Cyber Defence Pledge

Defence Offense Signpost Showing Defending And Tactics

Aujourd’hui, l’Engagement en faveur de la cyberdéfense, le Cyber Defence Pledge, est un pilier majeur de la stratégie cyber de l’OTAN. Cet outil, méconnu, est à la base du développement d’une doctrine cyber au sein des Alliés. Lors du prochain sommet de l’Alliance de l’Atlantique Nord, qui se tiendra à Bruxelles les 11 et 12 juillet 2018, les chefs d’État et de Gouvernement lanceront la seconde étape du Cyber Defence Pledge. Mais d’où vient-il ?

PAR SEBASTIEN GARNAULT

Un nouveau théâtre d’opération de l’otan

L’Alliance, comme toutes les organisations modernes, a dû faire sa révolution numérique. Ce double mouvement, interne et externe, s’ajoute à la raison d’être de l’OTAN : la défense des Alliés. Il s’agit là d’une nouveauté dans la transformation numérique des organisations, quelles qu’elles soient, car aucune n’a pour objet la sécurité active de ses membres par l’emploi de la force. Or, jusqu’à récemment, la défense et la sécurité jouissaient de définitions claires et complémentaires. La frontière entre civil et militaire relevait du terrain. Le conflit était physique, tangible, immédiat autour d’une frontière bien identifiée. La menace était celle de l’arme cinétique, dont l’usage était attribuable aux États selon la tenue du soldat qui l’utilise. L’on retrouve cette approche conventionnelle, presque historique, dans le traité fondateur de l’OTAN de 1949. Son célèbre article 5, clef de voute de l’Alliance, permet l’assistance mutuelle entre Alliés, « y compris l’emploi de la force armée ». Avec la menace digitale, c’est l’ensemble de la terminologie otanienne qu’il a fallu redéfinir, à commencer par la notion même d’arme. En 2014, lors du sommet du Pays de Galles, les Alliés prennent, notamment, deux décisions majeures : l’OTAN doit protéger ses réseaux et l’article 5 peut trouver à s’appliquer en réponse à une cyberattaque de grande ampleur. En dehors de toutes confrontations cinétiques traditionnelles, il peut y avoir un conflit impliquant les États membres de l’OTAN. L’arme, en tant qu’outil de défense et de protection, est désormais, elle aussi, numérique.

Mais le sommet de Varsovie, en juillet 2016, va produire la plus grande avancée. Actant que les Alliés considèrent désormais les cybercapacités comme un instrument légitime et nécessaire de leur boîte à outils stratégique, aux côtés de la diplomatie, des performances économiques et de la puissance militaire, le cyberespace devient un théâtre d’opération. Le champ de la cyberguerre est créé et ouvert aux armées traditionnelles équipées de capacités digitales. Le Cyber Defence Pledge est adopté, la déclaration est publique, signe fort dans le cadre feutré de la diplomatie otanienne. Les Alliés s’engagent formellement à renforcer leur cyberdéfense et, surtout, à évaluer leurs progrès. Sur ce nouveau champ de bataille, l’OTAN doit ainsi aider ses membres à renforcer leurs propres capacités et compétences dans le domaine de la cyberdéfense. Application digitale de son article 4, les États « maintiendront et accroîtront leur capacité individuelle et collective de résistance à une attaque armée ». Le Cyber Defence Pledge en devient alors l’outil incontournable.

Leadership et influence française

En 4 ans, l’OTAN est en capacité diplomatique, juridique et physique d’intervenir sur le champ cyber. L’émergence de nouvelles menaces a fait basculer le soldat aux cotés de l’ingénieur. Et sur le terrain, comment faire ? Car si les dirigeants internationaux ont une vision commune du cap, la trajectoire reste quant à elle bien trouble pour des Alliés de taille décorrélée, aux ambitions asymétriques et aux moyens inégaux. C’est ici que la France prend un leadership qu’elle n’abandonnera plus. « Il y a deux ou trois ans, certains alliés avaient des difficultés à mobiliser le politique. Le pledge a permis de mobiliser leur gouvernement », rappelle un diplomate français fin connaisseur du dossier. Initié par un non-paper transmis par la France au secrétariat international de l’Alliance, soutenu par les Britanniques, la diplomatie hexagonale se heurte à deux obstacles de taille : la sensibilisation des Alliés et le refus de la stigmatisation. Si l’on comprend rapidement l’enjeu de faire connaître la nature des menaces émergentes induites par la transformation numérique, la stigmatisation interpelle. « Les Alliés ont d’abord vu le pledge comme un outil d’évaluation, avec les premiers et les derniers. C’est tout l’inverse. Nous souhaitions instiller une dynamique politique pour qu’il y ait un véritable engagement », poursuit notre diplomate. « Nous avons établi un questionnaire avec les anglais que nous avons transmis à l’OTAN. De ce questionnaire nous avons extrait des indicateurs qui permettent de mesurer les efforts nationaux. Et bien sur, ce n’est pas rendu public. ». Cette co-construction a abouti à une prise de conscience générale des Alliés et à l’annonce de Varsovie. Le Cyber Defence Pledge, faisant consensus, pouvait alors prospérer en tant qu’outil de référence pour les nations en donnant 7 indicateurs de mesure : les capacités, les ressources, l’interaction entre les nations, la compréhension commune, le savoir-faire et l’hygiène numérique, les exercices et la mise en œuvre des engagements.

Vers un parapluie numérique ?

Cette victoire diplomatique a donc permis de mobiliser les Alliés, de faire avancer l’influence douce française et d’apparaître auprès des États comme l’un des leaders en matière de cyberdéfense. « Nous avons besoin des Alliés pour faire avancer le pledge et l’expérience de la France est très importante pour nous », déclarait Jamie Shea, secrétaire général adjoint de l’OTAN délégué aux défis de sécurité émergent, lors de sa visite à Rennes en 2016. Ce qu’il n’est pas dit, c’est qu’en l’absence d’initiatives nationales au sein des Alliés, la réaction « article 5 » allait se concentrer sur les États les plus en avance, comme la France. Or, il n’est pas budgétairement possible ni souhaitable que la France, ou d’autres, endosse ce rôle et assure cette mission.

Mais nous dirige-t-on alors vers une cyberdéfense intégrée au niveau de l’OTAN, à l’image du parapluie nucléaire américain ? Le Cyber Defence Pledge apporte quelques réponses et rappelle notamment la complémentarité nécessaire entre les efforts conduits dans le cadre de l’OTAN, qui se limitent à la sphère militaire, et ceux de l’Union européenne qui impactent plus fortement le monde civil. Or, du coté européen, si chaque États-membres convient de l’importance de collaborer, aucun, la France en tête, n’est encore prêt à abandonner ce pan de souveraineté. Une protection cyber intégrée ne semble donc pas encore à l’ordre du jour. « Lors du prochain sommet de l’OTAN, la seconde évaluation du Cyber Pledge révisé sera communiquée. Nous pourrons donc enfin comparer et mesurer les résultats concrets du pledge », conclut notre diplomate. Ce retour d’expérience est attendu alors que le secrétaire général de l’OTAN, Jens Stoltenberg, a été renouvelé dans ses fonctions pour deux ans le 16 décembre dernier et « envisage un cybercommandement » de l’OTAN.