mercredi 2 décembre 2009

Un brouillon sur la dissuasion cybernétique - part.1

Peut-on envisager quelque forme de dissuasion dans le cyber-espace ? Comment dissuader un état ou une organisation non-étatique de déclencher une cyber-attaque de grande ampleur contre nos réseaux informatiques et nos systèmes d’information vitaux ou stratégiques ?

Cet article a été initialement publié dans Alliance Géostratégique.


Un détour par l’histoire et par la stratégie ouvrira des pistes de réflexion et révélera la complexité de l’enjeu.

Durant la guerre froide, la dissuasion consistait à persuader le camp adverse de ne déclencher aucune attaque conventionnelle ou nucléaire sous peine d’être victime d’une riposte extrêmement coûteuse sur le plan humain et matériel. En outre, du fait des immenses arsenaux nucléaires disponibles au sein des blocs OTAN et Pacte de Varsovie, le risque de destruction mutuelle assurée – ou MAD pour mutually assured destruction - a empêché tout réchauffement de cette guerre froide.


Dans le cyber-espace, les agresseurs potentiels ou réels sont de loin plus nombreux, plus diversifiés et plus nébuleux que sur le ring nucléaire : réseaux terroristes, mouvances hacktivistes, organisations criminelles ou cybercriminelles et hackers isolés n’ont quasiment aucune restriction pour recourir à une nuisance en ligne ou à un « cybotage » en règle, mode opératoire fondamentalement asymétrique. En effet, la cyberguerre est surtout une affaire d’individus, le modèle de cyberguerre open source et participative forgé par la Russie (et peut-être par la Chine) en est une parfaite illustration.

Dans le cyber-espace comme sur le web, tout le monde est un chien méchant qui se cache ou s’ignore. De redoutables outils comme le botnet ou le rootkit permettent de « zombifier » n’importe quel ordinateur connecté à des fins sournoises (cybercriminalité, cyber-espionnage), d’en faire un point de départ parmi tant d’autres d’une cyber-attaque, et ce, complètement à l’insu de son détenteur ou utilisateur réel. Anticiper, déceler ou dissuader l’action offensive relève de facto d’un herculéen travail de fourmi voire d’une mission impossible.

Dès lors, comment déterminer un acte de cyberguerre ? Comment localiser précisément les véritables points de départ d’une cyber-attaque ? S’agit-il d’un collectif d’hacktivistes, d’un gouvernement parfaitement respectable ou d’une alliance objective, officieuse ou officielle des deux ? Doit-on exercer des représailles contre un état pour des actions commises par quelques uns de ses citoyens ? Quelles règles d’engagement doivent respecter les gendarmes du code ? Où commence et où s’arrête le champ de bataille ?



Compte tenu de l’interconnection croissante des machines (ordinateurs, mobiles, serveurs, etc) et consécutivement des individus, des sociétés, des systèmes d’information et des économies, les gouvernements devront sérieusement répondre à ces questions avant de foncer têtes baissées dans quelques « représailles en ligne » et provoquer d’innombrables dégâts collatéraux.

Toutefois, pourquoi ne pas inverser nos perspectives ?

En plus clair, si la dissuasion nucléaire « intimide » d’abord l’action offensive adverse en amont, celle cybernétique neutraliserait d’abord l’action offensive adverse en aval grâce à trois éléments :

  • une solide et savante combinaison de périmètres cybersécuritaires protégeant les systèmes d’informations et les réseaux informatiques considérés comme vitaux et/ou stratégiques : électricité, eau, gaz, télécoms, transports, santé, finance, gouvernement, police, armée, etc,

  • une redondance perpétuellement améliorée de ces systèmes d’informations et réseaux informatiques amoindrissant et/ou anihilant les effets domino causés par les cyber-attaques,

  • la surveillance d’opérateurs humains dans la boucle cybersécuritaire disposant de marges suffisantes pour : 1/ analyser finement la situation, 2/ affûter protections et redondances selon leur évaluation des risques et des dégâts.


D’une certaine façon, la « cyber-dissuasion » reposerait en primauté sur une résilience accrue des réseaux informatiques et des systèmes d’informations et, corollairement, démontrerait aux esprits malveillants que leurs actions n’auront que des conséquences très limitées ou très éphémères. Vaste programme.

Question à 100 Go/s : la dissuasion cybernétique doit-elle comporter un volet offensif ou contre-offensif ? Ce sujet sera abordé dans un prochain article.

Aucun commentaire: