Cyber-guerre - et personne n'y va ?
Myriam Dunn Cavelty plaide pour une évaluation réaliste lorsqu'il s'agit de savoir ce que les institutions étatiques peuvent faire contre les cyberattaques.
On peut être tenté de parler de "guerre" lorsqu'une cyberattaque a été orchestrée par un acteur étatique. Après tout, il s'agit d'une attaque contre des infrastructures nationales depuis l'étranger. Mais le terme de "cyberguerre" est utilisé de manière si inflationniste que je ne veux pas seulement mettre en garde contre un battage médiatique. Il est également temps de modérer les attentes en ce qui concerne les possibilités d'action de l'?tat.
Pendant la guerre froide, la "sécurité" était définie de manière étroite. Elle désignait principalement les dangers militaires classiques et la défense du territoire de l'?tat. Depuis, la notion s'est élargie. Ainsi, le Rapport sur la politique de sécurité de la Suisse1de 2016 a inclus dans la liste des menaces, outre l'attaque armée, le terrorisme, la criminalité, la manipulation de l'espace d'information, les perturbations de l'approvisionnement et, plus généralement, les catastrophes et les situations d'urgence. Une telle liste de nouvelles menaces a entra?né l'adaptation des instruments de la politique de sécurité pour la prévention, la défense et la ma?trise de ces mêmes dangers. L'armée reste un élément important, mais elle n'est plus le seul instrument depuis longtemps.
Les guerres sont l'affaire de l'armée
Si les cyberattaques étaient réellement une guerre, la ma?trise de ce danger devrait être en premier lieu une t?che de l'armée. Mais cette hypothèse ne correspond pas à la réalité du danger et ne co?ncide pas non plus avec les capacités juridiques et opérationnelles de cet instrument de la politique de sécurité.
"Comme pour d'autres dangers modernes, le r?le que l'?tat veut (et peut) assumer dans ce domaine est remarquablement petit."Myriam Dunn Cavelty
La grande majorité des cyberincidents ont une origine criminelle et visent les réseaux privés et les actifs des entreprises. Les organes de l'Etat n'ont pas accès à ces réseaux. Lors des quelques incidents survenus ces dernières années sur des réseaux (proches) du gouvernement - en Suisse, par exemple, l'incident de RUAG est resté en bonne place.22016 - il s'agissait d'espionnage. Elles laissent un sentiment de malaise et concernent la sécurité nationale, mais les activités de renseignement étrangères font partie du quotidien. Nous sommes donc loin d'être en état de guerre. Et même si nous savons que des acteurs non étatiques et étatiques utilisent de plus en plus souvent des moyens cybernétiques pour atteindre des objectifs stratégiques, tous ces incidents restent jusqu'ici clairement (et certainement consciemment) en dessous du seuil de guerre.
Les mesures techniques ne suffisent pas
Si ce n'est pas l'armée, quelle institution étatique doit être responsable de la politique de cybersécurité ? Cette question préoccupe actuellement de nombreux Etats - en Suisse aussi, elle fait l'objet d'un débat. Les incidents à caractère politique ayant augmenté, la cybersécurité est considérée depuis 2010 au plus tard comme un problème de sécurité nationale et y est intégrée. Il a été admis que le problème ne pouvait pas être résolu uniquement à l'aide de mesures technico-opérationnelles. En conséquence, on observe une tendance à la centralisation : les compétences en matière de cybersécurité, auparavant dispersées, sont regroupées sous une direction civile et renforcées politiquement en les confiant à des unités spécifiquement responsables, parfois au plus haut niveau de l'?tat.
Tout est une question de responsabilité individuelle ?
Comme pour d'autres dangers "modernes", le r?le que l'?tat veut (et peut) assumer dans ce domaine est toutefois remarquablement faible. Toutes les politiques de cybersécurité connues misent principalement sur la responsabilité individuelle de l'économie et des citoyens : c'est l'autoprotection qui prévaut. En d'autres termes, l'?tat ne doit intervenir que lorsque des intérêts publics sont en jeu ou, en Suisse plus spécifiquement3,Le gouvernement est responsable de la protection de l'environnement. Les forces armées sont en premier lieu responsables de la protection de leurs propres systèmes. Pour cela, elles développent des capacités opérationnelles offensives et défensives dans le cadre juridique donné.
C'est une bonne chose.
La cybersécurité est une t?che relevant de la politique de sécurité - mais dans ce domaine, tout le monde doit tirer à la même corde. La sécurité ne peut être renforcée que si l'économie, les hautes écoles et les différentes autorités collaborent et établissent des coopérations judicieuses avec l'étranger. Une militarisation discursive ne fait que créer des troubles et susciter de fausses attentes.