also raises several issues, in terms of investments, technological maturity, manpower requirements, and cybersecurity (XR systems may be targeted by cyberattacks). 

"Use of Force in Cyberspace". Note du Congressional Research Service (Etats-Unis)

Catherine A. Theohary (Specialist in National Security Policy, Cyber and Information Operations) signe une note de synthèse (2 pages) publiée par le Congressional Research Service américain le 10 décembre 2021, sur le thème du recours à la force dans le cyberespace, traité sous l’angle juridique.

(accès au document)

De cet état de l’art sur la question nous retenons les points suivants :

- A ce jour aucun critère international ne permet de dire quand une cyberattaque menée par un Etat est l’équivalent d’une attaque armée ; l’expression « attaque armée » n’est d’ailleurs pas davantage définie ;

- Droit international : articles 4 et 5 du traité de l’OTAN et article 51 de la Charte des Nations Unies ;

- Doctrine des Etats-Unis : Prise de position du Département d’Etat en 2012: les cyber activités peuvent constituer des usages de la force conformément à l’article 2(4) de la Charte des Nations Unies. Les Etats-Unis reconnaissent que dans certaines circonstances des cyberattaques sans effets cinétiques sont des éléments des conflits armés. Les cyberattaques en temps de guerre se voient donc contraintes par les principes généraux du droit des conflits armés. De manière plus générale, les Etats-Unis se réservent le droit de répondre par tous les moyens (diplomatiques, militaire, économique…) aux cyberattaques subies, dans la limite du droit international.

- Doctrine de l’OTAN : le Manuel de Tallinn met en exergue les articles 5 du traité de l’OTAN (assistance, aide mutuelle) et 51 de la Charte des Nations Unies (droit de légitime défense). Des ombres restent dans l’approche de l’OTAN: on ne sait par exemple pas comment l’article 4 du traité serait interprété et appliqué aux multiples catégories de cyberattaques.

- Droit international : le droit de la guerre, ou des conflits armés, qui s’appuie sur les conventions de Genève et de La Haye, ainsi que la Charte des Nations Unies, peut s’appliquer aux cyberattaques, mais il n’y a pas d’accord spécifique sur son application.

- Normes des Nations Unies : le CGE (Group of Government Experts) 2019/2020 s’accorde sur l’applicabilité du droit international et de la Charte des Nations Unies dans son intégralité.

La note renvoie également aux critères d’analyse des cyberattaques, pour une application du droit international, tels que proposés par Michael Schmitt (co-auteur du Manuel de Tallinn). 

Numéro spécial "cyber" de la revue Etudes Internationales

La revue Etudes Internationales publie un numéro spécial dédié aux "cyberstudies", dirigé par Sébastien-Yves Laurent. Ce numéro, au contenu de grande qualité, contribue à affirmer la place des recherches traitant du cyberespace, de la cybersécurité et de la cyberdéfense dans le champ des sciences politiques et relations internationales. 

Revue Etudes Internationales, Volume 51, n°2

Sommaire: 

- Ce que le cyber (ne) fait (pas) aux relations internationales. Sébastien-Yves Laurent

- Dissuasion nucléaire: le cyber comme instrument de contre-force. Adrien Schu

- Un "cyber-mariage" arrangé? Réalités et implications de la coopération cyber entre la Russie et la Chine. Julien Nocetti

- Droit international et normes pour le cyberespace: ambiguïtés et instrumentalisation géopolitique. François Delerue, Frédérick Douzet, Aude Géry

- Droit international et cyber-propagande: les défis d'adaptation du système international face à une menace grandissante. Alexandre Lodie.

Les cyberattaques en 2021 en quelques chiffres

En cette fin d'année vont être publiés de nombreux documents, rapports ou articles, qui tenteront de faire le bilan des mois écoulés en matière de cybersécurité, de cyberattaques, de cybercriminalité. Le site https://konbriefing.com propose ses données, au travers de deux listes: la première classe les cyberattaques par pays; la seconde par secteur d'activité les ayant subies. 

La liste par pays met en évidence une forte concentration des attaques sur quelques Etats. Même si des attaques sont recensées dans une cinquantaine de pays, les Etats-Unis et l'Allemagne seraient les deux pays les plus fortement touchés (totalisant 261 attaques sur un total de 605). Les deux schémas ci-dessous sont reproduits à partir des données chiffrées publiées sur le site konbriefing.com. 

Il convient bien sûr de rester très prudents face à de telles données qui ne sauraient prétendre refléter la réalité du phénomène dans le monde. Il s'agit tout au plus d'un décompte de faits qui ont été rapportés dans les médias, sur internet. Il est bien entendu très improbable que la Chine ne compte que 2 attaques en 2021. Il en va de même pour l'Inde, et tous les autres pays. 

Les limites de l'exercice sont évidentes, de telles listes ne peuvent pas saisir la réalité des phénomènes. Pour être d'une quelconque une utilité, les statistiques produites doivent être accompagnées des informations relatives à la méthodologie de leur production. Les données doivent être exploitables. Dans le cas présent elles ne le sont pas. On ne peut pas en conclure que les Etats-Unis et l'Allemagne sont les deux principales victimes des cyberattaques sur la planète.