Rapport de projet

Cybersécurité & Cyberguerre

Auteurs :
Encadrants :
Rafik Benmebarek
Rym Chaouche Meryem Marzouki
Arthur Jean
Table des matières
1 La Cybersécurité, qu’est-ce que c’est ? 3
1.1 L’origine et l’évolution temporelle . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.1 L’origine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.2 L’évolution jusqu’à nos jours . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.3 Les enjeux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2 Les différentes attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3 La Diversité de la Cybersécurité et les métiers associés . . . . . . . . . . . . . . . 5
1.4 La réglementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.4.1 Française . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.4.2 Européenne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.4.3 Le reste du monde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2 Cyberguerre : Mythe ou réalité ? 10

2.1 L’origine et l’évolution temporelle . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.1.1 L’origine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.1.2 L’évolution jusqu’à nos jours . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2 Différentes opérations connues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.1 Estonie : La série de Cyberattaques de 2007 . . . . . . . . . . . . . . . . . 10
2.2.2 Stuxnet : Un virus contre l’enrichissement nucléaire iranien en 2010 . . . 11
2.3 Les contre-mesures et réponses associées . . . . . . . . . . . . . . . . . . . . . . . 12
2.3.1 Européennes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.3.2 Internationales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.4 La rivalité et les enjeux de la gouvernance d’internet . . . . . . . . . . . . . . . . 14
2.4.1 Les enjeux et les difficultés associées . . . . . . . . . . . . . . . . . . . . . 14
2.4.2 Les perspectives d’avenir . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.4.3 Vers une nouvelle relation entreprise/État ? . . . . . . . . . . . . . . . . . 16

1
Introduction
La compréhension de la Cybersécurité et de la Cyberguerre commence par la prise en compte
d’un nouveau "monde" représentant à la fois un atout pour le développement de notre société,
mais aussi un véritable défi à appréhender : le Cyberespace (ou Cybermonde). D’après l’Agence
Nationale de la Sécurité des Systèmes d’Informations (ANSSI), c’est "l’espace de communication
constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données
numériques". C’est donc la représentation globale d’un réseau informatique composé de tous les
systèmes d’informations du monde (notamment le Web) qui est maintenant complètement intégré
à notre société, et utilisé quotidiennement par une majeure partie de l’humanité.
C’est de ce grand nombre d’utilisateurs différents au quotidien que nous vient logiquement
le besoin de sécurité : avec un monde virtuel inter-connecté il est nécessaire de différencier les
données publiques et les données privées qui auront des besoins différents en termes de traitement.
Ce besoin représente la définition de la Cybersécurité : un État à atteindre pour un système
d’information, dans lequel il est capable de résister aux menaces potentielles amenées par le
Cyberespace comme des problèmes d’accès, de confidentialité ou d’intégrité des données stockées
ou transmises. Ces menaces sont omniprésentes avec l’utilisation criminelle d’internet de plus en
plus fréquente : la Cybercriminalité. C’est un véritable danger puisque la quantité de données dans
le Cyberespace augmente de manière exponentielle chaque jour, avec notamment des données
confidentielles et très sensibles d’États ou d’acteurs importants de l’économie. Les attaques dans
le Cyberespace (Cyberattaques), se jouant des frontières et difficilement attribuables, ont donc
une portée supérieure aux limites du monde virtuel, c’est pourquoi un manque de sensibilisation
à la Cybersécurité est un risque pour toute notre société.
La Cyberdéfense est la réponse à ce danger. En effet elle représente (d’après L’ANSSI) "les
mesures techniques et non techniques permettant à un État de défendre dans le Cyberespace
les systèmes d’information jugés essentiels". Ces mesures ne s’arrêtent pas à l’unique protection
des organismes d’États, les territoires sont aussi composés de nombreux acteurs privés ayant
aussi des données sensibles devant être protégées pour ne pas mettre en péril la société : c’est
donc un nouveau défi pour la relation Entreprise/État. Si l’on prend l’exemple de la France,
l’ANSSI impose des règles de sécurisation aux acteurs publics et privés tout en publiant aussi de
nombreuses recommandations pour leur protection, avec pour objectif que le territoire français
soit protégé dans le Cyberespace.
La sécurité du territoire dans le Cybermonde fait donc partie de la politique de sécurité
nationale des États : ils ont besoin de se protéger des Cyberattaques comme ils se protègent
des attaques militaires (renseignement, prévention et défense). La menace des territoires dans
le Cyberespace a amené à l’utilisation du terme "Cyberguerre" (Cyberwar ou Cyberwarfare en
anglais), en effet il y a depuis le début du 21ème siècle de nombreuses confrontations militaires
utilisant comme "armes" Internet et différents systèmes d’information. Les nouveaux «champs de
bataille» peuvent être à différentes échelles et cibler différents acteurs, des grandes entreprises
aux particuliers en passant par les organisations gouvernementales, tous peuvent être touchés.
Les auteurs d’attaques ainsi que leurs motivations sont tout aussi variés : par exemple des orga-
nisations gouvernementales ou organisations terroristes peuvent orchestrer des attaques avec un
but politique alors que des escrocs auront uniquement une motivation économique.
Cela nous amène donc à nous demander : la Cybersécurité peut-elle répondre à l’évolution
de la Cyberguerre ? Pour répondre à cela nous présenterons dans une première partie la Cyber-
sécurité, avec ses principaux objectifs, les différentes menaces existantes dans le Cyberespace,
les différentes façons de se protéger et les réglementations en vigueur aux différentes échelles
géographiques. Puis nous évoquerons dans une seconde partie la Cyberguerre en abordant les
différentes attaques connues, les réponses à ces attaques et les enjeux liant la Cyberguerre à la

