A nouveau milieu, grammaire propre permettant à une conflictualité inédite de se développer. C’est le point de départ de la réflexion que mène l’auteur de cet article sur la problématique de la souveraineté dans l’espace numérique. Il s’appuie sur cette analyse pour développer ensuite une véritable feuille de route vers un « modèle de souveraineté 2.0 » pour la France.
Les opinions exprimées dans cet article n’engagent pas le CSFRS.
Les références originales de ce texte sont : Christophe Gasançon, « Le cyberespace, nouvel espace de souveraineté à conquérir », CHEM.
Ce texte, ainsi que d’autres publications peuvent être visionnés sur le site du CHEM:
Le cyberespace, nouvel espace de souveraineté à conquérir
Un nouveau milieu avec sa grammaire propre
Un milieu créé par sédimentation….
Selon l’agence nationale de la sécurité des systèmes d’information (ANSSI), le cyberespace est l’espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numérisées. Il est généralement caractérisé[1] par une approche sédimentaire en trois couches. Une première couche « physique » ou « matériel » qui regroupe les appareils d’extrémité (ordinateurs, box de fournisseur d’accès internet, disques durs, carte de crédit, distributeur de billet de banque…) ainsi que les infrastructures de réseau. Cet ensemble traite l’information et la transmet. Cette couche dépend d’un territoire, sur lequel sont implantés les serveurs ou fermes de données (Datacenter) ainsi que les câbles et les moyens de transmission terrestre, aérien ou spatiale qui permettent leur connexion. Ce territoire à sa législation – donc sa souveraineté.
Une deuxième couche « logique » ou « logicielle » regroupe les dispositifs de codage et de programmation qu’utilisent les machines. La pensée humaine est transformée en information via des interfaces homme-machine et des protocoles permettant la communication entre machines au sein d’un réseau, afin qu’elles puissent se transmettre l’information.
Enfin une troisième couche « sémantique », « cognitive » ou « informationnelle » regroupent les données ou métadonnées qui sont transportées par le réseau. Ces métadonnées sont qualifiées de données de masse. Elles peuvent permettre de déterminer les goûts des consommateurs et influencer ou favoriser la prise de décision d’achat. Une donnée transporte donc une information sur la personne qui la produit. Un ensemble d’informations donne un message assimilable à une opinion générale ou collective constituant la dimension informationnelle du réseau. Ainsi le cyberespace doit être appréhendé globalement au travers de cette sédimentation et non uniquement par la seule dimension logicielle.
…qui est le support d’une nouvelle conflictualité permettant le retour de l’offensive
L’absence de facteurs déterminants comme le temps et la distance au sein du cyberespace amplifie la notion de brouillard d’une guerre numérique ou cyberguerre. Son opacité permet le retour de modes d’action directs dont les seuils d’acceptation sont plus bas que les opérations militaires conventionnelles. Il permet un retour à moindre frais de l’offensive asymétrique ou hybride, en réduisant les écarts de puissance entre les différents acteurs, voire en complément d’actions conventionnelles, tout en permettant à son auteur de se dissimuler au sein de la toile par écrans interposés. Les conflictualités dans le cyber peuvent être caractérisées par une ou plusieurs combinaisons d’actions de recherche d’informations (cyberespionnage), d’actions de perturbation, de destruction ou de prise de contrôle à distance de systèmes informatiques (cyberattaque).
Le cyber est également un milieu propice aux actions de propagande et de manipulation de l’information assimilable à de la subversion pour modifier l’opinion. En effet, la dimension informationnelle et les opinions qui y circulent sont aujourd’hui le support de mouvement de contestations, d’influence, de recrutement, voire l’objet de manipulation[2]) où la subversion des esprits permet d’exercer la dialectique des volontés[3], d’affirmer ou d’imposer sa volonté sur l’autre par l’intermédiaire du « public » visé.
L’action offensive dans le cyberespace se caractérise par sa « foudroyance », ou instantanéité, en sidérant sa cible, et par son imprévisibilité en bénéficiant d’une faille ou vulnérabilité critique (« zero-day ») du système, inconnue du défenseur. Sa dangerosité est un facteur déterminant par la propagation parfois non maitrisée[4]) de l’arme employée mais aussi par la prolifération de l’arme elle-même[5] en d’autres armes de nature plus complexes. La cyberattaque se démarque également par son ubiquité grâce à une cible déterritorialisée pouvant être à plusieurs endroits au sein du réseau. L’indétermination[6] du début de l’attaque et sa durée favorise sa furtivité. La difficulté d’identifier son auteur avec certitude, l’attribution de l’attaque, facilite son impunité. Même si les recherches permettaient d’identifier l’adresse IP d’origine de l’attaque, d’y associer une localisation géographique et par extension une nationalité potentielle, rien ne garantit l’authentification des auteurs, voire des commanditaires[7]. Les cyberattaques sont réalisées via des armes logiques ou cyberarmes, qui sont des applications logicielles multiformes. Elles s’étendent d’une application contrôlant une armée d’ordinateurs zombies pour attaquer un site[8] à une application (type virus ou ver) nécessitant la maitrise[9] d’un haut niveau pluri-technique, conjuguée à une capacité de renseignement performante pour infecter la cible visée. Ainsi, par cette asymétrie du rapport défense/attaque, le cyberespace est plus propice à l’attaque qu’à la défense.
