Pour commencer, pensez-vous que la cyberstratégie otanienne soit une forme de stratégie nouvelle ?

Je ne sais pas si vous vous adressez au spécialiste du cyber ou au spécialiste de l’OTAN parce qu’il se trouve que je suis les deux. Mais en la matière, l’OTAN ou plutôt l’Alliance atlantique – je préfère commencer à parler de l’objet politique – est une organisation internationale résultant d’un consensus politique entre des États souverains. Chacun de ces États a des stratégies qu’il décide ensuite de mettre en commun pour un certain nombre de desseins. Ce partage peut concerner l’article 5 (celui qui régit la défense collective).

Dans le même temps, on voit apparaître une volonté pas simplement d’élargissement des missions de l’alliance mais surtout d’adaptation au monde contemporain. Parmi cette adaptation il y a ce qu’on appelle les défis de sécurité émergents, bien qu’ils ne soient pas tous forcément émergents : la lutte contre le terrorisme ou la prolifération des armes nucléaires sont des choses assez anciennes. Cela étant, ce n’est pas forcément le cœur de métier de l’OTAN au départ. Parmi ces nouveaux défis, il y a le cyber récemment pris en compte, qui fait partie d’une adaptation de l’Alliance à un nouvel environnement. Donc, l’Alliance s’intéresse au cyberespace.

Par ailleurs, vous avez ce qu’on appelle l’OTAN : l’organisation militaire intégrée, donc une structure spécialisée à distinguer de l’alliance politique. La distinction est utile parce que lorsque vous posez la question de la stratégie de l’OTAN… le mot est ambigu ! Le mot est ambigu parce que l’Alliance n’est pas un acteur étatique qui va avoir une stratégie en soi ; mais en revanche elle a une stratégie dans la mesure où il s’agit de faire des choses en commun. En fait, la vraie question est de savoir ce que l’on met en commun à 28 entre des États qui sont très forts – les États-Unis mais aussi les trois grands européens –, des États qui font des efforts, puis des États qui ne font presque pas d’efforts. Ici réside l’ambigüité politique. Elle s’est révélée très tôt, dès l’affaire de l’Estonie en 2007 où certains commentateurs estoniens avaient suggéré de faire appel à l’article 5. Le gouvernement estonien ne l’a pas fait et n’a mentionné que l’article 4 du traité. La conclusion est limpide : les Alliés ne sont pas prêts à étendre l’article 5 au cyberespace. L’attaque cyber de l’un d’eux n’entraîne pas la défense collective des 28. C’est fondamental. Il y a donc des cyberstratégies nationales et un domaine partagé. A cause de ces limitations, la cyberstratégie de l’OTAN, pour reprendre votre expression, est forcément beaucoup moins large et ambitieuse que celle des Etats les plus avancées.

Le tournant fut manifesté à la suite du Sommet de Lisbonne en 2010 (avec le nouveau concept et les décisions prises ensuite aussi bien dans les sommets que dans les réunions ministérielles). Les Alliés ont affirmé le principe selon lequel l’OTAN doit se défendre elle-même en tant qu’organisation. La principale stratégie, c’est donc d’abord de défendre l’organisation elle-même et l’agression (le 16 mars 2014) de pirates slaves contre le site internet de l’OTAN en fait partie. Cela étant, les systèmes de communication de l’OTAN sont plus divers et nombreux que le seul site Internet, il y a de nombreux systèmes de communication sécurisés internes à l’organisation et c’est cela qu’il faut aussi protéger.

Enfin, l’OTAN est faite pour conduire des opérations militaires. Il faut réfléchir sur la manière de prendre en compte l’aspect cyber dans les opérations militaires. Nous y reviendrons.

On ne va pas tellement plus loin. Donc je reviens à votre première question : est-ce que c’est original ? En tout état de cause c’est différent de la stratégie souveraine des États les plus motivés sur la question qui ont des stratégies complètes, qui passent à la fois par des doctrines, par des dispositifs organiques, par des dispositifs humains, par des ressources, par des moyens, par des grosses sociétés… Tout ça, l’OTAN n’en a pas les capacités.

