Cyber-opérations, escalade, désescalade, crises militarisées

Michael P. Fischerkeller, What Do We Know About Cyber Operations During Militarized Crises?, Article publié par l’Atlantic Council, Janvier 2022.

Les Etats-Unis s’apprêtent à publier leur nouvelle stratégie de cybersécurité et décider de leur nouvelle posture cyber dans le champ de la défense, dans un contexte où la Chine se fait plus menaçante. Tel est le contexte posé par l’auteur, qui ne renvoie pas aux défis lancés par la Russie. La question centrale de ce travail est la suivante : comment et dans quelle mesure les cyber-opérations menées lors de crises militarisées sont-elles susceptibles d’impacter la gestion de l’escalade de la crise.

Les politiciens, les décideurs, peuvent considérer que les cyber-opérations font office de vecteurs de désescalade. Mais cette option doit être considérée avec des réserves : car il n’y a à ce jour aucune expérience de cyber-opérations menées lors d’une crise armée entre deux puissances nucléaires, et l’on ne peut alors s’appuyer que sur des hypothèses théoriques, académiques. Or aucune des recherches académiques n’apporte la certitude de l’effet que produiraient des cyber-opérations dans ce contexte précis, à savoir faciliter l’escalade ou au contraire la désescalade.

L’auteur précise bien que sa réflexion ne porte que sur les « crises » militarisées, et non pas sur les guerres ou les interactions des affrontements stratégiques quotidiens (proches du seuil de la guerre, mais toujours en dessous). Les lignes de séparation entre ces différents contextes sont fines. La catégorie « crises militarisées » n’a par ailleurs pas de définition consensuelle (comme bon nombre d’autres notions de géopolitique d’ailleurs). L’article retiendra la définition de la « crise » proposée par le Département de la Défense américain : “a condition of such national security importance that the President or SecDef may consider a commitment of US military forces and resources to achieve or defend national objectives. Crises may evolve over time or develop quickly with little or no warning and require accelerated decision making.”

En l’absence de cas concrets sur lesquels s’appuyer pour penser le cyberconflit dans les crises militarisées, la méthode adoptée est celle de la réflexion déductive. Deux hypothèses s’affrontent donc ici : a) le cyberconflit facilite l’escalade de la crise (des jeux de guerre réalisés ces dernières années aux USA, il ressort que les cyber-opérations favoriseraient l’escalade) ; b) le cyberconflit permet la désescalade de la crise. Il y a trop d’incertitudes, aucune des deux hypothèses ne s’impose véritablement. Il serait donc risqué de fonder une stratégie de cyberdéfense sur l’une ou l’autre.

FBI notification on Malicious Activity by Iranian Cyber Group Emennet Pasargad

The FBI Notification PIN-20220126-001 dated 26 January 2022 concerns the malicious activities (computer intrusion, computer fraud, voter intimidation, interstate threats, participation in a multi-faceted campaign aimed at influencing and interfering with the 2020 US Presidential Election) by Iranian Cyber Group Emennet Pasargad.

UK Government Cyber Security Strategy 2022-2030

Le gouvernement britannique publie sa stratégie de cybersécurité pour la période 2022-2030. Les auteurs du rapport s'en remttent aux conclusions d'un rapport de Microsoft publié en octobre 2021 pour affirmer que le gouvernement du Royaume-Uni est l'un des plus attaqués au monde, le troisème juste après les Etats-Unis et l'Ukraine. Le rapport se garde toutefois de désigner des responsables, se limitant à évoquer des Etats-nations et des criminels, sans plus de précision. Le glossaire, en fin du document, décline les définitions de quelques termes clefs. On y retiendra celles de "cyber pouvoir" et de "cyber menace", parmi bien d'autres. Le "cyber pouvoir" est "la capacité à protéger et promouvoir les intérêts nationaux dans et par le biais du cyberespace". Le "cyber menace" est " Anything capable of compromising the security of, or causing harm to, information systems and internet connected devices (to include hardware, software and associated infrastructure), the data on them and the services they provide, primarily by cyber means". La notion de cybermenace est donc très large, elle pourrait donc même s'appliquer à une paire de ciseaux, dans la mesure où elle serait utilisée afin de couper des câbles.

European Declaration on Digital Rights and Principles for the Digital Decade

European Declaration on Digital Rights and Principles for the Digital Decade, European Commission, January 26, 2022, COM(2022) 28 final.

Quand le gouvernement américain veut adopter l'architecture de cybersécurité zero trust

Le gouvernement fédéral américain s'engage dans une stratégie d'architecture de cybersécurité zero trust (Mémo du 26 janvier 2022) (pour rappel de ce qu'est une architecture Zero Trust, voir la définition proposée sur le site Paloaltonetworks) Exit la défense périmétrique conventionnelle, l'approche zero trust doit s'imposer. Elle est un changement majeur: "It is a dramatic paradigm shift in philosophy of how we secure our infrastructure, networks, and data". Changement qui imposera bien sûr de nouveaux investissements massifs mais aussi de la patience, car la démarche sera longue à mettre en oeuvre.

