Cyberespace

La cybersécurité est aussi une question géopolitique

Les cyberattaques touchent désormais des entreprises de tous les secteurs, qui peuvent devenir la cible indirecte d’Etats, de mafias ou de terroristes, dans le contexte de conflits géopolitiques complexes.

La cybersécurité est aussi une question géopolitique.

L'auteur

  • Frédérick Douzet
    • Professeur
      Institut français de géopolitique (Université Paris 8)
    • Directrice
      GEODE
    • Commissionner
      GCSC

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°383

Cybersécurité : des menaces nouvelles et des réponses innovantes

En 1976, le grand géographe Yves Lacoste, qui vient de fêter ses 90 ans, publiait un ouvrage fondateur qui reste d’une actualité étonnante : La géographie, ça sert d’abord à faire la guerre (Maspero). La révolution numérique n’y aura rien changé, bien au contraire. En dépit des espoirs utopistes des pionniers de l’Internet, l’interconnexion mondiale des réseaux d’information et de communication a donné lieu à l’émergence d’un nouvel espace de conflictualité. Le cyberespace s’avère aujourd’hui être le principal terrain d’affrontement entre une multitude d’acteurs, à commencer par les États, et fait peser un risque inédit sur les entreprises, particulièrement dans le secteur bancaire.

La cybersécurité dans les entreprises est longtemps restée une question technique, avant de s’intégrer progressivement dans une approche plus globale de prise en compte d’une multitude de risques au niveau managérial et de gouvernance des données. Elle reste toutefois très focalisée sur la préservation de la disponibilité, l’intégrité et la confidentialité des données au sein de l’entreprise, notamment à travers la construction d’un écosystème stable et performant reposant sur des partenaires de confiance. Or de récents événements montrent que cette approche ne suffit pas. Les entreprises sont de plus en plus souvent prises pour cibles dans les conflits géopolitiques qui ne les concernent pas directement. Et surtout, les opérations offensives dans le cyberespace menacent les infrastructures mêmes qui le sous-tendent, entraînant un risque systémique difficile à anticiper et à juguler.

Des entreprises victimes d’attaques à motivation politique

En 2007, l’Estonie a subi une vague de cyberattaques contre les sites web de ses institutions, dont le parlement estonien, des ministères, des banques et des médias, paralysés par des requêtes massives simultanées (DDoS). Ces attaques se sont produites dans le contexte de vives tensions entre la Russie et l’Estonie autour du déplacement du Soldat de bronze de Tallinn, un monument à la gloire des soldats soviétiques morts pendant la Seconde Guerre mondiale. Elles ont fait entrer ces enjeux de manière spectaculaire dans le domaine public, suscitant la prise de conscience de nombreux acteurs, et en particulier des États, sur la nécessité de renforcer leur cyberdéfense face à ce nouveau type de menaces.

Depuis, les cyberattaques sont devenues de plus en plus nombreuses, ciblées et sophistiquées et les entreprises sont de plus en plus exposées à des opérations à motivation politique. Qu’il s’agisse d’attaques contre des entreprises de divertissement ou d’information (Sony Pictures en 2014, TV5 Monde en 2015) ou de réseaux électriques (Ukraine, 2015) ou encore d’usines d’acier (Allemagne, 2014) ou de compagnies pétrolières (Shamoon 2012, 2016, 2018), les cyberattaques ne se limitent pas à des infrastructures d’importance vitale. Elles touchent des entreprises de tous les secteurs qui peuvent se retrouver ciblées par des États, des mafias, des hackers patriotes ou des terroristes, dans le cadre de conflits géopolitiques complexes qui ne les concernent pas directement. Ainsi, dans un contexte de tensions exacerbées dans la région du Golfe, des entreprises de cybersécurité alertent sur le risque d’une campagne destructive menée par l’Iran visant des entreprises et des institutions américaines [1]. Et les cyberattaques contre les banques sont de plus en plus souvent liées aux États, selon un rapport de la Carnegie Endowment for International Peace. Les banques doivent désormais se protéger non seulement des criminels mais des opérations de perturbations à des fins politiques et de vols de grande ampleur menées par les États [2].

Au-delà des attaques ciblées, ce sont toutefois les risques liés à la prolifération d’outils offensifs qui sont le plus facteur d’instabilité et d’imprévisibilité pour les entreprises.