La cyberdéfense et l’utilisation de moyens pour se défendre sont pleinement assumées par l’OTAN. Pour autant, l’utilisation d’armes informatiques offensives ne l’est pas. Pourquoi ?

Il n’y en n’a pas dans l’OTAN. Vous ne trouverez aucun document de l’OTAN qui vous le dira pour la bonne et simple raison que déjà un certain nombre d’États n’ont convenu que très récemment qu’ils en développaient. Je pense aux États-Unis qui l’ont pleinement officialisé en 2011, je pense à la France qui l’avait annoncé dans le Livre blanc de 2008 mais qui l’a réaffirmé dans le Livre blanc 2013. C’est une prise de conscience récente de la part de certains États mais de certains États seulement et l’Alliance n’a certainement pas fait une déclaration en ce sens… et à ma connaissance ce n’est pas à l’ordre du jour.

Mais quels seraient les enjeux d’une telle utilisation si jamais on passait d’une stratégie défensive à une stratégie offensive ? L’Alliance peut-elle s’orienter vers une telle stratégie ?

C’est une bonne question. Personnellement ça me semble difficile parce que vous avez besoin d’un consensus politique qui n’est pas acquis parce que certains États ne sont pas prêts à ce genre de déclaration. Pensez à certains pays européens : ils sont d’accords pour se défendre mais si vous leur dites d’être plus offensifs, ils vont dire « dans quel cadre ? » et « contre quel ennemi ? ». Il n’y a pas de consensus politique. Et puis il est question de moyens techniques. Or, on a beaucoup de difficultés à partager des niveaux techniques dans le cyber. En effet, dans le cyber, paradoxalement on ne partage pas réellement des forces : quand on partage, on partage surtout des faiblesses avant de partager des forces. Quand on est en petit comité, on a une certaine confiance qui permet de compenser les faiblesses par un renforcement mutuel. Mais c’est uniquement avec très peu d’acteurs, le plus souvent en bilatéral, pour éviter au maximum les fuites. Et une alliance à 28, ce n’est clairement pas le lieu optimal pour ce partage technique et informatif. Aussi bien pour des raisons politiques que pour des raisons techniques et stratégiques, le cadre allié paraît inadéquat.

Une question concernant la dissuasion : peut-on arriver un jour à mettre en place une dissuasion cyber qui soit équivalente à la dissuasion nucléaire ?

Non. Au jour d’aujourd’hui et dans les conditions actuelles, le parallèle entre la dissuasion nucléaire et la dissuasion dans le monde cyber ne tient pas vraiment la route. D’ailleurs, les Américains dans leur doctrine stratégique de 2011 se contorsionnent en expliquant qu’il y a d’une part une « deterrence » et d’autre part une « dissuasion » qui combinaient à la fois des pratiques défensives et offensives. C’est spéculatif et ce n’est pas vraiment convaincant. Ce n’est pas convaincant pour plusieurs raisons.

La première, c’est qu’on n’a pas d’arme absolue. Dans le cyber, il n’y a pas d’arme absolue comme vous en avez dans le nucléaire. Dans le nucléaire quand vous tirez une bombe, tout le monde le voit, tout le monde voit où elle est tombée et tout le monde sait qui l’a lancée. Donc on sait immédiatement où, quand et quels sont les deux acteurs. Dans le cyber le « où » reste aléatoire, le « quand » reste très aléatoire aussi parce qu’on peut s’apercevoir d’une attaque mais longtemps après qu’elle ait réellement commencé ; enfin, il y a la question de connaître aussi bien la victime que l’agresseur … on le sait pour la victime en général, surtout si elle le fait savoir mais ce n’est pas toujours le cas, mais c’est toujours très compliqué de connaître l’agresseur.

Qu’est-ce que la dissuasion ? C’est une menace de riposte à une agression. Dans le cyber, l’identification de l’agression est difficile et donc la menace de riposte est elle aussi difficile. Je ne dis pas que ça ne peut pas se faire, je dis que c’est aléatoire et que c’est moins solide que dans le nucléaire.