La caractérisation de l’agresseur lui-même révèle une typologie plus large que dans les conflits classiques. Les auteurs peuvent être des états, des organisations internationales ou nationales, des entreprises, des organisations criminelles ou terroristes, mais également des individus (militants, lanceurs d’alerte, hackers) qui peuvent déclencher une crise en quelques instants avec un Smartphone. Sur ce dernier point réside la singularité du cyber sur les autres milieux, avec l’émergence de l’individu comme acteur direct. Ainsi, il existe une spécificité propre à la cyberconflictualité au travers de ses caractéristiques intrinsèques, l’extraterritorialité de son champ d’action et la multiplicité de ces acteurs.
Comment certains acteurs appréhendent leur souveraineté dans ce nouveau milieu : les facteurs clés ?
Les Etats-Unis où la prédominance d’un cyberpower…
L’histoire du cyberespace commence sur le seul territoire américain avec la création en 1969 de l’Arpanet pour les besoins de la Défense, développé par la Defense Advanced Research Projects Agency (DARPA), et la création du protocole TCP/IP (Transmission Control Protocol/Internet Protocol) en 1972. Pour son usage civil, l’Arpanet deviendra l’Internet avec la création des noms de domaine en 1983 et du World Wide Web en 1989. L’Internet sortira de l’espace américain avec le développement des réseaux à travers le monde passant d’un million d’utilisateurs en 1992 au milliard quinze ans plus tard. Néanmoins, les normes techniques qui le structurent sont issues du corpus normatif américain : le code ASCII (American Standard Code for Information Interchange), le protocole TCP/IP ou l’OSI (Open System Interconnection). La couche physique du cyberespace est créée et dominée par les Etats-Unis au travers de l’Internet Corporation for Assigned Names and Numbers (ICANN)[10] et des 9 serveurs racines sur 13 localisés sur le territoire américain. Les normes restent par essence un enjeu géopolitique, comme en témoigne l’ouverture sous la pression internationale en octobre 2009 des noms de domaine au cyrillique, à l’arabe et au mandarin, mettant fin à l’hégémonie de la graphie américaine (alphabet latin sans accentuation). Les acteurs privés américains du secteur informatique restent également de premier plan pour les composants (Intel, NEC) et les équipements pour particuliers ou entreprises (IBM, Compact, Ericsson). La concentration de ces acteurs sur un marché domestique sans concurrence leur permet de s’allier et de définir eux-mêmes les nouvelles normes internationales. De plus, via les GAFA (Google, Amazon, Facebook, Apple), les Etats-Unis ont également une position dominante dans la couche logicielle au vu du taux de pénétration de leurs applications[11]. Ils disposent d’un système d’exploitation national, voire mondial[12]) au travers de Windows, auquel la NSA aurait participé pour la version Windows vista et Windows 7. Depuis 2011, la NSA contribue également au code d’Android sous la forme d’instructions appelées Security Enhancements for Android, renforçant le doute sur l’existence de portes dérobées informatiques permettant d’analyser ou de prendre le contrôle à distance de serveurs ou terminaux mobiles. La couche informationnelle occidentale est également dominée par les Etats-Unis par l’exploitation économique des données de masse et de la valeur ajoutée qui s’en dégage.
Le premier texte doctrinal de la vision américaine du cyber, l’International Strategy for Cyberspace, considéré comme 5e milieu, est publié par l’exécutif en mai 2011. Basé sur trois piliers (défense, développement économique et diplomatie), il précise que la prédominance technique doit non seulement protéger les Etats-Unis des diverses menaces mais également permettre la diffusion des valeurs libérales américaines (libertés fondamentales, respect de la propriété et de la vie privée[13], libre circulation de l’information[14] …), grâce à un internet universel, libre, stable, ouvert et interopérable, basé sur un usage collectif où chacun doit avoir un comportement « acceptable » et « responsable ». L’accent est mis sur l’innovation technologique pour conserver l’avance sur les adversaires. Ce texte évoque la dissuasion, capacité à résister aux attaques sur le sol américain ou à l’étranger, grâce à des coopérations étroites au sein d’un concept de dissuasion collective. Il évoque également le terme de deterrence, capacité de riposte américaine. Les États-Unis continueront à renforcer leurs alliances et à accroitre les coopérations militaires au sein desquelles ils conserveront un rôle prépondérant. Cette stratégie est complétée par deux documents du département de la défense : le Strategy for Operating in Cyberspace[15] de juillet 2011 et le Cyberspace Policy Report de novembre 2011. Ils indiquent que toute cyberattaque fera l’objet d’une réponse offensive incluant si nécessaire des moyens conventionnels et que les Etats-Unis élargiront leurs coopérations formelles et informelles à un ensemble d’alliés et de partenaires. Ces documents parlent de défense active. L’exécutif américain se verrait également, selon un article du New York Times[16] de février 2013, doté de vastes pouvoirs en matière de riposte et de déclenchement d’opérations préventives dans le cyberespace sans devoir être en état de guerre, relançant le concept de guerre préventive. Il s’appuiera sur l’USCybercom, créé fin 2010, en charge de réagir aux attaques informatiques, lutter contre le terrorisme informatique et mener des offensives dans le cyberespace. Enfin, le 20 février 2013, l’administration Obama publiait également la Stratégie de l’administration sur l’atténuation des vols de secrets commerciaux américains, formalisant en termes de représailles économiques la réaction américaine à des agressions étatiques.
