Cyberstratégie
Par Olivier Kempf le mercredi 11 avril 2012, 22:09 - Cyber - Lien permanent
Je vous parlerai un peu plus souvent de cyberstratégie, pendant quelques mois. Et tout d'abord, une tentative de définition.
Cyberstratégie : partie de la stratégie propre au cyberespace, considéré comme un milieu conflictuel où s'opposent différents acteurs (États, groupes, individus).
Quelques explications sont nécessaires :
- d'abord, la cyberstratégie est une branche de la stratégie générale ou stratégie totale. Elle est donc en interaction avec d'autres stratégies. Ce n'est pas une stratégie indépendante, mais "reliée" ce qui ne surprendra pas, puisqu'il s'agit de penser les réseaux. Toutefois, il y a une autonomie, et des règle s stratégiques propres à ce domaine.
- ensuite, elle se concentre sur le cyberespace : cela suppose une définition de celui-ci (limites et points communs avec d'autres espaces physiques ou immatériels). On devine que j'inclus donc les trois couches : physique, logicielle et cognitive. Bref, ce n'est pas seulement une stratégie des réseaux, comme la définition que j'ai entendu ce soir...
- milieu conflictuel : il est donc comme d'autres milieux conflictuels ( Terre, air, mer, espace, nucléaire, ...) : autrement dit, c'est un milieu qui a des règles propres de conflit (on y "combat") mais qui interfère avec les autres milieux
- le conflit suppose des acteurs qui ont surtout des intérêts et donc des intentions hostiles : autrement dit, ce cyberespace n'est pas qu'un espace technique, c'est aussi un espace social. Le conflit suppose aussi des manœuvres : offensives et défensives, ouvertes ou opaques, directes ou indirectes, et des rapports de force.
- une catégorisation succincte des acteurs (États, groupes et individus) permet de lier l'ensemble des thématiques : cybersécurité et cyberdéfense.
IL va de soi que c'est une définition "en première approche" comme on dit en planif : j'attends vos critiques et amendements pour la peaufiner.
O. Kempf
NB : Ces propos n'engagent que moi et aucune des organisations pour lesquelles je travaille.
Commentaires
Bonjour Olivier,
j'aime bien ta vision. La notion d'interdépendance est importante. Ne considérer que les tuyaux sans les messages véhiculés, ou ces derniers sans penser aux premiers conduit au grand écart et à une ou plutôt des actions qui peuvent diverger, l'inverse de la stratégie.
Note d'égéa : ce commentaire est recopié d'un échange qui a eu lieu sur Facebook : car égéa est aussi sur FB...)
ST : Je préfère "cyberstratégie" à "cyberguerre", en raison de l'absence d'emploi de la violence. C'est d'ailleurs toute la question: à partir du moment où une "cyberattaque" peut provoquer INDIRECTEMENT des dégats physiques ou des dommages et préjudices moraux/psychologiques, est-on dans "ce pouvoir de détruire, ce pur et simple pouvoir, non acquisitif, non productif, de détruire des choses auxquelles quelqu’un attache une valeur, d’infliger de la douleur et de la peine" (Schelling)? That's the question. Pour le reste, tout dépend en fait de ce qu'on appelle "stratégie": une activité dont la fonction est d'être un pont entre intentions et actions, et dont le rôle est de générer des effets sur l'adversaire ou le contexte.... Bonne continuation à toi sur cette voie :-)
Egea : Eh.. Stratégie = dialectique des volontés "utilisant la violence" (Beauffre) : ce qui pose la question des attaques informatiques : sont-elles des attaques "violentes" ?
ST : C'est exactement ce que je voulais dire mais la définition de Beauffre parle de la "nature" de la stratégie, là où j'ajoute rôle et fonction. Ceci dit tu as raison: "utilisant la violence". Et c'est bien la raison de mon interrogation (qui est donc au final la même que la tienne, sauf que tu es plus clair que moi)
LB: Il y a une feinte possible : Beaufre dit "art de la dialectique des volontés employant la FORCE pour résoudre leur conflit". Si on entend "force" non comme équivalent strict de "violence" mais plutôt dans le sens de "rapport de force", alors ça peut marcher. mais c'est une feinte.
ST: C'est une feinte mais un peu faible (pardon). La violence peut être symbolique. En outre, le rapport de force, même non actualisé, est forcément violent en ce sens. Maintenant, tu as raison Laure, cela mérite d'être affiné. La distinction entre guerre et conflit peut être d'une grande aide. Et puis il existe un autre pb ds la "cyberstratégie": quid de l'adversaire et de la dialectique des volontés. A mon humble avis on est dans une forme de dissuasion existentielle
En même temps, ce n'est pas comme si Beaufre n'avait jamais réfléchit à stratégie de dissuasion nucléaire - partie importante de l'"Introduction à la stratégie" dont est tirée la définition. C'est donc bien qu'il concevait comme possible une stratégie sans emploi effectif de la violence...
ST (sur FB) : Je précise: un conflit me semble nécessairement un rapport de forces. le résoudre est affaire de dialogue et de négociation. a moins d'actualiser le conflit par l'usage de la violence ou la menace de celle-ci: la guerre.
