Le cyberespace, un nouveau terrain géopolitique ?

Bien avant le déclenchement de la guerre par la Russie le 24 février 2022, l’Ukraine était déjà menacée. Dès 2014, des attaques russes ciblent des stations électriques, des centres de télécommunication, des entreprises et même des bureaux de l’État. Mais le champ de bataille ne comporte pas de tranchées ni de soldats : il est numérique. En août 2014, c’est par exemple le virus Uroboros, qui infiltre les bureaux du Premier ministre ukrainien. On ne parle pas, alors, de cyberguerre, mais ces prémices vont changer la face de l’histoire. Dès cette époque, l’Ukraine renforce ses capacités de cyberdéfense : une anticipation qui permet aujourd’hui au pays de montrer une résilience impressionnante face aux cyberattaques russes orchestrées, cette fois-ci, en même temps que l’invasion armée. Et ce malgré la multiplication de ces agressions : « Les opérations cyber des attaquants soutenues par le Gouvernement russe sont montées en puissance pendant l’année 2021, avant l’invasion », note le rapport de la société de cybersécurité Mandiant, entreprise de référence en matière de cybersécurité devenue filiale de Google Cloud en 2022.



“Le monde entier est désormais un espace de conflictualité”

Si l’arme cyber a eu un rôle important avant ce conflit précis, elle fait désormais partie intégrante de l’appareil géopolitique mondial. Asma Mhalla est spécialiste des enjeux politiques et géopolitiques du numérique et maître de conférences à Sciences Po. Selon elle, le cyber est devenu un outil, une « nouvelle dimension de la guerre » : « Le cyber ne modifie pas forcément les équilibres entre les puissances dans le monde. En revanche, il permet à un pays qui n’a pas vraiment d’arsenal physique très développé d’avoir des armes à bas coût. Des pays qui jusqu’ici n’avaient pas vraiment la possibilité d’entrer dans des conflictualités directes ou indirectes peuvent à présent le faire ». Si les guerres asymétriques existent encore, la guerre cyber et hybride prend de l’ampleur : « Un pays qui a l’intention d’une pression, d’une rétorsion, d’une intimidation utilisera très probablement cette arme-là, aujourd’hui. Le monde entier est dorénavant un espace de conflictualité ».

"La souveraineté des nations en danger"

David Grout, directeur de la technologie EMEA de Mandiant, a travaillé sur ce conflit et ses particularités : « La guerre en Ukraine a notamment souligné la dichotomie entre l’effort et l’impact. Nous nous rendons compte qu’aujourd’hui, il est plus facile de manipuler des ordinateurs que d’aller directement sur le terrain ». Dès lors, une cyberattaque menée en équipe réduite peut suffire à déstabiliser l’ordre géopolitique mondial. C’est cette disproportion et la manière dont elle met tout le monde au même niveau que souligne Asma Mhalla. « Ce qui est neuf et inédit, c’est qu’il y a une horizontalisation des acteurs, et donc de la menace en question. Depuis le début de la guerre en Ukraine, nous voyons des acteurs étatiques, para-étatiques ou complètement privés se greffer à une cause. Par exemple, l’IT Army a mis en commun tout un tas de bonnes volontés et d’initiatives de hackers pour aider le Gouvernement ukrainien dans sa cyberdéfense. Côté russe, il y a eu des groupes strictement criminels, comme Killnet, qui n’étaient pas des organisations mais des articulations hétérogènes et disparates de hackers pouvant chasser des gens en meute », analyse-t-elle. La souveraineté des nations est alors engagée : « Sans cybersécurité, la souveraineté n’a plus vraiment de sens au XXIe siècle », avance Asma Mhalla.

Insécurité cyber

Lorsque les cyberattaques sont évoquées, le mot “menace” est souvent présent. « Mais si l’on parle de menace, c’est qu’il y a intention de nuire. Or, dans le cyberespace, ce ne sont pas des possibilités, ce sont des réalités actées et présentes. La question de l’éventualité n’existe plus, que ce soit pour les États ou les entreprises. Nous savons que cela va arriver, la question est de savoir comment ce risque est anticipé », pose l’enseignante à Sciences Po Paris. Pour dresser une cartographie précise de ce risque, David Grout, CTO de Mandiant, le classifie en quatre grandes catégories. La première correspond aux attaques qui peuvent nous toucher, toutes et tous. « J’appelle ça les “malwares de commodité”. Ce sont les ransomwares ou les fraudes de type pyramidal, par exemple. Il n’y a pas de volonté de la part de l’attaquant de cibler une population particulière mais juste de gagner de l’argent. » La seconde est celle de groupes financiers organisés. « Nous pouvons parler d’une industrialisation de l’attaque malveillante pour générer des flux financiers importants. »