La deuxième raison tient à l’inattribution – principe fondateur de la cyberstratégie. Elle rejoint le système international contemporain qui ne fait pas système, qui est extrêmement déstructuré, « post-hobbesien » dans mon vocabulaire, c’est-à-dire marqué par la lutte de tous contre tous. On le voit dans la vie réelle où on a peu de phénomènes de structuration d’alliance. On a au contraire des acteurs qui ne cessent de jouer selon leurs intérêts au gré des circonstances. C’est également valable dans le monde cyber, particulièrement à cause de la règle de l’inattribution. Personne ne fait réellement confiance à personne. La NSA nous l’a bien montré.

La combinaison des deux (particularité du cyber et conditions de l’environnement géopolitique) fait qu’on a une indétermination absolue : voici la différence essentielle avec le schéma bipolaire tel qu’il existait pendant la Guerre froide. Il était bien évidemment durci par la bombe nucléaire mais il venait couronner un affrontement politique et géopolitique évident. Politique parce qu’on avait deux idéologies qui se faisaient face à face et géopolitique parce qu’on avait deux blocs. Donc même s’il y a eu à l’époque des tentatives de Troisième monde, de Tiers monde, de monde non-aligné etc. on avait une structuration du monde en deux blocs. Aujourd’hui on ne l’a pas. On a un monde post-hobbesien, apolaire, sans pôle donc non structuré et le cyber par lui même n’est pas structurant : donc le phénomène de dissuasion, la pratique stratégique de dissuasion s’adapte très mal à ces conditions.

Si la dissuasion est difficile à mettre en œuvre, comment arriver à un contrôle du cyberespace ? Est-ce que cette idée même de contrôle est envisageable ?

Non rire. Je ne crois pas.

Je crois que nous vivons dorénavant et pour une longue durée dans un monde marqué par l’incertitude et l’indétermination. On doit donc adopter des stratégies individuelles et composites. Individuelles c’est-à-dire qui reviennent paradoxalement aux États et aux acteurs ou éventuellement à un groupe très proche d’acteurs. On va vers un émiettement des dispositifs. Composites dans le sens où chaque acteur doit se durcir et pour cela adopter trois types d’actions : des mesures à la fois purement défensives, des moyens offensifs et des moyens « d’awareness » c’est-à-dire de connaissance, ce que la doctrine française désigne par « renseignement d’intérêt cyber ».

Et pour l’OTAN plus spécifiquement, quels seraient les perspectives ? On parle beaucoup de coopération avec le secteur privé mais est-ce que cela ne risque pas de complexifier davantage les accords de coopération ?

Oui effectivement. L’Alliance atlantique n’est pas la plus adéquate pour faire de la vraie coopération avec le secteur privé. Il faut qu’elle laisse cela à l’Union Européenne qui est tout à fait légitime en ces domaines. C’est d’ailleurs dans la stratégie de cybersécurité de l’Union Européenne. L’OTAN est une alliance militaire voire spécialisée dans la défense militaire, elle doit donc se concentrer sur la force militaire.

Elle doit faire deux choses… : tout d’abord, réfléchir au cyber dans les opérations (comment est-ce qu’on intègre le fait cyber dans les opérations ? comment développer l’interopérabilité ?). Ensuite, envisager de partager le renseignement d’un point de vue cyber parce que c’est profitable à tous. Ceux qui savent inciteront ceux qui font peu d’efforts à élever leur défense. Donc l’OTAN doit être un moyen d’élévation du niveau des plus faibles, de prise de conscience et de partage à la fois de l’information, de l’éducation et de l’entrainement. Il faut rester réaliste et regarder l’objet social de l’Alliance. C’est une Alliance spécialisée dans les affaires militaires donc elle doit se concentrer sur les affaires militaires.

L’OTAN a été beaucoup critiquée ces dernières années – notamment depuis son intervention en Libye. Peut-elle regagner en légitimité grâce à sa cybestratégie ?

Oui ça a fait très certainement partie des considérations qui ont mené au nouveau concept en 2010 où il s’agissait de dire qu’il y avait de nouveaux types de menace à prendre en compte. A ce titre, il a d’ailleurs été créé une Division chargée des défis de sécurité émergents au Secrétariat International à Bruxelles. Parmi ces nouveaux défis il y a le cyber. Le cyber fait partie depuis maintenant quatre ou cinq ans des instruments par lesquels l’Alliance atlantique à la fois s’adapte et montre son adaptation au nouvel environnement. C’est incontestable, mais cela ne peut pas non plus devenir l’alpha et l’oméga de l’Alliance atlantique. Ce sera forcément quelque chose qui sera subordonné au reste.

