Loïc Tregoures – Chargé d’enseignement en sciences politiques à l’Institut Catholique de Paris

Loïc Tregoures est chargé d’enseignement en sciences politiques à l’Institut Catholique de Paris, spécialiste des Balkans, et responsable pédagogique de la majeure Souveraineté Numérique et Cybersécurité à l’IHEDN.

Entretien a retrouver dans le dossier Les cyber-espaces eurasiatiques : nouvelles vulnérabilités, cadres législatifs, luttes informationnelles

Comment peut-on définir le concept de « cyberespace » ? S’agit-il d’un espace régi de la même manière qu’un espace physique, dans le sens d’un territoire à proprement parler et donc sujet aux mêmes enjeux (frontières, conquête, souveraineté nationale, monopole de l’exercice de la violence légitime par l’Etat, etc.) ? Autrement dit, y-a-t-il un « cyberespace français »?

Si l’on reprend les récits des pionniers, par exemple la déclaration de John Barlow de 1996, le cyberespace est supposé être un monde qui échapperait au contrôle des États, à la logique de frontières et serait fondé sur l’autorégulation par ses utilisateurs. Les États ont ensuite pris la mesure d’un « territoire » qui échappait à leur contrôle, et était donc hors du droit. Les États ont donc fini par se mettre d’accord sur le fait que le droit s’appliquait aussi au cyberespace.  Prenons le droit international :  la logique du DSA (Digital Service Act), qui fait partie du droit communautaire européen, postule que ce qui est interdit dans la « vraie vie » doit aussi être interdit en ligne. Mais il y a un enjeu évident de compétence du juge sur toutes les activités en ligne à mesure que celles-ci (information, commerce, divertissement, travail) se multiplient dans notre quotidien, enjeu qui renvoie à la question de la souveraineté par rapport au juge californien qui figure dans les CGU des GAFAM par exemple. On a eu ce débat en France sur la régulation des discours en ligne, sur Facebook en 2013-2015 au sujet des attentats ou de la guerre en Syrie. La question qui se posait était donc de savoir :  comment peut-on, en France, faire appliquer notre droit sur la liberté d’expression, face à des entreprises de droit américain ? Les chercheuses Aude Géry et Alix Desforges ont par ailleurs écrit un article qui détaille la question de savoir s’il est encore possible aujourd’hui de parler d’un cyberespace sans frontières, puisque les États tentent de plus en plus de territorialiser cet espace. 

Par conséquent, le cyberespace est traversé par des enjeux géostratégiques, dès lors qu’il n’est plus (l’a-t-il jamais été ?) un espace hors du monde, mais un prolongement de rapports de forces géopolitiques. L’un de ces enjeux est précisément de savoir s’il existe un cyberespace ou des cyberespaces : c’est l’idée de Splinternet. Nous n’aurions ainsi plus un Internet unique mais des Internets : un Internet chinois ou un Internet russe qui se caractérisent chacun par le souci du contrôle absolu du contenant et du contenu, et d’un autre côté un Internet libre et régulé par le droit, occidental.  Dès lors que les États régulent l’Internet selon leurs droits respectifs, vous avez des conceptions différentes. L’Internet chinois n’a rien à voir avec le nôtre, y compris pour une même application comme Tik Tok.

Qu’entend-on par le terme de souveraineté numérique ?  Qu’est-ce que cela signifie concrètement pour un pays d’être en capacité de l’exercer, de la défendre et /ou de la promouvoir ? Des pays en particulier sont-ils souverains dans ce domaine ou en passe de le devenir ?

