Lors du récent sommet de l’OTAN, les Alliés ont placé la cyberdéfense sous le couvert de l’article 5 du traité : « Nous affirmons dès lors que la cyberdéfense relève de la tâche fondamentale de l'OTAN qu'est la défense collective. Il reviendrait au Conseil de l'Atlantique Nord de décider, au cas par cas, des circonstances d'une invocation de l’article 5 à la suite d'une cyberattaque » (art. 72 de la déclaration finale du sommet). Cette décision soulève un certain nombre de questions (voir par exemple ici).

Qu’est-ce qui est réellement protégé ?

En fait, il s’agit simplement des réseaux de l’Alliance (et leurs connexions nationales) : mais il ne semble pas qu’une attaque contre des infrastructures propres à un pays déclenche automatiquement l’appel à l’article 5. Toutefois, un pays qui serait frappé pourrait probablement juger politiquement adéquat d’invoquer l’article 5. (Art 72 : « la responsabilité fondamentale de l’OTAN en matière de cyberdéfense est de défendre ses propres réseaux et l'assistance aux Alliés doit être envisagée dans un esprit de solidarité, en soulignant la responsabilité des Alliés qui est de développer les capacités appropriées pour la protection des réseaux nationaux »).

Quel est le seuil de déclenchement ?

Cette question était déjà pertinente lorsqu’on considérait les cyberstratégies nationales : elle prend encore plus d’acuité dans le cadre allié. Ainsi, un pays qui serait attaqué pourrait tout à fait considérer que l’agression est insupportable quand ses alliés seraient moins sensibles au niveau de dommage. Une autre question cruciale, valable là aussi pour des stratégies nationales, prend un relief nouveau dans le cadre allié : qu’est-ce qu’une infrastructure critique ? Prudemment, la déclaration n’utilise pas l’expression.

On peut également se référer à un certain nombre de précédents. Ainsi, lors de la campagne aérienne au Kossovo en 1999, les sites Internet de l’OTAN avaient été attaqués par des patriotes serbes et russes, au point qu’à l’époque on avait évoqué une « Web war one ». Pourtant, il ne s’agissait que des sites publics et les réseaux internes, notamment les réseaux opérationnels et les réseaux classifiés, n’avaient pas été touchés. En 2007 en Estonie, le pays avait eu d’énormes problèmes de fonctionnement de son Internet, l’accès à des sites publics et privés étant durablement affecté par des DDOS massives. Toutefois, si le pays avait été ralenti pendant quelques jours, si un ministre estonien avait comparé cela à une sorte de blocus, si l’opération avait incontestablement revêtu une grande ampleur, on n’avait déploré aucun décès ni dommage grave. Certes, les Alliés avaient alors pris conscience de la potentialité des agressions cyber mais s’agissait-il réellement d’infrastructures « critiques » ? Des infrastructures privées (le réseau bancaire) ont elles la même signification stratégique que des infrastructures publiques (le réseau du ministère des finances) ? Surtout, cela entraînait-il forcément le déclenchement d’une riposte ?

Quelle attribution ?

Supposons résolue la question du seuil, une autre question surgit alors : contre qui ? En effet, l’inattribution constitue un des principes stratégiques du cyberespace. Les acteurs, pour peu qu’ils prennent des précautions suffisantes, réussissent assez facilement à camoufler leurs actions. On ne réussit pas à désigner « scientifiquement » l’auteur d’un acte, même si des méthodes de faisceaux d’indices permettent de l’identifier. L’agressé subodore mais il a toujours une marge d’incertitude pour déterminer à 100 % l’auteur de l’agression. Pourtant, cela suffit en général pour emporter la décision, du moins dans un système assez centralisé comme celui d'un État. Or, l’organe de décision de l’Alliance s’appelle le Conseil de l’Atlantique Nord où les 28 Alliés ont la même voix. L’établissement d’une vue commune est difficile à établir et on peut imaginer que tel ou tel allié, s’il y trouve un intérêt politique, prendra appui sur l’incertitude de la désignation de l’agresseur pour ralentir la prise de décision.

