L'énorme fascination qu'exercent le Cyber Command et la NSA sur de nombreux états européens ne doit guère masquer la nécessité de forger des stratégies et des solutions cybersécuritaires mieux adaptées aux réalités du Vieux Continent et aux réseaux numériques.
American Beauty
Récemment, le Fauteuil de Colbert faisait état de la volonté française de créer un super-service de cybersécurité et de renseignement électronique évoquant peu ou prou le Cyber Command, la NSA et/ou le GCHQ. Auparavant, le Colonel Chauvancy proposait que la France se dote de la pensée et des moyens nécessaires pour devenir une « puissance du cyberespace » avec les « instruments qui en découlent ».
Dans les deux cas, j'ai nettement ressenti l'influence cognitive d'Oncle Sam qui, en soi, n'a absolument rien de repréhensible ou d'hérétique.
Toutefois, la National Security Agency et le Cyber Command sont de purs produits américains, tant sur le plan historique, politique que stratégique.
En effet, la NSA est « une machine » pensée et conçue pendant et pour la guerre froide, qui s'est ensuite diversifiée (espionnage industriel, renseignement électronique pour la lutte anti-drogue/anti-terroriste, cybersurveillance domestique, cybersécurité) au point de devenir le noyau d'un Cyber Command bientôt érigé au rang d'Unified Combattant Command à l'image du Strategic Command ou du Special Operations Command (cf. CIDRIS Cyberwarfare).
Dans ce cas de figure, le pragmatisme américain a rapidement su fédérer l'existant (NSA, Army, Air Force, Navy, DHS, CIA, FBI, etc) afin de produire une solide entité fédératrice dédiée à la cybersécurité/cyberdéfense et qui, via ses composantes, bénéficie des retombées tous azimuts du « carré magique » reliant gouvernement fédéral, armées, universités et industries. Pour couronner le tout, l'Amérique demeure forte d'un colossal budget de la défense et d'industries militaires et informatiques sans rivales réelles à ce jour.
La cyberpuissance réelle ou potentielle que sont les Etats-Unis découle directement et indirectement de cette imbrication de facteurs et d'une stratégie de cybersécurité ayant largement les moyens de ses ambitions.
Last but not least, le Cyber Command est profondément imprégné d'un « hypertechnologisme rampant » (cf. Joseph Henrotin) inhérent à la culture américaine et doit énormément à cette idée quasi sacrée que les Etats-Unis se font d'eux-mêmes. D'une certaine façon, le Cyber Command se veut une forteresse électronique censée protéger et défendre « la nation indispensable » des malveillances du cyberespace.
D'où son « côté sexy, costaud et un tantinet mystérieux » et la fascination consécutive qu'il exerce sur maints officiers et fonctionnaires de la sécurité en Europe, en Asie et en Russie.
La cyberguerre relevant encore à ce jour de la fiction, de la prospective ou d'une imminente probabilité, il est difficile de savoir si cette approche très militaire « à la Fort Alamo » soit véritablement adaptée aux enjeux et perspectives propres au cyberespace. L'histoire de la guerre et de la sécurité rengorge de surprises technologiques, tactiques et stratégiques et je peux parier sans risques qu'il en sera de même dans un domaine aussi changeant et disruptif que le cyber.
Dans tous les cas, le business model typiquement américain du Cyber Command ou de la NSA me semble – sauf biais, erreur ou omission de ma part - difficilement applicable ou dérivable outre-Atlantique et outre-Pacifique.
European intelligence
Contrairement à l'Amérique, l'Europe n'a pas d'industrie d'informatique digne de ce nom – malgré des cerveaux et des SSII d'une remarquable qualité au niveau mondial – et n'a pas su (ou voulu) tirer pleinement parti des logiciels libres et de l'open source. En outre, ses budgets de la défense fondent comme neige au soleil depuis la chute du mur de Berlin et l'actuelle « grande récession » n'arrangent guère les choses.
Or, cette quasi virginité industrielle et cette dépression économique constituent une formidable fenêtre de tir pour des approches cybersécuritaires typiquement européennes et ayant de surcroît le mérite d'équilibrer les moyens et ambitions tant au niveau national que continental. La création d'une gigantesque entité ou d'un super-service spécialement dédiée à la cybersécurité est certes très séduisante mais se révèlera vite gourmande en temps, en argent, en énergie... et en inerties administratives.
Ne l'oublions pas : nous sommes en Europe. Les technocraties sont coriaces et les bureaucraties civiles comme militaires ont la dent dure.
Dans une sphère cybersécuritaire où la vitesse d'adaptation et la capacité d'innovation font la différence, il convient de fédérer illico des structures existantes tant au niveau national qu'européen. Perpétuelles « versions bêta » d'elles-mêmes, ces structures fédérées sauront évoluer quotidiennement au contact des risques, des menaces et des enjeux globaux du cyberespace.
Quelques jours plus tôt, les Carnets de Clarisse et Si Vis Pacem suggéraient (dans le cas spécfiquement français) une « optimisation du rapport puissance/efficacité au travers d’une certaine forme d’agilité (technique, organisationnelle), organisée autour d’une structure déjà établie¹ (“au hasard” l’ANSSI) disposant des compétences, de l’expérience et d’un Centre Opérationnel (le COSSI). Par la suite et en fonction des évolutions économiques, possiblement positives à moyen terme, les forces armées pourraient être dotées de leur propre agence, qui entretiendrait une relation riche et privilégiée avec l’ANSSI, puisqu’il s’agirait d’un essaimage partageant un génome commun ».
Les officiers, les fonctionnaires et les industriels spécialisés dans la cybersécurité/cyberdéfense seraient-ils passablement décus ou « refroidis » par l'Europe de la défense ?
Pourtant, l'Europe comporte une richesse trop souvent oubliée que je résumerais dans l'équation suivante : 27 états = 27 approches différentes de la (cyber)sécurité et de la (cyber)stratégie. Cette pluralité culturelle et philosophique est un gisement totalement inexploité.
Les frontières n'ayant aucune consistance au sein d'un cyberespace très prompt aux effets domino et aux risques systémiques, les états européens feraient bien de s'extirper de leurs obsessionnelles sécurités nationales et de leurs cultures cybersécuritaires plutôt consanguines, puis mettre en réseaux leurs compétences au sein d'une entité fédératrice et de hubs numériques. Pour peu que des locomotives telles que la France, l'Allemagne et le Royaume-Uni entreprennent ces démarches, « l'Europe de la cyberdéfense » équilibrerait de facto ses ambitions et ses moyens sans débourser des sommes colossales.
Je m'étonne que les administrations du Vieux Continent n'aient guère songé à développer leur NIPRNet de cybersécurité/cyberdéfense ou quelque plate-forme collaborative dédiée...
À l'ère informationelle, les services de cybersécurité doivent également s'inspirer des réseaux sociaux et exploiter savamment les réseaux numériques plutôt que focaliser sur les traditionnelles structures étatiques ou industrielles. Cette nécessaire transformation prendra sûrement forme lorsque des officiers et des fonctionnaires plus natifs que migrants des réseaux numériques (les fameux Millennials) composeront la majorité des effectifs militaires et administratifs.
Verra-t-on des virtual teams européennes de cybersécurité/cyberdéfense ? L'entreprise virtuelle agile doit-elle être réservée aux hackers et aux cybercriminels ?
- 