Dans un article précédent, il était fait allusion à un rapport soumis par le Département de la Défense américain au Congrès et précisant certains éléments relatifs aux publications stratégiques émises plus tôt dans l'année par le DoD.
Ce rapport est désormais disponible, et en voici les éléments marquants. Tout d'abord, le document rappelle sa référence, en la matière la fameuse "Department of Defense Strategy for Operating in Cyberspace" qui fait du cyber un espace d'affrontement au même titre que les autres tout en maintenant également la qualité de "démultiplicateur" de force". Ce point n'est pas forcément étonnant si l'on considère les espaces maritimes ou aériens qui, de par la liberté (haute-mer / haute atmosphère) sont autant des espaces de conflits que des espaces favorisant nombre d'actions des Etats.
Là où cependant le document apporte quelque chose, c'est sur le renouveau des concepts et doctrines nécessaires à l'intégration du "cyber" dans les opérations (peut-on parler d'art opératif ou autre ici ???) et à cet égard, le rapport qui nous est fourni ici nous apporte des précisions que nous déplorions dans le document de stratégie.
Ces éléments sont présentés sous la forme de 13 problématiques clés qui seront reprises ici. Notons toutefois que le document place, et c'est important tout action dans le cyber dans le cadre classique des opérations : une autorité, des missions claires et le respect des lois internes, internationales.
1- La posture déclarée de cyberdissuasion dans le cyberespace dans le contexte actuel.
Cette première problématique est à lire avec circonspection : en effet, il y est bien noté que la poste de dissuasion n'est pas si claire et évidente que cela car non seulement les USA sont très vulnérables selon leurs dires mais que les adversaires ont tout avantage à les attaquer tout en étant moins vulnérables eux-mêmes dans le cyberespace...C'est une petite révolution.
Ainsi, il est ré-affirmé que les modalités de réponses sont multiples et qu'elles interviendront dans le cadre de la dite "légitime défense", ce qui nécessite de caractériser l'attaque mais aussi de l'attribuer, ce qui demeure un point crucial dont le rapport fait état. Ainsi, il est noté que si les éléments de dissuasion faisaient défaut, la réponse pourrait être militaire et très…réelle.
Par ailleurs, et pour mémoire, notons une définition formelle de la dissuasion retenue ici :
- empêcher un adversaire d'attaquer une cible
- lui présenter les risques et coûts relatifs à une telle attaque entendus ici comme "représailles".
Précisons aussi que cette forme de dissuasion n'est entendue que dans un cadre légal et global, international qui doit conduire à adopter en commun, avec des alliés, des codes de conduites et autres normes.
Ce paragraphe sur la dissuasion est à prendre comme tel : un changement relativement important dans la considération des possibilités offertes par cette voie.
2- Préserver la capacité d'action du Président en cas de crise d'envergure.
Ce paragraphe constitue presque une forme d'adresse, ce qui tendrait à prouver que ce rapport constitue un avertissement à d'autres pays en précisant les termes des doctrines précédentes, plus théoriques.
Il est ainsi clairement écrit que tout état qui songerait à amoindrir la capacité d'information, décision et action du Président et des éléments décisionnels des USA prendrait un risque conséquent. A cela s'ajoute la possibilité de réponse, cyber ET/OU autres, à ce type d'attaque.
A cet égard, le rôle des entités de sécurité et de renseignement ainsi que celui du Cyber Command sont mis en avant et clairement établis.
3- Comment assurer une effectivité de la cyber-dissuasion
Un paragraphe en lien avec le premier mais qui mérite son propre développement. Le DoD considère bel et bien que la problématique de l’attribution demeure la question cruciale et se propose d’y répondre en 3 points relatifs au forensic, à la centralisation/partage des informations et aux « canaux auxiliaires »…
Il s’agit d’assurer une forme de corrélation des traces à l’échelle du Département de la Défense afin de faciliter le travail de ses éléments « forensiques ». Par ailleurs, des éléments de détection basés sur le comportement doivent être développés ainsi que des moyens de lier localisation physique et virtuelle. Bien que la tâche demeure particulièrement complexe et puisse paraître démentielle, n’oublions pas que, bien souvent, c’est le comportement des cybercriminels qui les fait attraper et que des éléments de lien physique-virtuels existent déjà (ex. les Google cars).
4- Ce paragraphe n’est intéressant qu’à un point mais d’importance : les USA ont la capacité de mener des opérations offensives dans le cyberespace pour se défendre ainsi que des alliés même si la preuve implique de déclassifier des documents sensibles.
5 – Ce point insiste sur la nécessité de maintenir une transparence dans le cadre de telles opérations notamment pour éviter des débordements en cas d’attaques. Ici semble être concerné le cas où un pays peut devenir un intermédiaire involontaire dans le cas d’attaques contre les USA : les réponses doivent être prévues, concertées et surtout il faut être transparent. Cette problématique est à mettre en corrélation avec le point 10 qui caractérise la « bonne attitude » du pays ainsi concerné.
6 – Ce point, encore une fois, se résume à une information de taille : il existerait des règles d’engagement, développées dans le cadre dit classique des opérations militaires mais concernant strictement la défense des réseaux.
7- Ici, il faut avouer que la question est presque stratosphérique : il est en effet annoncé que les Etats-Unis considèrent sérieusement la problématique de la considération de l’intrusion, à des fins de renseignement dans des réseaux étrangers et que cette intrusion soit considérée comme un acte hostile. Comme on le signifiait plus haut, ce rapport résonne comme une adresse aux alliés et adversaires potentiels et ce caractère semble ici à nouveau présent sans que l’on puisse clairement déterminer son destinataire.
8 et 9 sont relatifs aux échanges d’informations et coopérations non seulement avec le Congrès mais également avec les alliés proches et ceux de l’OTAN.
11 / 12 / 13 - Ces points concluent l’exposé des problématiques auxquelles sont confrontées les Etats-Unis en insistant sur les armes mais également sur la définition de l’acte de guerre. On en retiendra 3 points :
- De manière générale, le droit existant, que ce soit en matière d’armes ou de conflits, suffit et doit être appliqué
- - En matière d’acte de guerre, il semble qu’il y ait là un aveu d’impuissance mais également une forme de pragmatisme car le rapport déclare que la qualification d’acte de guerre relèvera en fin de compte de la décision et de la considération par le Commandant en Chef, donc le Président.
- - Bien qu’une cyber-arme soit encore quelque chose de non communément défini, le caractère dual est présent dans tous les esprits : cela ne constitue pas un obstacle à l’application du droit international…
En guise de conclusion, le rapport insiste sur la nécessité de maintenir de fortes capacités d’analyse et de modélisation. Passé relativement inaperçu, ce document est néanmoins particulièrement intéressant à plusieurs titres et apporte des informations relativement nouvelles ne serait-ce que par leur aspect déclaratif.
Aucun commentaire:
Enregistrer un commentaire