Principes de cyber stratégie
Par Olivier Kempf le vendredi 18 février 2011, 17:03 - Cyber - Lien permanent
Ce petit texte n’a pour ambition que de semer des pistes. L’idée m’en a été donnée à la suite d’une conversation avec Christian Malis, directeur de recherche au CREC. Sans vouloir égaler les principes de Beaufre qui, en son temps, avait ébauché des principes stratégiques de l’âge nucléaire, peut-être cela permettra-t-il de penser cette guerre-là. (ou, pour être plus exact, ce nouveau milieu de la guerre)
Voici donc six principes : à discuter, et raffiner. A compléter, si vous en voyez d'autres.
Contournement : Ce principe appartient à toute guerre, bien sûr. Mais autant une guerre conventionnelle cherche, fondamentalement, le rapport de force, autant une guerre cyber cherchera d’abord la faille pour appliquer la totalité des moyens. Dans un monde conventionnel, si on pèsera toujours sur le gros de l’ennemi jusqu’à déceler le point de rupture (l’effort général permettant de mettre la structure adverse sous tension, ce qui révèle son point de faiblesse), dans un monde cyber, il n’en est pas de même : l’agresseur teste le dispositif jusqu’à trouver la faille, il n’a pas besoin de peser sur l’ensemble. En revanche, dès qu’il a trouvé cette faille, il est en mesure d’appliquer la « puissance de feu ».
Ambigüité : Christian Malis a eu l’intuition de ce principe. En effet, dans un conflit cyber, l’agresseur signe rarement ses œuvres. On ne sait pas qui est l’auteur d’une attaque, qu’il s’agisse de l’affaire estonienne en 2007 ou de Stuxnet en 2010.
Primat de l’offensive : Cette imprécision favorise a priori l’offensive. Toutefois, la défensive est indispensable, mais toujours inachevée et toujours en renforcement. En revanche, on n’a pas encore mis au point le schéma prôné par Clausewitz. Quand celui-ci promeut la défensive, en effet, c’est toujours pour favoriser la prise d’initiative à l’issue : la défensive clausewitzienne n’est pas une guerre de position, comme on l’a trop souvent cru. En matière cyber, la défensive est pour l’instant statique, car les possibilités de contre-intrusion paraissent faibles. Pas de contre-offensive en cyber.
Asymétrie : la doctrine française avait inventé, en matière nucléaire, le pouvoir égalisateur de l’atome. Il y a des possibilités de pouvoir égalisateur du cyber : un individu peut, théoriquement, mettre à mal un dispositif, selon le principe de contournement évoqué ci-dessus.
Coalescence : Toutefois, le plus intéressant ne paraît pas dans cette asymétrie, mais dans le principe de coalescence : des individus s’assemblent, hors toute structure établie, pour mener des actions groupées. Elles peuvent être positives (ainsi, ce sont des acteurs individuels qui ont décidé de pallier l’effondrement du système internet haïtien à l’issue du tremblement de terre, et qui ont fiabilisé, en l’absence de toute intervention publique, le nom de domaine en .ht). Il peut s’agir de collectifs plus militants (anonymous, ou Wikileaks). Il peut s’agir enfin, dans une perspective plus conflictuelle, de groupes de hackers. Il s’effectue donc des alliances de circonstance qui peuvent se diriger contre tel ou tel objectif, en général une puissance (soit un Etat, soit une institution, soit une entreprise privée de bonne taille) ce qui permet de se placer, temporairement, dans un rapport de force symétrique, le temps de l’attaque.
Fugacité : Une attaque est le plus souvent fugace : en effet, s'il y a une faille, elle est le plus souvent colmatée "rapidement". L'attaque ne dure donc pas. Cela permet de justifier la défensive, qui sera par instants" percée, mais qui tiendra durablement.
O. Kempf
Commentaires
Bonsoir,
Pourquoi écrire que dans la guerre conventionnelle on cherche le point de rupture en commençant par une manoeuvre d'attrition classique ? En mai 1940, guerre conventionnelle s'il en fut, les Allemands ont pointé la faille sur la carte a priori. La Blitzkrieg et la cyberguerre relèvent finalement de la même logique, comme je l'ai écrit un peu rapidement dans ma Diagonale de la défaite. Il n'y a que l'ambiguité qui les différencie : dans la Blitzkrieg réussie, comme chez Sun Tsu, on annonce ce qu'on va faire et on le fait exactement comme on avait annoncé, et il n'y a rien de plus paralysant et déstabilisant pour l'adversaire. La vraie surprise stratégique, c'est quand survient l'évident, le prévisible.