Surtout, il faudra établir la communication associée : convaincre un décideur est une chose, convaincre l’opinion publique en est une autre. Or, autant un État peut prendre certaines mesures et agir discrètement, autant cette discrétion est difficile à tenir à 28. Aussi toute action de l’OTAN (surtout si elle était prise sous couvert de l’article 5) devrait bénéficier d’une action de communication portant notamment sur la désignation de l’ennemi.

Quelle riposte ?

À supposer toutes les difficultés surmontées et les décisions prises, que pourrait faire l’OTAN ? En fait, pas grand-chose. Beaucoup de journalistes mentionnent le Centre de Tallinn mais cet organisme n’appartient pas à la structure intégrée de l’Alliance et n’a pas de compétences opérationnelles (pour plus de détail, voir le chapitre 15 consacré à la cyberdéfense de mon ouvrage L’OTAN au 21ème siècle, Éditions du Rocher, 2014). Il y a bien quelques équipes techniques travaillant à Mons et à Bruxelles mais elles ne paraissent pas taillées pour répondre à une crise de grande ampleur : elles sont en fait dimensionnées pour protéger les réseaux de l’OTAN, comme on l’a déjà dit.

Surtout, l’Alliance n’aurait pas de capacités offensives, ainsi que l’a déclaré le Secrétaire Général Adjoint Ducaru ([voir ici|http://abonnes.lemonde.fr/europe/article/2014/09/07/l-otan-se-lance-officiellement-dans-la-cyberguerre_4483314_3214.html?) : « Il n'est pas du tout question de se lancer dans des opérations cyberoffensives, qui restent du ressort de chaque État membre ».

Dès lors, la capacité de riposte ne constituerait pas une capacité partagée à 28 (« commune », dans le jargon allié) mais elle dépendrait du bon vouloir d’un des Alliés qui en disposerait. Cela fait immédiatement penser, toutes choses égales par ailleurs, au nucléaire : l’Alliance n’est nucléaire que parce qu’un des Alliés - les États-Unis - met à disposition de l’Alliance sa garantie nucléaire. Celle-ci a d’ailleurs été un peu partagée au moyen de certaines bombes qui seraient emportées par des avions alliés non américains, avec un système de double clef de mise à feu. Il reste que la capacité de dissuasion nucléaire alliée repose essentiellement sur les Américains et leur décision autonome (la capacité nucléaire de la France et du Royaume-Uni est ainsi reconnue).

Ce modèle pourrait donc être reconduit : toutefois, aucun détail, aucune allusion n’ont été donnés. Nous sommes ici dans de la spéculation pure. Personne ne sait si aujourd’hui les États-Unis accepteraient de mettre à disposition une arme de leur panoplie cyber à disposition de l’Alliance, dans le cas où les Alliés déclareraient l’article 5.

D’autres difficultés opérationnelles et politiques pourraient également être détaillées. Il reste cependant à constater qu’au-delà de la déclaration de principe, qui constitue à l’évidence un signal politique et symbolique important et non négligeable, la mise en œuvre d’une riposte cyber sous le couvert de l’article 5 paraît aujourd’hui délicate à mettre en œuvre. Mais de toute façon, toute mise en œuvre de l'article 5 serait délicate.

Références:

• What NATO Is Doing To Improve Cyber Defence
• NATO updates cyber defence policy as digital attacks become a standard part of conflict avec cette citation de J. Shea : "For the first time we state explicitly that the cyber realm is covered by Article 5 of the Washington Treaty, the collective defence clause. We don't say in exactly which circumstances or what the threshold of the attack has to be to trigger a collective NATO response and we don't say what that collective NATO response should be."This will be decided by allies on a case-by-case basis, but we established a principle that at a certain level of intensity of damage, malicious intention, a cyber attack could be treated as the equivalent of an armed attack."

O. Kempf