Embed Size (px)
Citation preview
Le continuum défense-sécurité dans le cyberespace
Par le général (C.R.) Marc Watin-Augouard
La symbiose entre la lutte contre la cybercriminalité et la cyberdéfense illustre
parfaitement un continuum défense/ sécurité qui se manifeste de manière éclatante dans le
cyberespace. La frontière entre ce qui relève de l’“ordinaire”, la sécurité intérieure, et de
l’“extraordinaire”, la cyberdéfense, est particulièrement poreuse du fait de la connexité des
actions. Le concept de continuum s’applique parfaitement au cyberespace, parce qu’il est
sans frontières et associe dans une même zone grise le délinquant, le terroriste ou le
“guerrier”. Le continuum ne conduit pas à la confusion des genres, les différents modes
d’action dans le cyberespace suivant des règles du jeu qui ne sauraient être confondues. La
réponse aux enjeux de défense et de sécurité exige une étroite coopération inter-
ministérielle, en même temps qu’elle appelle un décloisonnement public/ privé, car l’action
régalienne ne peut suffire. Le continuum connaît une seule limite : l’entrée en vigueur du
droit des conflits armés.
Le concept de continuum
Le continuum défense-sécurité est une réalité avant d’être un concept. Le
continuum prend corps alors que s’achève la Guerre froide et que s’ouvre le temps des
“crises chaudes”. Conséquence de la fin de l’antagonisme Est-Ouest, mais aussi de la
mondialisation, il se manifeste par l’intrication des champs de compétence dévolus à la
défense et à la sécurité, jusqu’alors compartimentés.
Le rapprochement des champs de la défense et de la sécurité
Le vocable “continuum“ est celui qui traduit le mieux le rapprochement entre le
champ de la défense et celui de la sécurité intérieure, tel qu’il est vécu depuis la chute du
Mur de Berlin. Il témoigne de la fin d’une époque dominée par l’alternat paix/ guerre,1 avec
un temps pour le “civil” et un temps pour le “militaire”, une distinction entre l’ennemi et
l’adversaire, une séparation entre le front et l’arrière, etc. La gouvernance du continuum
exige aussi une gestion “rhéostatique” des crises par une réponse graduée qui s’oppose à la
politique du “tout ou rien”. Selon la nature et l’intensité de la crise, le gouvernement doit
disposer de moyens humains et matériels adaptés, tant d’un point de vue qualitatif que
quantitatif. Sa liberté d’action est, en effet, conditionnée par l’absence de rupture
capacitaire, par la possibilité de choisir la nature des forces engagées en fonction des
objectifs poursuivis, par la réversibilité du dispositif. Quelle que soit la nature de la crise,
la réponse ne peut plus être binaire (action civile/action militaire) mais exige une approche
globale, plus composite. Tel le peintre jouant sur la gamme chromatique, le décideur
politique doit pouvoir et savoir combiner l’ensemble des politiques publiques avec un
1 Cet alternat est juridiquement matérialisé par la déclaration de la guerre (art.35 de la Constitution de 1958).
Publié in Res Militaris (http://resmilitaris.net), hors-série “Cybersécurité”, juillet 2015
Res Militaris, hors-série “Cybersécurité”, juillet 2015 2
dosage variable en fonction des circonstances et des effets à obtenir. Selon les phases, la
dominante sera militaire ou civile, avec un “menant” et un ou plusieurs “concourants”.
Le continuum dans la stratégie de sécurité nationale
Formalisée en 1992,2 la notion de continuum n’est pas prise en compte par les
auteurs du Livre Blanc de 1994.3 Toutefois, le texte évoque “des menaces non strictement
militaires [qui] pèseront sur la sécurité nationale et doivent être prises en compte dans la
politique de défense, en particulier celles qui résultent du terrorisme et des activités
mafieuses”. L’enchevêtrement des questions de défense et de sécurité oblige…
à définir des stratégies réunissant l’ensemble des instruments diplomatiques,
financiers, civils, culturels et militaires aussi bien dans les phases de prévention
et de gestion des crises proprement dites, que dans les séquences de stabilisation
et de reconstruction après un conflit.4
En 2008, le Livre Blanc sur la défense et la sécurité nationale affirme clairement
que “la distinction entre sécurité intérieure et sécurité extérieure n’est plus pertinente”,5 et
que “la continuité entre la sécurité intérieure et la sécurité extérieure revêt désormais une
dimension stratégique, dont il est urgent que la France et l’Europe tirent toutes les
conclusions”.6 Ce constat, que le Livre Blanc de 2013 confirme,7 notamment en matière de
terrorisme,8 n’est pas propre à notre pays. Il est partagé par les États appartenant à l’OTAN9
et à l’Union européenne.10 Il est même au cœur d’une décision de la Cour de Justice des
Communautés européennes.11
2 Marc Watin-Augouard, “La gendarmerie et la défense”, Revue Administration, n°154, janvier-mars 1992,
pp.43-45 et “Le continuum”, Armées d’Aujourd’hui, n°171, juin 1992, pp.32-35. 3 Malgré les contributions du Centre de Recherche “Droit et Défense” de l’Université de Paris-V, avec
notamment Olivier Gohin, Bertrand Warusfel et Marc Watin-Augouard. Le Livre Blanc de 1994 cherche à
adapter le dispositif antérieur plus qu’il ne prend en compte les ruptures. 4 Livre Blanc sur la défense et la sécurité nationale, Paris, Odile Jacob/ La Documentation Française, 2008,
p.58. 5 Ibid., p.55. 6 Ibid. 7 Les travaux préparatoires, conduits en 2011-2012, par Francis Delon, Secrétaire général de la défense et de
la sécurité nationale (SGDSN), précisent que “l’idée d’un continuum sécurité intérieure-sécurité extérieure