C'est bien ce qui se passe actuellement non ? Des peuples arabes qui veulent être libres ! Qui aurait pu jamais imaginer une chose pareille ? Quand les historiens se pencheront sur notre aveuglement de ces dernières années, qu'écriront-ils d'autre que ce que nous écrivont sur Gamelin, Georges, etc...: " Mais comment ont-ils pu être aussi cons ? "
Stuxnet, pas Stuxnext (il faut faire attention aux détails pour lé référencement ;-).
Sinon, billet très intéressant.
égéga : OK, je corrige
On pourrait aussi appliquer très bien la pensée "hors-limite" aux cyber-attaques.
L'attaque la plus redoutable serait celle qui serait menée au niveau logique (cyber) et physique (atteinte direct aux infrastructures), de manière coordonnée. Le niveau d'indisponibilité du SI serait extrêmement conséquent, ou même permanent.
Très intéressant article !
Mes commentaires rapides :
Contournement : ce que tu dis est tout à fait juste. Cependant, il existe également une méthode d'attaque en déni de service indépendante de toute vulnérabilité ou faille pré-existante. On est plus dans la volonté de réduire l'ennemi au silence ou de voir si justement sous la pression, il "craque".
Ambigüité : Encore une fois, OUI ! Pire encore, les rares signatures ou éléments permettant d'imputer à un auteur sont souvent des tentatives de manipulation...
Primat de l’offensive : OUI...Mais la contre-offensive existe. Lorsque Anonymous "attaque" la scientologie, celle-ci réplique avec des attaques assez proches...Aux USA, la tentation existe depuis longtemps d'avoir des réseaux de botnets pour répondre. Le Droit et la Diplomatique, plus que la technique, nous en empêche...
Asymétrie : Oh que oui :D !
Coalescence : tout à fait...d'ailleurs, le récent rapport de l'EWI sur lequel je travaille pour AGS incite lesEtats à considérer et à associer plus étroitement cette diversité de groupes ou de coalitions..
Fugacité : OUI et non...Tout dépend de l'échelle de temps considérée mais une attaque peut être très rapide (déni de service, défiguration de site web...) ou plus longue et bien mieux préparé. A tel point (et c'est dramatique) que sans outils de détection, on eut être constamment sous attaque sans le savoir.
La question des principes est délicate mais allons-y :
* Contournement : deux fois oui. Je diviserai ce que tu expliques en deux "contournement" (ne pas attaquer le point fort) et "rupture" (concentrer tous ses effets sur un point)
* Ambigüité : non, c'est conjoncturel et bientôt faux. Les Gardiens de la révolution ont revendiqué officiellement une attaque contre des sites réputés proches des Etats-Unis (selon eux). L'agresseur ne signe pas ses œuvres actuellement parce qu'il ne s'agit pas de guerre (renseignement/action, criminalité). Il n'y a pas d'ambigüité pour les pays qui déploient une cyberdéfense ! La non-médiatisation est une conséquence de protection des procédés (interface technique-tactique) qui est une règle d'or quitte à laisser parler...
* Primat de l'offensive : éventuellement sur Internet mais non sur les réseaux spécifiques comme les réseaux militaires tactiques isolés. Dans ce deuxième cas l'attaque à partir des réseaux est difficile : il faut combiner des attaques classiques, de guerre électronique, FS, etc. Il ne faut pas oublier les autres réseaux (téléphonie, privatifs) qui représentent un nombre d'utilisateurs supérieur au seul Internet. Dans ces cas l'avantage est à la défense.
* Asymétrie : grand débat. Pour moi ce n'est pas spécifique de ce type de conflit que l'on n'a pas réellement encore vu. Le contournement oui (plus conforme à la réalité et aux théories sur la guerre). Pour ma part, c'est non. Un cyberconflit peut être symétrique ou asymétrique.
