Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Les cyberattaques se multiplient et la cyber sécurité devient un enjeu majeur pour les entreprises et les pays du monde entier.
Les cyberattaques se multiplient et la cyber sécurité devient un enjeu majeur pour les entreprises et les pays du monde entier.
©NICOLAS ASFOURI / AFP

Points faibles

Cyber puissance : une étude britannique montre que les Chinois ont un retard de 10 ans sur les Etats-Unis. Quid de l’Europe ?

Les chercheurs anglais de ce Think Tank d'études stratégiques ont classé 15 pays sur un éventail de cybercapacités en trois catégories, allant de la force de leurs économies numériques aux opérations militaires, jusqu’aux fonctions de sécurité. Seuls les États-Unis sont classés en première catégorie, très loin devant la Chine et la France, l’unique pays de l’UE sur cette liste.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » d u « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).
Voir la bio »

Atlantico : Selon de nouveaux critères qualitatifs retenus par l’IISS, la cyber puissance chinoise aurait au moins une décennie de retard sur les États-Unis. Quels seraient donc les points faibles de la Chine en la matière, si l’on considère ce nouveau référentiel anglo-saxon ?

Franck DeCloquement : La démarche de cet institut anglais de recherche s'expose naturellement et fort logiquement à la critique. Et ceci, bien entendu, au regard du niveau de secret entourant des capacités opérationnelles réelles des nations considérées en matière cyber. Des capacités qu’il est par ailleurs impossible de vérifier avec certitude, à moins d’être dépositaire soi-même d’informations hautement classifiées, uniquement disponibles auprès des centrales de renseignement adéquates.

Les atouts de la Chine en tant que cyber puissance seraient minés par une sécurité médiocre et une analyse du renseignement assez faible, selon cette étude qui prédit aussi que Pékin serait incapable d'égaler les cybercapacités américaines en la matière, pendant une décennie au moins. La Chine, comme la Russie, possède pourtant une expertise avérée dans les cyber-opérations offensives – menant des campagnes d'espionnage en ligne, de vol de propriété intellectuelle et des actions de désinformation notables contre les États-Unis et leurs alliés. Mais les deux pays ont aussi été semble-t-il freiné dans leurs ardeurs par une cybersécurité relativement lâche et défaillante par rapport à leurs concurrents géopolitiques, selon l'IISS. En conséquence, seuls les États-Unis sont classés comme une « cyber puissance de premier plan » par le groupe de réflexion, avec la Chine, la Russie, le Royaume-Uni, l'Australie, le Canada, la France et Israël au deuxième rang. Le troisième rang comprenant lui l'Inde, l'Indonésie, le Japon, la Malaisie, la Corée du Nord, l'Iran et le Vietnam.

« Le cyberespace est devenu, peut-être de façon irréversible, un nouvel environnement essentiel et risqué pour la politique et la compétition entre Etats au XXIe siècle. Il est aussi devenu un domaine majeur, si ce n'est le domaine majeur, du crime organisé », estime le rapport. Dans le cadre de la conflictualité ou des rivalités géopolitiques entre puissances – alliées ou ennemies – rien n’est jamais simple, ni même anodin. Cette étude qui a vocation manifeste à influencer les représentations des acteurs décideurs le démontre aussi en creux. Si l’Internet est aisément définissable et identifiable, le cyberespace lui demeure plus « englobant » et beaucoup plus « virtuel » pour un grand nombre de nos concitoyens et de nos décideurs politiques. Il évoque tout à la fois un monde « virtuel » et « dématérialisé », perçu comme « sans frontières » et « anonyme », fait de libertés, de partage et de communication sans entrave... Mais également comme un « espace » très dangereux et nébuleux, dans lequel des comportements les plus vils et les plus lâches – traditionnellement réprimés en société – peuvent encore s’exprimer sans une répression corrélative très sévère des autorités nationales. Là où certains y voient la promesse d’un accroissement de la démocratie, du progrès économique et d’un monde pacifié par les échanges et le commerce sans entrave, d’autres comme votre serviteur et de nombreux autres spécialistes du domaine, y perçoivent aussi l’avènement d’une surveillance généralisée des Etats belligérants ou autoritaires, d’un Big Brother ultime quand il tombe entre de mauvaises mains, et d’un outil absolu de sidération pour le contrôle des populations, à des fins de conditionnements sociétaux et de manipulations corrélatives.