n’est pas remise en question”. 8 Livre Blanc sur la défense et la sécurité nationale, Paris, Odile Jacob/La Documentation française, 2013,
pp.68 et 104. La référence au terrorisme est prémonitoire. En février 2015, après les attentats qui ont frappé
Paris, Jean-Yves Le Drian, ministre de la Défense, déclare : “Ce qui me frappe le plus c’est le continuum
entre les menaces terroristes intérieures et extérieures” (interview, Europe 1, 8 février 2015). 9 Le nouveau concept stratégique, issu du vingt-quatrième sommet de Lisbonne (novembre 2010), prend en
compte la notion de continuum. 10 Avec la mise en œuvre du traité de Lisbonne, le 1er décembre 2009, la PESD devient la PSDC (politique de
sécurité et de défense commune). 11 CJCE (aujourd’hui Cour de Justice de l’Union Européenne – CJUE), arrêt Leiffer, 17 octobre 1995 : [Il est]
“difficile de faire une distinction claire et nette entre les considérations de politique étrangère et des
considérations de politique de sécurité. De surcroît […] la sécurité d’un État peut de moins en moins être
envisagée isolément dans la mesure où elle est étroitement liée à la sécurité de la communauté internationale
dans son ensemble et des divers éléments qui la composent. Il s’ensuit que le risque d’une perturbation grave
des relations extérieures ou de la coexistence pacifiques des peuples peut affecter la sécurité d’un État
membre”.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 3
Défense et sécurité intérieure sont désormais comme deux “sœurs siamoises”, ayant
chacune leur caractère mais partageant un tronc commun. En langage de mathématiques on
peut caractériser le continuum en montrant que les deux ensembles “défense” et “sécurité
intérieure” sont désormais sécants.12 Leur réunion met en exergue l’ensemble du spectre
des menaces et des risques qui pèsent sur l’individu, la société, l’État, les alliances et
justifient une stratégie de sécurité nationale. Si les extrêmes n’offrent guère de points de
comparaison,13 le sous-ensemble commun s’élargit sous l’influence d’une mondialisation
encore mal maîtrisée par les organisations internationales. Les États sont souvent
concurrencés, affaiblis ou combattus par des entités dont les méthodes empruntent à la
guerre et à la criminalité, pour satisfaire leurs fins ou s’assurer de leurs moyens. Les
menaces se conjuguent, modifiant ainsi les grilles traditionnelles d’analyse et les stratégies
de prévention ou de riposte. Les réponses ne peuvent être monolithiques. La stratégie de
sécurité nationale est le fruit d’une rupture sémantique prenant acte du caractère désormais
hybride des menaces. Elle est mise en œuvre par une gouvernance rénovée, plus centrée
sur la fonction présidentielle et plus interministérielle, qui doit favoriser une gestion civilo-
militaire des crises. Si, dans sa forme ancienne, la guerre était, selon Clausewitz, “la
continuité de la politique avec l’introduction d’autres moyens”, la gestion de crise est
aujourd’hui l’exercice de la politique avec la combinaison de tous les moyens. C’est cela
qui caractérise un continuum défense-sécurité qui se manifeste également dans le cyber-
espace.
Le continuum défense-sécurité appliqué au cyberespace
Des interprétations opposent parfois la lutte contre la cybercriminalité à la cyber-
défense alors que les deux se composent dans un continuum dont le spectre des cyber-
menaces ne connaît pas de rupture. Ainsi, dans son rapport présenté en 2012, le sénateur
Bockel dressait une telle frontière entre les deux notions : “La cyberdéfense, écrivait-il, se
distingue en particulier de la lutte contre la cybercriminalité […], volontairement écartée
de la réflexion pour se concentrer sur les attaques informatiques susceptibles de porter
atteinte aux intérêts fondamentaux de la Nation”.14 Mais ces attaques constituent bien des
infractions (espionnage, vol ou modifications de données, entrave, sabotage, etc.), prévues
et réprimées par le livre IV du Code pénal, consacré notamment aux intérêts fondamentaux
de la Nation et au terrorisme. En outre, depuis la “loi Godfrain”,15 les atteintes aux
systèmes de traitement automatisé de données (STAD), les vols, destructions, modifications
12 Ce recouvrement partiel va bien au-delà de la participation de la Défense aux opérations de secours ou au
maintien de l’ordre. Ces missions ont toujours été accomplies par les armées avec plus ou moins d’intensité. 13 On ne saurait rapprocher la sécurité quotidienne de la dissuasion nucléaire, même si une bonne paix
publique peut être un élément de la crédibilité de la dissuasion. Entre un policier ou un gendarme
accomplissant des actes de police administrative et un sous-marinier nucléaire l’écart est trop grand quant
aux missions, au cadre juridique de l’engagement, et à sa finalité. 14 Jean-Marie Bockel, “La cyberdéfense”, Rapport d’information n°681 (2011-2012) au nom de la
Commission des Affaires étrangères, de la Défense et des forces armées du Sénat. 15 Loi n°88-19 du 5 janvier 1988 sur la fraude informatique.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 4
de données sont passibles de sanctions pénales.16 Sauf dans l’hypothèse d’un conflit armé,
les attaques entrant dans le champ de la cyberdéfense sont aussi des infractions qui relèvent
de la compétence de la justice et des services spécialisés de la police et de la gendarmerie.
Il existe donc un continuum au sein de la cybersécurité. Les champs de la lutte contre la
cybercriminalité et de la cyberdéfense s’interpénètrent. La première ne s’arrête pas là où
commence la seconde.
