La cyber stratégie française face aux actions offensives des autres puissances

Le terme de corsaire est à distinguer de celui de pirate. Le pirate n'obéit à aucun pouvoir et pratique une forme de banditisme dans son propre intérêt. Les corsaires sont des civils mandatés par lettre de « course » délivrée par leur nation, faisant officiellement la guerre selon les mêmes lois que les marins d'Etat, mais sans être rattachés à un état-major, dans un but de guerre économique, usant de stratégies et de tactiques non conventionnelles. La « guerre de course » est abolie en 1856 par le traité de Paris qui met fin par la même occasion à la guerre de Crimée (cependant, des pays comme les USA n'en sont pas signataires).

De nombreux corsaires célèbres, tels Jean Laffite, Jean Bart ou René Duguay-Trouin ont marqué l’Histoire de France. Cependant, en matière de guerre économique, Robert Surcouf est sans doute le meilleur exemple. En effet, alors que la Royal Navy britannique courait après les méchants pirates et la Royale française, en se cantonnant à des objectifs de guerre conventionnelle, le corsaire français appuyait là où cela fait mal, au point qu’il mit à mal la Compagnie Britannique des Indes Orientales, l’un des phares commercial britannique de l’époque.

Dans le nouveau monde immatériel, le cyberespace reproduit-il aujourd’hui une situation analogue à celle qu’a connu le monde matériel lors de l’émergence des empires maritimes ? On peut y trouver une analogie dans la mesure où il est courant de comparer les hackers à cette époque en les qualifiant de pirates ?

Les différents types de cyber acteurs 

Dans le cyberespace, nous pouvons distinguer les macro-catégories d’acteurs suivantes :

. Les pirates : sont des hackers ayant des activités cyber criminelles travaillant pour leurs intérêts propres. Ils cherchent plus la rentabilité financière d’une opération, sans toutefois avoir nécessairement un besoin de discrétion ou un objectif de renseignement.

. Les cybers mercenaires : sont des hackers vendant leurs services à des intérêts privés (sociétés de services, cabinets de conseil, …). Ils s’efforcent dans un cadre éthique plus ou moins défini de vendre une mission, un service ou une information en conservant leur clientèle et en amortissant au maximum leurs investissements.

. Les cybers soldats : sont des agents des services étatiques travaillant directement avec le pouvoir aussi bien dans les domaines civils que militaires. Ils aspirent à concilier capacités défensives, offensives, discrétion, soumission au pouvoir, sans objectifs financiers directs, mais visant plus à maximiser l’atteinte de buts de guerre. On remarquera la variante du cyber soldat qu’est le cyber gendarme dont le rôle principalement défensif est de traquer les pirates.

Les frontières entre ces catégories peuvent êtres perméables et ambigus et nombreux facteurs peuvent entrer en ligne de compte pour catégoriser un individu ou un groupe d’individus dans telle ou telle catégorie (limites éthiques, luttes d’intérêts ou de pouvoir, …).

La graduation des attaques  

Une menace persistante avancée ou Advanced Persistent Threat abrégé APT, est un type de cyber attaque de haut niveau, ciblant des entreprises ou des Etats à des fins d'extorsion d'informations ou financière, voire de déstabilisation  géopolitique ou de guerre économique. Celles-ci nécessitent des ressources importantes, une approche stratégique et peuvent agir sur de longues périodes. Par abus de langage, le terme APT est utilisé pour désigner les groupes réalisant ces cyber attaques.

Parmi ceux-ci, deux grandes catégories se distinguent :

. Des groupes clandestins directement intégrés à des Etats, par exemple des unités d'armées régulières ou des services de renseignements étatiques (cas numéro 1 – cas de cybers soldats se faisant passer pour des cybers corsaires). Exemple : APT-C-39.

. Des groupes criminels, présumés indépendants, mais entretenant de forts liens avec des états (cas numéro 2 – cas des cybers corsaires). Exemple : APT41.

Les APT se caractérisent par l'usage de tactiques non conventionnelles, ainsi que par leurs interprétations du droit et de leur éthique à géométrie variable. Leurs attributions dans les cybers catégories précédemment mentionnées dépendent donc fortement des définitions culturelles ainsi que des éléments d'informations rendues publiques. Le nerf de la guerre restant les moyens, il y a aussi de vraies différences de stratégies entre les groupes d’Etats considérés comme faibles et ceux considérés comme forts.

