Quand l’OTAN se réinvente à travers le cyber

Par Danny Gagné
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand

Pour lire la version PDF

Créée à l’ère de la bipolarité et de la menace nucléaire, l’OTAN doit aujourd’hui s’adapter à une menace cyber protéiforme. Au-delà des stratégies de ses membres respectifs, comment l’Alliance atlantique s’efforce-t-elle d’être désormais un acteur à part entière dans le cyberespace ?

Le 18 janvier dernier, l’Organisation du traité de l’Atlantique Nord annonçait la conclusion d’un chantier de cybersécurité qui allait permettre d’augmenter les capacités défensives de la Mongolie. Fruit d’un projet élaboré entre 2017 et 2020 par le programme pour la paix et sécurité de l’OTAN (SPS), le Centre de la cybersécurité pour les Forces armées de la Mongolie voyait ainsi le jour. Durant les 3 années du chantier, la Mongolie a pu optimiser ses systèmes de défense, via un approvisionnement en équipement et en main-d’œuvre. Selon le Secrétaire général adjoint de l’OTAN, la Mongolie devenait ainsi un nouveau point d’appui : en augmentant ses capacités défensives, elle pourrait dorénavant recueillir et partager de précieuses informations avec l’Alliance. Moins d’une semaine plus tard, le 21 janvier, l’OTAN inaugurait un centre similaire en Moldavie, fruit d’une collaboration établie en 2018 entre le SPS et les Forces armées moldaves.

Dans un environnement cybernétique de plus en plus conflictuel, l’OTAN tente depuis plusieurs années d’adapter ses capacités à cette nouvelle réalité : l’Alliance s’efforce d’assembler petit à petit un « cyberbouclier », mais aussi de développer et harmoniser les capacités offensives des pays membres. Depuis 2016, cette tendance semble définitivement s’accélérer.

Une lente adaptation

En 2002, lors du Sommet de Prague, l’exécutif de l’OTAN formalise pour la première fois sa reconnaissance de la menace cyber : si plusieurs pays membres sont déjà actifs dans le domaine, les capacités défensives de l’alliance doivent impérativement être développées. Le contexte de la décision est cependant pacifique et surtout une réaction à la croissance rapide du cyberespace et de la cybercriminalité de petite envergure.

En avril 2007, l’OTAN s’éveille brutalement et mesure l’ampleur des dommages potentiels d’une cyberattaque. L’Estonie est alors frappée de plein fouet par une agression sans précédent qui voit son parlement, des ministères, des banques et des médias paralysés par une vague d’attaques de déni de service (DDoS)[1]. Le moment auquel se produit l’attaque est particulièrement préoccupant : l’Estonie était en pleine prise de bec avec Moscou alors que Tallinn affirmait sa volonté de mettre au placard des symboles historiques issus de son passé soviétique.

Dans la foulée des évènements, l’OTAN adopte la Cyber Defence Policy et crée le Cooperative Cyber Defence Center for Excellence en Estonie en 2008. La réponse reste malgré tout modeste : une trentaine de spécialistes de 6 pays membres doivent se réunir pour développer les capacités défensives de l’Alliance.

En 2014, la politique de défense cybernétique de l’OTAN subit une modification majeure : les membres de l’organisation s’entendent sur la possibilité d’invoquer l’article 5[2] dans l’éventualité d’une cyberattaque contre un pays membre. Depuis 2016, le cyberespace est officiellement considéré comme le cinquième domaine d’opération de l’alliance, au côté de la terre, de l’air, de la mer et de l’espace. Parallèlement, les pays membres adoptent le Cyber Defence Pledge, soit une promesse d’investissements conséquents en matière de cybersécurité, question de s’assurer de tenir la cadence dans la « course aux armements » cyber.

Changement de paradigme

 Suite à une rencontre en juin 2017, les pays de l’OTAN franchissent un nouveau pas. Soulignant que l’organisation est alors la cible de plus de 500 cyberattaques par mois, le Secrétaire général, Jens Stoltenberg, affirme qu’il est temps d’étendre les capacités d’action de l’Alliance. Au programme, l’amorce d’un virage vers l’offensive et l’élargissement des frontières virtuelles de l’OTAN dans le domaine cyber. L’idée d’une « défense offensive » fait son apparition dans le vocable des dirigeants. Dans les cartons, on retrouve entre autres un projet de « Cyber Command » intégré rassemblant 30 pays, qui doit voir le jour en 2023 à Mons en Belgique.