Un territoire unifié au profit de tous les prédateurs
Dans le monde réel, des théâtres d’opérations, des bassins criminogènes, des
“quartiers sensibles” sont identifiés, tandis que des espaces échappent aux prédateurs ou
sont faiblement affectés par leurs actions. Par construction, le cyberespace n’a pas de
frontières, même si, comme on l’a évoqué supra, il a une géographie physique et est
morcelé, puisqu’il est le “réseau des réseaux” fédérant plus de 42 000 systèmes autonomes
(Autonomous Systems). Les barrières que certains États veulent dresser sont peu opérantes
et peuvent être franchies par une simple clef USB, des moyens satellitaires ou des réseaux
privés virtuels (VPN). Le cloud est par essence un espace sans frontières, même s’il
“s’enracine” dans les territoires par les data centres. Dans le cyberespace, il n’y a pas de
route dédiée à la circulation militaire, ni de “champ de bataille” ou de “zone de sécurité
prioritaire”. Le principe du “best effort” qui préside au fonctionnement d’Internet mélange
tous les flux, sans tenir compte de leurs contenus civils ou militaires. Le réseau étant
distribué, la criminalité, comme la conflictualité, est ubiquitaire et se manifeste partout où
s’observe la capillarité du réseau. Internet donne une force décuplée aux diasporas et
favorise l’action spontanée de “coalescences”.17 Internet incorpore, partout dans le monde,
des “Malgré eux”, combattants involontaires, dont l’ordinateur a été piégé pour une attaque
en rebond ou par déni de service (DDoS).
Si une zone est initialement ciblée, la contagion peut gagner l’ensemble de la
planète, comme le prouve le virus Stuxnet. Conçu initialement pour la centrale de Natanz,
il s’est propagé sur Internet, sans doute via un ordinateur portable compromis, et a affecté
d’autres installations utilisant des technologies Siemens, notamment en Inde, au Pakistan,
en Indonésie, en Allemagne, en Russie, en Grande-Bretagne et même en France.
Lorsque les frontières subsistent, elles n’offrent plus de protection. Au contraire,
elles constituent une contrainte juridique et politique pour les États qui doivent les
respecter.18 En revanche, elles ne sont pas un obstacle pour les prédateurs qui en profitent.
Le cyberespace affaiblit la conception westphalienne de la géopolitique.
Faute d’un véritable ordre international, le monde, désormais multipolaire, favorise
la liberté d’action d’“États voyous”, tandis que des entités non étatiques se (re)constituent
16 Les infractions définies par la loi Godfrain peuvent être des actes de terrorisme au sens de l’article 421-1,
2° du Code pénal. 17 Coalescence : union des gouttelettes en émulsion. Tendance de substances identiques mais dispersées à se
réunir. 18 Notamment en ce qui concerne l’application de la loi pénale.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 5
ou se développent. Celles-ci arment des groupes paramilitaires, activent des réseaux
criminels ou terroristes, parfois plus riches et plus puissants que certains États, ou font
alliance avec eux. Elles agissent aussi de façon souvent asymétrique, allant frapper le
“fort” là où il est le plus faible, sans préavis, sans signe extérieur de mobilisation, avec des
moyens humains, matériels ou financiers qui peuvent être très réduits.
Cyberdélinquant, cyberterroriste, “cyberguerrier” : des modes d’action similaires
Dans le monde réel, les modes d’action du criminel sont généralement distincts de
celui du guerrier, même si le guerrier peut être aussi un criminel (crime de guerre,
mercenariat, etc.). Cela tient aux armes employées. Au criminel, le “11,43” ; au guerrier, le
char d’assaut, le navire de combat ou l’avion de chasse.19
Dans le cyberespace, il y a des “armes lourdes” et des “armes de poing”, mais la
répartition n’est pas aussi nette. S’il est vrai que les cyberdélinquants poursuivent des
objectifs différents de ceux des cyberterroristes ou des “cyberguerriers”, ils utilisent parfois
les mêmes armes, empruntent les mêmes réseaux. Par exemple, une attaque par déni de
service20 peut être le fait de délinquants qui cherchent un profit en opérant un chantage sur
un opérateur de commerce en ligne, d’entreprises qui veulent affaiblir un concurrent, de
terroristes qui veulent désorganiser les secours simultanément à un attentat,21 ou le fait
d’agresseurs qui veulent affaiblir ou paralyser le fonctionnement d’un État. Les
fournisseurs d’ordinateurs “zombies” n’ont pas d’états d’âme ; ils peuvent louer leurs
services aux uns comme aux autres. En 2010, le FBI, la garde civile espagnole et la police
criminelle slovène ont mis un terme aux agissements d’un groupe à l’origine d’un réseau
d’ordinateurs piratés baptisé Mariposa. Selon les estimations, entre 8 à 12 millions
d’ordinateurs étaient sous leur contrôle. Ce parc, loué temporairement sur Internet, pouvait
servir à adresser des pourriels, à récupérer des données bancaires, à conduire des cyber-
attaques à des fins crapuleuses, terroristes ou politiques. La même remarque peut s’appliquer
au réseau Ramnit, de 3,2 millions de PC zombies, démantelé par Europol début 2015.
Autre exemple : celui du defacement. Celui-ci peut-être crapuleux, atteindre une
personne ou une entreprise dans son e-réputation, relever de la provocation au terrorisme
ou de son apologie, ou s’inscrire dans une action subversive. Ce n’est pas le mode d’action
mais le mobile qui permet de différencier des actions conduites par des prédateurs
“multicartes”.22 La qualification d’une attaque dépend aussi de son intensité, de sa
complexité, de la nature de la cible et de l’effet produit. Certaines actions sont si
sophistiquées qu’elles nécessitent des moyens humains, matériels et financiers colossaux.