Des pays comme les Etats-Unis d’Amérique se reposent majoritairement sur leurs services de renseignements, en les faisant se comporter comme des cyber corsaires (cas numéro 1). Ceux-ci poursuivent à des fins de renseignements ou de déstabilisation à un niveau étatique, usant des cybers mercenaires, à l’instar de l’usage du complexe militaro-industriel par leur armée régulière.

Inversement, des pays comme la République Populaire de Chine ou la Fédération de Russie ont plus tendance à exploiter ou à intégrer des pirates dans leurs services (absorption de compétences) à des fins de renseignement, de déstabilisation étatique ou financière et économique (cas numéro 2), devenant ainsi des cyber-puissances. Il est donc normal de constater un nombre d’APT supérieur dans ces pays-là.

L’un des rares cas documentés d’APT française est "Animal Farm" et le malware "Babar" reconnu par la DGSE dans le cadre de l’opération « Snow Globe », visant majoritairement des cibles iraniennes à la fin des années 2000. Contrairement à son cousin « israélo-américain », Stuxnet, qui avait en plus des buts de sabotage, ce malware semble se cantonner à des fins d’espionnage (cas numéro 1, Il est à noter l’alignement de cette opération avec les intérêts US de l’époque).

L’évolution vers une cyberguerre totale 

Dans un contexte de cyberguerre totale (les menaces liées aux différents groupes de cybers acteurs s’additionnant), multi vectorielle (technique, cognitif, informationnel, …). Les cyber attaques représentaient en 2021, plus de 1 000 Milliards de $ de chiffre d’affaires, soit 1% du PIB mondiale (certains parlent de beaucoup plus) et font parties intégrante de la guerre économique. Le phénomène connait en plus une intensification et une professionnalisation permanentes depuis la crise du COVID et le déclenchement du conflit Russo-Ukrainien.

On peut constater que :

. La République Populaire de Chine a intégré l’usage de la cybercriminalité dans le fonctionnement de ses services et comme composante clef de la guerre économique dès la fin des années 90 (la Guerre hors limites).

. La Fédération de Russie, du fait de son héritage culturel soviétique (absence de droits d’auteur, éducation mathématique forte,…), a pu constituer une élite cyber et a intégré la cybercriminalité comme composante de son économie, dans la limite où celle-ci ne gêne pas les intérêts du pouvoir en place.

. Les Etats-Unis d’Amérique imposent leur domination technologique (GAFAM), économique et juridique dans le cyberespace (Patriot & Cloud Act, Persistent Engagement,… . Ils conservent aussi la possibilité d’avoir de vrais corsaires - hybridation cyber des SMP - car ils n’ont pas bradé leur souveraineté et signé le traité de Paris. Leur constitution intègre encore le droit de « déclarer la guerre, d'accorder des lettres de marque et de représailles »).

. Des pays comme l’Inde deviennent les cybers ateliers clandestins du monde et un certain nombre de pays du continent africain profitent de cette manne financière pour renforcer leurs économies.

Quels sont les impacts de cette cyberguerre totale sur la France ?

En 2021, la France était le quatrième pays au monde, le plus ciblé par des cybers attaques. Celles-ci ne concernent pas uniquement les seuls secteurs stratégiques français, mais bien tous ses secteurs d’activité et touchent aussi bien les institutions civiles et militaires, que les entreprises ou les particuliers.

On retiendra quelques chiffres clefs (données approximatives).54 % des entreprises françaises ont été attaquées. Le coût médian d’une cyber attaque est de 50000€. Une perte moyenne de 27 % du chiffre d’affaires pour les entreprises victimes. Seulement 50 % des entreprises victimes portent plainte. Les impacts de la cyberguerre en France sont donc majoritairement d’ordre économique.

On distinguera les coûts directs et indirects liés aux facteurs suivants :

. Interruption d’activités et de services.

. Exploitation et renforcement des systèmes de défense.

. Détérioration du matériel informatique.

. Atteinte à la notoriété des victimes.

. Payement de rançons et chantages divers.

. Fuite ou altération de données.

