Cybermanoeuvres aux Etats-Unis

Certains sceptiques devant l’hypothèse d’une guerre cybernétique, à commencer par des spécialistes de l’informatique à la Silicon Valley et les défenseurs des libertés individuelles. Pour eux, les risques d’un conflit dans le cyberespace sont exagérés et voient plutôt une tentative du Pentagone pour avoir la haute main sur Internet.

Cela étant, le piratage informatique fait désormais partie des capacités que l’on peut mettre en oeuvre lors d’une guerre classique – le conflit russo-géorgien en a apporté la preuve, de même que l’intervention de l’Otan au Kosovo, en 1999, avec l’activisme des hackers serbes – ou bien pour perturber le fonctionnement d’un Etat. Sur ce dernier point, l’affaire du virus Stuxnet en est l’illustration.

Aussi, l’on pourrait imaginer un futur conflit, qui ferait appel à des capacités offensives dans le cyberespace, en mesure de paralyser un pays et qui viendraient, par exemple, en complément d’une phase classique de bombardements et d’intervention terrestre. C’est d’ailleurs ce qu’a fait l’armée américaine en 2003, en perturbant les réseaux informatisés des militaires irakiens avant de se lancer à l’assaut de Bagdad.

Ce qui est redouté aux Etats-Unis, c’est la perspective d’un « Pearl Harbor électronique ». Un Etat pourrait s’en prendre au territoire américain, sans envoyer physiquement des soldats, tout simplement en s’en prenant aux réseaux informatiques servant à distribuer l’électricité.

Et ce qui est valable outre-Atlantique l’est aussi sur le Vieux continent. Pour rappel, le dernier Livre blanc français sur la Défense et la sécurité nationale, qui, publié en juin 2008, a recommandé en la matière « le passage à une stratégie de défense active en profondeur, combinant protection intrinsèque des systèmes, surveillance permanente, réaction rapide et action offensive ». D’où la création, en juillet 2009, de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui devrait compter 250 employés d’ici deux ans.

Mais cette structure n’a pas la même importance que le nouveau commandement militaire dédié au cyberespace récemment créé aux Etats-Unis. Ces derniers ont par ailleurs lancé, le 28 septembre, l’exercice Cyber Storm III, lequel vise à tester la résistance des systèmes en cas d’une attaque informatique massive sur les infrastructures du pays.

Organisées par le département américain de la Sécurité intérieure, ces manoeuvres cybernétiques mobilisent, pendant 4 jours, les employés de 7 ministères, dont celui de la Défense, près de soixante sociétés privées et une douzaine de partenaires internationaux, dont la France. Elles sont aussi l’occasion de mettre à l’épreuve le Centre nationale d’intégration de la cybersécurité et des communications (NCCIC), qui, lancé en octobre 2009, coordonne les actions des intervenants publics et privés en matière de sécurité informatique.

L’objet de Cyber Storm III est de simuler 1.500 attaques informatiques, conçues de telle sorte qu’elles exploitent les vulnérabilités des réseaux américains et d’une ampleur pouvant avoir pour conséquence la perte de vies humaines et la perturbation, voire la neutralisation de fonctions essentielles à la vie du pays.

Ces manoeuvres ont été imaginées par le Pentagone ainsi que par la National Security Agency (NSA), l’agence de renseignement spécialisée dans les écoutes électroniques et sont contrôlées par le Secret Service. L’enjeu est de tester les réactions des participants à ces exercices et d’évaluer leur degré de préparation face à ces attaques simulées.

En Europe, la Commission de Bruxelles envisage aussi d’organiser des exercices à l’image de Cyber Storm, c’est à dire en mobilisant les Etats membres de l’Union européenne et des partenaires privés, via son agence en charge de la sécurité des réseaux (Enisa) créée en 2004.

Mais en attendant une éventuelle guerre informatique, les menaces les plus immédiates restent encore celles liées à la cybercriminalité. Pour y faire face, l’exécutif européen souhaiterait une meilleure coopération entre les Etats membres pour identifier et punir ceux qui font un usage criminel de l’Internet, tout en reconnaissant que la législation en la matière en Europe est « totalement dépassée », pour reprendre l’expression utilisée par Cecilia Malmström, commissaire aux Affaires intérieures.

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]