.

Leçon inaugurale de la Chaire Castex de cyberstratégie par François Géré

Le cyber est un champ nouveau qui va nous forcer à revoir constamment la façon de considérer les autres espaces. Malraux : Nous sommes ici pour penser cette entité en devenir constant, l’homme moderne. Il appartient à tous ceux qui vont tenter de le créer ensemble.

Les hommes entraient en société pour satisfaire deux aspirations, la prospérité et la sécurité. C’est la légitimité des Etats de maintenir l’équilibre entre ces deux aimants. Il en est de même du cyber, faire progresser conjointement prospérité et sécurité. Veillent de bonnes et de mauvaises fées.

• Bonnes : créateurs, scientifiques, ingénieurs. Liberté d’expression, transparence.
• Mauvaises fées qui affirment que le cyberespace est une jungle. Serait-ce le lieu où on s’entredévore ? vite dit.

Cyberespace = combinaison du matériel et du virtuel. Philippe Woll (NB : pas sûr de l'orthographe) parle de doublure informationnelle, nouveau continent (longue définition citée, peu convaincante). L’utilisation de cet espace produit des effets physiques considérables : énormes pertes financières, destruction de données, vols de savoir-faire, …. Le cyberespace n’est pas une nouveauté.

1990’s, notions de electronic warfare, numérisation du champ de bataille, système de système. Mais nous sommes au-delà de tout ça. La généralisation de l’usage d’Internet plus réseaux sociaux. Le champ d’action n’est plus seulement guerrier, il affecte le comportement politique interne des sociétés. Regardez le printemps arabe, l’Iran, la Syrie. Rôle qu’il ne faut pas surestimer, mais qui modifie la donne.

Nous sommes aujourd’hui dans un espace : pas vierge, pas vague. Une opportunité, une terra partiellement incognita, qu’il va falloir explorer et arpenter, et structurer. Image des découvertes de la fin du XIX°. Cet espace est devenu une cible. L’Iran a vu ses installations nucléaires endommagées par une arme cybernétique, les réseaux sociaux ont animé une révolte populaire, ….. La séparation entre guerre et paix, qui déjà tendait à s’estomper, se voit aggravée par l’abolition des frontières matérielles et géopolitiques.

Défis du cyber

1/ Relation offensive/défensive. On a remarqué l’augmentation des attaques, font paraître les capacités de défense bien faibles avec des vulnérabilités croissantes. Mais il faut inverser cette tendance. La sécurité absolue n’existe pas, certes.

Mais la résilience constitue le facteur essentiel. Elle se fonde d’abord sur la prise de conscience des dangers les plus élémentaires, cf. responsables du SSI. Repenser les relations entre Etat et entreprises (confiance et confidence et discrétion). Renforcement de la qualité d’une stratégie d’insertion de la protection dès le départ de la conception du design des logiciels. Exemple de la conception des réacteurs nucléaires de nouvelle génération. L’ANSSI pourrait avoir l’équivalent de l’institut de protection et sureté nucléaire. Alors, on aura fait beaucoup.

Obsolescence.

Dissuasion : élaborer la doctrine de A à Z. Mais une dissuasion spécifique. On retrouve deux composantes : dissuasion par déni de capacité, et dissuasion par menace de représailles (à laquelle les Etats seront évidemment sensibles).

2/ Attribution, deuxième défi. Le problème n’est pas insurmontable, car il existe des moyens de suivre et anticiper. Les agresseurs prennent des habitudes, avec des styles reconnaissables.

3/ Définition de l’arme. Qu’est-ce qu’une arme dans le cyberespace ? Parler de système d’armement électro-informatique. Pose la question de la cible : qui est visé ? Mais on n’a rien vu en matière d’agression de haut niveau, notamment contre la racine, par exemple contre les routeurs. Il nous montre le petit film publicitaire de Cassidian que j’ai vu à Eurosatory. La salle rigole doucement. enfin, pas trop. Elle rit jaune, en fait.

Fixer le vocabulaire.

S’entendre et se comprendre, d’abord au niveau européen. Insuffisance de la sémantique. Exemple du terrorisme ou du cyberterrorisme (s’ensuit une comparaison pas très claire). Nouvel art du discours sur Internet. Cf. McLuhan, le medium c’est le message. Anouar Al Raqi, nommé chef d’AQPA, était un piètre théologien mais un as de la communication sur Internet.

Vulnérabilité : une des préocc majeures. Ds le cyber, on a établi une liste d’infrastructures critiques. Mais catalogue très long, donc difficilement protégeable sous peine de coûts insurmontables. Il faut développer des outils pour surmonter le problème.

Nature de la cyberstratégie.

• Quatre axes : concepts et méthodologie, analyse des acteurs et des armes, tactiques, cibles et vulnérabilités. A la fois au niveau macro-stratégique (grandes entités géographiques, mais aussi régions)
• Cinq piliers : Interaction politico-stratégique, intégration des moyens d’action, association des connaissances et des savoir-faire, coordination entre les acteurs (renseignement), coopération internationale.
• Six composantes : La génétique, la SSI, la diplomatie (cf. la nomination d’un ambassadeur US au cyberespace), l’action militaire (le débat reste extrêmement important : les docs de doctrine publiés sont provisoires), le droit (libertés, protection, discrétion : quel équilibre ; mais aussi liberté des individus vs besoin de régulation étatique), l’éthique.