L’impact global de la cyberguerre sur l’économie française est difficilement chiffrable. Si l’on extrapole la tendance macroéconomique mondiale des cyber attaques en termes de PIB sur le périmètre France, on peut estimer en fourchette basse un coût d’environ 25 Milliards d’euros / an (sur la base du PIB français de 2021 à 2500 Milliards d’euros). Ce calcul n’inclut pas d’autres impacts tel que la potentielle dégradation de l’image de la France à l’international, la perte de confiance de la population,  les conséquences psychologiques sur les victimes, … .

Les enjeux sont donc multiples

Il s'agit notamment de :

. Rattraper les retards d’investissement.

. Créer et propager une culture de la cyber sécurité civile et militaire.

. Définir et appliquer une stratégie souveraine et transverse sur le long terme.

. Consolider une posture défensive couvrant l’entièreté de la zone à défendre afin de renforcer et protéger ses positions, identifier les adversaires, anticiper et prévenir leurs mouvements.

. Créer les termes d' une posture offensive afin de contenir, d’affaiblir et de neutraliser les adversaires.

. De créer et maintenir une posture de combat informationnel afin d’avoir une vision transverse de la cyberguerre, de la stratégie globale, de l’adéquation des postures offensive et défensive avec la guerre économique.

Une prise de conscience tardive des menaces et une sous-estimation de l’importance du champ de bataille cyber

Le pouvoir politique français a commencé à s'intéresser à la problématique à la fin des années 2000. Le décalage avec les pays les plus entreprenants dans le domaine mérite d'être analysé car il a engendré des faiblesses que les mesures ci-dessous sont loin d'avoir comblées.

. 2008 : Intégration de la cyber sécurité dans le Livre Blanc de la Défense.

. 2009 : Création de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) rattachée au Secrétariat général de la Défense et de la Sécurité Nationale sous l’autorité du Premier ministre.

. 2013 : Intégration de la cyber sécurité dans la Loi de Programmation Militaire (LPM) et mise à jour du Livre Blanc de la Défense.

. 2015 : Création de la Stratégie Nationale pour la Sécurité du Numéique.

. 2016 : Renforcement du Plan Vigipirate et du Plan Piranet.

. 2017 : Création du COMCYBER rattaché au ministère de la Défense.

. 2018 : Renforcement de la posture de l’ANSSI et création de la doctrine de Lutte Informatique Défensive (LID).

. 2019 : Création de la doctrine de Lutte Informatique Offensive à des fins militaires (LIO) , mise à jour de la LPM avec une vision 2029-2025.

. 2020 : Lancement du Plan France Relance avec des partenaires privés.

. 2021 : Création de la doctrine de lutte informatique d’influence (L2I) et du Campus Cyber en vue de créer de nouvelles synergies entre le secteur public et le secteur privé.

Il en résulte un « Léviathan administratif » hybride civil et militaire avec deux services majeurs : l’ANSSI en charge de l’application de la posture défensive sur le plan civil ainsi que le développement d’une culture de la cyber sécurité et le COMCYBER en charge de l’application des postures sur le plan militaire.

Comme le précise le Monde Informatique, le budget pluriannuel consacré à la cyberdéfense atteint près de 1,6 Milliards d’euros hors masse salariale pour la période 2019-2025 (500 M€ pour la R&D, 200 M€ pour le plan d'investissement aux start-up, 150 M€ pour le Campus Cyber, 350 M€ pour le renforcement de la sécurité des hôpitaux dans le cadre du Ségur de la santé, 136 M€ pour le renforcement de la sécurité des services publics via le Plan France Relance, ...). Ce nouveau budget cherche surtout à rattraper les retards d’investissement et à dynamiser le marché de la cyber sécurité en le faisant passer à 25 Milliards d’euros en 2025 au lieu de 7,3 Milliards d’euros en 2019.

Sur le plan des effectifs, la cyber sécurité française paye le prix des erreurs stratégiques du passé, tel que : le manque d’investissements, le « parisiano-centrisme », la marginalisation des experts, l‘absence de reconnaissance professionnelle, le manque de formation. Actuellement, Le dispositif aligne péniblement 600 spécialistes cyber et un peu plus de 2200 pour le COMCYBER (cible 2025 : 5000). Notons à ce propos que les effectifs de cybers mercenaires tournent quant à eux autour de 37000 (cible 2025 : 75000). Le ministère de l’intérieur compte également créer 1500 postes de « cybers patrouilleurs » dont le rôle n’est pour le moment pas clairement défini et renforcer les effectifs de cybers gendarmes dans les services autres et dans les régions.