Si on considère que la souveraineté n’est pas une donnée (est souverain en droit l’État reconnu par ses pairs) mais un exercice (est souverain l’État qui parvient à exercer sa souveraineté par rapport aux autres dans tous les domaines), alors cela signifie que la souveraineté, si elle entend se différencier de l’autarcie à laquelle aucun État ne peut vraiment prétendre sur le plan numérique, même si la Chine, la Russie, les US cherchent à y parvenir de différentes façons, c’est savoir choisir ses dépendances. Donc hiérarchiser ce qu’il paraît indispensable de maîtriser et ce qui peut être confié à d’autres. Que ce soit au niveau des infrastructures, de la couche logique puis sémantique. Stockage, maîtrise et traitement des données par exemple, cloud, opérateurs de câbles, fournisseurs de semi-conducteurs et autres.

Sans oublier le contrôle de l’espace informationnel : la France fait de la souveraineté numérique un objectif, là où bien d’autres pays de l’UE ne voient pas le sujet. On peut d’ailleurs noter les efforts de Thierry Breton, Commissaire européen responsable du marché intérieur, pour que l’UE se pense en puissance numérique en investissant dans les semi-conducteurs, les batteries, la régulation des géants du numérique niveau marché et contenus etc. Cela signifie pour la France -en passant par l’échelon européen- être capable de ne pas dépendre d’acteurs privés étrangers comme Microsoft, Amazon etc. Cela concerne de vastes domaines, de l’Éducation nationale au cloud jusqu’à la Santé (comme la plateforme des données de santé Health Data Hub).

Quelles sont les particularités de la cybercriminalité, notamment lorsqu’on la compare à la criminalité en général ?  À quels types de cybermenaces différentes peut faire face un État, notamment l’État français actuellement ? Pourriez-vous nous dresser un rapide panorama des cybermenaces ?

Quand on pense cybercriminalité, on pense piratage de comptes bancaires ou de DAB (distributeur automatique de billets) à l’ancienne, rançongiciels, c’est-à-dire de la délinquance qui se déroule a priori sans violence physique et sans grand risque pour les auteurs, souvent étrangers et opérant à l’étranger. La coopération avec certains pays, la Russie en particulier, est d’ailleurs très difficile à ce sujet. La cybercriminalité se structure, avec une division des tâches entre ceux qui trouvent les failles, ceux qui les exploitent, ceux qui négocient avec les victimes, ceux qui blanchissent l’argent versé en cryptomonnaies par des circuits complexes etc. On est loin de l’image éculée d’un individu seul capable de rentrer dans le système de la CIA.

Pour contrer cela, il faut des enquêteurs et des magistrats spécialisés et une coopération internationale. Nous avons en France un commandement de gendarmerie dans le cyberespace (Comcybergend) de très haut niveau, de même qu’une unité de la police judiciaire et une autre dépendante de la préfecture de police de Paris. En revanche, nous sommes extrêmement pauvres au niveau judiciaire puisque le parquet J3 (section cybercriminalité du Tribunal de Paris), compétent pour les grosses affaires, ne compte que…trois magistrats. En ce qui concerne la coopération internationale, la convention de Budapest et ses protocoles – pour encadrer et faciliter la coopération internationale dans la lutte contre la cybercriminalité – , conclus par le Conseil de l’Europe, sont des outils indispensables à cet égard.

Selon le SGDSN et l’ANSSI, les cybermenaces auxquelles la France fait face sont certes crapuleuses, mais on observe une frontière de plus en plus brouillée entre des gangs cybercriminels et des États pour le compte desquels ils peuvent parfois agir en proxy. Une autre chose est l’espionnage cyber. La Chine est extrêmement présente sur ce point selon le dernier rapport du SGDSN et les constatations de l’ANSSI.

Enfin, il y a l’espace informationnel avec des acteurs qui parviennent à distiller leurs narratifs contre les intérêts de la France et y trouver des relais en France (Russie, Chine, Turquie par exemple). C’est un sujet délicat car son fondement est la perte de confiance dans la parole publique qui ouvre la voie à des récits alternatifs. Par conséquent, plus la puissance publique sera perçue comme essayant de censurer et d’interdire certains discours plus elle sera inefficace. Ce qui a été le cas avec la loi Avia, visant à lutter contre les contenus haineux en ligne : elle s’est avérée morte-née car largement censurée par le Conseil constitutionnel pour cause d’atteinte à la liberté d’expression.