Ces publications permettent de formaliser le concept de cyberpower de Joseph Nye qui complète le soft and smart power. La dimension informationnelle du cyberespace est abordée sous l’angle de la prédominance de la diplomatie américaine, conjuguée aux actions d’acteurs économiques américains dominants qui ont bien perçu, dès la fin des années 90, l’émergence d’une nouvelle économie qui exploitera les données de masse et les informations qu’elles contiennent pour créer la valeur ajoutée de demain. Cette avance conceptuelle sur l’Europe a été cruciale.
…. face à la volonté russo-chinoise d’un retour de leur souveraineté…
A l’opposé de l’approche technologique ou techniciste américaine, l’approche russe s’enracine dans le choc civilisationnel issu de la disparition de la Russie de Kiev et des trois siècles sous le joug Mongol. Cette occupation vit l’émergence de la Moscovie et de son extension territoriale jusqu’aux limites de la Russie contemporaine, ainsi que d’une conscience géopolitique bicéphale orient/occident. En réponse à son passé, la pensée russe recherche en permanence à garantir la sauvegarde de l’entité politique, sociale, culturelle et cultuelle du pays, le respect de son intégrité territoriale et de sa souveraineté. Dans le cyberespace, vu comme un espace informationnel, l’essentiel pour la Russie est donc de se garantir une sécurité informationnelle à la fois par le contenant et par le contenu. Le gouvernement chinois, quant à lui, a créé avec la même ambition un espace séparé proprement chinois sous forme d’un intranet national avec une barrière technique, sorte de « Grande muraille électronique » ou « Grand Firewall de Chine », pour bloquer le routage d’adresse IP ou filtrer des noms de domaine (DNS).
En termes de doctrine, le texte fondateur de la cyberstratégie russe[17], la doctrine de sécurité informationnelle de la Fédération de Russie, est publié le 9 septembre 2000 et pose les bases de la stratégie informationnelle russe. Il émane du conseil de sécurité de la Fédération de Russie. C’est un texte-cadre pour l’ensemble des services de l’Etat et non pour la seule communauté du renseignement. Le regroupement des termes stratégie, espace et sécurité informationnels, est centré sur le rôle majeur de l’information. Le terme « informationnel » regroupe dans la pensée russe les trois couches du cyberespace évoquées supra incluant par ailleurs un volet « civilisationnel » lié à leur histoire. Pour les autorités, la vraie menace est la vulnérabilité de la population aux influences extérieures en imaginant des menaces qui se sont concrétisées dix ans plus tard.
Il est fait mention également d’éléments ayant trait tant au domaine matériel que logiciel et il s’inscrit dans la nécessité de développer une industrie propre, sous le statut, pour certaines, d’entreprises stratégiques[18]) afin d’asseoir la souveraineté du pays. Ce document cadre prévoit également l’emploi d’une certification de la sécurisation des données et de leur authentification par les entreprises nationales lorsqu’elles utilisent massivement des logiciels étrangers. Il insiste sur la reconnaissance juridique de la sécurité de l’espace informationnel afin de garantir son intégrité et sa transmission vers l’individu, le corps social et l’Etat, ainsi que les normes spécifiques associées. La construction d’infrastructures informationnelles et la promotion d’une indépendance de la défense par le déploiement d’un système de technologie de l’information et de la communication (TIC) spécifique, sont également citées.
Ces objectifs sont confortés en novembre 2013 par la parution de la Stratégie de développement de l’industrie des technologies de l’information dans la Fédération de Russie pour 2014-2020 et perspectives à l’horizon 2025, qui analyse les résultats obtenus depuis 2000 pour accentuer la nécessité de faire émerger des entreprises nationales en matière de TIC. Il préconise de s’appuyer sur le complexe militaro-industriel pour pérenniser le niveau national puis conquérir des marchés à l’international. La doctrine de 2000 est complétée par une doctrine militaire publiée en 2010, puis complétée en 2012, les visées conceptuelles des forces armées dans l’espace informationnel. Dans ce document, la sécurité informationnelle regroupe la cyberdéfense et la cybersécurité. Il mentionne la guerre informationnelle et les besoins offensifs et défensifs de l’armée russe pour y faire face. L’équivalent d’un cyber-commandement américain a été mis en place en février 2013 au sein de l’Etat-major russe, en charge de la sécurité de l’information des forces armées et de l’infrastructure de l’Etat.
