Guerre en Ukraine: « L’Ukraine est aujourd’hui mieux préparée en cyberdéfense »

Chercheur en cyberstratégie à la Fondation pour la recherche stratégique (FRS), Nicolas Mazzucchi estime qu’une cyberattaque russe contre un Etat membre de l’Otan pourrait avoir des conséquences sur le terrain militaire.

A côté des chars qui envahissent l’Ukraine, un autre front, tout aussi dangereux mais moins visible, se profile: celui des cyberattaques. L’auteur de Gagner les cyberconflits (Eyrolles, 2015), Nicolas Mazzucchi, inventorie les capacités d’attaque de la Russie, de défense de l’Ukraine et les effets de cette autre guerre pour les Occidentaux.

Quelles sont les forces réelles de la Russie en matière de « cyber- espace »?

Comme souvent, elles sont très difficiles à évaluer précisément, car le domaine se prête particulièrement à la dissimulation, ce que la Russie fait extrêmement bien. En regardant trois éléments « tangibles », à savoir les infrastructures majeures de connexion, le niveau de l’industrie des technologies de l’information et de la communication (TIC) et la formation universitaire des spécialistes, il est probable que la Russie ne puisse être comparée aux superpuissances du cyber que sont les Etats-Unis et la Chine. Dans le domaine technique, elle présente de nombreuses faiblesses inhérentes à son histoire – notamment les années 1990 pendant lesquelles s’est structurée la connexion du pays au cyberespace – qui ne l’empêchent toutefois pas de disposer de capacités de nuisance certaines, dans le domaine informationnel en particulier mais aussi la possibilité de conduire des campagnes de cyberattaques sur des cibles peu ou moyennement protégées.

Dans votre article scientifique intitulé « La Russie et le cyber- espace, mythes et réalités d’une stratégie d’Etat », vous estimez que « la main visible de la Russie dans le cyberespace s’avère moins puissante qu’on pourrait le croire ». Pensez-vous qu’on sur- estime ses moyens en la matière?

La Russie fait tout pour que l’on surestime ses capacités, car c’est son intérêt d’apparaître comme un acteur central sur l’échiquier mondial, disposant de capacités de perturbation stratégique majeures. En outre, les dirigeants russes ont parfaitement compris quelles étaient leurs faiblesses et ont orienté le développement d’un outil cyber vers les domaines qui étaient facilement maîtrisables eu égard aux savoir-faire historiques des services de renseignement du pays comme l’action informationnelle subversive. Ils ont aussi su faire appel à des « partenariats » avec divers groupes – y compris criminels – pour conduire des actions. Cela permet à l’Etat à la fois de dissimuler son action et de disposer de « supplétifs » pour palier ses propres manques.

En face, quelles sont les capacités de « cyberdéfense » de l’Ukraine?

Avant 2014, l’Ukraine était un pays particulièrement exposé à la menace cyber. Le renforcement des capacités de cyberdéfense prend du temps et nécessite des investis- sements relativement importants, ce qui, dans le contexte de l’économie ukrainienne d’alors était complexe à mettre en oeuvre. Depuis 2014, l’Ukraine a bénéficié de partenariats et du soutien de l’Otan – ainsi que des centres d’excellence de l’Otan – et de l’UE pour développer ses capacités numériques et renforcer sa résilience. Sans prétendre que le pays a atteint un niveau comparable aux plus importants membres de l’ Alliance atlantique, il est néanmoins mieux préparé qu’en 2014, en particulier sur la protection cyber de ses infrastructures critiques.

Concrètement, quels sont les effets d’une « cyberattaque »? Quels avantages peut en tirer la Russie et quels dégâts peut en subir l’Ukraine?

Cela dépend à la fois du type de cyberattaque et du genre d’infra- structure visé. Il existe trois grands types de cyberattaques: le sabotage, qui vise à empêcher un système de fonctionner, notamment en le saturant de requêtes pour qu’il n’ait plus la capacité de les traiter ; l’espionnage, afin de s’introduire dans un système, y dérober des données et obtenir un avantage stratégique ; la subversion, dont l’objectif est d’utiliser l’information pour ridiculiser l’adversaire, rallier des partisans, etc. – les attaques de défacement, où l’on remplace la page normale d’un site Internet par une page montrant que le site a été détourné, entrent dans cette catégorie. Bien sûr, les attaques peuvent se combiner: une attaque d’espionnage pour voler des données peut être suivie par un sabotage pour effacer l’ensemble des serveurs de l’agressé (attaque par wiper) pour ensuite prendre le contrôle de son site Internet afin de montrer à quel point il était vulnérable et qu’on ne peut pas lui faire confiance. Au-delà de ces catégories, il faut également prendre en compte la nature de la cible. Une attaque sur l’informatique bureautique d’une entreprise ou d’une administration a, certes, des répercussions importantes en matière de données, mais ne cause pas de dégâts immédiatement dangereux, sauf exception – pensons aux hôpitaux notamment. Au contraire, des attaques qui visent l’informatique opérationnelle – les systèmes de contrôle industriels numérisés – comme les automates de gestion des réseaux électriques, par exemple, peuvent avoir des conséquences extrêmement importantes, voire dramatiques.

