Cybersécurité : menaces avérées ou marketing de la peur ?
Cybersécurité : menaces avérées ou marketing de la peur ?
Par Martin Untersinger (Lille, envoyé spécial)
Au Forum international de la cybersécurité, à Lille, ministres, militaires et experts en sécurité informatique se sont retrouvés dans un climat marqué par les piratages aux Etats-Unis.
Le ministre de l’intérieur, Bruno Le Roux, était au Forum international de la cybersécurité, mardi 24 janvier. | PHILIPPE HUGUEN / AFP
Pour un peu, on se mettrait au garde-à-vous. Lors de la première journée du Forum international sur la cybercriminalité (FIC), qui se tient à Lille les 24 et 25 janvier, ministres et responsables de haut rang ont rivalisé à la tribune de déclarations apocalyptiques, décrivant Internet comme un champ de bataille perpétuel.
« La menace est à nos portes, il ne faut pas fléchir », a ainsi lancé le ministre de la défense, Jean-Yves Le Drian :
« Le cyberespace est un espace de bataille, de guerre, avec des attaques de plus en plus sophistiquées, des armes qui prolifèrent sur Internet et qui sont faciles à acquérir. »
Même son de cloche du côté de Bruno Le Roux, ministre de l’intérieur : « Les Etats étrangers se montrent toujours plus inventifs. (...) Nos systèmes informatiques sont la cible de nombreuses attaques, dont certaines sont ciblées, de nature à porter atteinte à notre souveraineté. » Le ministre cite ainsi des tentatives d’accès à des données sensibles ou à des « opérations de défacement », des techniques destinées à changer le contenu d’un site Web – ces dernières étant pourtant considérées par les experts comme le niveau le plus basique de l’attaque informatique.
« La riposte ne sera pas nécessairement cyber »
David Martinon, ambassadeur de France pour la cyberdiplomatie et l’économie numérique, est sur la même ligne : « Le cyberespace est un espace de conflit. » Et d’expliquer :
« Les entités étatiques s’y affrontent. Le nombre d’attaques est en accélération constante. (...) Je ne crois pas que nous soyons dans une nouvelle guerre froide, nous sommes dans un espace où les puissants s’affrontent, et directement. »
M. Le Drian est revenu sur la création d’un commandement interarmée entièrement consacré à la guerre informatique, qu’il a rapproché d’une « quatrième armée ». Ce « cybercom » pourra « mettre en œuvre des unités combattantes, qui pourront agir en cas d’attaque grave. (...) Si une action numérique armée utilisée contre nos intérêts cause une paralysie, ou des dégâts, voire une destruction de vies humaines, la riposte ne sera pas nécessairement cyber. On pourrait qualifier cela comme une agression au sens de l’article 51 » – en référence à la Charte des Nations unies qui permet à un pays agressé de répliquer par la force si nécessaire.
Ce lourd contexte s’explique. En automne 2016, les Etats-Unis ont accusé la Russie de tenter, par le biais de piratages informatiques, de peser sur la campagne présidentielle. En janvier, les accusations se sont faites plus précises : les agences de renseignement américaines estiment désormais que le Kremlin a piloté des attaques destinées à favoriser le candidat républicain finalement élu, Donald Trump. C’est donc sans surprise que l’ombre du Kremlin flotte sur les débats lillois.
« L’élection américaine n’est peut-être que le début »
« Des attaques informatiques peuvent avoir des effets déstabilisants. Nous ne devons pas laisser des Etats ébranler notre démocratie », a ainsi jugé Julian King, commissaire européen à la sécurité. Jean-Yves Le Drian a également cité « les manipulations, une menace pour la vie démocratique dont on a vu un exemple récemment ». « Une des évolutions des menaces, c’est l’utilisation de cyberattaques par des Etats, ou des groupes structurés politiquement, à des fins d’influence, en allant voler des informations et les publier pour faire du tort à une victime. L’élection américaine n’est peut-être que le début », a anticipé Guillaume Poupard, directeur de l’Agence nationale de sécurité des systèmes d’information (Anssi), le « garde-corps » des systèmes informatiques de l’Etat.
La Russie est rarement nommée, mais elle est sur toutes les lèvres, malgré l’absence de preuve irréfutable de son implication dans les piratages informatiques qui ont émaillé la campagne américaine.
L’attribution est d’« une grande difficulté. (...) Dans ce Far West, il n’y a pas de smoking gun », a rappelé M. Poupard, qui refuse de lier la Russie aux piratages récemment observés aux Etats-Unis, une constante des autorités françaises s’exprimant de manière officielle depuis plusieurs mois. « La France ne fait pas d’attribution, d’autres font des choix différents, comme les Etats-Unis ou l’Allemagne », a expliqué David Martinon.
Vers une cyberpaix ?
Dans ce contexte où le chiffre d’affaires des entreprises du secteur est directement corrélé à leur capacité à forcer le trait de la menace et où sous-estimer la menace serait, pour les acteurs étatiques, un péché impardonnable, certaines voix tentent cependant de se détacher de cette vision purement belliqueuse du cyberespace.
Si les affrontements entre Etats sont indubitables, Pierre Samson, d’Orange Cyberdéfense, a mis en garde contre « le marketing de la peur » qui peut parfois prévaloir dans le secteur et qui peut être « contre-productif ».
Guillaume Poupard a estimé qu’il en allait « de la responsabilité des Etats de se parler » : « Dans le cyberespace on ne se parle pas, sauf pour savoir comment on va se taper dessus », a-t-il résumé. C’est à cette aune que doit être comprise l’organisation en avril, à l’Unesco, par l’Anssi notamment, d’une conférence destinée à réfléchir à des normes garantissant la paix dans le cyberespace.
« On veut promouvoir la paix dans le cyberespace, réintégrer les chercheurs à la réflexion, lever la tête du guidon. Il faut se mettre d’accord sur des règles, et comment les faire respecter, sinon on risque une zone de non-droit et l’instabilité » a-t-il expliqué, osant même le néologisme de « cyberpaix ».
Un paradigme résumé par Amelia Andersdotter, ancienne députée pirate au Parlement européen :
« La question est de savoir comment on garantit la coexistence pacifique des gens qui veulent juste vivre leur vie en ligne. »