Une représentation initialement « somnambulique » et bienveillante, réveillée en somme très durement par la publication soudaine des révélations inattendues et abruptes d’un Edward Snowden en 2013, quant aux pratiques d’espionnage planétaire de la NSA. L’exercice de la cyber-puissance ou des cyber-opérations  dans le cyberespace par les Etats en pointe, est empreint de représentations dont ces quelques exemples catégoriels sur lesquels s’appuient les distinctions du rapport de l’IISS, à des fins d’influence, matérialisent déjà les rapports de conflictualités et de force patents entre nations antagonistes. Ce document participe naturellement de cette quête de supériorité entre Etats concurrents, en rixes cyber-offensives induites... En la circonstance, et dans le cadre de cette lutte fratricide entre Etats-Unis et  Chine (un combat qui s’intensifie de jour en jour), replaçons peut-être aussi les choses dans leur contexte d’apparition, à des fins de compréhension étendue des enjeux. Et ceci, afin de mieux percevoir aussi ce dont il retourne peut-être ici, à travers cette communication par un vecteur spécialisé comme l’IISS au demeurant.

Les résultats ostensibles qui nous sont présentés par l'Institut international d'études stratégiques (et par le truchement des très nombreuses reprises médiatiques opportunes, et à effet de résonnances maximales dans la presse internationale), proviennent en droite ligne de son dernier rapport en date, à visée d’influence. L’International Institute for Strategic Studies (IISS) fondé à Londres en 1958, et basé très exactement depuis 1997 à Arundel House, est devenu l’un des Think Tanks d’études stratégiques parmi les plus réputés au monde. Il n’est évidemment pas inconnu des spécialistes du renseignement en France et de la diplomatie internationale. Et pour cause : il se décrit lui-même (dixit) comme : l'« autorité majeure en matière de conflits politico-militaires ». Il édite notamment la prestigieuse revue « Survival », et publie chaque année un vaste rapport sur l’état des capacités militaires à travers le monde, le « Military Balance ». L’IISS propose également une importante base de données (payante) sur les conflits armés, dont les dernières évolutions sont depuis 2015 présentées annuellement dans le « Armed Conflict Survey ».

L’IISS se présente aussi comme : « une source primaire d'informations précises, objective sur des problèmes stratégiques internationaux pour les politiciens et diplomates, les analystes des affaires étrangères, les milieux internationaux d'affaires, les économistes, les militaires, les commentateurs de la défense, les journalistes, les universitaires et le public informé ». L'institut affirme dans sa présentation ne faire allégeance à aucun gouvernement, ni à aucune organisation politiques, bien qu’il s’agisse d’un organisme notoirement financé ayant une vocation très nette à l’influence de la décision gouvernementale. Et ceci, sur un très large spectre de décideurs politiques et publics « haut de gamme », comme tout bon Think Tank anglo-américain qui se respecte. Les analystes avertis jugeront d’eux-mêmes…

