Romain Mielcarek, auteur du blog actudéfense, m'a posé quelques questions à la suite de la sortie de mon dernier ouvrage, "Introduction à la cyberstratégie". Billet cross-publié sur actudéfense et AGS.
1 ) Alors que le Livre blanc devrait donner une place conséquente aux menaces cyber ou que le Secrétaire à la Défense américain évoquait ses craintes d'un cyber Pearl Harbor, peut-on s'attendre à la mise en place de moyens humains et structurels à la hauteur des enjeux qui y sont liés ?
Le précédent Livre Blanc avait déjà été visionnaire en insistant justement sur la mise en place de capacités de cyberdéfense. A sa suite, l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) avait été créée et elle a vu ses moyens très augmentés. Du côté des armées, un officier général cyberdéfense a été mis en place. Le dispositif français est donc sérieux. Le sénateur Bockel a publié, en juillet, un rapport où il appelle à poursuivre l'effort, pour se mettre à niveau des budgets de nos voisins allemands et britanniques. Mais ce renforcement, s'il est décidé, devra l'être dans un contexte général de baisse du budget de la défense. C'est dire le dilemme qui est en face des décideurs.
Toutefois, sans aller jusqu'à la notion de cyber Pearl Harbor, qui est une thématique à la fois très américaine et très propagandiste (pas un seul analyste sérieux n'y fait référence), le cyberespace est désormais inévitable : il est à la fois un théâtre d'opération en tant que tel, et il traverse tous les autres espaces opérationnels (Terre, mer, air, nucléaire, ...). Il est donc probable que le prochain Livre Blanc soulignera la nécessité de continuer l'effort.
2 ) La France dispose t-elle des ressources humaines nécessaires ? Forme t-on suffisamment de techniciens, d'une part, et de penseurs, d'autre part, capables de se pencher sur les questions de cyber-sécurité et de cyber-défense ?
Les spécialistes du secteur s'alarment du manque de techniciens de cybersécurité. Il y aurait un besoin de 600 jeunes par an, et on n'en formerai que 200. Avis aux amateurs, bosseurs et fanas de technologie !
Quant aux penseurs, oui, on a assisté, ces derniers mois, au développement d'une sorte d'école française de cyberstartégie, autour de précurseurs comme Daniel Ventre ou Marc Watin-Augouard, et maintenant des personnes comme François-Bernard Huyghe, Alain Esterle, Stéphane Dossé, Marc Hecker, Bertrand Boyer, Christian Daviot, Nicolas Arpagian...
Une blogosphère stratégique extrêmement active s'est développée (AGS, égéa et actudéfense en sont bien évidemment les exemples les plus illustres). Deux chaires spécialisées ont été créées au cours des douze derniers mois, toutes les grandes revues de défense et d'affaires internationales ont publié un dossier sur le cyber (Revue Défense Nationale, Politique Étrangère, Revue Internationale et Stratégique, le mois prochain la Nouvelle Revue de Géopolitique).
Enfin, j'ai l'honneur de lancer une collection de cyberstratégie chez Economica, qui est l'éditeur stratégique de référence, avec ce premier opus, logiquement intitulé "Introduction à la cyberstratégie".
3 ) Les autorités compétentes alertent souvent les institutions, les entreprises et surtout leurs employés sur une mauvaise hygiène sécuritaire dans leur utilisation des outils numériques. Y a-t-il des progrès dans ce domaine ?
Peu, il faut bien le déplorer (et d'ailleurs 'interroger : la baisse continue des parts de marché de la France à l'international, depuis cinq ans, n'est-elle pas due à cette négligence ?). C'est dû à deux choses : d'une part, les dirigeants d'entreprise considèrent que c'est l'affaire de leur directeur de la sécurité informatique, une simple affaire "technique", sans s'apercevoir que l'information et sa sécurité constituent des actifs stratégiques de l'entreprise. Ce n'est pas parce qu'il a un directeur financier que le dirigeant ne regarde pas ses comptes. Donc, ce n'est pas parce qu'il a un directeur SSI qu'il ne devrait pas se préoccuper de cybersécurité de son entreprise. Or, l'exemple vient d'en haut. Ensuite, le syndrome de la discrétion (quand on a été attaqué, on ne le dit pas) empêche la prise de conscience générale, et l'élaboration de bonnes pratiques. Les esprits changent, mais lentement.
4 ) Vous publiez ce mercredi un ouvrage d'Introduction à la cyber-stratégie. Qu'est ce qui vous fait penser que le développement de stratégies dans ce domaine est une vraie priorité et pas un simple phénomène de mode ?
Tout simplement parce qu'on ne peut plus imaginer un monde sans cyber. Je le vois tous les jours auprès de mes étudiants, ils n'ont pas conscience de ce que serait un monde sans, de même que ma génération n'a pas conscience d'un monde sans électricité ou automobile. Or, non seulement le cyber est entré dans toutes les dimensions traditionnelles de la guerre (on ne peut faire voler un avion sans l'avionique de bord, ni diriger une coalition sans systèmes d'information et de commandement), mais en plus le cyberespace est devenu un espace autonome, certes artificiel et anthropogène, mais qui présente de multiples opportunités pour que les acteurs stratégiques (les Etats, mais pas seulement eux) puissent exprimer à bas bruit leur conflictualité. De ce point de vue, les batailles font rage bien que nous n'en ayons pas conscience. Surtout, malgré son universalité, le cyberespace permet une grande opacité d'action : je peux agir sans être identifié : du coup, cela redonne énormément de possibilités aux uns et aux autres pour s'affronter.
5 ) Au fil de l'histoire, nous avons vu à quel point l'amélioration de la capacité offensive (l'épée) était de plus en plus capable de surpasser la capacité défensive (le bouclier). Dans le monde du numérique, est-on capable de développer des boucliers suffisamment solides ?
Il s'agit d'un des grands débats théoriques entre stratégistes. On a souvent l'impression que l'offensive a l'avantage dans le cyber, puisqu'elle a l'initiative et qu'elle entre dans des failles inconnues du défenseur. Toutefois, les défenses se sont énormément musclées (du moins celles qui sont sérieuses : cela renvoie à votre question sur l'hygiène informatique des entreprises, qui pour la plupart se font piller sans même en avoir conscience) et surtout, en se révélant, l'agresseur perd l'initiative. Du coup, il y a une sorte de résilience de la défensive. Il reste que ce combat entre l'épée et le bouclier est, comme vous le dites, extrêmement ancien. Constatons simplement qu'alors que le nucléaire avait imposé une défensive généralisée, au point d'interdire la guerre, le cyber redonne place à la manœuvre....
O. Kempf