3. Une doctrine publique sur les capacités « offensives » ?
En présentant le Livre blanc sur la défense et la sécurité nationale, le 17 juin 2008, l'ancien Président de la République M. Nicolas Sarkozy avait annoncé que face aux attaques informatiques, la France serait dotée « de capacités défensives et offensives , qui concernent aussi bien toutes les administrations que les services spécialisés et les armées ».
On peut parler de capacités offensives dès lors qu'il ne s'agit plus de protéger le système attaqué, mais d'identifier l'adversaire, de mettre à jour son mode opératoire, de le neutraliser, voire de lui appliquer des mesures de rétorsion.
Il convient de distinguer les missions qui relèvent des services de renseignement et la mise en place de capacités spécifiquement militaires.
S'agissant des services de renseignement , le Livre blanc de 2008 a prévu un développement des capacités techniques consacrées au réseau internet, « devenu crucial pour notre sécurité ». Le renforcement des moyens techniques devant s'accompagner d'une augmentation du nombre de techniciens et d'experts spécialisés dans ce domaine.
En ce qui concerne les forces armées, le Livre blanc de 2008 estimait nécessaire d'acquérir une capacité de lutte informatique offensive destinée notamment à neutraliser les centres d'opérations adverses.
Cette capacité suppose un cadre et une doctrine d'emploi , le développement d'outils spécialisés (armes numériques de réseaux, laboratoires technico-opérationnels), en préalable à la réalisation de véritables capacités opérationnelles, et la mise en oeuvre d'une formation adaptée et régulièrement actualisée des personnels. Le Livre blanc précise que ce cadre d'emploi devra respecter le principe de riposte proportionnelle à l'attaque et viser en priorité les moyens opérationnels de l'adversaire.
En dépit d'incontestables difficultés liées par exemple à l'impossibilité d'établir avec certitude l'identité des agresseurs ou la responsabilité d'un Etat dans l'agression, votre rapporteur voit au moins trois raisons qui militent en faveur du développement de capacités offensives en matière informatique :
- la première, d'ordre technique, est que l'on se défend d'autant mieux que l'on connaît les méthodes et les moyens d'attaque et que de nombreux outils informatiques peuvent servir aux deux ;
- la deuxième, d'ordre plus stratégique, est qu'une telle capacité est très certainement de nature à jouer un rôle dissuasif vis-à-vis d'agresseurs potentiels ;
- enfin, le cyberespace paraît inévitablement voué à devenir un domaine de lutte, au même type que les autres milieux dans lesquels interviennent nos forces armées ; il est légitime d'en tirer les conséquences, une telle capacité pouvant avoir des effets, tant aux niveaux tactique, opérationnel que stratégique.
Votre rapporteur est donc favorable à la poursuite du développement de « capacités offensives », sur la base d'un cadre juridique et d'une doctrine d'emploi bien définis .
Dans le même temps, il considère indispensable qu' un contrôle parlementaire s'exerce sur ces activités, qui, compte tenu de leur caractère très sensible, ne peut relever que de la délégation parlementaire au renseignement.
Une autre interrogation, qui n'est pas sans importance, porte sur le fait de savoir s'il est possible et souhaitable pour un Etat de définir une doctrine publique , ou du moins de tenir un discours public , sur les « capacités offensives ».
Comme on l'a vu précédemment avec le cas de STUXNET, si les autorités américaines n'ont jamais reconnu jusqu'à présent avoir utilisé des armes informatiques, elles reconnaissent en revanche développer de telles capacités et elles n'hésitent pas affirmer publiquement qu'elles pourraient en faire usage, notamment pour répondre à une attaque informatique massive.
Une telle doctrine publique sur les « opérations dans le cyberespace » se retrouve ainsi dans le rapport du département de la défense au Congrès de novembre 2011 consacré au cyberespace 53 ( * ) . D'après ce document, « le Président des Etats-Unis se réserve le droit de répondre par tous moyens, y compris par des capacités cybernétiques, à un acte hostile dans le cyberespace dirigée contre les Etats-Unis, ses alliés ou partenaires ou ses intérêts, telle qu'une attaque informatique ». Et, il est indiqué plus loin que « le département de la défense a les capacités de conduire des opérations (offensives) dans le cyberespace pour défendre la Nation, ses alliés et ses intérêts ».
Comme l'a indiqué à votre rapporteur, M. James Lewis, expert du Center for Strategic and International Studies (CSIS), lors de sa visite à Washington, à la suite des révélations sur l'affaire STUXNET, l'administration présidentielle américaine travaillerait actuellement à préciser certains points importants.
Il s'agirait de répondre aux questions suivantes : Qui peut autoriser une cyberattaque ? Dans quel cas le Président doit agir ? Quels devraient être les rôles respectifs du Président et des militaires ? Le centre de commandement doit-il intervenir de manière indépendante ou bien être intégré au sein du centre de planification et de conduite des opérations ?
Selon un rapport du CSIS de décembre 2011, au moins trente-cinq Etats auraient développé une doctrine militaire en matière de « cyberguerre ».
Ainsi, d'après le Département de la défense américain, la Chine a intégré depuis longtemps la lutte informatique comme une partie intégrante de sa stratégie militaire. Elle y voit le moyen de compenser, par des moyens peu coûteux, l'infériorité de ses moyens conventionnels. Elle dispose à cet effet d'un immense réservoir humain, et n'est donc pas entravée par les limites physiques tenant au nombre d'opérateurs qui pourraient rendre moins efficaces des attaques de grande ampleur.