En face des cybers menaces géantes que constituent les potentiels offensifs de la République Populaire de Chine, de la Fédération de Russie, mais aussi des Etats-Unis d’Amérique, et leurs usages des cybers corsaires à des fins de guerre économique (cas numéro 1 et 2), la France au vu de ses tardifs investissements et de ses faibles moyens n’apparaît pas comme une cyber-puissance.

Les limites des cyber doctrines françaises

Afin de répondre aux enjeux, la France s’est dotée de trois doctrines censées structurer la cyber sécurité française et garantir une cohérence d’ensemble des différents services qu’ils soient civils ou militaires. Ces doctrines ont officiellement vocation à couvrir les trois domaines de lutte suivants :

. La Lutte Informatique Défensive (LID) : prérogative de Matignon via le Comité de Pilotage de la Cybersécurité (CPC). Cette doctrine vise à regrouper l'ensemble des actions pour faire face aux risques de cyber attaques et couvre principalement les missions liées à la posture de défense civile et mililitaire : anticiper, détecter, réagir, prévenir, protéger et attribuer.

. La lutte informatique offensive à des fins militaires (LIO) : prérogative de l'Elysée via le Conseil de Défense et de Sécurité Nationale (CDSN). Cette doctrine, recouvre l’ensemble des actions qui visent à produire des effets à l’encontre d’un système adverse pour en altérer la disponibilité ou la confidentialité des données (posture offensive).

. La lutte informatique d’influence (L2I) : prérogative de l'Elysée via le Chef d’Etat-Major des Armées (CEMA). Cette doctrine désigne les opérations conduites dans la couche informationnelle du cyberespace pour détecter, caractériser et contrer les attaques, renseigner ou faire de la déception.

La posture défensive, se bornant actuellement à la défense d’un périmètre « vital », qui sans réels moyens (techniques, humains, financiers, …) adaptés aux enjeux et aux menaces en vue de son application concrète, ne pourra pas rattraper le retard accumulé durant ces dernières décennies et mettre en œuvre une posture adaptée couvrant l’entièreté de la « Cyber Zone A Défendre » française. De plus, sans une réelle compréhension des menaces, sans une vraie vision stratégique transverse ainsi que la fin de son instrumentalisation par le pouvoir politique, celle-ci ne pourra jamais qu’être une « cyber Ligne Maginot » avec une concentration de ses moyens dans la prévention, la détection et surtout la réaction.

La posture offensive, se limite principalement à établir un arsenal de dissuasion, tout en restreignant ses règles d’engagement et d’emploi qu’à la seule contre-attaque militaire « conventionnelle ». Les cybers opérations clandestines offensives restent dans le seul girond des services de renseignements et donc à des fins d’intelligence (cas numéro 1). Cette posture n’a pas de lien avec la posture de combat informationnel et ne prend donc pas en compte les impacts des opérations adverses sur l’économie française. De plus, elle ne comprend pas de réels emplois offensifs de l’arsenal précédemment mentionné afin que celui-ci soit véritablement perçu comme une menace crédible par les adversaires. Celle-ci se restreint donc à une posture de « tigre de papier » sans emploi de cybers corsaires, afin d’affaiblir les économies adverses et réguler sa propre cybercriminalité autrement que pénalement (cas numéro 2).

La posture de combat informationnel par le biais de la doctrine de Lutte Informatique d’Influence (L2I), est exposée dans la revue stratégique ainsi que par le bais des études de l’IRSEM sur les manipulations de l’information dans le cyberespace . Elle n’en est en fait qu’une piètre synthèse. Sans volet offensif, cette vision essentiellement défensive n’intègre pas les aspects transverses de la cyberguerre comme une composante de la guerre économique et de liens avec les autres postures. Celle-ci ressemble donc plus à une mise au format « Fact Checking Libération » des services à des fins politiques qu’à une réelle posture de combat informationnel.

Ces doctrines font aussi la part belle aux cybers mercenaires (Plan France Relance, Campus Cyber, Cyber Factory) qui se substituent à des carences de compétences et de moyens étatiques. Ceux-ci, se cantonnent à des aspects défensifs et de fournir des équipements ou des services, tout en captant une part non négligeable des budgets sans réels contrôles ni mesures d’efficacités.

Inféodées au pouvoir politique, soumises au droit national et international ambigus et restrictifs, ayant la volonté d’imbriquer la cyberdéfense française dans des institutions supra nationale (UE, OTAN), ces doctrines résonnent comme étant complètement hors-sol face aux enjeux.