Cependant, il est peut-être opportun de rappeler aussi, et de triste mémoire, la controverse peu glorieuse dont il fut pourtant l’objet dans le cadre de la polémique vivace sur les armes de destruction massive irakiennes. Le Français François Heisbourg, alors Senior Adviser pour l'Europe de l'IISS, avait été très fortement critiqué pour avoir affirmé dans le journal « Le Monde » du 10 septembre 2002, au lendemain de la publication par l'IISS du dossier « Iraq's Weapons of Mass Destruction : A Net Assessment », que « les armes biologiques et chimiques existent bel et bien ». Le rapport de l'IISS, qui avait été très largement diffusé par la suite, et présenté par François Heisbourg lui-même (notamment à Bruxelles où l'IISS bénéficie d’une très forte audience), et à une période particulièrement critique dans le débat international, sera corrélativement utilisé par Tony Blair, mais aussi par l'administration américaine d’alors, pour justifier la guerre d'Irak… Le scandale provoqué par le suicide du Dr Kelly obligeant Alastair Campbell au départ (l’ancien directeur emblématique de la communication et de la stratégie de Downing Street sous Tony Blair), révélera plus tard les affres d’une mécanique redoutable sous-jacente : celle de la « Strategic Communication Unit », qui établissait chaque semaine le « Grid » (cette « grille » qui était une sorte de script que tout ministre se devait de suivre au mot près). Les thèmes ou le storytelling du jour retenu étaient testés auprès de panels d'électeurs cibles, et de focus groups. Une immense base de données, baptisée « Excalibur », absorbait, disséquait puis comparait alors les moindres déclarations des adversaires politiques de l’équipe au pouvoir. Avec Alastair Campbell à sa tête, cette véritable machine de guerre de l’information et d’action sur les perceptions a tourné à plein régime pendant la crise irakienne. Messages condensés en une phrase et resservis d'une interview à l'autre… Production de briefings anonymes à destination de la presse... Dossiers montés à charge contre Saddam Hussein, établis en coopération avec les services de renseignement du royaume, et publiés suivant un calendrier très précis… Autrement dit, une sorte d’unité de Psychological Operations (PSYOP), selon la terminologie militaire bien connue. Le scandale depuis révélé aux yeux du monde, est né du mariage très trouble entre les centrales du renseignement britanniques et de certains « spin doctors », tel qu’Alastair Campbell. Le conseiller spécial de l’ancien Premier ministre Tony Blair a depuis avoué que des pans entiers d'un rapport attribué aux services de renseignement ont été en réalité extraits d'une thèse universitaire vieille de douze ans... Fin mai 2003, un journaliste de la BBC, Andrew Gilligan, affirma aussi que Downing Street avait en outre gonflé un autre rapport sur les armes de destruction massive irakiennes. Le même Campbell, en bon « communicant de combat », choisit alors l’arme de la contre-attaque pour se défendre. Sa guerre avec la BBC (cette institution presque aussi respectée que la Couronne en Angleterre), se solda par le suicide du Dr Kelly, le microbiologiste qui avait été la source principale du journaliste Andrew Gilligan…

Ceci posé à des fins d’éclairage, il aura fallu deux années d'études approfondies produites – nous dit-on – par les chercheurs de cet institut, pour (dixit) : « comprendre comment classer la cyber capacité des États ». Et ceci à l'échelle mondiale. L’objectif final recherché ? Il est assez simple au demeurant à reconstituer, à en croire la présentation elle-même et les préceptes de l’IISS rappelés précédemment : « ce rapport est destiné à aider la prise de décision nationale, en indiquant par exemple les cyber-capacités qui font la plus grande différence pour le pouvoir national. Ces informations peuvent aider les gouvernements et les grandes entreprises à calculer le risque stratégique et à décider d'un investissement stratégique. »

Traduction : l’étude se fait forte de fournir une nouvelle grille de lecture et d’analyse qualitative, qui se présente comme majeure, concernant les capacités de cyber puissance réelle de 15 pays qualifiés. Et ceci, en établissant un nouveau cadre normatif d’inspiration anglo-américaine, pour mieux juger de la cyber-capacité réelle des États considérés par cette publication. La messe est dite. Il apparaitra donc cohérent pour nos lecteurs avisés que la Chine en fasse logiquement les frais dans ce contexte. Sans préjuger aucunement de la qualité réelle ou de la pertinence de cette étude – appuyée sur la contribution de nombreux experts – l'IISS affirme « demeurer le seul auteur de cette publication, et en assume l'entière responsabilité de son contenu ».

S’ensuit sur son site la présentation des heureux élus : « les pays couverts dans le rapport sont les États-Unis, le Royaume-Uni, le Canada et l'Australie (quatre des alliés du renseignement de « Five Eyes ») ; la France et Israël (les deux partenaires les plus cyber-capables des états « Five Eyes ») ; le Japon (également allié des États des « Five Eyes », mais moins capable dans les dimensions sécuritaires du cyberespace, malgré sa formidable puissance économique) ; la Chine, la Russie, l'Iran et la Corée du Nord (les principaux États constituant une cybermenace pour les intérêts occidentaux) ; et l'Inde, l'Indonésie, la Malaisie et le Vietnam (quatre pays à des stades plus précoces de leur développement de la cyber-puissance). »

Les capacités de chaque pays sont donc évaluées dans les sept catégories choisies suivantes : Stratégie et doctrine, Gouvernance, commandement et contrôle, Capacité de cyber-intelligence de base, Cyber-empowerment et dépendance, Cybersécurité et résilience, Leadership mondial dans les affaires du cyberespace, Cyber capacité offensive. Le Think Tank « entend poursuivre ses recherches sur le cyber-pouvoir et mener un dialogue d'experts sur le sujet, guidé par ses équipes à Berlin, Londres, Manama, Singapour et Washington DC. Dans de futures publications, nous avons l'intention de mener une analyse plus approfondie des cyber-campagnes offensives ».

