La cyberdéfense constitue aujourd’hui un enjeu de sécurité nationale majeur pour de nombreux pays. À quand remontent les premières stratégies de cyberdéfense ?
G.-P. Goldstein : Nous pouvons considérer qu’elles sont apparues au début des années 1990 dans les pays occidentaux les plus avancés, qui commençaient à s’interroger sur l’emprise de plus en plus grande de l’informatique sur de nombreux systèmes plus ou moins vitaux. Cette emprise impliquait la possibilité de corrompre, de dégrader ou de détruire les systèmes non sécurisés d’adversaires. Ces États vont alors peu à peu tenter de mener des actions sur des infrastructures militaires dans un premier temps — ce qui est très compliqué — pour se rendre compte par la suite que les infrastructures civiles sont des proies plus faciles, car mal sécurisées.
Si on remonte plus loin, on peut trouver des cas ancestraux à l’époque de la guerre froide. L’ancien secrétaire de l’US Air Force, Thomas C. Reed, l’explique dans ses mémoires (1) et raconte un cas, en 1983, où la CIA aurait vendu des logiciels trafiqués aux Russes, ce qui aurait permis de faire exploser des pipelines.
Mais le vrai coup de départ d’un mouvement plus profond est la création d’une commission sur les infrastructures critiques, mise en place par le président Clinton, où la question des infrastructures numériques va apparaître, avec la nécessité de mieux les protéger. Le concept des infrastructures critiques remonte à la fin du XIXe siècle. Il réapparaît régulièrement dans les années 1920-1930 avec les stratégies de bombardement aérien, puis pendant la guerre froide pour finalement revenir avec le sujet cyber. C’est d’ailleurs à cette période, en 1995, qu’apparaît le terme « cyber » lorsqu’un juriste du département de la Justice, Michael Vatis — qui avait lu l’ouvrage de science-fiction Neuromancien de William Gibson (Ace Books, 1984), un des premiers à aborder la question du cyberespace — le réintroduit dans la commission. En parallèle est organisé par la NSA l’exercice « Eligible Receiver » en 1997 (2), qui avait pour but de démontrer la vulnérabilité des systèmes informatiques du gouvernement américain. Cela va constituer une sonnette d’alarme qui va lancer le sujet aux États-Unis, ainsi que chez ses proches alliés comme Israël. D’autant que c’est aussi à ce moment-là qu’on voit apparaître les prémices des premiers mouvements de cyberguérilla, dans le cadre de la seconde Intifada, mais aussi autour de la rivalité entre l’Inde et le Pakistan.
Dans les années 2000, tout cela va se développer avec des moments d’accélération comme avec Stuxnet, entre 2007 et 2010, qui va démontrer le fait qu’une cyberattaque peut avoir un fort impact de sabotage, sans dommages collatéraux, sur des cibles dissimulées, non connectées à Internet. Cela va s’accompagner de l’opération de bombardement en 2007 du site de la centrale nucléaire syrienne, construite grâce à l’aide des Nord-Coréens, à proximité de la ville de Deir ez-Zor, par des F15 israéliens qui ne sont pourtant pas des avions furtifs (3). En réalité, ces avions ont été rendus furtifs grâce à une opération cyber.
Enfin, durant les quinze dernières années, il y a eu plusieurs mouvements d’accélération qui se sont accompagnés d’une plus grande compréhension des enjeux de sécurité civile, qui font également partie intégrante de la sécurité nationale. C’est là un sujet propre au domaine cyber et le danger serait de trop le militariser au détriment des acteurs civils. Il apparaît donc une réelle dichotomie entre ce qui relève de l’offensif et du défensif. En effet, on ne peut pas traiter avec le même paradigme l’aspect défensif de la sécurité civile, reposant en large partie sur la coopération avec tout type d’acteur, et l’aspect offensif du militaire, basé sur le secret et la surprise.