A contrario de l’approche russe, il est difficile de caractériser la doctrine chinoise car il n’y a pas de publication. Le seul texte de référence est la guerre hors limite des officiers Quia Liang et Wang Xiangsui où le contrôle de l’information est un moyen stratégique pour remporter la victoire sans verser de sang. La cyberstratégie chinoise est donc axée sur la suprématie informationnelle sous toutes ses formes. Dans le livre blanc sur la stratégie militaire de mai 2015, le cyberespace est à la fois un nouveau pilier du développement économique et social, mais également un nouveau domaine de la sécurité nationale. Il met l’accent sur la défense active, sur l’augmentation des capacités dans la perception de la situation du cyberespace, la cyberdéfense, et sur la cybercoopération internationale en vue de prévenir les crises du cyberespace, de garantir la sécurité du cyberespace et de l’information, de sauvegarder la sécurité nationale et la stabilité sociale. Néanmoins, les réflexions stratégiques chinoises ont comme impératif la survie du régime par le contrôle de l’information dans tous les domaines.
Le développement de la force de frappe balistique intercontinentale soviétique et de la conquête spatiale a permis l’émergence des prémices de la couche physique du cyberespace russe, par le développement d’une industrie électronique et d’une série de supercalculateurs[19]). Sur l’espace géographique de la Communauté des Etats Indépendants, hors Ukraine, un Runet, ou « segment russe de l’Internet », apparut à la fin des années 80 sous la forme première du réseau non automatisé Demos. Ce Runet se caractérise aujourd’hui par ses propres infrastructures, ses câbles, ses moyens de transport de l’information et ses points de passage avec le reste de la couche physique de l’Internet. Il est actuellement « fibré » à plus de 40% et est l’un des plus rapides du monde. Son contenu est principalement russophone avec des réseaux sociaux nationaux tels que Vkontakte et Odnoklassniki, dont les serveurs sont en Russie. Une collaboration russo-chinoise s’est également mise en place ces dernières années pour le développement des nouvelles générations de supercalculateur. En 2016, la Chine détenait le plus puissant d’entre eux. Elle est également en position dominante sur les routeurs[20] de cœur de réseaux jusqu’au terminaux mobiles.
Après l’effondrement des années 90, l’excellence de la formation des ingénieurs russes a servi de matrice à l’émergence dans la couche logicielle de sociétés russes de sécurité informatique mondialement connues : ERPScan et Kaspersky, qui deviennent des acteurs indirects du jeu géopolitique entre Etats par l’identification des créateurs de virus. Un dispositif juridique est également apparu pour encadrer et protéger ces nouvelles sociétés de toute immixtion étrangère[21], voire de les utiliser,[22] le cas échéant, dans le domaine du cyberespionnage. Ainsi une proximité de ces sociétés avec les services de renseignement est indéniable. La Russie a développé ses propres moteurs de recherche, Yandex (60,5% des recherches sur internet) et Rambler, concurrents de Google qui ne règne pas en maître sur le marché russe à la différence du marché européen. Depuis 2011, un système d’exploitation national est en cours de développement[23] sur la base du système ouvert Linux accessible plus facilement par ses services de renseignement au nom de la sécurité nationale. La Russie a annoncé également en 2015 qu’elle s’engageait dans un programme de développement d’un OS mobile, en partenariat avec la start-up finlandaise Jolla, sur une version nationale de SailFish OS avec pour objectif de ramener la part des OS Android et iOS sur le marché russe de 95 à 50 % d’ici 2025.
Comme la Russie, la Chine a développé dans sa couche logicielle une offre alternative au site web les plus répandus au sein d’un marché intérieur protégé de toutes concurrences étrangères. Des équivalents chinois des sites étrangers ont vu le jour comme Baidu (Google), Alibaba (Amazon), WeChat (Facebook + WhatsApp + SMS), Weibo (Twitter), QiYi (YouTube). A terme, le BAT (Baidu, Alibaba, Tencent) chinois pourra défier à l’extérieur l’hégémonie américaine des GAFA, en s’appuyant sur un marché intérieur captif et protégé. Un programme de développement d’un système d’exploitation souverain baptisé COS (China Operating System) a été lancé par la Chine en 2014, afin de s’affranchir de la suprématie américaine. Les entreprises chinoises, à l’image de la société Tencent (WeChat), coopèrent très étroitement avec le gouvernement pour contrôler toute cyberdissidence et maitriser la couche informationnelle.
Cependant, la Chine essaie de combler son retard par un espionnage industriel et militaire massif. A cet effet, elle a concentré au sein de l’Armée populaire de libération (APC) la totalité de ses capacités étatiques[24], tant défensives (contre-influence) qu’offensives (influence, espionnage et intrusion), et a développé une collaboration étroite avec des hackers pour s’emparer des technologies étrangères. Le service de renseignement militaire (GRU) russe dispose de moyens[25] analogues en matière de cyberespionnage et d’influence qui ont défrayé la chronique[26] lors de l’élection présidentielle américaine de Donald Trump. Il s’appuie également sur des structures cybercriminelles professionnelles, en échange d’un certain laxisme juridique sur leurs autres activités. Par analogie avec le milieu maritime, les Etats russe et chinois utilisent une flotte de corsaires et de pirates hackers tout en contrôlant les voies de communication de leur espace informationnel (Runet) ou en défendant leur bande côtière (Grande muraille électronique).