Conclusion

Aucun Etat ne peut s’enfermer dans une stratégie d’autarcie, qui serait la contradiction absurde de la dimension d’échange du cyber. Problème de la discrétion, nécessaire pour la coopération internationale. « La cybersécurité ne peut se construire qu’avec la participation des citoyens ».

Chaire : « favoriser l’émergence d’un paradigme » (le mot chic est lâché !).

Questions réponses (mes commentaires en italiques):

• Q : Peut-on avoir une définition de la cyberstratégie ? pourquoi en deux mots et pas un seul ? R/ Pour la deuxième, le problème reste ouvert car les correcteurs d’orthographe exigent la séparation des deux (sic !). C’est une qualité bien française de commencer par une définition puis d’étudier les choses (effectivement, on aurait aimé qq chose d'un peu plus français, cet après-midi)/ A des avantages en mathématique, mais le domaine cyber ne s’apparente pas aux mathématiques pures ; Il est préférable de prendre le temps pour investiguer les différents objets. D’où pas de proposition de définition.
• Q : vous avez parlé d’une approche coût efficacité, ne faut-il pas développer une approche bénéfice risque ? Dans vos piliers, où placez-vous la question sociétale (éducation des jeunes) ? R/ Maîtrise du risque, effectivement, c'est pertinent. Se mettre d’accord sur ce qu’on entend par risque. Polysémique. « Le domaine sociétal, il est partout » (sic !).
• Q/ Président de l’association d’aide aux victimes, pb des e-victime. Grande institution et petite institution (la famille). Famille, acteur essentiel de la résilience. En sera-t-il de même en matière cyber ? R/ « C’est une question absolument considérable. C’est aux familles de prendre en compte des enjeux ». Renvoie à la question de l’éducation, regarder comment les enfants se comportent avec les outils qu’on met entre leurs mains, et qu’ils utilisent d’une manière quasiment sauvage (sic : la gameboy de votre petit dernier va faire de lui un sauvageon : tremblezzzz, l'ogre rode...). Toute personne responsable de l’éducation (famille, éducateur) le perçoit en permanence. Education civique de l’utilisation du cyberespace. Responsabilité des parents : on n’offre pas n’importe quoi à Noël (sic).
• Q/ J’ai l’impression que vous utilisez des paradigmes assez classiques, au seuil de la démarche face à une révolution scientifique. R/ Pose un problème épistémologique intéressant. Pour faire bref, si on suit le modèle de Thomas Kuhn, on fonctionne avec les paradigmes antérieurs, et c’est devant les « énigmes » contradictoires avec les paradigmes antérieurs, alors il faut changer et il y a révolution scientifique. Mais en utilisant les paradigmes traditionnels, ce qui est inévitable, on peut arriver à constater que certains ne sont plus pertinents. Surtout face au cyber, qui est par définition artificiel (ben oui mais y'a pas eu de définition), car pour la première fois créé par l’homme (sinon, il ne serait pas artificiel, dis), même s’il y a des lois physiques. En transformant le cyberespace, nous nous transformons nous-mêmes, et c’est ça qui est révolutionnaire. Nous permettra de changer de paradigme. Ambitieux et prendra du temps…. (c'est ça, ouiiiiiii!)
• Q/ (un doctorant de la Sorbonne) Par rapport au droit international, vous évoquez les questions juridiques sans mentionner la question de l’application de l’humanitaire au cyber, vous vous êtes cantonné au fait privé. Le droit n’est-il pas un moyen de faire la définition, cf. ce qu’on a fait dans le droit de la mer ? ne peut-on amener les Etats à s’accorder via une convention (par exemple entre Etats européens ou G 77). R/ La question est posée depuis un an et demi (très cher, ça fait un peu plus longtemps). Cf. doc d’ACT sur Global Commons, ces espaces qui ne connaissent pas de frontière. Montego Bay n’a pas été ratifiée par un grand nombre d’Etats, la notion de ZEE n’est pas partout acceptée. Certains pays refusent toute espèce de traité concernant l’utilisation de l’espace. Donc, le cyberespace n’est pas en retard. Les autres domaines nous suggèrent qu’il faut entamer des discussions. De là à obtenir un traité universel, il faudra du temps.
• Q/ Vous n’avez pas parlé de cyberclimat : n’est-il pas utile de regarder en termes de cyber profit. Vous avez parlé d’éducation, et les codes de conduite. R/ (…) (faut dire : on a les questions qu’on mérite). Dans le cadre de la chaire, nous ne prendrons pas en considération la cybercriminalité, il y a suffisamment de travaux, nous voulons ouvrir sur la dimension internationale, de serrer autour de grandes composantes.
• Q/ La génétique est-elle le bon mot, ne faut-il pas utiliser le darwinisme plutôt que les lois de Mendel. R/ (on a vraiment les questions qu'on mérite) La Génétique liée à la création des outils techniques et humains qui permettent de mettre en œuvre une cyberstratégie. (Eh! behhhhh !)