19 Cette remarque doit être tempérée, car certaines organisations de narcotrafiquants ont des avions, des
hélicoptères et même des sous-marins… 20 Une attaque par déni de service fait appel à de très nombreux ordinateurs « zombies », sous contrôle des
attaquants, qui vont saturer la cible par des interrogations simultanées, empêchant ainsi tout usage normal du
système informatique. 21 Par exemple, en attaquant les SCADAs qui commandent les numéros d’urgence, la signalisation routière,
les hôpitaux, ajoutant la désorganisation à la terreur. 22 La même remarque peut être faite à propos de l’espionnage, de l’ingénierie sociale, de la diffusion de
contenus de nature à troubler l’ordre public, etc.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 6
Une chose est certaine, Stuxnet n’est pas imputable à des petits hackers isolés. La
“signature” étatique s’impose d’elle-même. Dans d’autres cas, l’analyse est plus complexe.
D’une manière générale, il existe des plages de recouvrement : l’ingénierie sociale,
l’usurpation d’identité peuvent être les premières phases d’une attaque de grande enver-
gure. Les groupes terroristes peuvent s’engager dans la cybercriminalité crapuleuse en vue
de financer leurs actions. Il y a donc une grande porosité dans les modes d’action des
prédateurs.
Un marché noir commun
Les marchés noirs organisés sur Internet23 servent aussi bien aux réseaux criminels
qu’aux terroristes ou aux “guerriers”. Les sites officiels (web surfacique) ne recensent que
5% du web. Le Dark Web, partie la plus sombre du web, est inaccessible avec les moteurs
de recherche tels Google, Yahoo ou Bing. Il offre non seulement l’accès à des moyens
(armes, drogue, faux papiers, adresses électroniques,24 etc.) mais est aussi une plate-forme
“crime as a service” où l’on peut acheter des “prestations”.
La DARPA25 a présenté en février 2014 le logiciel dénommé Memex,26 conçu pour
que l’armée américaine traque les criminels sur le Deep Web. Un réseau de trafiquants
d’êtres humains a ainsi été démantelé. Ce logiciel, qui évite le blocage du fichier
robots.txt,27 traque des pages qui ont souvent une durée de vie courte sur le web. Le Deep
Web (plus de 60 millions de pages publiées en deux ans selon la DARPA) et le Dark Web
(environ 35 000 pages) sont accessibles par TOR (adresse se terminant par “.onion”). Par
Grams, moteur de recherche qui passe par TOR, il est possible d’accéder à Silkraod2,
Pandora, The Pirate Market, etc.
DarkLeaks est un marché pour pirates, maîtres chanteurs, etc. On y échange ou
vend des données sensibles (secrets des affaires, données volées, secrets de la défense
nationale, documents intimes sur des personnalités, etc.). Le système garantit l’anonymat,
ne fait pas intervenir d’opérateur central et évite les interactions entre clients et acheteurs.
Lors du paiement en bitcoins, les fichiers chiffrés sont mis au clair.
Un prêt de main-forte : le tiers-attaquant
“C’est pas moi, c’est ma sœur qu’a cassé le calculateur !”. Ces paroles d’Évariste,
chanteur des années soixante (de son vrai nom Joël Sternheimer, physicien et chercheur),
sont prémonitoires. Aucun cyberattaquant, en effet, ne revendique ses propres actions. Pour
23 “Les marchés noirs de la cybercriminalité”, étude conduite et publiée par la Compagnie Européenne
d’Intelligence Stratégique (CEIS), 2011. Les black markets utilisent des monnaies virtuelles et facilitent le
financement d’activités illégales. 24 Une équipe arrêtée par les autorités américaines, en mars 2015, a à son actif un milliard d’adresses e-mail
dérobées via huit sociétés américaines. 25 Defense Advanced Research Projects Agency, US Department of Defense. 26 Tire son nom de l’ordinateur analogique présenté par Vannevar Bush (“As We May Think”, The Atlantic
Monthly, July 1945). 27 Ce fichier permet de bloquer l’accès à tout ou partie d’un site Internet.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 7
brouiller les pistes et éviter toute attribution, le recours à un “tiers-attaquant”, agissant si
possible depuis une “zone grise”, est l’option la plus confortable. Des groupes criminels
organisés, des mafias, des groupes paramilitaires peuvent jouer le rôle de “tiers-attaquant”,
même si la cause est étrangère à leur “cœur de métier”, pourvu qu’ils y trouvent intérêt. Le
dark web favorise les rencontres. La collusion entre groupes structurés et États est déjà une
caractéristique du continuum dans le monde réel. Cybermercenaires et cybercombattants
cohabitent sans états d’âme. Parfois, l’attaquant usurpe l’identité d’un groupe pour mieux
semer la confusion. Peut-on affirmer avec certitude que l’attaque ayant visé TV5 Monde est
bien liée au vrai “Cyber Califat” ? Peut-on attribuer à la Corée du Nord l’attaque de Sony ?
Les exigences du continuum
La sécurité du cyberespace n’est pas sécable, mais est tributaire d’une coopération
permanente entre magistrats, policiers, gendarmes, militaires des armées, etc. Elle dépend
aussi d’une coopération public/ privé avec les opérateurs, les fournisseurs d’accès, les
offreurs de solutions et, d’une manière générale, du secteur industriel.
Une organisation régalienne maillée : “le pompier, le soldat et le gendarme”
La coopération au profit de la cybersécurité est une nécessité, mais le continuum
n’est pas la fusion – et donc la confusion – des genres.