…et une approche française au sein de l’UE
L’approche française du cyberespace est centrée sur la cyberdéfense et la cybersécurité. Le livre blanc sur la défense et la sécurité nationale (LBDSN) de 2008 identifie, parmi les nouvelles menaces, l’attaque majeure étatique ou non étatique contre les systèmes d’information. Cette stratégie s’accompagne d’une volonté de développer au sein de l’UE une coopération opérationnelle la plus réactive possible entre États partenaires face aux attaques, et de favoriser la montée en gamme des autres pays de l’UE en cyberdéfense. En matière de sécurité des systèmes d’information, la France doit garder un domaine de souveraineté concentré sur les capacités nécessaires au maintien de l’autonomie stratégique et politique de la nation. A cet effet, le gouvernement a créé l’ANSSI en 2009, autorité nationale de défense des systèmes d’information, et a publié en 2011 la stratégie de la France en matière de défense et de sécurité des systèmes d’information. Ce texte déclinait quatre objectifs stratégiques dont la protection de l’information de souveraineté[27] et le renforcement de la cybersécurité des infrastructures vitales nationales[28].
Le LBDSN de 2013 a confirmé l’analyse précédente des menaces cyber. La capacité de se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs est devenue un des éléments de la souveraineté nationale. D’autre part, la capacité de produire en toute autonomie des dispositifs de sécurité, notamment en matière de cryptologie et de détection d’attaque, est à cet égard une composante essentielle de la souveraineté nationale. La posture française repose sur la mise en place d’une posture robuste et résiliente de protection des systèmes d’information (SI) de l’État, des opérateurs d’importance vitale (OIV) et des industries stratégiques. En cas d’attaque caractérisée, la doctrine prévoit une capacité de réponse gouvernementale globale faisant appel à l’ensemble des moyens régaliens de l’Etat, sans s’interdire l’emploi gradué de moyens relevant du ministère de la Défense, si les intérêts stratégiques nationaux étaient menacés.
Une première approche de la couche informationnelle émerge en 2015 avec la stratégie nationale pour la sécurité numérique, fruit de travaux interministériels coordonnés par l’ANSSI. Elle aborde la captation de richesses numériques, composées en partie de nos données personnelles et de notre vie privée, et des formes sophistiquées de propagande ou d’orientation des convictions ou des habitudes. La maîtrise de ces masses de données est un enjeu de défense et de sécurité nationale, donc de souveraineté.
Une feuille de route vers un modèle de souveraineté 2.0
Une nécessaire première pierre…
Pour pouvoir exercer une souveraineté dans le cyberespace, il faut que cette dernière soit reconnue dans le droit international. En 2013, le Groupe d’Expert Gouvernementaux (GGE) de l’ONU s’est prononcé positivement sur l’application du droit international et de la charte de l’ONU au cyberespace, et par voie de conséquence sur la reconnaissance d’une souveraineté. Cette proposition a été acceptée par un certain nombre de pays dont la Chine. Néanmoins aucune définition du périmètre de cette souveraineté n’a été apportée.
Pour la caractériser dans le cyberespace et face aux enjeux géopolitiques des normes et des comportements, il est nécessaire de s’interroger sur la gouvernance « de » (au niveau technique) et « sur » (au niveau des internautes) l’Internet, ainsi que sur la place exclusive des Etats. Pour la gouvernance de l’Internet, et même si l’ICANN n’est plus sous la coupe du département du commerce américain depuis le 30 septembre 2016, cette organisation doit néanmoins évoluer vers une organisation à personnalité internationale dotée d’une gouvernance intergouvernementale, qui reprendrait le contrôle de l’organisation et du nommage de l’Internet vis-à-vis d’acteurs privés dominants.
Pour la gouvernance sur l’Internet, une charte[29] ou code de bonne conduite a été proposé lors de la 66e session de l’assemblée générale des Nations-Unies par la Russie et la Chine le 14 septembre 2011. Une proposition similaire a été renouvelée un an plus tard lors de la conférence de l’Union Internationale des Télécoms à Dubaï en décembre 2012. Ces propositions ont été rejetées par les Etats-Unis. Deux visions de l’Internet s’opposent, traduisant un affrontement géopolitique centré sur un changement de gouvernance du cyberespace : l’une, menée par les Etats-Unis, qui considèrent que l’Internet est un espace de libre circulation, mais sous leur prédominance bienveillante, et l’autre, menée par la Russie et la Chine, qui veulent plus de contrôle étatique, face aux influences extérieures et intérieures sur leurs populations. Un nouveau code de bonne conduite a été proposé en 2015 par l’organisation de coopération de Shanghai, mais la notion de sécurité informationnelle évoquée traduisait toujours la volonté irrecevable d’un contrôle de la population.
Néanmoins, la place des Etats dans une régulation intergouvernementale doit être impérativement recherchée. Le contexte international y est favorable grâce à une convergence d’intérêts entre un bloc russo-chinois qui le demande, des pays émergents qui ne veulent plus se faire imposer des normes américaines et une Union Européenne qui commence à prendre conscience de l’existence de son espace informationnel. Cette régulation est la première pierre nécessaire à la reconnaissance d’une souveraineté numérique.