Politique du DoD en matière d'acquisition et de développement de logiciels

Dans un Memorandum de ce 24 janvier 2022, le DoD rappelle les grandes lignes de sa politique d'acquisition, adaptation et création de logiciels. La question principale est celle du positionnement du DoD vis-à-vis des logiciels open-source. La ligne directrice est la suivante: lorsque le DoD a besoin d'applications il doit dans l'ordre 1) envisager d'adapter des logiciels qu'il possède déjà; 2) opter pour l'open source, 3) si les deux solutions précédentes ne sont pas en mesure de fournir de solutions, envisager alors l'achat de logiciels. L'open source n'est pas la solution miracle aux objectifs (de réduction des coûts de toute évidence), car leur adoption ne saurait se faire sans validation approfondie du code et sans contrôle strict de toute éventuelle redistribution du code.

Le concept Joint All-Domain Command and Control (JADC2)

Le Joint All-Domain Command and Control (JADC2) est un concept du Département de la Défense américain qui désigne la mise en relation de l'ensemble des systèmes de capteurs de l'Air Force, de l'Army, des Marine Corps, de la Navy et de la Space Force, en un seul réseau. Le projet part du constat que chaque branche a développé ses propres réseaux tactiques, chaque système étant incompatible avec les autres, et que la guerre moderne nécessite davantage de coordination pour des prises de décision accélérées.Pour fédérer et moderniser ses systèmes, le DoD prendrait exemple sur l'organisation des services Uber: "DOD uses ride-sharing service Uber as an analogy to describe its desired end state for JADC2."

Mais cette fédération de systèmes soulève des interrogations, tant en termes de maturité technique, que de commandement (une fois les systèmes coordonnés, qui assurera les prises de décisions?: "Analysts also ask who would have decisionmaking authority across domains, given that, traditionally, command authorities are delegated in each domain rather than from an overall campaign perspective".

Les citations sont reprises d'un récent document publié par le CRS américain: "Joint All-Domain Command and Control (JADC2)", Congressional Research Service, In Focus, January 21, 2022, 3 pages.

Iles Tonga, rétablir les télécommunications

L'OCHA (United Nations Office for the Coordination of Humanitarian Affairs) a publié le 25 janvier 2022 un premier rapport sur l'évolution de la gestion de la situation d'urgence dans les îles Tonga. Le rétablissement des communications est l'un des points clefs que doit traiter en urgence l'assistance qui s'organise. Le document nous éclaire sur la manière dont la coopération public-privé se met en oeuvre, sur la définition des priorités. 

Lire le rapport

Heat Index - suite

Le 14 janvier dernier nous avons publié un billet présentant le Heat Index. Nous pouvons prolonger l'analyse de ce baromètre, en exploitant les données qu'il propose. L'indice dresse une liste d'Etats agresseurs et attaqués. Dans l'illustration ci-dessous les Etats sont reliés entre eux par cette relation d'agression: les flèches en rouge signifient que les attaques sont menées dans les deux sens, les deux acteurs qui s'affrontent sont dans un duel. Ressortent ainsi 8 duels. Les flèches noires indiquent les  attaques qui n'auraient lieu que dans un sens (donc en l'absence de duel). 

La Chine et les Etats-Unis seraient impliqués dans 3 duels, la Russie dans un seul. La Chine apparaît plus agressive que n'importe quel autre pays, avec 7 adversaires, quand la majorité des Etats (13) n'en auraient qu'un seul, quand les Etats-Unis n'en auraient que 3, de même pour l'Inde et la Russie. Ce schéma qui résume les données que propose l'indice met en évidence les limites de l'exercice qui est réalisé par les auteurs de ce baromètre. La liste des Etats est probablement trop courte car même si l'indice vise à formuler des hypothèses sur les cyber-affrontements à venir, et non pas à refléter un état de la situation des attaques présentes et passées, manquent probablement des acteurs dans ce paysage (pays européens, asiatiques, africains, sud-américains). Les Etats-Unis ne sont-ils vraiment menacés que par 3 Etats et menaçants pour ces 3 mêmes Etats? La Chine est-elle vraiment le pays le plus agressif et n'est-elle pas menacée par davantage d'attaques? La base de données livre une vision sans doute réductrice des cyber conflits potentiels. Mais rappelons toutefois qu'elle s'intéresse aux scénarios les plus probables. Ce qui en fait déjà un nombre significatif. 

Military Innovation and Technological Change

Michael E. O'Hanlon signe ce mois de janvier 2022 un "policy brief" publié par la Brookings Institution sur le thème des innovations technologiques dans le domaine militaire pour faire face aux cyberattaques. La démarche est prospective et tente d'imaginer ce que seront ou devraient être les changements technologiques à l'horizon des 20 prochaines années. 

Michael E. O'Hanlon, Military Innovation and Technological Change: preparing for the next generation of cyber threats, Policy Brief, 12 pages, January 2022, Brookings Institution, USA. 