La coopération concerne tous les acteurs régaliens
L’ANSSI, la composante cyberdéfense de l’État-Major des Armées (EMA), la
justice, les services de police et les unités de gendarmerie, les services de renseignement
etc., ont l’obligation de coopérer, car la complexité des attaques dans le cyberespace
nécessite la mobilisation de toutes les compétences, une plus grande transversalité. Le pôle
“cyberdéfense” est particulièrement renforcé grâce au Livre Blanc et à la loi de
programmation militaire. L’ANSSI devrait voir ses effectifs portés à 500 en 2015. Ceux
d’EMA-cyber défense devraient atteindre la cible de 400, tandis qu’un volume similaire est
prévu pour DGA28-Maîtrise de l’information. La récente co-localisation du Centre
Opérationnel de la Sécurité des Systèmes d’Information (COSSI) et du Centre d’Analyse de
Lutte Informatique Défensive (CALID), témoigne d’une recherche de synergies.29 La
gendarmerie nationale est présente au sein du CALID ; elle participe également à la réserve
cyberdéfense.30
Le pôle “lutte contre la cybercriminalité”, quant à lui, doit être mieux structuré. Les
services de police, de gendarmerie et de douanes ont développé leurs services spécialisés
28 Direction Générale de l’Armement. 29 Le COSSI relève de l’ANSSI, tandis que le CALID est une entité d’EMA-Cyberdéfense. Le pôle commun a
été inauguré par le Premier ministre le 20 février 2014. 30
Réserve composée de “réservistes citoyens” et de “réservistes opérationnels” spécialistes des domaines liés
au cyberespace. La gendarmerie anime trois des cinq pôles régionaux expérimentaux : Nord-Pas-de-Calais,
Alsace, Rhône-Alpes.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 8
depuis près de quinze ans.31 32 33 La cohérence du pôle “lutte contre la cybercriminalité” est
essentielle si l’on veut mieux articuler son action avec celui de la cyberdéfense. La
nomination en décembre 2014 du “préfet cyber”, Jean-Yves Latournerie, s’inscrit dans
cette démarche. Il est rejoint par le colonel de gendarmerie Eric Freyssinet, dont l’expertise
est reconnue en France et à l’étranger. Ce dernier explicite en une seule phrase tout le
continuum :
[Il] s’agit de piloter la stratégie de l’ensemble des composantes du ministère de
l’Intérieur, non seulement dans la lutte contre la cybercriminalité, mais aussi
pour la protection des intérêts vitaux de la Nation et la protection des systèmes
de traitement automatisés de données du ministère ou placé sous sa respon-
sabilité.34
La Justice, quant à elle, doit adopter une nouvelle posture, car la cybercriminalité
est entrée dans les prétoires avec un contentieux croissant en volume et en complexité.
Comme le proposent Jean-Marie Bockel (dans son rapport précité) et l’auteur de ces
lignes,35 il est aujourd’hui indispensable de créer une ou plusieurs juridictions spécialisées,
à l’instar de ce qui existe pour le terrorisme, la criminalité organisée, la santé publique, la
mer, les accidents collectifs.36 C’est d’ailleurs la position défendue avec constance par
Myriam Quéméner, avocat général près la Cour d’appel de Versailles, pionnière de la lutte
contre la cybercriminalité au sein de la justice. Pour l’heure, aucune décision ne va dans ce
sens.
Il convient de définir également une politique pénale qui fait encore défaut.37 C’est
l’une des recommandations du rapport Robert38 qui appelle la création au sein du ministère
de la Justice d’une mission de lutte contre la cybercriminalité, directement rattachée au
directeur des affaires criminelles et des grâces (DACG) et une plus grande spécialisation
des juridictions.
31 Le dispositif de la police nationale comprend l’Office central de lutte contre les infractions liées aux
technologies de l’information et de la communication (OCLCTIC) de la Direction centrale de la police
judiciaire, la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI), de la Préfecture
de police, 260 investigateurs en cybercriminalité (ICC). 32 La gendarmerie nationale dispose d’un plateau d’investigation Cybercriminalité et Analyses Numériques
(PICyAN) qui regroupe les moyens dédiés de l’Institut de Recherche Criminelle de la Gendarmerie (IRCGN)
et du Service Technique de Recherche Judiciaire et de Documentation (STRJD). À l’échelon national, 60
experts, 260 enquêteurs NTECH et 1000 correspondants NTECH constituent la communauté des “cyber-
gendarmes”. 33 Cyberdouane est un service de la Direction nationale des recherches et enquêtes douanières (DNRED). 34 LeMagIT, 3 mars 2015. 35 Marc Watin-Augouard, Cybermenaces et sécurité nationale : Le droit de la sécurité et de la défense en
2013, Aix-en-Provence, Presses Universitaires d’Aix-Marseille, p.306 ; du même auteur, Pour que le crime
ne paie pas, www.lesechos.fr, 20 janvier 2014. 36 Le décret n°2014-1634 du 26 décembre 2014 crée à Paris et à Marseille des juridictions interrégionales
spécialisées en matière d’accidents collectifs. 37
Il appartient au Garde des sceaux de conduire la politique pénale, conformément à la loi n°2013-669 du 25
juillet 2013 qui a modifié à cet effet l’article 30 du Code de procédure pénale. 38 Rapport précité, recommandation n°8, pp.141 sqq.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 9
Le tripode régalien composé du “pompier” (ANSSI), du “soldat” (EMA-Cyber-
défense et DGA) et du “gendarme” (justice, services de police, de gendarmerie et des
douanes) doit être solidement maillé, car l’interdépendance est trop marquée pour qu’ils
s’ignorent. Une cyberattaque peut être précédée, suivie ou accompagnée d’autres
infractions (atteinte à la réputation des autorités civiles et militaires, incitation à la haine,
propagande terroriste, fraude, blanchiment d’argent, usurpation d’identité, etc.). Les
investigations menées dans le cadre d’une enquête judiciaire peuvent mettre en évidence
les éléments matériels d’une attaque relevant de la cyberdéfense et inversement. Le
renseignement “d’intérêt” ou “d’origine cyber” ne peut donc être compartimenté. Les
progrès dans la forensique intéressent tout autant la lutte contre la cybercriminalité que la
cyberdéfense, notamment lorsqu’il s’agit d’attribuer un fait.
La coaction ne conduit pas à un mélange des genres
La lutte contre la cybercriminalité et la cyberdéfense suivent des logiques et des
règles distinctes.