…complétée par un « Montego Bay » du cyberespace…
Le deuxièmement élément caractérisant une souveraineté est la reconnaissance de la place de la donnée dans le droit international. En effet, la donnée est au cœur de la souveraineté en tant que ressource stratégique du pays d’où elle émane. Il est donc nécessaire d’inscrire dans le droit la notion de propriété des données informatiques personnelles, en tant que bien attribué à celui qui en est à l’origine. Selon sa valeur informationnelle, cette donnée permet une prise de décision stratégique qui influencera notre société dans différents domaines.
Bien que des normes de comportement stabilisateur aient été proposées en 2015 par le GGE de l’ONU, la formalisation de différentes obligations mutuelles entre Etats est impérative. La transposition au cyberespace du principe de « due diligence », qui détermine qu’« aucun État n’a le droit d’utiliser ou de permettre l’utilisation de son territoire de manière à causer un préjudice sur le territoire d’un autre État », est un premier axe. Ce principe est aussi mis en avant dans le manuel de Tallinn, qui propose l’existence d’un « devoir à la charge des États de prévenir les actes illégaux commis dans le cyberespace à partir de leur territoire». Il est également légitime de pouvoir bénéficier d’un droit de poursuite pour lutter contre les corsaires ou pirates (hackers) des temps modernes. En s’appuyant sur certaines propositions du code de « bonne conduite » russo-chinois cité supra, comme sur la convention sur la cybercriminalité (dite de Budapest) du conseil de l’Europe de novembre 2001, la lutte contre la prolifération et la cybercriminalité sur l’Internet représente un autre volet devant être admis par tous.
Pour permettre de transcrire ces différents principes ou obligations, la France doit promouvoir l’élaboration d’une convention internationale ou « Montego Bay » du cyberespace, auquel la Russie et la Chine ne pourraient s’y opposer par convergence d’intérêts. Seuls les Etats-Unis pourraient y voir une menace pour la prédominance de leur modèle économique numérique, mais leur position serait difficilement tenable face à une alliance objective de différents blocs.
…. et une souveraineté partagée au sein de l’Europe…
En s’appuyant sur la puissance normative de l’UE, la France doit promouvoir les notions de souveraineté numérique étatique et européenne ainsi qu’un cadre réglementaire et financier associé.
Grâce à des éléments clés des champs matériel, logiciel et informationnel constitutifs d’une souveraineté numérique et que nous développerons ultérieurement, il serait nécessaire de séparer ceux relevant exclusivement de l’Etat, par extension par exemple du périmètre de l’article 346 du Traité sur le fonctionnement de l’UE, de ceux qui seraient abandonnés par l’Etat au profit de l’UE.
Comme au niveau international, l’élément clé de la souveraineté européenne est la place de la donnée. Elle devra être considérée comme une pièce maitresse de cette souveraineté en établissant un droit européen de l’information personnelle. L’individu redevient le centre de gravité de l’économie numérique européenne en se réappropriant ses données, qui regroupent l’intégralité de sa trace informatique. A cet effet, l’UE devra renoncer à l’accord euro-américain « Privacy Shield[30] » de transfert de données de l’UE vers les Etats-Unis et imposer que toute donnée concernant un ressortissant de l’UE devra être stockée, traitée et analysée sur le territoire d’un Etat membre de l’UE.
… qui s’appuie sur des facteurs de puissance…
L’élaboration d’une stratégie nationale spécifique au numérique formaliserait le développement de facteurs de souveraineté étatique, qui seront aussi des facteurs de puissance au sein des trois couches du cyberespace.
En s’appuyant sur Bpifrance et un important écosystème de sociétés françaises du numérique déjà existant, le premier facteur de puissance est la constitution d’une base industrielle et technologique du numérique (BITN) capable de produire des matériels et des logiciels sur des segments définis comme enjeux de notre souveraineté : technologie quantique et calcul intensif, intelligence artificielle, objet connecté, analyse des données de masse, blockchain, sécurisation du fonctionnement numérique d’OIV, … Cette base regrouperait des entreprises de différentes tailles allant de la Start up innovante, devant être accompagnée pour son développement et protégée de la prédation d’entreprises étrangères dominantes, jusqu’à l’entreprise de taille européenne ou internationale. Elle pourra également développer des offres sur les marchés concurrentiels internationaux, sachant que la partie relevant de la souveraineté serait « encapsulée » au sein de l’entreprise, afin de protéger le potentiel scientifique et technique stratégique français. La bataille de la première étape de la révolution numérique lancée au début des années 90, représentée par la technologie et les applications actuellement utilisées au sein des couches physique et logicielle, a déjà été perdue. La reconquête de notre autonomie dans les prochaines technologies de seconde génération nécessite d’être préparée. A cette fin, le développement de différents segments stratégiques synonymes d’une autonomie reconquise devra être recherché.
