Intervention de Bastien Lachaud

J'en viens maintenant à la définition du cyberespace. Elle sera un peu plus longue. Cela peut sembler évident mais un tel rappel est important : le cyberespace est un milieu artificiel, créé par l'homme. Il ne s'agit pas d'un milieu naturel, comme les milieux traditionnels. C'est aussi un milieu abstrait et global, sans consistance physique. Il ne connaît ni limites ni réalités ou caractéristiques géographiques physiques. Il ne connaît pas non plus de frontières politiques ou juridiques qui permettraient, d'une part, d'en délimiter précisément les contours et, d'autre part, de le subdiviser pour en rattacher les différentes composantes à chaque État, ou à aucun d'entre eux.

Le cyberespace est également un espace mouvant qui est en recréation constante. Il n'existe pas de carte du cyberespace, de ses « continents » et de ses limites. De fait, le cyberespace et les conflits qui s'y déroulent sont à repenser en permanence.

En dépit de ces caractéristiques – ou grâce à elles –, le cyberespace constitue un nouveau théâtre d'opérations potentiel, au même titre cette fois que les espaces traditionnels. Des acteurs, étatiques ou non–étatiques, y agissent et l'utilisent pour atteindre des buts politiques, en exploitant toutes les possibilités offertes par ce nouveau milieu. De ce point de vue, le cyberespace ne diffère pas fondamentalement des quatre autres milieux. Et les actions qui y sont menées ne se distinguent pas, dans leur nature, des actions traditionnellement conduites, en particulier par les États : espionnage, sabotage, déstabilisation.

Enfin, le cyberespace est un espace global qui, en s'y superposant, et en les englobant, contient les espaces traditionnels.

Comment le cyberespace est-il structuré ? Comme le monde physique, il n'est pas homogène ; il se compose de trois couches distinctes qui font l'objet d'une régulation plus ou moins poussée.

On trouve d'abord la couche physique. En effet, même le cyberespace n'est pas totalement abstrait. Cette couche comprend globalement deux types de « matériels ». D'une part, l'ensemble des infrastructures qui permettent l'acheminement et l'échange des données au sein du cyberespace, y compris les lieux de stockage de l'information. Il s'agit des serveurs, des câbles sous-marins, ou encore des réseaux de fibre optique terrestre. On y trouve d'autre part les appareils terminaux que nous utilisons quotidiennement : ordinateurs, téléphones, tablettes numériques, objets connectés, systèmes électroniques, etc.

La couche physique du cyberespace peut être « territorialisée » juridiquement. S'agissant d'éléments physiquement situés sur des espaces donnés, ces différentes infrastructures et la couche qui les regroupe font l'objet d'une régulation, et sont soumises à différents niveaux de législations et de juridictions, tant nationales qu'internationales.

La couche physique et ses éléments peuvent être la cible d'actes malveillants, soit via le cyberespace, soit par des moyens tout à fait conventionnels et classiques : endommagement, altération, destruction, neutralisation, perturbation du fonctionnement, etc.

La deuxième couche du cyberespace est la couche logique. Elle comprend l'ensemble des programmes qui permettent d'accéder aux différents réseaux du cyberespace, de les exploiter, d'assurer le transport des données, etc. Il s'agit des différents protocoles, langages et autres logiciels mis en oeuvre dans le cyberespace.

C'est cette couche qui constitue classiquement la cible des menaces cybernétiques, car elle est relativement facile d'accès. Par ailleurs, ses éléments présentent par nature des vulnérabilités. Il peut par exemple s'agir d'une erreur dans le code informatique d'un équipement, qui constitue alors une faille. À titre d'exemple, on estime qu'une erreur est présente en moyenne toutes les 1 000 lignes de code. Pour donner un ordre d'idée du nombre de failles potentielles – qui peuvent être d'importance et de gravité très diverses –, Google et l'ensemble des projets associés représenteraient deux milliards de lignes de code, Facebook plus de 60 millions, une FREMM plusieurs millions.

Dans la couche logique, le code constitue à la fois la vulnérabilité et le principal levier d'action, précisément pour exploiter les vulnérabilités adverses. L'attaquant est alors à la recherche de failles de sécurité susceptibles d'être exploitées. Les plus valorisées sont les failles dites zero-day. Il s'agit de vulnérabilités affectant un système, inconnues de leur concepteur, qui n'ont jamais été identifiées et répertoriées, qui n'ont jamais fait l'objet d'une publication, et dont la communauté de la sécurité informatique n'a donc pas connaissance. Elles confèrent donc à leur « découvreur » un avantage tactique certain, du moins jusqu'à ce que, une fois dévoilées, des correctifs leur soient apportés.