La lutte contre la cybercriminalité, tout ayant une composante préventive, repose
sur la police judiciaire, chargée, selon l’article 14 du Code de procédure pénale, de
constater les infractions à la loi pénale, d’en rassembler les preuves et d’en rechercher les
auteurs tant qu’une information n’est pas ouverte et, dans le cas contraire, d’exécuter les
délégations des juridictions d’instruction et de déférer à leurs réquisitions. La police
judiciaire relève de l’autorité judiciaire devant laquelle le contentieux est porté. Les acteurs
de la lutte contre la cybercriminalité sont des magistrats, des policiers, des gendarmes, des
douaniers (cyberdouanes). Le droit processuel qui est mis en œuvre répond aux règles du
contradictoire et de la transparence imposées par le Code de procédure pénale, tandis que
le droit pénal fixe les incriminations et les peines.
La cyberdéfense n’entre pas dans les attributions de l’autorité judiciaire. Elle
s’appuie sur une police administrative spéciale, confiée au Premier ministre par la loi de
programmation militaire 2014-2109 (LPM, article 21 et suivants), récemment appliquée
par les décrets du 27 mars 2015.39 Elle se développe, notamment par le biais des pouvoirs
d’investigations dans le cyberespace reconnus aux services de renseignement par l’article
20 de la LPM et par la future loi relative au renseignement. La cyberdéfense est aussi
partiellement cloisonnée. Tandis qu’elle s’inscrit dans une démarche interministérielle,
lorsqu’elle est défensive, sa composante offensive, dont la nature et l’organisation sont
tenues secrètes, est “isolée” au sein des services habilités, notamment au sein du ministère
de la Défense. La coopération n’exclut pas des “domaines réservés”. C’est ce qui distingue
le système français de certains modèles étrangers qui pratiquent le mélange des genres en
confiant à leurs armées le défensif et l’offensif.
39 Décret n°2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de
service de confiance pour les besoins de la sécurité nationale auxquels recourent les opérateurs d’importance
vitale. Décret n°2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs
d’importance vitale et pris pour l’application de la section 2 du chapitre II, Titre III, Livre III de la première
partie de la partie législative du Code de la Défense.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 10
Police administrative et police judiciaire se composent plus qu’elles ne s’opposent.
Elles sont néanmoins distinctes en vertu du principe de séparation des pouvoirs.
Une coopération nécessaire avec les acteurs privés
La coopération ne se limite pas aux acteurs régaliens. La cybersécurité repose aussi
sur l’action des acteurs privés, opérateurs, intégrateurs, éditeurs de produits de sécurité,
etc. Le rôle des prestataires de services de confiance et des organismes de qualification est
particulièrement souligné par les deux décrets du 27 mars 2015.
Il existe un secteur privé de la cybersécurité qu’il faut conforter. Sans doute
conviendrait de le reconnaître davantage car les acteurs privés sont, dans une certaine
mesure, des collaborateurs du service public. Les dispositions relatives aux opérateurs de
confiance vont dans ce sens.
Pour mieux cerner le rôle du secteur privé, quelques constats suffisent :
o Les publications favorisant la connaissance des menaces sont généralement d’origine
privée : Internet Security Threat Report (Symantec), Global Economic Crime Survey
(PWC), Panorama de la cybercriminalité (CLUSIF).
o Les découvertes d’attaques sont souvent le fait de sociétés comme Kaspersky, Symantec,
MacAfee. Grâce aux remontées en temps réel des milliers de sondes placées chez leurs
clients, elles connaissent l’état de la menace et la nature des attaques. Regin, programme
d’espionnage a été révélé par Symantec, Stuxnet par la société biélorusse VirusBlokAda.
Dans un rapport du 16 février 2015, Kaspersky a mis en évidence l’activité d’Equation,
selon lui le groupe de hackers “le plus redoutable de tous les temps”.
o Parfois les acteurs publics sollicitent le secteur privé. Le démantèlement par Europol, au
début de 2015, de Ramnit,40 apparu en 2010, se propageant par e-mails ou sites web
infectés, a nécessité l’aide technique de Microsoft, Symantec et AnubisNetwork.
La cybersécurité est, depuis peu, un champ nouveau pour les assureurs. Par les
règles qu’ils instituent, les conditions qu’ils imposent, ils vont progressivement “modeler
le paysage” en allant sans doute beaucoup plus loin que le pouvoir régalien dans les
exigences requises.
Le secteur privé peut également contribuer de manière collaborative et originale à
la cybersécurité : des ethical hackers sont sollicités par des entreprises pour détecter des
failles dans la sécurisation de leurs données.41 Ils sont recrutés (inside) ou agissent par
contrat (outside) pour effectuer des tests de pénétration, entraîner le personnel des SOC
(Security Operation Centres), effectuer des audits de sites, de produits. Ils n’ont pas
toutefois le “permis de cyber-tuer”. Facebook a lancé un Bug Bounty Programme faisant
appel à des hackers qui ont découvert, en 2014, plus de 17 000 bugs, dont 61 considérés
comme particulièrement graves. Le programme Cyber Fast Track lancé en 2011 par la
40 Malware spécialisé dans la fraude bancaire et le vol de données ayant notamment visé l’Inde, l’Indonésie
et le Vietnam. 41 Les “hackers éthiques” sont récompensés s’ils détectent des failles.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 11
DARPA repose en partie sur la collaboration de communautés de hackers… L’université de
Valenciennes dispense un master en cyberdéfense qui s’appuie sur le hacking éthique. Le
Forum International de la Cybersécurité (FIC), depuis 2013, organise des challenges
permettant aux entreprises ou aux administrations de détecter des compétences. En 2015, la
“Nuit du Hack”, qui rassemble près de 2000 participants, est ouverte par Guillaume
Poupard, directeur général de l’ANSSI… C’est dire si le regard vis-à-vis des hackers a
évolué, le terme ne devant plus avoir la connotation péjorative qu’on lui attribue
habituellement. Eric Filiol, ancien militaire, directeur de recherche à l’École supérieure
d’informatique, électronique, automatique (ESIA), ne peut être considéré comme un
laxiste. Il invite à aller chercher la ressource là où elle est, c’est-à-dire chez les hackers que
l’on a tendance, selon lui, à diaboliser à l’excès, car…
ils sont capables d’analyser en profondeur un système – que ce système soit
technique comme un ordinateur ou un téléphone, mais également humain, social,
législatif – de sorte à en comprendre les mécanismes les plus intimes, en privilé-
giant le résultat sur la méthode, contrairement souvent à l’approche académique.42
La coopération public/ privé est aussi illustrée par la création, en janvier 2014, lors
du FIC, du CECyF – le Centre Expert contre la Cybercriminalité Français, une association
permettant aux services chargés de l’application de la loi, aux chercheurs de toutes origines
(universitaires, industriels, indépendants) et aux établissements d’enseignement de se
rencontrer et d’échanger pour créer des projets qui contribuent à la formation, à l’éducation
et à la recherche & développement contre la cybercriminalité. Le CECyF est le membre
français du réseau européen 2CENTRE s’appuyant, en France, sur les universités de Troyes
(UTT) et de Montpellier. Il est partenaire de Cyberlex, association qui regroupe des
spécialistes du droit du cyberespace et des technologies numériques.