Sur les segments stratégiques des routeurs de cœur de réseau et d’un système d’exploitation (ou OS) « maitrisé » de nouvelle génération lié aux avancées de la couche physique et sous différentes versions (mobiles, terminaux et objets connectés), l’Etat devra s’y investir directement. Ce système d’exploitation devra être utilisé par les OIV dans un premier temps. Il permettra par exemple d’éviter une fuite d’éléments sensibles vers les serveurs américains (cartographie de configuration réseau demandé par Microsoft pour bénéficier des mises à jour de sécurité), mais il doit également constituer une offre concurrentielle.
Les caractéristiques attendues pour la mise en place d’un cloud souverain sont également un facteur de souveraineté lié à l’accès, au stockage et à la protection des données. Ce cloud permettra le stockage de données de plus en plus externalisées (données de ressources humaines,…) et celles considérées comme stratégiques au titre du potentiel scientifique et technique. La piste d’un cloud à deux niveaux pourrait être utilement analysée. Un cloud à vocation nationale pour les entreprises stratégiques en s’appuyant sur les compétences de la société française OVH, 1e hébergeur européen et 2e au niveau mondial, et un maillage de cloud à vocation régionale au niveau des collectivités territoriales, comme offre de proximité pour les PME et PMI. La mise en place d’un intranet national résilient devrait également être étudiée à partir des capacités et infrastructures existantes de la société Orange, l’accélération du déploiement de la fibre optique sur l’ensemble du territoire, l’analyse du réseau hertzien actuel et la potentialité de la technologie radio « ultra narrow band » diffusée par le réseau de la société française Sigfox pour l’Internet des objets.
Sur le segment stratégique des moteurs de recherche, le moteur français Qwant, conçu en février 2013 par une start-up niçoise, devrait être soutenu, imposé dans l’administration et les OIV et diffusé le plus largement possible au niveau européen. Ainsi des alternatives au GAFA ou BAT existent. Il est nécessaire de les identifier et les soutenir pour les faire croître.
…dans un environnement structuré…
Le développement d’un dispositif d’intelligence économique axé sur l’économie numérique est un impératif qui serait également l’un des objectifs de la stratégie nationale, afin d’orienter à la fois la recherche mais également de détecter au plus tôt nos « pépites » innovantes pour les inclure dans cette base industrielle.
Il est impératif de développer nos réflexions et d’adapter notre stratégie nationale pour se préparer aux prochaines étapes de la révolution numérique. Une pensée stratégique existe, mais elle n’est pas aujourd’hui fédérée pour faire face aux enjeux à venir. Pour atteindre cet objectif, un conseil national de recherche sur le numérique centré sur le monde académique devrait être créé. Son action compléterait les champs de réflexion du conseil national du numérique centré sur les élus, la société civile et le monde économique. Il appuierait également notre diplomatie du cyberespace en formant avec le conseil national du numérique des délégations technologiques, à l’instar des délégations technologiques américaines, associant la Silicon Valley et le département d’Etat.
Les partenariats sont également un autre enjeu majeur du développement du numérique et d’une réponse toujours la plus adaptée à ses évolutions rapides. Il serait nécessaire de développer des partenariats avec les industriels dans les champs matériels et logiciels, mais également avec le monde universitaire pour comprendre et se préparer aux futures évolutions, pour faire émerger un vivier d’expert et des filières de formation dans le cyber. Le développement de partenariats bilatéraux ou multilatéraux sur des projets numériques et sur l’élaboration de normes européennes devrait être entrepris. Pour les promouvoir, il serait souhaitable de s’appuyer sur le volet « capacités » du fond européen pour la défense, créé par le plan d’action européen de la défense (EDAP) de la commission européenne.
… où une souveraineté informationnelle doit être reconquise…
Les entreprises américaines qui ont accompagné l’émergence de l’Internet ont eu le temps de penser et façonner le cyberespace comme un nouveau champ économique. En s’appuyant sur le marché américain, les logiciels des GAFA ont conquis assez rapidement une position dominante dans le monde occidental, afin d’être en mesure de capter la valeur ajoutée économique du traitement de la donnée. Ainsi, un des premiers objectifs du conseil national de recherche sur le numérique consisterait à formaliser les enjeux de la sphère informationnelle dans le développement de l’économie numérique et d’étudier son impact sur l’économie « traditionnelle ».
Dans la couche informationnelle, il ne faut pas exclure la dimension humaine et le champ des perceptions. C’est un nouveau champ de conflictualité où la propagande s’y est développée. Au travers de forum puis des réseaux sociaux, des organisations islamistes ont investi ce nouvel espace de communication pour propager le djihadisme via des plateformes opérationnelles de téléchargement de manuels du parfait djihadiste, promouvoir un modèle sociétal religieux et recruter des combattants. Au-delà des manœuvres offensives de nos services sur la toile, du blocage, de la suppression et de la censure que nos textes de loi permettent, le champ des perceptions ne doit plus être abandonné, mais un discours alternatif doit être construit autour d’un message, d’un messager et d’un vecteur. Des réponses publiques existent (site gouvernemental « stop djihadisme », numéro vert de signalement d’une radicalisation), mais elles doivent également être sociétales. Il est nécessaire de faire émerger un contre discours associatif ou d’initiative citoyenne. Il pourra s’appuyer sur des campagnes de type « Online civil courage initiative » conçues par l’Institute for Strategic Dialogue de Londres et aidés par Facebook pour cibler une population réceptive à la propagande djihadiste. Des vidéos de témoignage de parents, de proche, de victimes françaises ou étrangères, de repentis peuvent également être réalisées et utilisées sur YouTube via « the Redirect Method » de Google, pour présenter systématiquement un référentiel alternatif aux vidéos de propagande djihadiste. Les collectivités territoriales peuvent être des « facilitateurs » pour permettre la rencontre entre les associations et Facebook ou Google, mais sans jamais apparaître pour ne pas brouiller le message ou l’image de l’initiative citoyenne. Il faut enfin obtenir des grandes sociétés du Web qu’elles assument leur responsabilité dans cette lutte en chassant et supprimant les comptes et les contenus promouvant le djihadisme.