Des opérations offensives déstabilisatrices

Les attaques de WannaCry et NotPetya [3] en 2017 illustrent les risques associés à la course aux cyberarmes à laquelle se livrent les États dans un contexte d’affirmation de puissance et d’affaiblissement des instances multilatérales. Ces attaques dévastatrices ont utilisé Ethernal Blue, un outil développé par la NSA qui exploitait une vulnérabilité de Microsoft. Cet outil dérobé à la NSA a été mis à disposition sur Internet puis utilisé par d’autres acteurs à motivation politique pour créer un effet stratégique. Mais surtout, les attaques se sont propagées dans plus de 150 pays de manière massive, rapide, touchant des hôpitaux et causant des centaines de millions d’euros de dégâts dans une grande diversité d’entreprises qui n’étaient pas, initialement, les cibles de l’attaque.

Ces événements ont mis en évidence le risque systémique lié à la prolifération des outils offensifs développés et la course aux cyberarmes entre les États. Les cyberarmes peuvent en effet être copiées ou volées, elles peuvent être récupérées, retravaillées et réutilisées, y compris contre l’État qui les a initialement développées. Les concepts d’attaques et les tactiques peuvent aussi être copiés, par l’adversaire ciblé comme par des criminels. La prolifération peut favoriser ainsi une montée en compétences de tous les attaquants potentiels. Enfin, les technologies sont duales et les réseaux partagés, les logiciels malveillants peuvent ainsi se propager à toute vitesse de manière incontrôlée, impactant de manière dramatique l’activité des entreprises de manière déstabilisatrice pour les sociétés.

Le risque de perte de contrôle des attaques pourrait s’intensifier avec l’avènement de deux technologies de rupture, à savoir l’ordinateur quantique et l’intelligence artificielle, dont les experts estiment qu’elles risquent, dans un premier temps, de favoriser l’attaque au détriment de la cyberdéfense. L’étude de la géographie du cyberespace montre aussi que ces attaques touchent aussi au cœur public de l’Internet, notamment le contrôle du routage des données, menaçant ainsi la sécurité et la stabilité des infrastructures qui sous-tendent le cyberespace.

La cybersécurité de demain, une question géopolitique

Les États ont longtemps profité de l’opacité du cyberespace pour mener en toute impunité, et en toute discrétion, des opérations offensives. Mais ils prennent aujourd’hui conscience de leur propre vulnérabilité en raison de la dépendance de plus en plus grande des sociétés et des armées au numérique et du développement de l’Internet mobile et des objets connectés. Le risque accru d’escalade des conflits et de répercussions non maîtrisées de la prolifération a également conduit les États à relancer les négociations internationales visant à assurer la sécurité et la stabilité du cyberespace.

Deux processus multilatéraux démarrent cette année à l’ONU – l’un proposé par la Russie, l’autre par les États-Unis –, dans le but de s’entendre sur l’interprétation du droit international, des normes de comportement responsables des États, des mesures de confiance et des processus de coopération. Mais dans le contexte géopolitique actuel, qui est particulièrement tendu, les États ne sont pas prêts à renoncer à certaines de leurs activités qui mettent pourtant en péril la stabilité et la sécurité du cyberespace. La défiance et les rivalités de pouvoir limitent la coopération internationale et constituent un frein aux efforts nécessaire de régulation pour assurer la sécurité et la stabilité du cyberespace. Or cette insécurité et cette instabilité exposent les entreprises et les sociétés à un risque systémique majeur.

Le rôle des entreprises, du monde académique et de la société est dès lors essentiel pour accompagner ces processus et encourager les efforts visant à réguler le comportement des États mais aussi de l’industrie pour assurer la cybersécurité de demain. C’est le sens des initiatives lancées par de grandes entreprises (notamment TechAccord, et la Global Commission on the Stability of Cyberspace – GCSC). Le monde de la recherche et de l’entreprise doit également travailler ensemble pour mieux comprendre l’évolution de l’espace numérique, sa géographie et ses vulnérabilités, ainsi que les risques spécifiques et systémiques liés à la conflictualité géopolitique. L’enjeu est, d’une part, de prendre en compte le risque géopolitique et systémique dans les modèles d’analyse de risque et, d’autre part, de proposer des initiatives et des normes pour assurer la paix, la sécurité et la stabilité du cyberespace.

[1] https://www.wired.com/story/iran-hackers-us-phishing-tensions/.

[2] https://www.reuters.com/article/us-cyber-banks/state-sponsored-cyberattacks-on-banks-on-the-rise-report-idUSKCN1R32NJ.

[3] https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/.

 

Sommaire du dossier

Des menaces nouvelles et des réponses innovantes

Sur le même sujet