Les données de cette étude nous amènent-elles pour autant à baisser la garde face à l’expansionnisme numérique chinois ?

Franck DeCloquement : Les Occidentaux sont de très longues dates édifiés sur les intentions chinoises notables en matière d’expansionnisme. Et notoirement dans cette nouvelle dimension qu’est le cyberspace. En outre, au-delà du monde civil, on observe plus récemment dans le monde militaire une certaine propension des spécialistes qui produisent de la connaissance à la « spatialisation » du cyberespace, qui est d’ores et déjà considéré par plusieurs armées comme le cinquième domaine des opérations militaires après la terre, la mer, l’air et l’espace. La représentation du cyberespace comme « entité spatialisée » émerge au début des années 2000 dans le discours des états-nations qui cherchent à investiguer et à circonscrire ce nouveau champ d’action. Face aux développements des nouveaux usages numériques et à l’augmentation de la cybercriminalité (cette dernière désignant en somme « l’ensemble des infractions et des menaces »), les États cherchent corrélativement à affirmer leurs frontières et leur souveraineté dans cet espace d’un nouveau genre. Il s’agit avant toute chose pour eux d’assurer la protection de leurs populations et de leurs installations, la sécurité de leur territoire, la protection de leurs intérêts économiques et stratégiques. Mais, pour certains Etats autoritaires, il s’agit également de protéger et de pérenniser leur régime politique via des mesures de contrôle social et de surveillance globale, comme en Chine. Le cyberespace représente pour les dirigeants des États du monde un véritable défi autant qu’une aubaine, car il revient en somme à remettre en question et à réinterpréter l’exercice classique de leur pouvoir et de leur autorité.

Dans le cadre de la question posée, soyons lucides : l’objet même des actions cybercriminelles ou cyber-offensives (poursuivant des fins de cyberguerre menées dans le « cybermonde »), par le truchement des technologies informatiques adéquates, permet justement pour les agresseurs d’échapper dans la majeure partie des cas à l’identification ou « l’attribution » certaine, et aux griefs des sanctions corrélatives des nations attaquées. Il n’y a qu’un seul État cité qui excelle en tout point dans la première catégorie retenue par l’étude produite par l’IISS : et ce n’est ni la Chine, ni la Russie, ces fameux « Usual Suspects » (le palmarès des suspects habituels) dès qu’une opération offensive est révélée. Il s’agit des Etats-Unis qui ont, selon l’étude, quelque dix ans d’avance sur les Chinois à en croire ses rédacteurs. Si les États-Unis sont les seuls à cocher toutes les cases de la première catégorie, il y en a plus en deuxième catégorie : au nombre desquels la Chine et la Russie, mais aussi la France, seul pays de l’Union européenne qui apparait dans cette liste. On y trouve également Israël, le plus petit des pays de son groupe, mais dont on connait cependant les capacités cyber-offensives que l’Etat Hébreu n’hésite jamais à les mettre en œuvre, notamment contre l’Iran. L’Iran quant à lui se retrouve en troisième catégorie, loin derrière donc. Les autres pays de la catégorie sont tous situés en Asie : Japon, Inde, Corée du nord, Vietnam, Indonésie et Malaisie. On trouve dans cette publication un état du monde contrasté entre les pays qui ont naturellement les capacités technologiques et militaires pour occuper ce nouveau terrain, et ceux qui n’en ont pas nécessairement les moyens, mais ont toutefois fait des choix stratégiques. L’un des meilleurs exemples restant peut-être celui de la Corée du nord, très faiblement numérisé et économiquement en retard, mais qui, dans le nucléaire ou le cyber, a développé en revanche des capacités cyber-offensives bien au-dessus de ses moyens corrélatifs.

Si la Chine a dix ans de retard sur les Etats-Unis, à combien peut-on évaluer le retard européen ?

