PARIS – En début d’année, les responsables américains ont reconnu que les cyber-opérations offensives américaines avaient permis de faire cesser les perturbations russes lors de l'élection du Congrès en 2018. De telles opérations sont rarement discutées mais, cette fois, il y avait des commentaires au sujet d’une nouvelle doctrine offensive « d’engagement persistant » contre des adversaires potentiels. Est-ce que cela fonctionnera ?

Les partisans de « l’engagement persistant » ont cherché à renforcer leur argument en faisant valoir que la dissuasion ne fonctionne pas dans le cyberespace. Or, ceci introduit une fausse dichotomie. Utilisée à bon escient, une nouvelle doctrine offensive peut renforcer la dissuasion et non pas la remplacer.

La dissuasion cherche à empêcher quelqu'un de faire quelque chose en lui faisant croire que les coûts qu’il devra supporter dépasseront les bénéfices attendus. Il est souvent difficile de comprendre à quoi correspond la dissuasion dans le cyberespace, parce que nos esprits restent capturés par une image de dissuasion issue de la guerre froide: une menace de représailles massives suite à une attaque nucléaire, s’appuyant elle-même sur des moyens nucléaires. Cependant, l'analogie de la dissuasion nucléaire est trompeuse car, lorsqu’il s’agit d’armes nucléaires, l'objectif est la prévention totale. La dissuasion dans le cyberespace est plus proche de la criminalité: les gouvernements ne peuvent l’empêcher qu’imparfaitement.

Il existe quatre mécanismes principaux pour réduire et prévenir les comportements néfastes dans le cyberespace: la menace de sanction, l’interdiction par la défense, l’endiguement et les tabous normatifs. Aucun des quatre n’est parfait mais, ensemble, ils illustrent la gamme des moyens par lesquels il est possible de minimiser la probabilité d'actes nuisibles. Ces approches peuvent se compléter mutuellement en affectant la perception qu'ont les acteurs des coûts et des avantages d’actions particulières, malgré le problème de l'attribution. En fait, bien que l'attribution soit cruciale pour la sanction, elle n’est pas importante pour la dissuasion par interdiction ou endiguement.

Parce que la dissuasion repose sur la perception, son efficacité dépend des réponses, non seulement à la question du « comment », mais aussi aux questions « qui » et « quoi ». Une menace de sanction – ou d’interdiction, d’endiguement ou de normes – peut dissuader certains acteurs, mais pas d'autres. Ironie du sort, il peut être plus facile de dissuader de grands états d'actes tels que la destruction du réseau électrique que des actions moins importantes.

En effet, la menace d'un « Pearl Harbor cyber » a été exagérée. Les principaux acteurs étatiques sont plus susceptibles d'être empêtrés dans des relations interdépendantes que ne le sont la plupart des acteurs non étatiques. Et les décideurs américains ont clairement fait savoir que la dissuasion ne se limite pas au domaine de la cyber-sécurité (bien que cela soit possible). Les Etats-Unis répondront aux cyberattaques, dans tous les domaines ou secteurs, avec les armes de leur choix, proportionnellement aux dommages qui ont été encourus. Cela peut aller depuis des opérations de name and shame, jusqu’à des sanctions économiques, en passant par l’usage d’armes cinétiques.

Les États-Unis et d'autres pays ont affirmé que les lois des conflits armés s’appliquent au cyberespace. La décision de traiter une cyberattaque comme une attaque armée ou non dépend de ses conséquences, et non pas sur des instruments utilisés. Et voilà pourquoi il est plus difficile de dissuader les attaques qui ne parviennent pas à l'équivalence d'une attaque armée. La guerre hybride de la Russie en Ukraine ainsi que, comme le rapport du conseiller spécial des États-Unis Robert Mueller l’a montré, la perturbation de la campagne présidentielle américaine sont tombées dans une telle zone grise.

Bien que les ambiguïtés de l'attribution des cyberattaques et la diversité des adversaires dans le cyberespace ne rendent pas impossible la dissuasion, elles signifient néanmoins que les sanctions doivent jouer un rôle plus limité que dans le cas des armes nucléaires. Les sanctions sont possibles contre les Etats et les criminels, mais leur effet dissuasif est ralenti et émoussé quand un attaquant ne peut pas être facilement identifié.

L’interdiction (par l'hygiène, la défense et la résilience informatiques) joue un rôle plus important dans la dissuasion d’acteurs non étatiques que lorsqu’il s’agit de grands Etats, dont les services de renseignement peuvent formuler une menace forte et persistante. Avec du temps et de l'effort, une importante agence militaire ou de renseignement est susceptible de pénétrer la plupart des défenses, mais la combinaison de menace de sanctions et de défenses efficaces peut influencer leurs calculs des coûts et des avantages. C'est là que la nouvelle doctrine de « l’engagement persistant » entre en jeu. Son but est non seulement de perturber les attaques, mais aussi de renforcer la dissuasion en augmentant les coûts pour les adversaires.

Cependant, les analystes politiques ne peuvent pas se limiter aux instruments classiques de la dissuasion nucléaire – sanction et interdiction – lorsqu’ils évaluent les possibilités de dissuasion dans le cyberespace. Ils devraient également prêter attention aux mécanismes d’endiguement et de normes. L’endiguement peut modifier le calcul coûts-bénéfices d'un grand État comme la Chine, mais il a sans doute peu d'effet sur un état tel que la Corée du Nord, qui est faiblement lié à l'économie mondiale.

Toutefois, « l’engagement persistant » peut aider la dissuasion dans ces cas difficiles. Bien sûr, pénétrer le réseau de tout adversaire et perturber les attaques présente un risque d'escalade. Plutôt que de compter uniquement sur la négociation tacite, comme les partisans de « l’engagement persistant » le soulignent souvent, une communication plus explicite peut aider.

La stabilité dans le cyberespace est difficile à prévoir, car l'innovation technologique y est plus rapide que dans le domaine nucléaire. Au fil du temps, une meilleure technologie d'attribution peut renforcer le rôle des sanctions ; et une meilleure défense par cryptage ou machine learning peuvent augmenter le rôle de l’interdiction et de la défense.

Le cyber-apprentissage est également important. Lorsque les États et les organisations comprendront mieux les limites et les incertitudes des cyberattaques, ainsi que l'importance croissante de l'Internet pour leur bien-être économique, leurs calculs coûts-bénéfices de l'utilité de cyberguerres peuvent changer. Toutes les cyberattaques ne sont pas de même importance; toutes ne peuvent pas être dissuadées; et toutes ne représentent pas une menace importante pour la sécurité nationale.

La leçon pour les décideurs est de se concentrer sur les attaques les plus importantes, reconnaître la gamme complète des mécanismes à leur disposition, et comprendre les contextes dans lesquels les attaques peuvent être évitées. La clé de la dissuasion à l'ère cybernétique est de reconnaître qu’il n’existe pas de solution unique. Un « engagement persistant, » vu de ce point de vue, est un ajout utile à l'arsenal.

Traduction de l’anglais par Timothée Demont