Un commissariat à l’espace numérique et aux nouvelles technologies
Au-delà des enjeux de cyberdéfense et de cybersécurité formalisés dans les deux derniers livres blancs, dans la stratégie nationale pour la sécurité du numérique de 2015 et par une doctrine présentée par l’ex-ministre de la défense, Jean-Yves LE DRIAN, le 12 décembre 2016 à Bruz, la France doit développer une politique globale de souveraineté numérique. Elle définirait nos ambitions internationales, une stratégie nationale[31]) et un plan d’actions avec des propositions adaptées aux enjeux des trois couches sur la base des différents éléments développés supra. Pour la mettre en œuvre et la personnifier, il est nécessaire d’identifier un nouvel acteur qui serait le bras armé de cette ambition nationale. Il pourrait prendre la forme d’un commissariat à l’espace numérique et aux nouvelles technologies, conseiller du gouvernement pour le numérique.
Afin d’assurer une cohérence organisationnelle, ce commissariat aurait également la responsabilité de la cybersécurité de nos OIV. A cet effet, l’ANSSI lui serait rattachée, tout en préservant un lien avec le cybercommandement (Cybercom) de l’état-major des armées (EMA). Pour la lutte informatique, il aurait la responsabilité de développer en régie ou par certaines entreprises de la BITN des moyens d’analyse de composants et de virus, des plateformes collaboratives nécessaires à notre cyberdéfense, dont le client sera le Cybercom. A ce titre, les éléments de la DGA/Maîtrise de l’Information travaillant dans ce domaine à Bruz devraient lui être rattachés. Pour éviter les doublons, ce commissariat travaillerait également en étroite collaboration avec la division des applications militaires du CEA, en charge de la simulation et du calcul intensif pour notre dissuasion nucléaire et de la DGSE pour la cryptographie et la cryptanalyse.
Pour pouvoir être efficace, il devrait être responsable d’un programme budgétaire propre au sens de la LOLF et s’appuyer sur une évolution juridique du périmètre des entreprises considérées comme stratégiques[32]. Ce statut lui permettrait d’empêcher tout rachat d’entreprise dite stratégique sans son aval. Un régime dérogatoire au code des marchés publics en lien avec ce statut devrait également être mis en place. Ce commissariat aurait en charge le développement des facteurs de souveraineté cités supra, l’accroissement de pôles de recherche dans les segments stratégiques, la mise en place d’un environnement structuré : conseil national de recherche sur le numérique et partenariats. Il pourrait s’appuyer sur des financements à conquérir auprès du volet « recherche » du fond européen pour la défense, ainsi que l’inscription de certains segments au programme de recherche consacré à la défense, qui sera mise en place au titre du cadre financier pluriannuel de l’UE post-2020.
En conclusion, la reconquête d’une souveraineté numérique n’est pas une utopie, mais le fruit d’une ambition politique, s’appuyant sur une stratégie d’ensemble et des actions au niveau de l’Europe, de l’Etat, des collectivités territoriales, de la société civile et du secteur privé. Un nouvel acteur, le commissariat à l’espace numérique et aux nouvelles technologies, devrait être créé et désigné comme le chef d’orchestre d’une partition nationale : une feuille de route définissant une organisation, un cadre réglementaire et financier et des objectifs dans les trois couches du cyberespace. Ce commissariat devrait préparer avec les milieux industriel et académique l’émergence, la maîtrise et la pérennité des facteurs clés nationaux et européens d’une souveraineté 2.0 pour préparer la prochaine étape de la révolution numérique en marche. Au-delà de cette première approche globale et face à la grammaire propre du cyberespace, la question du développement, de la réalisation et de la maîtrise de tous les éléments constitutifs d’un intranet national sécurisé et résilient devrait également être posée à court terme.
La récente revue stratégique de cyberdéfense (12/02/2018), ou encore le rapport « Donner un sens à l’intelligence artificielle » (rapport « Villani ») rendu public le 28 mars 2018, constituent des jalons clefs pour l’affirmation d’une ambition française dans l’espace numérique et dans les nouvelles technologies.
References
Par : Christophe GASANÇON
Source : Centre des Hautes Etudes Militaires
Mots-clefs : cyberespace;, cyberpower, cyberstratégie, Sécurité, souveraineté, systèmes d'information