Technologies numériques et dissuasion : l’évolution récente de la politique déclara-toire américaine
Observatoire de la dissuasion n°94
Benjamin Hautecouverture,
février 2022
Alors que les Etats-Unis mènent un effort historique de modernisation de la triade stratégiquePour un montant estimé à environ 1200 milliards de dollars par le Congressional Budget Office., décidée sous l’administration Obama, la littérature spécialisée américaine se penche depuis quelques années sur la dimension cyber des technologies impliquées dans ce nouveau cycle et, plus généralement, sur le risque cyber appliqué aux armes nucléaires, en particulier s’agissant des dynamiques d’escaladeVoir par exemple les travaux récents de James Acton, tels que « Cyber Warfare & Inadvertent Escalation », Daedalus, vol.149, n°2, printemps 2020, 133 – 149.. La question ne se pose pas de façon inédite. Les mises à niveau progressives de la triade depuis le milieu des années 1980 ont progressivement nécessité l'utilisation de cybertechnologies pour améliorer la fonctionnalité, la fiabilité, ou la future maintenance des composants à renouveler. Mais l’ampleur du cycle de modernisation en cours s’accompagne nécessairement d’une intégration plus systématique des technologies cyber. Dans ce cas, la vulnérabilité de l’arsenal nucléaire aux risques et menaces cyber est-elle susceptible de s’accroitre ? Est-ce potentiellement un facteur de fragilisation de la dissuasion ? La même question se poserait alors pour les efforts de modernisation et mises à niveau réalisés de façon concomitante par les autres Etats dotés de l’arme nucléaire depuis plusieurs annéesVoir Emmanuelle Maitre et Bruno Tertrais, « La modernisation des arsenaux nucléaires », Note n°62/2020, FRS, 2 octobre 2020.
Les scénarios de piratage des systèmes informatiques d’un système de commande et contrôle sont anciens. Ils servent même l’industrie cinématographique depuis quarante ans. Par exemple, War Games, réalisé par John Badham et produit par la United Artists en 1983, mettait déjà en scène le piratage par un jeune collégien américain d’un programme de simulation du NORAD ( North American Air Defense Command ») aboutissant, naturellement, à l’imminence d’une guerre nucléaire mondiale que le même jeune « hacker » permettait finalement d’éviter. Ce dialogue entre l’adolescent et la machine fut autant apprécié par Hollywood que par le public : War Games caracola en tête du box-office de l’année 1983 et fut nommé trois fois aux Oscars. L’Histoire retient également que le président Reagan, qui vit le film à sa sortie, s’inquiéta de la crédibilité de son scénario auprès de ses conseillers qui lui auraient répondu : « le problème est bien pire que vous ne le pensez »Fred Kaplan, « WarGames’ and Cybersecurity’s Debt to a Hollywood Hack », New York Times, 19 février 2016.
Compléments des systèmes de commande et contrôle, les infrastructures de communication sont déterminantes pour la fonctionnalité et la fiabilité des forces de dissuasion mais leur intégration doctrinale dans les pays dotés est, sinon moins visible, en tout cas moins commentée. Dans le cas américain, il sera particulièrement utile de lire le prochain examen de posture nucléaireNuclear Posture Review, à paraître au début de l’année 2022. à l’aune de la menace cyber parce que la NPR 2018Nuclear Posture Review, Bureau du secrétariat à la Défense, février 2018, 100 p. avait déjà marqué une avancée par rapport à la NPR 2010 à ce sujetNuclear Posture Review Report, secrétariat à la Défense, avril 2010, 72 p..
D’abord, la partie de la NPR 2018 consacrée à la modernisation des systèmes de communication et de commande et contrôle (NC3) reconnait que le NC3 est désormais sujet à des menaces dans l’espace cyber, qui s’accroissent : « Alors qu'il était autrefois à la pointe de la technologie, le système NC3 est aujourd'hui confronté aux défis que représentent à la fois le vieillissement de ses composants et les nouvelles menaces du XXIe siècle. Sont particulièrement préoccupantes les menaces croissantes dans l'espace et le cyberespace, (…). »« While once state-of-the-art, the NC3 system is now subject to challenges from both aging system components and new, growing 21st century threats. Of particular concern are expanding threats in space and cyber space, adversary strategies of limited nuclear escalation, and the broad diffusion within DoD of authority and responsibility for governance of the NC3 system, a function which, by its nature, must be integrated. » NPR 2018, p. XIII.
