Cet article fait partie de la plate-forme Géostratégie du Forum économique mondial.

Quiconque a suivi une formation en gestion aura été confronté à la proposition selon laquelle « si vous ne pouvez pas mesurer, vous ne pouvez pas gérer. »

Pour les empires, comme pour les États-nations, le fait d’avoir la meilleure compréhension possible des capacités des adversaires, en particulier dans le domaine militaire, a toujours été considéré comme un outil essentiel de l’art de gouverner.

Les États ont eu tendance à garder ces capacités secrètes, et cet impératif demeure.

Mais l’expérience historique récente – notamment la guerre froide – a donné naissance à une culture stratégique de dissuasion fondée sur la connaissance mutuelle des capacités.

L’évolution du cyberdomaine a toutefois considérablement compliqué cette situation, non seulement en ce qui concerne la manière dont les forces armées adoptent et s’adaptent aux nouvelles technologies, mais aussi en ce qui concerne la question de savoir ce qui constitue une utilisation militaire dans un domaine où les utilisateurs civils et militaires sont inextricablement imbriqués.

L’adoption militaire des cybercapacités n’en est encore qu’à ses débuts, mais, comme l’a fait remarquer le directeur de la NSA et chef du Cyber Commandant Amiral Mike Rogers, « chaque conflit dans le monde a maintenant une dimension cybernétique. »

Fonctionnement en zone grise

Les médias sociaux sont devenus un nouveau champ de bataille pour façonner l’opinion publique et exercer une influence psychologique sur les gouvernements et le public, et les opérations de ” zone grise “, comme l’ingérence numérique de la Russie dans les élections dans les démocraties libérales, deviennent de plus en plus omniprésentes.

Et si le cyberdomaine façonne la conduite de la guerre, il sert aussi de domaine de guerre à part entière, une réalité qui a été formellement reconnue par l’OTAN lors de son sommet de Varsovie en 2016.

Les forces armées savent qu’elles doivent devenir cyberactives, mais elles ont du mal à comprendre ce que cela implique.

Jusqu’à présent, les États ont adopté différentes approches organisationnelles, soit en créant une branche distincte de leurs forces armées, comme dans le cas de la Force de soutien stratégique de la Chine, soit en répartissant les capacités entre différentes armes de service, comme dans le cas du Cyber Commandement des États-Unis.

L’écrasante majorité des utilisations militaires du cyberdomaine visent à obtenir un avantage tactique de courte durée sur le champ de bataille. Mais à un niveau stratégique, les gouvernements s’efforcent de trouver comment combiner les capacités de leurs forces armées avec d’autres instruments de puissance nationale pour créer le genre de capacités et de réponses ” toutes nationales ” qu’une nouvelle série de défis semble exiger.

Qu’est-ce que la cyberguerre ?

Il est généralement admis qu’une guerre menée uniquement dans le domaine cybernétique ne sera probablement pas le nouveau visage des conflits – bien que certains États, notamment la Chine et la Russie, aient développé un concept selon lequel les cyber-outils peuvent, dans certaines circonstances, être utilisés à des fins de coercition ou de dissuasion, de manière à éviter la nécessité de recourir à la force cinétique.

Cependant, les activités dans le domaine cybernétique sont beaucoup plus susceptibles d’être un précurseur ou un complément des activités cinétiques.

Par la suite, cependant, le consensus s’effondre rapidement.

Une succession de hauts responsables politiques américains, dont Richard Clarke et Leon Panetta, ont parlé des effets potentiellement dévastateurs des cyberattaques concertées, qui entraînent des pertes humaines et des dommages irréversibles.

Submerger un adversaire

Une telle perspective s’accompagne d’une croyance qui surinvestit l’importance de l’attaque cybernetique.

À l’autre extrémité du spectre, de nombreux chercheurs soutiennent qu’à ce jour, aucune vie n’a été perdue à la suite d’actions entreprises dans le domaine cybernétique ; que la plupart des cyberattaques sont réversibles et n’ont qu’un impact limité ; et qu’une combinaison de défense robuste et de résilience est la clé du succès.

Dans la pratique, les composantes cybernétiques de la plupart des forces armées consacrent la plupart de leurs capacités à la protection des réseaux militaires, bien qu’un nombre croissant d’États aient déclaré leur capacité et leur intention d’entreprendre des cyber-opérations offensives.

Le rôle des forces armées dans la sécurisation des réseaux nationaux est loin d’être clair, tout comme leur capacité à y parvenit.

Certains indicateurs inquiétants révèlent que cette approche du risque d’attaque cybernétique pourrait s’avérer indûment optimiste, car un nombre croissant d’acteurs, tant étatiques que non étatiques, se sont engagés dans des actions toujours plus perturbatrices et ambitieuses dans le domaine cybernétique, d’une manière qui semblerait contribuer à une instabilité croissante.

Un indicateur inquiétant est le barrage de cyber-attaques auquel l’Ukraine est soumise depuis 2014, ce qui donne à penser que la Russie utilise l’Ukraine comme banc d’essai pour des attaques perturbatrices de plus en plus sophistiquées, comme CrashOverride, un exploit autonome conçu pour permettre la fermeture à distance des systèmes de production d’électricité.