Gérôme Billois, associé du cabinet Wavestone en charge de la gestion des risques numériques, souligne la professionnalisation de ces derniers : « C’est la menace la plus traitée dans notre équipe de réponses aux incidents. Nous remarquons que les structures sont organisées;, elles ont une grille de prix des rançons en fonction de la taille des entreprises attaquées. C’est un réel écosystème cybercriminel qui agit ». La troisième catégorie de risque renvoie aux attaques étatiques, avec une volonté de cyberespionnage ou de déstabilisation : « C’est ce que nous observons pendant les conflits ou dans des situations de grandes tensions politiques », détaille David Grout. Enfin, il convient de prendre en compte une dernière catégorie qui prend de l’ampleur, ces dernières années : celle de l’activisme. « Le terrain cyber est un terrain comme un autre. Les activistes l’ont bien compris et ils y mènent de plus en plus d’actions, notamment depuis le début du conflit en Ukraine. »

Des attaquants innovants

Sollicité pour des réponses aux incidents, Mandiant travaille sur l’analyse des attaques mais aussi sur “l’amélioration de la posture de sécurité” : « Le principe est simple : à partir du moment où je connais mieux l’attaquant, ses méthodologies et ses modus operandi, automatiquement, je peux mieux me protéger, avance le Directeur de la technologie EMEA de Mandiant. Tous les incidents nous font apprendre quelque chose. La réalité, c’est qu’aujourd’hui, à chaque fois que nous trouvons quelque chose, que nous travaillons sur un sujet, les attaquants vont innover. Nous sommes dans un cercle perpétuel d’amélioration sur la connaissance du criminel, la connaissance de ses outils, de ses techniques, des contre-mesures qu’on peut mettre en place. » C’est cette diversification des attaques numériques qui explique pourquoi, dès 2016, l’OTAN a décidé d’élargir à la sphère cyber l’article 5 de son traité fondateur, qui stipule que si un pays de l’organisation est victime d’une attaque, chaque membre de l’alliance considérera cet acte de violence comme une attaque dirigée contre l’ensemble des membres.

“L’IA permet d’identifier la menace”

Le constat est clair : le développement des outils technologiques peut permettre de mieux contrer les attaques. Mais qu’en est-il des évolutions qui sont aussi aux mains des cybercriminels ? C’est du côté de l’intelligence artificielle que se posent le plus de questions liées à la cybersécurité. Car si elle peut être utilisée en cyberattaque en générant des pièges difficilement détectables de type “deep fake”, l’intelligence artificielle joue aussi un rôle dans la cyberdéfense de demain. « Elle est très importante dans le monde de la cybersécurité : c’est ce qui permet à nos outils de monitorer, d’identifier la menace et d’alimenter nos modèles pour mieux cerner les signaux faibles », estime Asma Mhalla. Même son de cloche chez David Grout, qui considère que l’IA peut apporter une valeur ajoutée sur trois pans de la sécurité : « Une meilleure détection des attaques, la réduction de la complexité des infrastructures par l’automatisation et l’amélioration du travail de l’humain ». L’IA est une révolution déjà en marche et la question est donc de savoir comment s’y adapter intelligemment. Gérôme Billois compare cette révolution avec l’arrivée de l’automobile : « Au départ, nous avons fabriqué des voitures sans penser à les sécuriser. Puis, nous avons réalisé que les accidents se multipliaient et qu’il fallait augmenter la sécurité avec les ceintures, les airbags, les alertes sonores. Pour l’IA, nous ne voulons pas attendre pour mettre en place des cadres et des règles à respecter afin de la rendre la moins manipulable possible par un attaquant. Il faut développer les applications avec une conscience cyber, pour mieux les concevoir dès le départ ».

Avant de miser sur la croissance de ce secteur, il faudrait d’abord l’encadrer avec des mesures claires. Pour cela, Gérôme Billois préconise d’imposer un label de cyberrésilience pour les équipements les plus à risque afin de pouvoir agir en cas de crise. « Il y a de plus en plus d’attaques sur des systèmes cyberphysiques, qui ont des impacts humains et matériels. L’idée est donc que tout ce qui peut avoir à un moment donné un effet dans le monde physique devrait avoir une forme de label garantissant qu’il puisse fonctionner même en cas d’attaque cyber. Il faudrait aussi imposer des protections physiques ultimes, pour qu’en dernier recours, nous ayons un mécanisme qui puisse fonctionner. »

Une nécessité que David Grout corrobore avec un mantra, « sécuriser l’IA » : « Pour être certains que l’IA soit utilisée de manière responsable et sécurisée, nous devons accompagner l’ensemble du marché pour mettre en place une structure de sécurisation ».