Selon l'auteur les évolutions technologiques seront plus rapides au cours des deux prochaines décennies qu'elles ne l'ont été au cours des 2 ou 3 précédentes, en particulier parce que désormais davantage de pays (Chine, Russie notamment) sont en mesure de concurrencer les acteurs traditionnels de l'innovation. Les efforts devraient d'autre part être plutôt concentrés sur les moyens permettant de bloquer les attaques, donc sur le sécuritaire/défensif (avec un focus sur le domaine cyber), que sur les pures technologies offensives, en particulier létales. 

CRS Report on Cybersecurity and Deterrence Policy

Chris Jaikaran, "Cybersecurity; Deterrence Policy", CRS Report, Washington, January 18, 2022, 29 pages. 

"Many policymakers have embraced deterrence as a driving policy position for addressing attacks in cyberspace. However, deterring attacks remains elusive as nations disagree on acceptable behavior and criminal groups proliferate. This CRS report examines the policy of deterrence, how it may be implemented, and options for Congress." ...

Allianz Risk Barometer 2022

Le Baromètre des Risques d'Allianz 2022 place le cyber en première position de son classement des risques dans le monde pour 2022. L'étude identifie 10 sources de risques pour les Etats, et en établit un classement pays par pays. Ces 10 risques sont les suivants: cyber-incidents, interruption des activités commerciales, catastrophes naturelles, pandémies, changements de législation, changement climatique, incendies/explosions, évolutions des marchés, pénurie de main d'œuvre, évolutions macro-économiques. Dans un grand nombre de pays le risque cyber est soit en première position, soit en seconde. La carte ci-dessous, reconstituée à partir des données publiées dans le rapport, indique en rouge les pays pour lesquels le cyber-risque est au premier rang, en orange les pays dans lesquels il ne serait qu'en seconde position. Pour la Chine, qui n'apparaît pas sur cette carte, le risque cyber est en 4ème position. La Russie n'est pas intégrée à la liste des pays que référence le rapport rendu public.  

La place du cyber dans la politique du gouvernement de la République Tchèque

Le nouveau gouvernement de la République tchèque vient de publier son programme politique, document de 58 pages, en date de janvier 2022. Le document est disponible en anglais: "Policy Statement of the Government of the Czech Republic". Un assez long chapitre (pp.36-38) intitulé "Digitisation" est dédié au numérique, à l'internet, au cyber, aux données, à la transparence. A l'ordre du jour: numérisation des services de l'Etat, accélération de l'open data, renforcement de la cybersécurité dans les secteurs public et privé, coopération avec l'UE et l'OTAN, lutte contre les menaces hybrides, élargissement de la couverture internet dans le pays...

SolarWinds - new report by GAO

A new 50 pages report produced by the GAO (United States Government Accountability Office) has been published on January 2022, on the "Federal Response to SolarWinds and Microsoft Exchange Incidents" (GAO-22-104746). 

Espagne - Stratégie de Sécurité Nationale 2021

C’est avec une année d’avance sur l’agenda qui aurait dû être le sien que l’Espagne a publié fin décembre 2021 sa stratégie de sécurité nationale (la précédente datait de 2017, la nouvelle aurait dû être publiée fin 2022). Cette publication anticipée est justifiée par un changement accéléré de l’environnement stratégique international : effets produits par la pandémie, accélération du recours à des stratégies hybrides (mélange d’actions étatiques et non étatiques pour faire pression sur les gouvernements démocratiques) dans le monde, changement climatique, cyberattaques, crise financière… Les incertitudes sont nombreuses, les Etats restent néanmoins toujours aussi interdépendants, le risque est alors grand de crises produisant leurs effets en cascade, avec des mouvements migratoires s’amplifiant, et potentiellement de nouveaux conflits armés. Pour faire face à ces défis les organisations internationales se trouvent face à un dilemme : d’un côté la tentation ou tendance au repli stratégique des Etats, de l’autre la nécessité de coopérer et partager l’information pour une approche collective des enjeux.

Le contexte international posé, le document décline alors une longue série de « risques et menaces » à la sécurité nationale : tension stratégique et régionale, terrorisme, épidémies, menaces contre les infrastructures critiques, catastrophes, espionnage et ingérence, désinformation, vulnérabilités du cyberespace, de l’espace maritime, maritime, aérospatial, instabilité économique, crime organisé flux migratoires illégaux, vulnérabilité énergétique, prolifération d’armes de destruction massive, effets du changement climatique.

Le paragraphe dédié aux menaces dans le cyberespace décline tous les mots clefs actuels : cyberattaques, ransomware, cybercrime, cyber-espionnage, surface d’attaque croissante, réseaux sociaux, télétravail, 5G, internet des objets, données, sécurité de l’information, intelligence artificielle, big data, algorithmes, vie privée, systèmes autonomes, et enfin informatique quantique.   

Le document énonce des principes et des objectifs assez généraux. En matière de protection du cyberespace par exemple, il est question d’en garantir un usage sûr, de protéger les droits des citoyens, le progrès économique et social, et pour cela il est nécessaire d’accroître les moyens technologiques, humaines et financiers au service de la cybersécurité.