Dans le domaine de la cybersécurité, la part régalienne de l’offre de sécurité est
minoritaire. La convergence entre le public et le privé ne peut s’envisager sans une
politique industrielle qui fasse émerger des “géants”, si possibles français, au moins
européens, car la question de la souveraineté est essentielle, sauf à accepter une domination
américaine ou chinoise. Le plan cybersécurité de la Nouvelle France Industrielle témoigne
de cette volonté. Son action 9 prévoit de déployer un forum public-privé pour soutenir les
exportations du secteur, l’action 15 d’y encourager la création de fonds d’investissement
privés, tandis que l’action 16 vise à consolider la filière.
La souveraineté est tributaire d’une capacité de recherche et développement qui
garantisse une meilleure indépendance au regard des innovations technologiques. Elle
repose également sur un effort en matière de formation, car les acteurs publics, comme les
acteurs privés sont aujourd’hui confrontés à une pénurie en matière de ressources humaines
dans les domaines liés aux technologies numériques.43 Aucune formation supérieure ne
devrait être aujourd’hui habilitée si elle ne comporte pas une composante “cyber” adaptée
42 Eric Filiol, “Cyberguerre, le retard français”, blog Club des Vigilants, 9 septembre 2011. 43 L’Europe pourrait connaître un déficit de compétences de l’ordre de 900 000 emplois en 2016. La France
aura besoin de près de 130 000 “data scientists” ou de “data chief officers” avant la fin de la décennie.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 12
aux enjeux sectoriels. Mais le terme “cybersécurité” ne figure pas aujourd’hui dans le
référentiel du ministère de l’Enseignement supérieur et de la recherche…
Conflit dans le cyberespace : l’hypothèse d’un discontinuum juridique
Une cyberattaque relevant de la cyberdéfense constitue, comme on l’a dit supra,
une infraction prévue et réprimée par le Code pénal. Ainsi en est-il tant que ne s’applique
pas le droit des conflits armés (droit de La Haye, Convention de Genève et ses protocoles
additionnels, etc.44). Depuis les travaux, au sein de la Rand Corporation, de John Arquilla
et de Donald Ronfeldt45 et surtout après les attaques en Estonie (2007) et en Géorgie
(2008), les médias, comme certains militaires, évoquent une possible “cyberguerre”.
Il est aujourd’hui admis qu’un conflit a généralement une composante cyber (le
“cyber dans la guerre”) qui précède ou accompagne l’engagement conventionnel des forces
en vue d’affaiblir ou de neutraliser les capacités de l’adversaire. Dans cette hypothèse, le
droit des conflits armés trouve son application, à condition qu’il soit adapté, notamment en
ce qui concerne la légitime défense, le respect de la neutralité, le non-recours à la perfidie,
la protection des civils et des sites inviolables (hôpitaux, écoles, etc.). Le Manuel de
Tallinn, rédigé par des experts de l’OTAN, tente cette transposition, mais il n’a aucune
valeur normative. En 2007, l’opération Orchard menée par Israël contre les installations
nucléaires syriennes d’Al-Kabir est un exemple topique de la combinaison d’une attaque
classique avec une cyberattaque. Lors du conflit avec la Géorgie, les forces armées russes
ont ainsi “préparé le terrain” avant d’engager les blindés et l’aviation. Dans le cas de
l’Estonie, la situation est plus complexe : il n’y a jamais eu signature des attaques,
notamment parce qu’il n’y a pas eu d’engagement conventionnel trahissant l’identité de
l’agresseur.46 Les Russes ont évoqué des initiatives de groupes “patriotes”.