Franck DeCloquement : Robert Hannigan, qui fut l’ancien directeur du GCHQ, l'agence de renseignement britannique, a récemment déclaré qu'il était d'accord avec de très nombreuses conclusions de ce rapport de l'IISS, mais s’est toutefois demandé à quel point Pékin et Moscou seraient réellement freinés par leur faible niveau de cyberdéfense corrélatif : « il est vrai que la cybersécurité est moins bien développée en Russie et en Chine, mais ils en ont moins besoin que les économies occidentales beaucoup plus ouvertes », a déclaré Hannigan. Car « la menace n'est pas symétrique : les économies occidentales sont assiégées par des groupes de cybercriminels tolérés par la Russie,  ou autorisés par elle – il n'en va pas de même à l'inverse. » Ajoutant  que si la Russie était convaincue que les occidentaux ne cibleraient pas aveuglément ses infrastructures civiles critiques de manière destructrice (œil pour œil, dent pour dent), les centrales du renseignement russes pouvaient dès lors s’octroyer « le droit d'être imprudentes ». Et « cela exige naturellement en retour, des niveaux plus élevés de cybersécurité à l'ouest », a-t-il conclu dans la foulée.

On le voit, l'ère digitale a très profondément refaçonné la dynamique mondiale, de sorte que des pays traditionnellement puissants comme l'Inde et le Japon ont d’ores et déjà commencé à prendre du retard dans cette nouvelle dimension, les reléguant imperceptiblement en troisième division des cyber-opérateurs selon l’IISS. Tandis que des pays plus modestes comme Israël ou l'Australie ont parallèlement développé des cyber-compétences de pointe, à même de les propulser en deuxième division. Dans ce nouvel univers de référence qu’est le cyberspace, il demeure important de pouvoir évaluer correctement les capacités des acteurs en présence et des parties prenantes, à l’échelle planétaire, pour pouvoir espérer fixer à terme « les nouvelles règles du jeu » géopolitique. L’étude de l’IISS à de toute évidence vocation à assoir cette vision stratégique qui octroie d’emblée une avance notable aux Américains « Gendarmes du monde » et leurs alliés, afin – peut-être – de tenir en respect bien des ardeurs adverses… Russes et Chinoises au premier chef.

C’était déjà le propre de la dissuasion nucléaire dans ce qui fut appelé « l’équilibre de la terreur » dans la période stratégique précédente, lorsque Américains et Soviétiques avaient chacun cette capacité de se détruire l’un l’autre, et la planète avec. Greg Austin, l’un des experts du cyber et des conflits futurs à l'IISS, a déclaré que les reportages diffusés dans les médias occidentaux se concentraient essentiellement sur les aspects positifs des avancées numériques Chinoises, telles que cette aspiration à vouloir devenir un leader mondial de l'intelligence artificielle (IA). Ceci ayant contribué à une perception exagérée de ses prouesses cyber véritables : « à tous égards, le développement des compétences en matière de cybersécurité en Chine est dans une position pire que dans de nombreux autres pays », a-t-il déclaré dans la presse. 

Selon le rapport, l'accent mis par Pékin sur la « sécurité du contenu » – la limitation des informations politiquement subversives sur son Internet national – pourrait aussi avoir contribué à diminuer sa concentration et son acuité sur la protection des infrastructures et des réseaux physiques qui transportent la data et véhiculent le signal. L'IISS suggère également que l'analyse chinoise du cyber-renseignement était « moins mature » que celle des alliés américains du renseignement, les fameux « Five Eyes » (les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande), car elle était motivée par l'idéologie et « de plus en plus liée à des objectifs politiques » des dirigeants du parti communiste.

La France, est le seul pays de l’Union européenne qui tire son épingle du jeu dans cette liste de deuxième division, avec la Chine, la Russie, le Royaume-Uni, l’Australie, le Canada, et Israël. Peut-être qu’une coopération étroite de longue date en la matière avec les Etats-Unis lui a-t-elle attiré les bonnes grâces des rédacteurs de ce document. Elle travaille avec ses alliés pour renforcer ses capacités cyber tout en cherchant à se démarquer dans le même temps, en s’appuyant sur ses propres capacités et force technologies. Mais le tout, sans forcément convaincre.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !