Intervention de Alexandra Valetta Ardisson

Troisième et dernière couche : la couche cognitive. Il s'agit de la couche du sens et du contenu visibles sur les divers sites et pages Internet, dans les systèmes de messagerie électronique ou sur les réseaux sociaux. Si les deux premières couches sont des couches techniques, la couche cognitive est celle de la valeur « sociale et intellectuelle », qui constitue le coeur du cyberespace. C'est une couche par essence ouverte et globale, impossible à réguler totalement compte tenu de son étendue et de sa nature. Sans même évoquer le darkweb, on estime ainsi qu'il existe plus d'1,8 milliard de sites Internet représentant plus de 4,5 milliards de pages. Chaque minute, 400 heures de vidéos sont téléchargées sur la plateforme YouTube, 216 millions de photos sont « aimées » sur Facebook et 350 000 tweets sont publiés sur Twitter.

L'étendue de cette couche emporte un grand nombre de vulnérabilités associées, chaque élément pouvant être exploité, transformé, détourné par un acteur malveillant. Nous en avons encore eu la preuve à l'occasion de grands rendez-vous démocratiques récents. Je pense aux cyberattaques subies par le Democratic National Committee lors de la campagne présidentielle américaine de 2016, ou à celles qui ont ciblé le site Internet du mouvement En Marche ! lors de la campagne présidentielle française de 2017.

C'est sur cette couche que se déploient l'information, mais également la désinformation, les activités de propagande ou encore les rumeurs et autres fake news. Si de telles réalités sont anciennes, la numérisation et l'interconnexion des sociétés permettent la production et la diffusion des contre-vérités à l'échelle industrielle.

Je souhaiterais maintenant présenter les spécificités du milieu cyber comme espace de conflit, du point de vue de la défense nationale.

Le cyberespace écrase les distances et le temps. Nous l'avons souligné : le cyberespace ne connaît pas de frontières. Il n'existe pas de cyberespace français dont la violation constituerait une atteinte. Aussi et pour reprendre un terme militaire : il n'y a pas de front dans le cyberespace, ou alors il s'agit d'un front global. De fait, l'espace cyber pousse à l'extrême la disjonction entre, d'une part, la présence physique d'un acteur et le lieu de déclenchement de son action et, d'autre part, les effets de cette action.

Inversement, une attaque ciblée a priori peut, du fait de l'interconnexion des différents acteurs, également toucher une « victime collatérale ». Tel fut le cas pour la société française Saint–Gobain, victime indirecte mais bien réelle de la cyberattaque NotPetya qui avait ciblé l'économie ukrainienne en 2017. Le groupe français a ainsi été touché par le biais d'une filiale située dans ce pays, laquelle utilisait un logiciel de comptabilité dont la mise à jour avait été piégée, et qui a servi de canal à la dissémination du virus.

Par ailleurs, le cyberespace offre une protection naturelle aux auteurs d'actes malveillants. Un attaquant situé dans un pays donné peut parfaitement déclencher son action à partir d'un équipement situé dans un pays tiers, voire effectuer de multiples « rebonds » afin de masquer la véritable origine de l'attaque. C'est l'une des difficultés à laquelle se heurtent les autorités et services chargés d'attribuer une cyberattaque. Nous y reviendrons.

En s'affranchissant de l'une des barrières les plus contraignantes qui soit – la distance, et donc le temps – l'attaquant dispose dans le milieu cyber, d'un avantage stratégique non négligeable : l'effet de surprise.

Le temps est un autre facteur classique déterminant dans les espaces traditionnels de conflits. Là encore, le cyberespace s'en distingue puisque la dimension temporelle devient secondaire. Une cyberattaque peut présenter un caractère foudroyant. En une seule commande, en un « clic » de souris, un attaquant peut obtenir de manière quasi instantanée l'effet recherché : corruption d'un système, défiguration, blocage, ou encore déni de service.

Toutefois, si la transmission des ordres informatiques se caractérise par sa rapidité extrême, l'action cybernétique peut également favoriser le temps long. Certaines formes de corruption de systèmes, notamment les bombes logiques, peuvent en réalité être présentes dans ces systèmes pendant une longue période avant d'être déclenchées ou de se déclencher de manière automatique.

Par ailleurs, les attaques informatiques nécessitent une phase de préparation parfois longue afin d'analyser la cible de la manière la plus fine possible. Après le déclenchement de l'attaque, les phases d'intrusion au sein d'un système puis d'exploitation de celui-ci peuvent également nécessiter du temps, surtout si l'architecture du système visé est complexe. À titre d'exemple, la cyberattaque qui a affecté TV5 Monde s'est déroulée sur près de trois mois, entre l'intrusion dans les réseaux de la chaîne et la production des effets de l'attaque.

Enfin, l'attaquant ne cherche pas systématiquement à conférer une publicité à son acte. Car l'efficacité de certaines atteintes repose au contraire sur le caractère indétectable de celles-ci. On pense notamment au vol de données.

Le cyberespace permet par ailleurs un certain nivellement des rapports de force. Cela tient d'abord à la relative facilité d'accès aux technologies cyber. Alors qu'il est assez malaisé de se procurer des armes « classiques », compte tenu de l'existence de régimes de régulation et d'interdiction, l'accès aux potentielles armes cyber est relativement ouvert. Par ailleurs, même « rustique », un programme malveillant répliqué des centaines de milliers de fois peut produire des conséquences massives. Soulignons enfin la disproportion entre la « taille » d'une arme cyber et ses effets : on estime ainsi que le virus Stuxnet, qui a affecté le fonctionnement de certains sites nucléaires iraniens en 2010, « pesait » entre 500 kilo-octets et 1 méga-octet selon les versions, soit l'équivalent d'une simple photographie numérique de qualité raisonnable.

En second lieu, ce nivellement est la conséquence d'une imbrication entre les milieux civil et militaire, qui brouille la ligne de partage traditionnelle des conflits. Dans le cyberespace, le rapport entre cibles civiles et militaires s'inverse puisque les premières représentent la « norme ». Elles sont, du reste, comparativement moins bien protégées que les secondes et constituent à cet égard des cibles de choix pour les attaquants. Or même ciblées sur des éléments exclusivement civils, des atteintes peuvent mettre en danger le fonctionnement normal d'une société, voire la survie de la Nation. Le cyberespace produit donc une confusion entre les sphères civiles et militaires, à rebours de la pensée stratégique traditionnelle et des régimes juridiques applicables aux conflits. En effet, ceux-ci reposent sur une distinction claire, même si elle n'est pas toujours respectée en pratique, entre ces deux champs.