On distingue deux types de « cyberattaques »: celles qui visent les « couches basses » du cyberespace et celles qui visent les « couches hautes ». De quoi s’agit-il?

Les couches les plus basses sont celles liées à l’infrastructure même du cyberespace et des réseaux de communication nationaux. Il s’agit typiquement de cibler des câbles, des routeurs, des points de connexion majeurs (Internet Access Point ou IXP), etc. Toute attaque à ce niveau peut bien évidemment avoir un impact majeur sur les réseaux de communication nationaux. En remontant dans les couches, on trouve la couche physique composée de l’ensemble des ordinateurs, smartphones, serveurs, etc. puis, la couche logique qui est composée de l’ensemble des programmes permettant à un être humain de dialoguer avec une machine (logiciel) ou aux machines de dialoguer entre elles (protocole). Enfin, la couche la plus « haute » est la couche informationnelle qui englobe l’ensemble des données transitant au travers des couches plus basses.

La Russie peut-elle cibler d’autres pays que l’Ukraine? Les pays de l’Otan, par exemple…

A ce stade, rien n’est impossible. Toutefois, l’Otan, selon le cas et la gravité de la cyberattaque, pourrait – dans une acception maximaliste – aller jusqu’à considérer celle-ci comme une agression armée à l’encontre du territoire de l’Alliance, ce qui entraînerait l’application de l’article 5 du traité de l’Atlantique Nord: le mécanisme de défense collective. Dans ce cas, on se trouverait avec un conflit Otan-Russie qui pourrait tout à fait ne pas être cantonné au seul domaine cyber.

Pensez-vous que les Etats de l’Otan y soient suffisamment préparés?

Il est très difficile d’estimer le degré de préparation d’un ensemble aussi vaste. Le problème avec la cybersécurité – et la cyberdéfense – est qu’elle est comme une chaîne qui n’est forte que du plus faible de ses maillons. Les organisations comme l’Otan et l’UE plaident pour que chacun des Etats membres investisse au niveau approprié pour maintenir une cohérence d’ensemble dans le domaine, mais c’est particulièrement difficile, notamment dans un contexte de budgets nationaux post-Covid. A ce titre, l’Otan s’appuie en partie sur la coopé- ration avec l’Union européenne, laquelle met en oeuvre des obligations pour les Etats membres en matière de cybersécurité qui ne cessent de se durcir. La Directive NIS (NDLR: Sécurité et réseaux d’information, en français) de 2013 sera bientôt suivie d’une Directive NIS 2 qui durcit les obligations en matière de cybersécurité pour les opérateurs d’importance vitale au sein de l’Union.

Plusieurs observateurs appellent à soutenir l’Ukraine dans le domaine du « cyberspace ». Dans quelle mesure cet appui peut-il être utile ou décisif?

Tout dépend, bien entendu, du niveau d’engagement et de qui s’engage, mais si on reste sur l’hypothèse des pays de l’Otan, ceux-ci regroupent des puissances majeures du cyberespace (Etats-Unis, Royaume-Uni, France, etc.) avec des capacités en lutte informatique défensive qui sont loin d’être négligeables. La mise à disposition de capacités humaines en particulier et de contrôle du trafic Internet pourrait rendre la tâche considérablement difficile aux attaquants potentiels, voire les décourager de conduire certaines attaques.

Dans ce contexte général, une ingérence russe dans l’élection présidentielle française est-elle à craindre?

Il est fort probable, quand on regarde l’ensemble des grandes élections passées, que des manoeuvres d’ingérence de la part d’acteurs extérieurs seront conduites. La question d’un éventuel renforcement de celles-ci de la part de la Russie, spécifiquement envers la France, demeure très difficile à estimer. Ce type de manoeuvre a un effet plus important dans un contexte pacifié ou du moins à l’extérieur d’un conflit ouvert. La condamnation de l’action russe étant quasi unanime, il ne me semble pas dans l’intérêt de Moscou, à ce stade, d’agir en faveur ou en défaveur d’un candidat spécifique. Par contre, que des manoeuvres de perturbation aient lieu, c’est hautement plausible, quelle que soit la situation géopolitique.