huyghe.fr - Le site de François-Bernard Huyghe
OK
 Sur Twitter : @huyghefb
 Comprendre les conflits : une nouvelle polémologie
 Terrorisme
 Affrontements, stratégies et images
 Information, pouvoir et usage : l'infostratégie
 Intelligence économique : du savoir à l'influence
 Pouvoirs et information
 Transmission et communication : la médiologie
 Médiologie au présent
 Médiologie de l'histoire
 Divers
 Textes à télécharger
 Huyghe Infostratégie Sarl
Comprendre les conflits : une nouvelle polémologie > Affrontements, stratégies et images
Les fondamentaux d'une cyberstratégie

Tout cyberconflit, disions-nous, équivaut à résoudre une équation à plusieurs inconnues (identité et statut de l'attaquant, nature de la contrainte qu'il veut exercer, rapport entre le résultat qu'il en espérait et celui qu'il a obtenu, rationnalité de ses choix, capacité ou non de renouveler son exploit, donc de constituer une menace crédible car susceptible d'être rééditée...



On répond généralement à cette accumulation d'incertitudes ou à cette multipliction des embranchements que doit explorer le raisonnement stratégique par des solutions techniques tous azimuts : s'assurer une résistance totale et contre tout (ce qui est impossible et du fait de l'évolution constante de la technique et de la dimension de tromperie et d'illusion inhérente au cyber).



En tout état de cause, la situation semble assez déprimante pour qui se situe du point de vue du défenseur (a priori celui d'une démocratie comme la nôtre) tant semblent nombreux les atouts de l'attaquant :



- anonymat (ou capacité de leurrer la victime en lui fournissant un faux coupable



- faculté de profiter de la moindre vulnérabilité chez la victime



- avantage en terme de vitesse, de suprise, d'initiative et de choix de l'opportunité d'attaquer



"bon marché" relatif de l'arme agressive ou possiblité de se la procurer chez son inventeur, même si l'on ne possède pas la capacité technique de la fabriquer...



- etc.



Un stratége pourrait arguer qu'il y a des prix à payer pour ces avantages : l'anonymat ne permet pas de faire connaître ses revendications, la dépendance des vulnérabilités adverses limite le champ d'action à la découverte du prochain défaut de la cuirasse (et interdit de tester véritablement ses armes), le facteur vitesse se paie en difficulté à construire une stratégie à long terme et le faible coût de l'arme implique pour le faible d'être dépendant de ce que lui fournit un fort (ou du moin un "astucieux"...



Reste pourtant que l'organisation d'une prévention (voire d'une dissuasion) ressemble un peu à un une tâche sans fin. Peut-on au moins envisager d'identifier quelques fondamentaux de la réflexion cyberstratégique ?



Ceci implique d'abord de raisonner en fonction d'une hiérarchie de risque. D'après la nature technique de l'outil utilisé, ce risque combine à un degré ou à un autre trois genres de périls :



- le risque de perte d'une information sensible est le plus évident, qu'il s'agisse d'un code, d'une base de données précieuses, d'éléments qui renseignent le concurrent sur l'état de la recherche et du développement (et qui parfois lui économisent des années de travail).



- le risque de paralysie qui résulterait d'une perturbation d'un système informationnel : demain peut-être un outils sur lequel on se repose cessera d'être fiable, le chaos s'installera dans le paysage le plus familier et, pour prendre un cas souvent cité, une infrastructure vitale dont nous sommes dépendants ne fonctionnera plus.



- le risque d'une forme d'humiliation ou de défaite psychologique : l'advesaire parviendra à nous ridiculiser, à nous discréditer, à provoquer des mouvements hostiles à notre égard.



Pour le dire autrement, du point de vue tactique, une attaque peut se rattacher à une manœuvre d'espionnage (apprendre ce que l'on ne devrait pas savoir), de sabotage (empêcher un dispositif adverse de fonctionner), de subversion (fragiliser un pouvoir par des discours et des images)...



Si l'on veut remonter d'un étage et considérer la question d'un point de vue stratégique, nous retrouvons trois types de situtations.



L'adversaire poursuit un dessein géopolitque classique et utilise le cyber comme moyen de contraindre une volonté politique : il s'agit de faire céder et d'exercer un effet de dominance - ce qui suppose que l'on ait une revendication précise.



L'adversaire a un objectif économique ou technique : il cherche à acquérir un avantage concurrentiel, ou éventuellement à handicaper un rival.



L'adversaire cherche à réaliser une démonstration : de sa force ou de notre faiblesse, de notre faute et de la punition qu'il nous inflige, bref il cherche à obtenir un impact le plus spectaculaire possible sur l'opinion...




La cyberstratégie proactive de demain devra sans doute se construire autour de ces fondamentaux et on peut déjà imaginer quelques types de solution :



réponses par le renseignement et par d'éventuelles manœuvres de tromperie (leurres et pièges) pour rendre le vol d'information plus difficile et moins sûr



actions de contre-propagande pour diminuer l'impact d'actions symboliques



établissement d'un code de riposte et de négociation avec un acteur géopolitique utilisant la cyberattaque comme ultima ratio (du moins avant la "vraie guerre").



Ce ne sont là que quelques solutions, mais il nous semble au moins acquis qu'une solution purement technique et organisationnelle universelle est déjà exclue.



 Imprimer cette page