En reconnaissant le théâtre cybernétique comme une dimension de la guerre, les membres de l’Alliance adoptent une posture de plus en plus décomplexée face à l’utilisation proactive de l’arme cybernétique. En novembre dernier, ce virage s’illustre à l’occasion du treizième jeu de guerre cybernétique tenu par les pays membres. Alors que ce type d’exercice avait par le passé comme enjeu central la défense des vecteurs conventionnels de l’Alliance en cas d’attaque cyber, l’édition 2020 se révèle différente. En effet, l’OTAN a cette fois simulé une attaque contre la nation fictive d’Andvaria, démontrant sa volonté de projeter ses capacités cyber.

L’approfondissement de la collaboration défensive dans le domaine cyber avec la Moldavie et la Mongolie ne semble donc être qu’une étape dans une stratégie de plus grande envergure. Dans la liste des candidats potentiels à l’élargissement de ce bouclier cybernétique, on retrouve aussi la Géorgie et l’Ukraine, deux pays qui ont des expériences pertinentes à partager. En 2008, en marge de l’intervention militaire russe, la Géorgie était la cible d’une vague de cyberattaques de type DDoS paralysant plusieurs sites gouvernementaux. L’Ukraine, pour sa part, a été la cible en 2015 et 2017 de cyberattaques de grande ampleur paralysant une partie de son réseau électrique (celle de 2015 laissa 230 000 Ukrainiens et Ukrainiennes sans électricité pendant plusieurs heures). Alors que le Cyber Command américain a par exemple dépêché en 2018 des spécialistes en Ukraine pour recueillir des informations sur les spécificités de ces attaques, les membres de l’OTAN ont sans doute beaucoup à apprendre en collaborant avec ces pays.

Des stratégies adaptées aux menaces ?

            Malgré ces développements, des voix s’élèvent pour souligner que l’environnement cybernétique, peuplé par une myriade d’acteurs non étatiques, est beaucoup plus chaotique que les exercices militaires bien huilés tenus par l’Alliance. Tarah Wheeler et Amy Ertan, expertes en cybersécurité de l’Université Harvard, mentionnent que les jeux de guerre de l’OTAN devraient s’inspirer des travaux de spécialistes qui ont un regard plus original sur le cyberespace, et qui ont, par exemple, une fine connaissance des pirates informatiques habitués aux coups de poker et autres ruses de la nébuleuse cyber. Si l’OTAN veut continuer sur la voie empruntée lors de son treizième jeu de guerre, cette considération ne peut être écartée.    

Autre obstacle majeur aux projets de l’OTAN : la difficulté de l’attribution de la responsabilité des attaques, alors que la stratégie de l’Alliance s’appuie largement sur la dissuasion. Comment invoquer l’article 5 et répondre de manière proportionnelle à une attaque si l’on ne peut en identifier le responsable ? Qui plus est, même lorsque la provenance géographique de l’attaque est connue, peut-on établir un lien entre les actions de groupes non étatiques et un État qui héberge ceux-ci ? Et ce, dans les délais nécessaires à une dissuasion efficace ? Pour le Major RWC Tyler des Forces armées canadiennes, cette réalité met à mal le développement de stratégies préventives.

Au milieu de ce changement d’approche de l’Alliance, qu’en est-il du Canada ? Si de nombreux pays se déchirent actuellement sur les bienfaits ou non d’une posture plus agressive dans le domaine cyber, force est de constater que le Canada n’a pas les mains liées en ce qui a trait à ses capacités offensives. La Loi antiterroriste C-51 de 2015[3], si elle a été décriée par les partis d’opposition craignant un virage vers un État de surveillance, ne ferme à aucun moment la porte à une utilisation des outils cybernétiques canadiens pour intervenir à l’étranger. La question reste toutefois de savoir si le Canada veut vraiment ouvrir ce qui s’apparente largement à une boite de Pandore.

Danny Gagné est chercheur à l’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand.

[1] Distributed Denial Of Service : ce type d’attaque vise à compromettre l’accès à des systèmes informatiques ou à un site Internet.

[2] L’article 5 stipule qu’une attaque contre un membre de l’Alliance sera considérée comme une attaque contre tous les membres, ce qui implique une réponse conjointe.

[3] Celle-ci ouvrait la porte à l’utilisation des capacités cybernétiques canadiennes pour combattre le terrorisme.

Pour lire la version PDF

 

 

 

 

 

23 février 2021
En savoir plus