Les dommages physiques résultant d’activités initiées dans le cyberespace sont déjà une réalité. Les décès, à tout le moins en tant que conséquence secondaire d’une perturbation numérique persistante et à grande échelle, peuvent ne pas être bien loin.

Il s’avère que la perturbation des systèmes est nettement moins spéctaculaire que l’imaginait Hollywood.

Et même si les scénarios extrêmes peuvent être évités, il existe toujours un risque significatif posé par un nombre croissant d’acteurs catalytiques et non étatiques, qui auraient intérêt à provoquer des spirales d’escalade entre certains États.

Cela soulève la question de savoir ce qui constitue une cyberattaque ou une cyber-arme, et si une telle question est même utile dans un monde qui est devenu si dépendant des réseaux que les cybercapacités sont devenues partie intégrante de la plupart des activités humaines.

Réponse légitime

À quel moment l’activité dans le cyber s’élève à un niveau équivalant à une attaque armée ou à l’usage de la force tel qu’énoncé à l’article 2 (4) de la Charte des Nations Unies. ? Qu’est-ce qui constitue une réponse légitime à une telle attaque ?

Le gouvernement américain a cherché à traiter ces questions par le biais d’une politique d’équivalence, se réservant le droit de riposter de la manière qu’il juge appropriée en réponse à une cyberattaque équivalente à une attaque cinétique.

Les critères d’une telle évaluation ne sont pas définis, sans doute délibérément, mais soulèvent la question de savoir si, par exemple, des attaques soutenues contre le système bancaire américain entraînant la corruption ou la perte de données et une paralysie financière générale – effets plus proches des sanctions économiques ou de la guerre économique – répondraient à ces critères.

Selon les interprétations maximalistes existantes du droit international, qui n’admettent que les décès de premier ordre, les blessures physiques ou la destruction physique comme constituant un casus belli légitime, ils ne le feraient pas.

Théorie et pratique

Jusqu’à présent, relativement peu d’efforts ont été consacrés à la question de savoir comment le cyberdomaine s’inscrit dans une théorie générale de la stratégie, et il est difficile de nier qu’une plus grande attention doit être consacrée à cette tâche.

Mais lorsqu’on examine un domaine caractérisé par tant d’incertitude, d’une part, et l’accélération de l’évolution technique, d’autre part, il est plus urgent de se concentrer sur ce que les États stratégiquement pertinents font réellement par rapport au cyberdomaine et de comprendre ce qui motive leur comportement.

Dans un sens, l’évolution du cyberdomaine peut être considérée comme ayant un effet de nivellement. Tout État qui n’est pas du mauvais côté de la fracture numérique peut développer des capacités dans des domaines tels que la collecte de renseignements et le sabotage qui, il y a dix ans encore, étaient l’apanage de quelques puissances de premier plan.

Néanmoins, dans la pratique, ce qui façonnera les perceptions mondiales de ce qu’est la cyberpuissance militaire, et la façon dont elle est exercée, sera déterminé par le comportement de quelques acteurs majeurs, principalement les États-Unis, la Chine et la Russie.

Par ailleurs, les États-Unis continuent de jouir d’un avantage substantiel, quoique décroissant, en tant que premier arrivé.

À cet egard, la Chine et la Russie se considèrent toutes deux comme vulnérable, et ont cherché à restreindre l’écart de diverses façons, notamment par le biais d’activités diplomatiques internationales portant sur la cyber-gouvernance et la cybersécurité.

La Chine a également cherché à dépasser la supériorité technologique américaine en investissant massivement dans des domaines tels que le cryptage quantique et l’intelligence artificielle.

C’est un champ de bataille qui bénéficie de la brigade efficace des capacités de toutes les nations – pour utiliser le terme chinois, une puissance nationale globale – ce qui est relativement facile pour les États autoritaires, mais moins pour les démocraties libérales. Et c’est un champ de bataille où le succès se définit moins en termes de résultats décisifs qu’en termes de capacité à soutenir un effet déstabilisateur et dissuasif.

Bien que le cyberdomaine sous sa forme actuelle existe depuis une quarantaine d’années, ce n’est que maintenant que les grandes entreprises privées non informatiques ont commencé à redéfinir leurs modèles d’affaires et leurs pratiques en mettant l’information et les capacités fondées sur l’information au cœur de l’entreprise.

Les forces armées mondiales en sont généralement à un stade beaucoup plus précoce de ce processus et la manière dont elles s’adaptent à ce nouvel environnement va fondamentalement modifier le caractère du conflit.

Comprendre quelles sont les capacités impliquées, et comment et pourquoi elles sont développées et déployées, devient un élément critique pour déterminer les capacités relatives des forces armées et pour déterminer la dynamique de pouvoir entre les Etats – une tâche cruciale pour maintenir un certain degré de stabilité stratégique.

Cela nécessitera des définitions claires pour s’assurer que l’on compare ce qui est semblable à ce qui est comparable.

Mais à moins qu’un effort sérieux et soutenu soit fait pour évaluer et mesurer les cybercapacités militaires et la cyberpuissance militaire, nous pourrions facilement nous retrouver dans la position de ce gestionnaire incompétent qui a tout compté, qui n’a rien compris et qui s’est préparé à des surprises très fâcheuses.