Cependant, ces doctrines sont-elles la cause ou l’une des conséquences de l’asymétrie de puissance de la cyber sécurité française dans le combat contre les cyber-puissances ?

La cyber stratégie française nous conduit-elle à l'échec ?

La France étant l’un des pays les plus ciblés par les cybers attaques, sa cyber stratégie par le biais de ses moyens et de ses doctrines, apparaît comme désynchronisée par rapport à la cyberguerre et aux stratégies des nations adverses. La mise bout à bout de doctrines ou de tactiques aussi « efficaces » et « bien » dotées soient elles, la débauche de moyens pour de belles vitrines commerciales, la budgétisation de l’emploi de X milliers de nouveaux cybers soldats ou gendarmes sur X temps ainsi que les grands discours et les investissements dans telle ou telle cyber arme ne valent pas stratégie, il ne s’agit que de moyens !  Avec une constante perte de souveraineté et des compétences qui partent dans le secteur privé en France ou à l’étranger chez de potentiels adversaires, la France peine à résorber l’hémorragie et à contrer efficacement les menaces. Comme pour l’usage du mercenariat et contrairement aux revenus liés aux trafics de drogues qui quant à eux, sont inclus dans le calcul du PIB national, la France se couvre des oripeaux de la vertu quant à l’usage de cybers corsaires (autrement que dans le cas numéro 1).

Hervé Trelcrot
Auditeur de la 40ème promotion MSIE de l'EGE

 

Sources d’informations :

https://www.veillemag.com/Cybergouvernance-Il-y-a-les-pirates-qui-sont-les-corsaires_a3875.html

https://information.tv5monde.com/info/cyber-defense-la-france-passe-l-offensive-280713

https://theconversation.com/cyber-crime-sante-et-big-data-pirates-aujourdhui-corsaires-ou-flibustiers-demain-56699

https://eska-publishing.com/fr/archives/1133346-securite-globale-n28-2021-9782822405881.html

https://information.tv5monde.com/info/cyber-defense-la-france-passe-l-offensive-280713

https://www.tarlogic.com/blog/france-and-economic-intelligence/

https://www.challenges.fr/entreprise/defense/en-cyberdefense-nous-sommes-parmi-les-toutes-meilleures-nations-selon-le-patron-du-comcyber_685959

https://www.nextinpact.com/article/30031/108688-comcyber-nous-avons-besoin-detre-paranoiaques-avec-tout-monde

https://www.agoravox.fr/culture-loisirs/culture/article/sur-les-traces-de-surcouf-27897

https://www.ege.fr/infoguerre/le-groupe-wagner-fer-de-lance-des-operations-russes-dinfluence-en-afrique-subsaharienne

https://www.ege.fr/infoguerre/2020/10/larmee-a-t-moyens-de-mener-guerre-de-linformation

https://www.ege.fr/infoguerre/le-positionnement-de-larme-cyber-dans-larsenal-militaire

https://www.ege.fr/infoguerre/la-demarche-sleeping-giants-est-elle-un-encerclement-cognitif-made-usa

https://www.ege.fr/infoguerre/les-rapports-de-force-entre-les-five-eyes-et-des-societes-du-numerique

https://www.ege.fr/infoguerre/2011/05/la-cybercriminalite-au-coeur-de-la-guerre-informatique

https://www.ege.fr/infoguerre/analyse-russe-de-la-guerre-de-linformation-entre-larmenie-et-lazerbaidjan

https://www.ege.fr/actualites/quelles-sont-les-nouvelles-cibles-de-la-cybersecurite-avec-g-p-goldstein-sur-france-culture

https://www.ssi.gouv.fr/agence/cybersecurite/lanssi/

https://www.defnat.com/e-RDN/vue-article-cahier.php?carticle=482&cidcahier=1291

http://www.senat.fr/rap/r19-613/r19-6137.html

https://www.mandiant.com/resources/insights/apt-groups

https://attack.mitre.org/groups/

https://www.leprogres.fr/economie/2022/01/14/cyberattaques-en-hausse-en-france-et-dans-le-monde-pourquoi-il-faut-s-attaquer-au-probleme

https://www.globalsecuritymag.fr/La-France-est-le-4eme-pays-au,20211122,118534.html