Dissuasion et cyber : l’évolution des termes du débat

Le scénario d’un « cyber-Pearl Harbor » est apparu dans l’analyse institutionnelle comme académique américaine dès les années 1990, alors même qu’Internet comptait moins de 16 millions d’utilisateurs dans le mondeVoir par exemple Joseph S. Nye Jr, « Deterrence and Dissuasion in Cyberspace », International Security, Vol.41, No.3, hiver 2016/17, pp. 44-71.. S’agissant de l’enjeu dissuasif dans le domaine cyber, il convient également de rappeler que les premières réflexions furent précoces. Cité en juin 2016 dans un article du New York Times, le président estonien Toomas Ilves déclarait alors : « le plus gros problème en matière cyber reste la dissuasion. Cela fait des années que nous parlons de la nécessité d'y faire face au sein de l'OTAN. »Cité par David E. Sanger, « As Russian Hackers Probe, NATO Has No Clear Cyberwar Strategy, » New York Times, 16 juin 2016. En somme, l’ambition de dissuader un adversaire dans le cyberespace est envisagée par l’analyse depuis la fin du XXe siècle. Pour autant, il est remarquable qu’aucune solution opératoire crédible n’ait encore vu le jour, et que la recherche académique ne soit nullement consensuelle sur la questionStefan Soesanto et Max Smeets, « Cyber Deterrence: The Past, Present, and Future », in NL ARMS Netherlands Annual Review of Military Studies 2020 – Deterrence in the 21st Century—Insights from Theory and Practice, pp. 386-400.. Les études en relations internationales sur le sujet se sont très largement accélérées après les attaques cyber contre l’Estonie en 2007, puis avec la publicité faite autour du virus Stuxnet à l’été 2010. Ces travaux ont marqué le début de la décennie 2010, pour atteindre un pic en 2016, en particulier, avec plus de 480 articles produits cette année-là s’agissant de la seule question de la cyber-dissuasionIbid. p. 392.. Il est également très notable que l’intérêt pour ce thème s’est largement affaibli depuis 2018.

Schématiquement, la question principale peut se poser en des termes simples : si le conflit se déploie dans le domaine cyber, alors il doit être possible de le dissuader ; par conséquent, un pays peut-il en dissuader un autre d’utiliser le cyber pour l’attaquer ? Si oui, comment ? De façon plus détaillée, la cyber-dissuasion est généralement envisagée selon trois angles possibles : elle peut se référer à l'utilisation de moyens cybers militaires pour dissuader une attaque militaire non cyber, ou bien à l'utilisation de moyens militaires pour dissuader une cyber-attaque militaire, ou encore à l'utilisation de moyens cybers militaires pour dissuader une cyber-attaque militaire. La plupart des analyses se fondent sur ces deux dernières acceptions.

Trois types d’argumentaires se sont partagé la scène de la fin de la décennie 2010 : selon les premiers, la cyber-dissuasion ne présente pas de défi conceptuel spécifique et fonctionne selon les mêmes règles, et les mêmes incertitudes, que la dissuasion conventionnelleVoir par exemple D.E. Denning, « Rethinking the Cyber Domain and Deterrence », Joint Forces Quarterly, 77, pp. 8-15, 2015.. Selon les deuxièmes, le domaine cyber est si différent des domaines traditionnels de la conflictualité qu’une dissuasion effective passe nécessairement par une meilleure compréhension des ressorts spécifiques de cette forme de violenceVoir par exemple Joseph S. Nye Jr, op. cit.. Pour les troisièmes, enfin, la cyber-dissuasion est impossible du fait de la structure même du cyber espace, thèse notamment développée par Richard Harknett et Michael Fischerkeller en 2017 dans un article au titre éloquent : « La dissuasion n’est pas une stratégie crédible pour l’espace cyber »Richard Harknett et Michael Fischerkeller, Deterrence is Not a Credible Strategy for Cyberspace, Orbis 61, pp. 381-393, 2017..

Par ailleurs, dans les études stratégiques comme en polémologie, les tentatives de définition du rôle du cyberespace dans la pratique de la guerre se sont multipliées en s’inspirant de l'expérience des conflits et des stratégies propres aux conditions de la guerre telles qu’apparues dans la seconde moitié du siècle dernier. Dès lors, il est habituel de voir transposées au domaine cyber ces stratégies traditionnellesVoir par exemple Liam Nevill et Zoe Hawkins, Deterrence in cyberspace Different domain, different rules, Special Report, ASPI, juillet 2016., au premier rang desquelles figure la dissuasion. Or, Joseph Nye notait en 2016 qu’il est « difficile de comprendre la dissuasion dans le cyberespace [précisément] parce que nos esprits sont capturés par les images de la guerre froide où la dissuasion consiste à menacer de riposter massivement à une attaque nucléaire par des moyens nucléaires. »Op. cit., p. 45. Une partie de l’analyse a vite considéré que le caractère protéiforme de la menace cyber, souvent ambiguë et difficile à attribuerLa question de l’attribution et de la nécessité d’une criminalistique longue et adaptée a été soulevée contre l’argument dissuasif dès 2002 par Richard K. Betts, dans un article intitulé « The Soft Underbelly of American Primacy: Tactical Advantages of Terror », Political Science Quarterly, Vol. 117, n° 1, pp. 19-36, printemps 2002., semble a priori limiter l’efficacité de stratégies de dissuasionVoir par exemple E. Gartzke et R.J. Lindsay, « Weaving Tangled Webs: Offense, Defense, and Deception in Cyberspace », Security Studies, 24(3), pp. 316-348, 2015.. Pour l’analyse comme pour la planification, il s’agit donc depuis lors de spécifier ce qu’il convient de dissuader, et avec quels moyens.

La raréfaction des études sur la dissuasion en lien avec les risques et menaces dans le domaine cyber depuis quelques années s’explique sans doute à la fois par la surabondance d’hypothèses théoriques déjà testées, par la perception majoritaire d’une inadaptation du concept de dissuasion en l’espèce, comme par l’intérêt de la recherche pour d’autres concepts stratégiques. En outre, après avoir interrogé tous azimuts la pertinence d’une dissuasion cyber, ou appliquée au cyber, il reste que le phénomène fait désormais durablement partie de l’environnement contemporain de sécurité. Le champ protéiforme de ce qu’il convient d’appeler, faute de mieux, le « multi-domaine », en rend compte. Pour Aaron Brantly, Professeur associé de sciences politiques et directeur du laboratoire Tech4Humanity à Virginia Tech, qui s’exprimait en 2018 dans le cadre de la dixième conférence internationale sur le conflit cyber, le principal défi n'est désormais pas tant de définir la dissuasion dans le cyberespace, que de « comprendre le rôle [...] que jouent les technologies numériques dans le cadre plus large de la dissuasion interétatique. »Aaron Brantly, « The Cyber Deterrence Problem », 10^th International Conference on Cyber Conflict, CyCon X: Maximising Effects, 2018.

Télécharger le bulletin au format PDF