OK : Il reste qu'effectivement, la partie nucléaire est importante. A ceci près que Beauffre envisageait l'usage effectif de la violence : l'arme nucléaire est une arme d'emploi, ne nous y trompons pas, même si le résultat fut son non-emploi.
Bonjour,
Pour moi, il n'y a plus d'ambiguïté : nous sommes dans le tétraptique terre, air, mer, cyber.
Sinon effectivement, le cyberespace a une particularité très singulière, disons son ubiquité, qui est d'être présent à la fois dans le monde réel et virtuel. Car une action dans le monde virtuel a toujours la possibilité d'avoir une action dans le monde réel : l'on peut par exemple prétendre qu'une page Internet inaccessible ce n'est guère que du domaine de la gène, en revanche lorsque c'est le système informatisé de collecte de ressources financières par télérèglement qui est HS l'on devine que c'est autrement plus problématique et pourtant ce n'est qu'un moyen immatériel et non réel qui est touché mais dont les connexions impactent le monde réel. Le cas de l'Estonie (ou E-Stonie) lors des cyberattaques de 2007 est à observer à la loupe de ce point de vue où l'activité bancaire eu à subir les conséquences de ces attaques. Car l'on se focalise beaucoup, et à juste titre entendons-nous bien, sur des cibles gouvernementales mais une frappe ciblée par voie de bombe logique sur les acteurs financiers d'un pays produirait des dégats considérables. La complexité qui n'a d'égale que la dangerosité de Stuxnet et les attaques sur le Nasdaq et la bourse de Hong-Kong sont là pour le démontrer.
Précisons que la cyberstratégie a des variantes nationales : exemple, les Russes évoquent plutôt le concept de guerre informationnelle tout en y plaçant des éléménts plus socio-philosophiques alors que de ce que j'en lis, les anglo-saxons privilégient préférentiellement le côté technique.
Cordialement
LB : oui, c'est justement parce que l'emploi est possible que la dissuasion fonctionne. Mais il y avait bien une stratégie militaire dont un des buts était d'éviter la guerre
égéa : Lire mon article sur Dissuasion du fort au faible dans la RDN de février...
LB: Je vais lire :). Je voulais juste dire en fait qu'on peut trouver une voie intermédiaire entre une définition de la stratégie nécessitant systématiquement l'emploi de la violence et une définition trop extensive, faisant de toute action instrumentale une "stratégie". Et je crois que c'est la stratégie de dissuasion qui peut servir de modèle empirique : il faut au moins des volontés antagonistes, un conflit, et l'usage de la violence comme horizon possible. Par ailleurs, il me semble que tout dépend de la façon dont on conçoit la cyberstrategie : comme une forme d'action indépendante et auto-suffisante, ou comme un pan d'une stratégie plus vaste, impliquant des actions de natures différentes. L'usage de la violence est un moyen possiblement adapté a certains buts, pas a tous. Bon, cette fois, je stoppe vraiment ;).
ST : Tout à fait d'accord avec Laure. Sauf qu'ici nous sommes dans le cas d'une dissuasion par interdiction et non par représailles (qui frapper?). L'antagonisme des volontés ne peut être ante bello dans ce cas, à moins que chaque acteur se disposant à une cyberattaque communique sur ses intentions et ses doctrines d'emploi (c'est ce que font les uns après les autres les Etats occidentaux, à commencer par les EU, l'Australie et le Royaume-Uni). Pour moi, la cyberstratégie relève d'une stratégie plus vaste, et ne peut être auto-suffisante: elle s'apparente au sabotage, à la subversion ou à l'espionnage. Quant à dire qu'elle utilise la violence, c'est évidemment affaire de définition de celle-ci: je renvoie à la définition de Schelling citée plus haut.
LB: Je ne voulais pas dire que la cyberstrategie est une stratégie de dissuasion, mais que la stratégie de dissuasion est ce qui peut le mieux nous aider a penser une définition de la stratégie sans recours mécanique a la violence. D'accord avec le sabotage et la subversion.
égéa :Débat intéressant. Je suis très sceptique sur la notion de cyberdissuasion qui a été lancée par les Américains et est assez discutée en France (probablement à cause de notre expérience nucléaire : pour no , la dissuasion est nuc).
Quant à lier stratégie et usage de la violence, je prends en compte l'objection : cela renvoie d'ailleurs à la question de "l'attaque" qu'on utilise régulièrement pour évoquer le cyber : une "attaque informatique" est-elle une attaque ?
Enfin, dernier aspect, celui de la couche cognitive du cyber, ce qu'on appelle par ailleurs "guerre de l'information" : dans ces domaines, la "violence" est très difficile à prouver, et pourtant des stratégies d'information et d'influence méritent clairement le nom de stratégie (et en tout cas, appartiennent à la cyberstratégie).
Schelling : tu peux redonner la définition exacte, et les références ?
ST : "ce pouvoir de détruire, ce pur et simple pouvoir, non acquisitif, non productif, de détruire des choses auxquelles quelqu’un attache une valeur, d’infliger de la douleur et de la peine" dans Arms & Influence, l'édition de 1996, à la page V. (de mémoire)