Pour finir, vous soulignez dans un article de votre blog l’idée que toute guerre aura désormais une part de cyber tout en vous demandant si « une guerre cyber pourrait déborder en guerre classique ». Pourriez-vous apporter une réponse préliminaire à cette interrogation ?

Une telle ascension aux extrêmes, pour reprendre le vocabulaire clausewitzien, est-elle possible ? En tout état de cause et théoriquement, oui, c’est possible. Mon métier de stratégiste me force à le considérer. J’essaie de préciser l’appellation « cyberguerre » qui ne me plaît pas. Il faut distinguer le « cyber dans la guerre » où, à l’évidence, cette escalade est possible et où l’OTAN a clairement quelque chose à faire ; et puis « la guerre dans le cyber » – le mot est inadapté mais passons – où l’OTAN n’a pas forcément grand chose à faire. Cela explique, aussi pour revenir à une de vos précédentes questions, pourquoi la notion d’armes offensives n’apparaît pas dans la panoplie alliée.

Est-ce qu’un cyberconflit peut servir de détonateur à quelque chose de plus large ? Techniquement oui. L’escalade de la violence est un phénomène que l’on peut envisager : on peut tout à fait envisager que deux adversaires qui s’opposent, s’efforcent de maintenir la violence à un niveau minimal. Pour cela ils s’affrontent dans le cyberespace. L’un porte une agression ressentie par l’autre comme insupportable, l’autre peut alors répondre dans la vie réelle. C’est techniquement envisageable. Quand vous lisez la doctrine américaine qui dit « nous répondrons à des agressions cyber par tout type de réponse y compris hors du cyber », cela signifie qu’ils envisagent, en théorie, de riposter « y compris par du nucléaire ». Si un des acteurs principaux affirme cette escalade de la violence il faut la considérer comme plausible, bien qu’il faille faire la part de la rhétorique, nécessaire ici à crédibiliser la doctrine américaine de cyberdissuasion.

Après vient la question de la probabilité de cette escalade. C’est une autre affaire qui tient à deux choses : il faudrait que la cyberagression soit d’une très grande magnitude – c’est l’hypothèse du « Cyber Armageddon », « Cyber Pearl Harbor »… tout ce que l’on entend sur les infrastructures vitales. Cela étant, on ne l’a aujourd’hui pas observé et l’analyste est aussi obligé de regarder ce qui se produit dans la réalité. La non-survenance d’un événement ne signifie pas que cet événement ne va pas advenir dans le futur mais comme on ne l’a pas encore observé, on ne peut pas trop modéliser sur des cas d’expérience. La deuxième chose est que certes on peut en émettre l’hypothèse mais quelles seraient les conditions de sa réalisation ? On a une escalade de la violence quand on a deux acteurs qui s’opposent. Cela veut dire que dans ce cas, les conditions préalables à l’affrontement existent ; mais ce n’est pas le fait qui provoque l’escalade, il n'en est pas la cause première, seulement la cause incidente, le déclencheur qui vient catalyser une situation conflictuelle préexistante. L’événement, ici un incident cyber, ne fait que déclencher l’escalade mais cette escalade vient sanctionner et matérialiser (« réaliser », au sens premier) une opposition, une rivalité, un conflit qui existe préalablement. Donc peu importe l’incident, qu’il soit cyber ou non, l’affrontement était déjà là. Quand les adversaires veulent en découdre, peu importe le détonateur. Ce qui est important, c’est de vérifier les situations géopolitiques qui peuvent laisser la place à des affrontements de ce type et donc à la possibilité d’escalade de la violence. Mais il ne s’agit là que de réflexions initiales, car la théorie stratégique a encore peu discuté ces questions de cyberescalade.

En deux mots, la cyberescalade est théoriquement possible mais elle semble aujourd’hui peu plausible.

Je vous remercie d’avoir pris le temps de répondre à mes questions.

Merci de les avoir posées.

O. Kempf