Bien que l'on ne dispose bien évidemment d'aucune source officielle à ce sujet, la Chine aurait concentré au sein de l' Armée populaire de libération la totalité de ses capacités étatiques, tant défensives qu'offensives. Toujours selon les militaires américains, les planifications d'un éventuel conflit avec Taïwan intégreraient le ciblage des systèmes d'information, notamment ceux utilisés pour les flux logistiques, moins protégés que les systèmes opérationnels. Si l'armée chinoise semble disposer d'un département spécialisé doté de moyens conséquents, on ne peut exclure que le gouvernement chinois s'appuie également sur les nombreux groupes de pirates informatiques.
D'autres pays, à l'image du Japon, de l'Inde ou d'Israël 54 ( * ) par exemple, reconnaissent publiquement développer des capacités offensives, même s'ils déclarent généralement limiter l'usage de ces capacités à une riposte en cas d'attaque, ce que l'on peut toutefois qualifier de palinodie.
Certes, il ne faut pas négliger les inconvénients pour notre pays qu'il y aurait à évoquer publiquement ce sujet, qui tiennent essentiellement à la crainte de donner une sorte de légitimité aux attaques informatiques d'origine étatique et d'encourager ainsi les autres pays à développer et à utiliser de telles capacités, ainsi que le risque de dévoiler aux yeux de tous l'étendue de notre expertise dans ce domaine, ce qui pourrait conduire à affaiblir la portée de ces capacités.
Il ne paraît pas évident en effet pour un Etat de reconnaître publiquement vouloir se doter d'armes informatiques, étant donné que toute intrusion dans un système informatique est généralement condamnée par la loi, surtout lorsque ces mêmes pays n'hésitent pas à dénoncer publiquement les attaques informatiques dont ils sont victimes, en particulier lorsqu'elles proviennent d'autres Etats.
Toutefois, le silence absolu des autorités françaises sur cette question depuis le Livre blanc de 2008 paraît quelque peu en décalage avec l'évolution de la menace, les communications publiques de nos principaux partenaires, et il pourrait même être de nature à entretenir des fantasmes dans l'opinion publique.
Surtout, le développement de « capacités offensives » nécessite une anticipation opérationnelle, une préparation technique et un travail très important, portant non seulement sur l'arme informatique elle-même, mais aussi sur le recueil de renseignement, la désignation de cibles potentielles, l'analyse des systèmes d'information ainsi que leur environnement, l'identification des vulnérabilités, avec la nécessité de procéder à des entraînements en liaison étroite avec d'autres modes d'interventions (armes conventionnelles, missiles balistiques, etc.) ou encore un travail sur la définition même d'une « arme informatique » et les conditions de son emploi dans le cadre du droit des conflits armés.
Dès lors, votre rapporteur est plutôt enclin à penser qu' il serait souhaitable que les autorités françaises lancent une réflexion sur l'élaboration d'une éventuelle doctrine ou du moins d'un discours ayant vocation à être rendu publics sur les « capacités offensives ».
Une telle doctrine ou un tel discours présenteraient le mérite, en particulier s'ils étaient portés au plus haut niveau de l'Etat, de donner un fondement incontestable à ces capacités et, dans le même temps, de préciser à l'opinion publique certaines règles d'emploi. Il ne faut pas négliger non plus l'effet dissuasif qu'ils pourraient avoir sur de potentiels adversaires.
Pour ces raisons, votre rapporteur souhaite que dans le contexte de l'élaboration du futur Livre blanc une réflexion s'engage sur l'intérêt et le contenu d'une telle doctrine , afin que, si cette idée recueille un large assentiment, cette doctrine soit reprise dans le contenu du nouveau Livre blanc.
Peut-on pour autant dresser un parallèle avec la dissuasion nucléaire et considérer que le développement de capacités offensives participe à une sorte de « dissuasion dans le cyberespace » ?
Votre rapporteur ne le pense pas. En effet, l'arme informatique présente au moins trois différences avec l'arme nucléaire :
- à la différence d'une attaque nucléaire, il est très difficile, voire impossible, d'identifier précisément et de façon certaine l'auteur d'une attaque informatique qui cherche à rester discret ;
- la dissuasion nucléaire repose sur une relation d'Etat à Etat, qui est inopérante face à une menace asymétrique comme les attaques informatiques, qui sont le plus souvent l'oeuvre de « pirates informatiques » ou d'organisations, même si ces attaques peuvent aussi parfois être instrumentalisées ou même être dirigées par des Etats ;
- enfin et surtout, l'arme nucléaire est une arme de non emploi, alors que les attaques informatiques sont une réalité concrète et quotidienne.
Aux yeux de votre rapporteur, il est donc préférable, afin d'éviter toute confusion, de ne pas employer le terme de « cyberdissuasion » et d'éviter la comparaison avec la dissuasion nucléaire.
* 53 Department of Defense Cyberspace Policy Report, « A Report to Congress Pursuant to the National Defense Authorization Act for fiscal Year 2011, Section 934, november 2011
* 54 Le ministère israélien de la défense a ainsi rendu public sur le site Internet de l'armée une doctrine sur la « cyberguerre » précisant les méthodes et les objectifs des opérations militaires dans le cyberespace, considéré comme un nouveau « champ de bataille », à côté des autres milieux de la terre, de la mer, de l'air et de l'espace