Ouh la la ! quel titre !
Oui, je sais. Mais qui recouvre un aspect de cyberstratégie qu'il me semble important de constater. Je vais donc essayer d'être clair, limpide, et compréhensible.
source1/ Quant on parle du cyberespace, une idée convenue affirme : "les plus grandes entités (Etats, grandes entreprises) sont à la merci des assauts d'un cyberpirate du dimanche qui, du fond de son garage, est capable de s'introduire et de causer des dégâts immenses".
2/ Toute la littérature, écrite ou filmée, est pleine de ce genre de scénarios, à la "arrête-moi si tu peux", où le hacker plein de succès se fait arrêter par la police pour, après avoir payé l'amende (ou pas) et effectué des mois de prison (ou pas), être recruté à la sortie par l'organisme qu'il a piraté (FBI ou IBM).
- Message subliminal :En quelque sorte, il y a une porte de sortie au vice, on peut se repentir, et finalement, pour devenir insider, c'est pas si mal de passer par la case outsider, vive l'underground et la culture hype.
- Message sous-sous subliminal : il y a des "méchants qui ne sont pas méchants au fond.
3/ Je passerai sur la caractéristique de l'attaque qui réside dans son intention. L’autre jour, dans un séminaire débat avec tout plein de gens très intelligents et très spécialistes, j'ai posé la question : "c'est quoi, une attaque ? ". Quelques gloubi boulgas en guise de réponse plus tard, j'ai alors ajouté : "donc, si je comprends bien, quelque soit l'auteur de l'attaque, il va utiliser les mêmes méthodes ?" (et là j'ai ajouté, pour faire mon malin : défaçage et déni de service, le genre de trucs de base qu'on cite dans n’importe quel "cyber pour les nuls", même moi j'ai retenu).
4/ Là, on m'a répondu : "ben c'est un peu plus compliqué parce qu'en fait, pour attaquer des gros, il faut déployer (américanisme) des équipes très évoluées pour pouvoir réellement faire mal". C'était dit comme ça, personne n'a relevé. Bon, d’accord, c'est un industriel, il avait aussi intérêt à dire que c'est maintenant tellement compliqué que tout ce qu'ils ont vendu depuis quelques années sert quand même à protéger, justement contre l'amateur du dimanche mais qu'en revanche, la difficulté nouvelle réside dans les menaces évoluées.
5/ On touche là à un débat qui relève de la théorie stratégique. En effet, vous avez tous appris qu'on était passé de guerres symétriques à des guerres dissymétriques et asymétriques. Pour faire simple :
- symétriques : les acteurs utilisent grosso modo les mêmes armements et doctrines avec à peu près le même niveau d’équipement. Chacun a sa chance.
- dissymétrique : les acteurs utilisent le même type d'équipement. Mais certains, pour compenser les hasards du système précédent (c'est ...on, la guerre, c'est brumeux et on ne peut pas prédire le sort du combat), ont soit développé des techniques plus avancées, soit augmenté le nombre des matériels (bref, joué sur la qualité ou la quantité) de façon à acquérir une supériorité préalable au combat.
- Pendant la guerre froide, les Sov avaient joué sur le quantitatif, les US sur le qualitatif, et les deux dissymétries s'étaient plus ou moins compensées (pour rétablir donc une symétrie initiale).
- Pendant la guerre du golfe (celle de 90), les Américains avaient joué à la fois sur la qualité et la quantité, et Saddam Husein avait été surclassé. Cela avait été encore plus évident 12 ans plus tard lors de la revanche..
- asymétrique: du coup, devant le constat de la dissymétrie, certains acteurs décident de ne plus jouer cette guerre où ils sont sûrs de perdre : en clair, ils ne partagent plus la doctrine mais en changent, pour contourner" le point fort et porter des coups : d'où les guerres irrégulières qu’on ne cesse de vivre depuis une quinzaine d'années, à coup de guérillas, d'insurrection, de bombes de fortune et d'attentats suicide.
6/ Dans le cyber, il est donc d'usage de penser qu'il y a une dissymétrie voire une asymétrie entre acteurs : le petit est capable, par son ingéniosité, de causer du tort au grand. Oui mais ! Mais ce n'est pas aussi simple car les grands ont tellement élevé leur niveau de défense que pour les percer, il faut désormais constituer des équipes aussi évoluée que celles qui organisent les défenses.
7/ La conclusion est claire : contrairement aux apparences, il y a ressymétrisation du cyberespace. Ce qui ne va pas, bien sûr, sans conséquences stratégiques. Nous y reviendrons.
O. Kempf