La France a choisi de créer VIGINUM, un service étatique avec une mission très précise de veille, mais pas du tout de réponse. Nous avons aussi adopté une doctrine de Lutte Informatique d’Influence au niveau du Comcyber. Le Quai d’Orsay a également musclé ses effectifs en la matière sous la direction de Charles Thépaut.

Sur ces deux derniers points, il faut avoir à l’esprit la dissémination des armes cyber au-delà des États. L’affaire Pegasus (logiciel espion utilisé par des États pour espionner journalistes, opposants politiques, chefs d’État, etc) puis celle dévoilée par le réseau de journalistes Forbidden Stories sur Team Jorge (société israélienne spécialisée dans les campagnes de désinformation) montrent qu’il se crée un écosystème légal ou en zone grise, où sont vendus comme un service l’espionnage et l’influence, qui seront de plus en plus accessibles à des acteurs non-étatiques.

Dans quelle catégorie pourrait-on ranger des personnes comme Julian Assange condamné par la justice états-unienne, ou des groupes de hackers comme Anonymous qui semblent revendiquer une lutte pour davantage de transparence de l’information ?

Il est très difficile de répondre à cette question, car cela ne relève pas d’une typologie « objective » sur laquelle tout le monde est d’accord. Assange a mis en lumière des crimes commis et couverts par l’armée américaine. Il a aussi mis en danger ses sources et des locaux (par exemple les Afghans qui travaillaient avec l’armée américaine) et, de façon évidente, il a fait de Wikileaks un relais des services russes dans le cadre de la campagne présidentielle américaine de 2016. De ce point de vue, il sort d’un combat pour la transparence que l’on peut trouver louable, pour s’engager auprès d’une puissance dont il dit, de façon grotesque, qu’il n’y a pas besoin de Wikileaks car tout y est transparent, que l’opposition politique peut s’y exprimer, et que la presse peut y travailler. 

La guerre en Ukraine nous fait nous poser la question de « l’IT Army » ( sorte « d’armée numérique » de l’Ukraine regroupant des volontaires pour contrer les intrusions dans le cyberespace ukrainien ). Des gens qui ont des compétences et qui s’engagent pour une cause juste. Comment les considérer en droit international ? Sont-ce des corsaires d’un nouveau genre ? Ils ne travaillent pas avec l’autorisation explicite de leur propre État, et les États sont tenus par un devoir de due diligence, y compris dans le cyberespace. 

La transparence de l’information ressort d’une part d’une culture démocratique d’accès aux données et aux documents, qui manque sans doute en France où on rend vite les informations confidentielles (des conseils de défense pour traiter du Covid ?), et au travail libre de la presse. Que fait-on pour permettre ou entraver le travail des journalistes, que ce soit dans le contrôle capitalistique exercé sur les journaux (Bolloré en est un exemple caricatural), ou la législation par exemple (affaire Drahi sur le secret des affaires ; l’accès aux archives historiques) ?

Il y a enfin un débat sur les limites de l’OSINT. Les données des passeports du GRU récupérées par Bellingcat (ONG spécialisée en OSINT) ont permis de démontrer l’implication russe dans le coup d’État au Monténégro, de démasquer une espionne établie à Naples près d’un commandement de l’OTAN, de résoudre l’affaire Skripal (empoisonnement d’un ancien agent de renseignement russe passé chez les Britanniques) et d’identifier les empoisonneurs de Navalny. Mais cette base n’était pas à proprement parler en sources ouvertes. On peut considérer que c’est un débat sur le sexe des anges dès lors que la cause est juste. Encore faut-il qu’elle le soit, et que les moyens déployés soient proportionnels à la fin recherchée.