S’agissant du champ de la dissuasion, le document de 2018 indique que « les États-Unis n'envisageraient l'emploi d'armes nucléaires que dans des circonstances extrêmes pour défendre les intérêts vitaux des États-Unis, de leurs alliés et de leurs partenaires. Les circonstances extrêmes pourraient inclure des attaques stratégiques non nucléaires significatives. Les attaques stratégiques non nucléaires significatives comprennent, sans s'y limiter, les attaques contre la population civile ou l'infrastructure des États-Unis, de ses alliés ou de ses partenaires, et les attaques contre les forces nucléaires américaines ou alliées, leur système de commande et contrôle, ou leurs capacités d'alerte et d'évaluation des attaques »« The United States would only consider the employment of nuclear weapons in extreme circumstances to defend the vital interests of the United States, its allies, and partners. Extreme circumstances could include significant non-nuclear strategic attacks. Significant non-nuclear strategic attacks include, but are not limited to, attacks on the U.S., allied, or partner civilian population or infrastructure, and attacks on U.S. or allied nuclear forces, their command and control, or warning and attack assessment capabilities. », NPR 2018, p. 21. Cette formulation représente une évolution par rapport au document de 2010 s’agissant du champ couvert par les circonstances extrêmes. Même si les attaques stratégiques non nucléaires significatives ne comportent pas explicitement les attaques cyber, c’est une mention qui ne figurait pas dans le document de 2010 et qui a été officiellement commentée comme incluant potentiellement les attaques cyber, dans certaines circonstances. En l’espèce, c’est Christopher Ford, alors secrétaire adjoint à la sécurité internationale et à la non-prolifération au département d’Etat qui s’était exprimé dans un article publié en octobre 2020 de façon détaillée et peu ambigüe. Selon lui, « il est possible qu'une future cyberattaque puisse constituer un recours à la force ou une attaque armée. La menace potentielle qui se dessine est si grave, en fait, qu'au nom de la dissuasion des pires attaques de ce type, la Nuclear Posture Review de 2018 des États-Unis a pris la peine de souligner que nous n'excluons pas l'utilisation possible d'armes nucléaires en réponse à une « attaque stratégique non nucléaire suffisamment significative » (...). Il s'agit là d'un nouvel élément essentiel de la politique déclaratoire nucléaire des États-Unis, et au cas où il y aurait une confusion sur la question de savoir si une cyberattaque pourrait potentiellement constituer une « attaque stratégique non nucléaire significative », je peux dire avec confiance qu'elle le pourrait très certainement si elle provoquait des effets cinétiques comparables à une attaque significative par des moyens traditionnels. »Christopher Ford, International Security in Cyberspace: New Models for Reducing Risk, U.S. Department of State Arms Control and International Security Papers 1, n°20, octobre 2020.
La considération d’effets cinétiques comparables à ceux que générerait une attaque par des moyens dits « traditionnels » n’est pas anodine dans ce commentaire de texte par Christopher Ford. Elle renvoie à la réflexion, non aboutie au plan juridique, sur la place et les moyens de la cybersécurité en droit international quand une attaque cyber génère des dommages physiques, et peut ou non être caractérisée comme agression armée ouvrant « droit naturel à la légitime défense » selon les termes de l’article 51 de la Charte des Nations unies. C’est, naturellement, l’un des enjeux de la réflexion du Groupe des experts gouvernementaux (GGE) sur la cybersécurité organisée selon plusieurs formats depuis 2004.
Pour rappel, la considération déclaratoire française de l’enjeu de la dissuasion nucléaire face à une attaque cyber est plus prudente que la position américaine actuelle, qu’il s’agisse des discours présidentiels ou des documents officiels sur les menaces cyber et la cyberdéfense, telle que la revue stratégique de cyberdéfense de février 2018SGDSN, Revue stratégique de cyberdéfense, 12 février 2018, 167 p. Voir aussi la Stratégie de la France pour le numérique, présentée par le ministre de l’Europe et des Affaires étrangères en décembre 2017, qui synthétise l’ensemble des orientations stratégiques de la France en matière numérique autour de trois piliers gouvernance, économie, sécurité., par exemple. Au titre de cette revue, « la France réserve, quant à elle, le terme de dissuasion au domaine nucléaire militaire (…). La « grammaire » de la dissuasion nucléaire est singulière et ne s’applique pas aux actions cybernétiques. » Le discours présidentiel dit de l’Ecole de Guerre de février 2020 n’est pas revenu sur cette acception. La prudence française en la matière doit être distinguée de l’approche officielle s’agissant de la notion de dissuasion non nucléaire spécifiquement appliquée au domaine cyber. La France, en particulier, a accepté dans les faits que la dissuasion en général, non nucléaire, s’applique à une attaque cyber à travers le langage public agréé de l’OTAN sur la possibilité d’une réponse cinétique à une attaque cyber.