* Coalescence : oui en enlevant "hors toute structure établie" car l'essentiel des combattants (public ou privé) opère dans des structures établies (Mindef, entreprises, CERT, etc.). Je l’aurais appelé principe de coalition mais coalescence est plus juste par rapport à son sens physique (les effets plus que les moyens).
* Fugacité : non. c'est de la tactique. Parfois les attaques durent longtemps mais elles se gênent elle-même en perturbant ce qui lui permet de se propager. Certaines attaques sont aussi répétitives : tous les quinze jours à la même heure. Les attaques sont actuellement fugaces en raison de la nécessité de rester discret. Lors d'une guerre, on n'a pas forcément besoin d'être aussi discret et des techniques non utilisées actuellement peuvent être développées.
Hello. L'offensive de Stuxnet en Iran vient d'être revendiquée par l'ancien chef d'état-major de Tsahal, le général Askhenazi (qui vient d'ailleurs de quitter son poste, à la fin de son mandat), preuve qu'on peut assumer une cyberattaque, comme les cyberjihadistes le font régulièrement. De même, les régulières offensives informatiques des hackers chinois sont parfaitement identifiées par les services compétents, et la confidentialité n'est ressentie que par le grand public. Il s'agit alors, pour l'agresseur comme pour l'agressé, et dans une pure logique diplomatique qui rappelle les meilleurs moments de la Guerre froide ou les pratiques du contre-espionnage, de s'adresser des signaux (quelle est ma puissance ? quelle est mon audace ? quelles sont mes cibles ? auras-tu le cran de lancer une contre-attaque ? A quel prix ?)
Merci pour ce billet, en tout cas.
Bonjour,
J'avoue être un peu gêné par l'idée d'une "stratégie de cyberguerre". Je crois qu'il faut effectivement réfléchir à ce que recouvre une "capacité" de cyberguerre, et la réflexion sur les principes y a bien sur sa place, de manière à doter cette capacité d'une doctrine.
Mais pour ce qui est de la stratégie...
L'ambiguité vient je crois de ce que cette capacité restera entre les mains du niveau stratégique, voir de l'interministériel, mais son emploi s'intègrera dans une stratégie plus globale, et il est déja prévu dans la doctrine actuelle qu'elle puisse faire l'objet d'une coordination au sein des opérations d'information.
Et en fait les OI ont déja une doctrine qui doit permettre cette intégration.
On y parle :
- de protection des systèmes de commandement et processus de décision amis,
- d'attaque de ceux de l'adversaire
- d'influence sur l'environnement des opérations.
Les actions menées visent à produire des effets sur des audiences cibles dans les champs suivants:
- leur compréhension
- leur capacité
- leur volonté
La cyberguerre est incontestablement un sujet d'avenir, et tout ce qui peut contribuer à ne pas la laisser dans cet état est nécessaire, mais il faut peut-être l'intégrer d'emblée dans une réflexion plus globale sur la guerre cognitive.
Bien cordialement
Je m'interroge sur la pertinence du principe de "fugacité". Les attaques sont bien souvent des attaques de renseignement (voir l'affaire canadienne révélatrice) installées dans le long terme. Elles sont moins spectaculaires et médiatiques qu'un ddos mais beaucoup plus dangereuses car il s'agit de vaincre sans combattre en épuisant l'adversaire (vol du patrimoine scientifique, techno, commercial...) ou en connaissant ses plans et capacités.
Le principe attenant serait plutôt "furtivité" qui permet notamment l'ambiguïté et le contournement.
égéa : oui, bien vu/ Fugacité pose visiblement problème. Furtivité le précise : mais est-il différent (orthogonal) des deux autres ?
Tout à fait d'accord avec Christophe Richard sur les OI comme bon niveau d'intrégration. Je sais que nous avons des approches convergentes sur le sujet que j'avais abordé dans http://alliancegeostrategique.org/2... et qui sera approfondi dans un article en préparation.
Je pense que furtivité intègre une notion d'absence de détection sur le long terme. Et c'est ça qui permet le contournement (non détecté -> liberté d'action et de contournement) et l'ambiguïté (absence de détection -> absence d'identification). En ce sens, je pense que furtivité est orthogonal des 2 autres termes.