Tout d’abord, qu’est-ce que la cyberdéfense ? Qu’est-ce que recouvre ce terme en termes d’actions et de dispositifs concrets ?

Je vais reprendre la définition de Cattaruzza Taillat et Danet, proche de « cyber warfare » en anglais : « conception de l’action sur, dans ou à travers les réseaux numériques et les activités qu’ils soutiennent ». Elle est à la fois opérationnelle et stratégique et c’est cette dialectique des volontés qui la conduit à être l’affaire non pas exclusive mais pour une large part, des militaires et services de renseignement. C’est donc une affaire des États à laquelle le secteur privé peut concourir. L’armée, en particulier le commandement de la cyberdéfense, s’appuie sur trois documents de doctrine : lutte informatique défensive, offensive, et d’influence.

Quels pays sont les plus performants en termes de cyberdéfense? Une stratégie performante en terme de cyberdéfense s’accompagne-t-elle nécessairement d’une forte capacité offensive dans le cyber? Quels pays à l’heure actuelle peuvent être considérés comme des cyber-puissances et quels sont les critères qui permettrait d’en juger ?

Avoir des capacités offensives est indispensable pour être considéré comme une puissance cyber. On peut reprendre le National Cyber Power Index du Belfer Center de Harvard, qui publie un classement chaque année. Cela donne un ordre d’idée, y compris de pays qui font moins parler d’eux (Australie, Pays-Bas, Iran), même si on peut s’étonner qu’Israël ne soit pas dans le top 10.

L’utilisation du cyber dans les guerres dites hybrides est-elle devenue un élément indissociable de ce type deconflits contemporains ? La possibilité d’une « cyberguerre » dans les années à venir vous paraît-elle envisageable ? Et que recouvre ce terme de « cyberguerre » ?

Guerre hybride, cela veut tout et rien dire. Le cyber est un champ de la guerre, et dans la guerre c’est une évidence, mais c’est surtout un outil très efficace pour demeurer sous le seuil de la guerre, et faire de la subversion, de l’espionnage, et du sabotage. Il y a encore un cap à franchir avant que le cyber ne soit l’arme ultime dans un conflit de haute intensité. Certains estiment que les invariants de la guerre conduisent le cyber à n’être qu’un accompagnant dans cette configuration. D’autres, comme Eviatar Matania, estiment que le cyber en est aujourd’hui là où l’aviation en était dans l’entre-deux guerre et donc que la révolution cyber sur le champ de bataille est encore à venir grâce aux progrès de l’IA, de la robotique, du quantique etc. Difficile de trancher.

En revanche, je ne crois pas à la « cyberguerre » si par là on entend un affrontement entre puissances, au-dessus du seuil de la guerre, mais qui ne se ferait qu’à coups de codes. Ce terme est à mon sens un abus de langage, maisqui est destiné à mobiliser et conscientiser, comme ceux de « cyber Pearl harbour », ou de « cyber 11 septembre ». Ce n’est pas ce que l’on voit. Mais bien entendu, il suffira d’une fois… Et la capacité existe potentiellement car tous les États ont des vulnérabilité critiques, et aucune possibilité d’être sûrs à 100% que celles-ci ne sont pas ou ne vont pas être exploitées. Tout ce qu’on peut faire, c’est de la défense pour augmenter le coût de l’attaque, et renverser l’idée classique de l’extrême efficacité de l’arme cyber par l’avantage intrinsèque qu’il donne à l’attaquant, par la furtivité, le coût en théorie faible, et la possibilité de nier.

En matière militaire, quelle est la stratégie cyber de la France ? Est-il envisageable d’imaginer une politique commune de défense cyber au niveau européen, ou un cyberespace européen ? De quelle manière s’élabore la coopération entre pays de l’UE ?