L’hypothèse d’une guerre autonome dans le cyberespace, la “guerre dans le cyber”,
est aujourd’hui très peu probable, même s’il faut s’y préparer. Elle est même contestée par
certains auteurs.47 Pour qu’il y ait une guerre, c’est-à-dire un conflit armé surgissant entre
deux ou plusieurs États, il faut que les conditions fixées par l’article 2 des Conventions de
Genève et par l’article 1 du Protocole additionnel II soient vérifiées. Le Tribunal Pénal
International pour l’ex-Yougoslavie a précisé48 “qu’un conflit armé existe chaque fois qu’il
y a recours à la force armée entre États ou un conflit prolongé entre autorités
44 Le “droit de La Haye” porte sur le jus ad bellum : conventions de La Haye du 29 juillet 1899 et du 18
octobre 1907. Le droit humanitaire traite du jus in bello et repose sur les quatre Conventions de Genève du 12
août 1949 et les deux protocoles additionnels 8 juin 1977. Le droit de la maîtrise des armements concerne
l’interdiction ou limitation de certaines armes. 45 John Arquilla & David Ronfeldt, “Cyberwar is Coming !”, Comparative Strategy, 12/2, 1993, pp.141-165. 46 Cette attaque a fait suite au déplacement d’un monument érigé en 1947 sur la colline de Tonismäe, à
Tallinn, en mémoire des soldats soviétiques de la Seconde Guerre mondiale. La Russie a, bien entendu, été
suspectée sans que des preuves formelles soient apportées. 47 Martin C. Libicki, “Cyberespace Is Not a Warfighting Domain”, I/S : A Journal of Law and Policy for the
Information Society, vol.8, n°2, Fall 2012, pp.325-340. 48 TPIY, Procureur c/ Dusko Tadic, arrêt relatif à l’appel de la défense concernant l’exception préjudicielle
d’incompétence, IT-94-1-A, 2 octobre 1995, § 70.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 13
gouvernementales et des groupes armés organisés ou entre de tels groupes au sein d’un
État”. Dans tous les cas, l’adversaire doit être identifié. C’est le problème de l’attribution.
Or, la recherche de l’anonymat est la première précaution de l’agresseur. Ce dernier, pour
garantir l’opacité de son action, a recours, on l’a dit, à des “tiers-attaquants” (mafias,
officines, groupes criminels, groupes paramilitaires, etc.), dont il peut se désolidariser en
cas de soupçon. Certaines organisations, apparemment indépendantes, ne sont sans doute
pas dépourvues de tout lien avec certains États (Épée tranchante de la Justice/ Iran ; Syrian
Electronic Army/ Syrie). Encore faut-il le prouver !
La guerre renvoie à la notion d’agression armée qui doit atteindre une certaine
ampleur et avoir des conséquences physiques (destructions) et humaines (tués et blessés).
En Estonie, aucune perte humaine n’a été déplorée. En Iran (Natanz), des destructions ont
été constatées, mais elles ont été sans conséquence pour les personnes.
Lors du Sommet de l’OTAN qui s’est tenu à Newport, les 4 et 5 septembre 2014, il a
été précisé qu’une cyberattaque, dirigée contre les réseaux de l’OTAN, voire contre l’un des
28 membres de l’organisation, pourrait relever des dispositions de l’article 5 de la Charte.
Cette déclaration intervient en pleine crise entre la Russie et l’OTAN à propos de l’Ukraine.
Elle prend acte de l’intensification de l’action des hackers russes et de la stratégie de
contournement des Russes à partir d’attaques asymétriques. Toutefois, selon Jamie Shea,
Secrétaire général adjoint délégué pour les défis de sécurité émergents de l’OTAN, “Nous
ne disons pas exactement dans quelles circonstances ou à partir de quel seuil une réponse
collective de l’OTAN doit être déclenchée et nous ne disons pas quelle forme cette réponse
collective devra prendre”. Un tel discours rappelle celui sur la dissuasion nucléaire, à la
différence près que l’on sait dans ce cas quels moyens seraient mis en œuvre et par qui.
L’hypothèse d’un discontinuum juridique n’est donc pas à écarter. Mais, pour
l’heure, faute de pouvoir, pour les motifs précités, qualifier une attaque cybernétique
d’agression armée, seules les actions connexes à un conflit conventionnel peuvent entrer
dans le champ de la cyberguerre. Dans toutes les autres hypothèses, le droit commun
s’applique. On notera que la loi de programmation militaire (LPM, art. L.2321-2 du Code
de la Défense) et le projet de loi relatif au renseignement (art.10 créant l’article 323-8 du
Code pénal) donnent une base légale à l’action des services spécialisés appelés à lutter
contre des attaques en écartant leur responsabilité pénale lorsqu’ils sont conduits à
commettre des infractions à la loi Godfrain. Aujourd’hui, cette loi (art 323-1 et s. du Code
pénal) réprime les atteintes aux systèmes de traitement automatisé de données et la
détention d’équipements permettant de les réaliser. Cette loi, particulièrement novatrice en
1988, n’avait pas imaginé la nécessité de parer les cyberattaques par des actions
“offensives”. Il faut, en particulier, accéder au système informatique de l’attaquant, aux
données qu’il contient. À une époque marquée par une judiciarisation parfois excessive, il
est nécessaire de protéger les acteurs de la cyberdéfense contre tout risque pénal. Les
articles précités sont bien la preuve que le législateur inscrit dans le droit commun la
réponse à des attaques informatiques affectant notamment le potentiel de guerre ou
économique, la sécurité ou la capacité de survie de la Nation.
Res Militaris, hors-série “Cybersécurité”, juillet 2015 14
Conclusion
La cybersécurité ne peut résulter que de la convergence d’actions menées dans le
continuum défense-sécurité. La mise en ordre de bataille du dispositif national est le
préalable à la nécessaire coopération internationale. Au sein de l’Union européenne, du G8,
du Conseil de l’Europe, de l’OCDE, de l’OTAN, etc., la France ne peut peser si elle agit en
ordre dispersé, sans cohérence d’ensemble. La stratégie de cybersécurité qui se met en
place depuis 2008 doit encore être confortée. On ne peut s’allier que si l’on est fort. C’est
une question de souveraineté, même si celle-ci est partagée dans le cyberespace. Pour
réussir la transformation numérique versus défense-sécurité, il faut encore abattre des
barrières, des cloisonnements, héritages des pratiques administratives du passé. Dans une
coopération qui transcende les clivages traditionnels, chacun doit tenir la place qui lui
revient en enrichissant la composante cyber de son cœur de métier. C’est la condition pour
maîtriser le continuum sans faiblesse ni rupture.