Je vous renvoie aux documents de doctrines : revue de cyberdéfense SGDSN 2018, puis éléments de doctrine LIO, LID, et L2I. L’idée est de publier notre conception de la légitime défense, d’être transparent sur ce que l’on considère comme une attaque, et quel degré d’attaque, et ce qu’on s’autorise à faire en fonction de ces degrés. Cela baisse le coût de l’incertitude pour nos adversaires potentiels. Il y a des choses qui progressent au niveau européen, notamment sous impulsion française, en matière de cybersécurité, donc on ne parle pas de dimension militaire (directive NIS2, réseau CyCLONe, cyberresilience act, rôle accru de l’ENISA etc.). Le grand chantier est celui de la solidarité entre membres de l’UE en cas d’attaque avec l’envoi d’équipes d’intervention, même si la plupart des pays préféreront passer par un partenariat bilatéral, en particulier avec les USA si jamais ils font face à une attaque systémique comme le Monténégro et l’Albanie en ont connues récemment.

Les pays des Balkans, réputés pour leur instabilité politique, sont-ils une cible de choix pour les cyberattaques ? On peut penser à l’attaque attribuée aux Russes au Monténégro en août 2022 ou à l’attaque en Albanie qui aurait été perpétrée par l’Iran. 

Les pays des Balkans ne sont pas plus ou moins réputés pour leur instabilité politique que le Royaume Uni (3 Premiers ministres en 2022) ou l’Italie dont les gouvernements ne tiennent jamais plus de 18 mois. 

Le cyber est un prolongement des équilibres et tensions géopolitiques internationales. De ce fait, ces pays peuvent être victimes d’attaques cyber qui s’inscrivent dans cette configuration. Comme les autres. Je ne crois pas qu’il y ait de spécificité balkanique, si ce n’est que la capacité à se défendre seul est bien entendu limitée.

Est-ce que la guerre en Ukraine a provoqué un pic des cyberattaques dans la région ? Et quels sont les mécanismes mis en place pour s’en prémunir ?  

Pas à ma connaissance. En France et dans les autres pays matures en matière cyber, on a globalement observé que les capacités cyber russes étaient tournées vers l’Ukraine et vers la défense de la Russie elle-même. On s’attendait à faire face à des vagues d’attaques, et c’est tout le contraire qui s’est produit avec une baisse des attaques. Il y a tout simplement de la main d’œuvre en moins, et la mobilisation a encore fait fuir des gens doués en informatique. Donc les Balkans n’ont pas été la cible d’attaques particulières si l’on exclut le Monténégro. 

Il faut néanmoins ajouter qu’on ne parle pas ici de lutte informationnelle. C’est une autre affaire et là, les récits russes sont très présents car ils sont relayés par l’écosystème médiatique serbe. On le voit donc là où il y a des Serbes, à savoir en Serbie, Monténégro et Bosnie. Ces récits sont en revanche totalement inopérants au Kosovo et en Albanie par exemple. 

Pour les pays de la région qui sont dans l’OTAN, la solution est simple : faire appel, en bilatéral, aux Américains. C’est ce qu’on a vu en Albanie et au Monténégro, avec des acteurs publics et privés, comme la NSA, le FBI, mais aussi Mandiant (entreprise de cybersécurité privée et filiale de Google).

Est-ce que l’intégration d’une partie des Balkans dans l’UE et l’OTAN a mené à un développement plus important de la coopération en termes de cybersécurité ? Est-ce que, pour les États ne faisant pas partie de ces deux organisations, des programmes de coopération existent/sont envisagés ?

Des choses se développent pour faire du capacity building sur le plan des infrastructures, du droit, des ressources humaines, de la gestion de crise etc. Notamment grâce à la E-governance academy de Tallinn en Estonie. La France va ouvrir, en partenariat avec la Slovénie, un centre régional de coopération cyber à Podgorica au Monténégro afin de former des personnels de la région. Les pays candidats à l’UE doivent de toute façon adopter l’acquis Communautaire en la matière. C’est une brique de la réponse globale.