2
gouvernance d’Internet.

1 La Cybersécurité, qu’est-ce que c’est ?

1.1 L’origine et l’évolution temporelle
1.1.1 L’origine
Dans les années 1970, Robert Bob Thomas qui était chercheur pour BBN Technologies à
Cambridge, Massachusetts, a créé le premier ver informatique 1 (worm). Il s’est rendu compte
qu’il était possible pour un programme informatique de se déplacer sur un réseau, laissant une
trace de lui partout où il allait. Il a nommé le programme Creeper, et l’a conçu pour voyager
entre les terminaux Tenex sur le premier ARPANET (premier réseau à transfert de paquets)
sans but malveillant, écrivant le message "I am the Creeper catch me if you can."
Reaper a été le premier logiciel anti-virus. Il a été créé par Ray Tomlinson (créateur du
premier système de courriers électroniques), pour se déplacer dans l’ARPANET et supprimer le
programme Creeper. Strictement parlant, le deuxième ver introduit sur ARPANET était Reaper
car il était destiné à supprimer toutes les instances de Creeper qu’il pouvait trouver.
En 1989, le “Morris Worm” a été le premier exemple généralisé d’attaque par déni de service
(DoS). Les rapports recensent plus de 6 000 ordinateurs affectés (environ 10% des ordinateurs
connectés à Internet à l’époque), mais l’exactitude de ce chiffre a été débattue.
Son créateur, Robert Morris, a affirmé que le ver avait été conçu pour mesurer la taille
d’Internet. Cependant, il ralentissait considérablement chaque ordinateur infecté.
À la suite de ces événements, des solutions de sécurité ont commencé à apparaître à la fin des
années 80, mais le début des années 90 a vu une explosion d’entreprises proposant des scans anti-
virus. Ces produits ont scanné tous les binaires d’un système donné et les ont testés par rapport
à une base de données de «signatures» (permettant l’identification d’un logiciel malveillant).

1.1.2 L’évolution jusqu’à nos jours

Les fournisseurs d’antivirus créés dans les années 1990 ont dominé le secteur de la Cybersé-
curité pendant environ 20 ans, mais depuis 2014, de grandes attaques bien plus organisées ont
présenté un nouveau défi et exigé des solutions plus innovantes et créatives.
L’une de ces attaques sophistiquées a été menée contre Target 2 et a vu les détails de plus de
40 millions de cartes de crédit piratées.
L’attaque était tout simplement trop avancée pour avoir été empêchée par les géants de
l’industrie sur la base des méthodes qu’ils utilisaient à l’époque - ce qui, sans surprise, était une
révélation sérieusement alarmante pour le public.
Depuis 2014, de nouvelles stratégies créatives telles que l’intelligence artificielle, l’apprentis-
sage machine et la détection comportementale ont été employées par de nouveaux acteurs de
l’industrie - et avec beaucoup d’effet.
Alors que les Cyberattaques continuent d’évoluer et de devenir plus complexes, le secteur
de la Cybersécurité en croissance rapide est confronté à de nouveaux défis passionnants alors
qu’il cherche à utiliser des technologies et des techniques de pointe pour lutter contre la menace
toujours présente des activités malveillantes.
1. Logiciel malveillant se reproduisant sur plusieurs systèmes d’information et utilisant un réseau pour se
propager
2. Entreprise de grande distribution basée aux États-Unis

3
1.1.3 Les enjeux
La Cybersécurité n’a fait que se développer ces dernières années et cela n’est pas près de
s’arrêter. En effet les systèmes d’information continuent aussi de se développer, leur utilisation
devient donc encore plus importante et la quantité de données critiques transitant dans le Cy-
bermonde augmente ainsi proportionnellement (transition numérique de la société).
Avant l’essor de l’utilisation des systèmes d’information, la sécurité des informations ou des
infrastructures critiques reposait sur des responsables attitrés qui avait l’expertise nécessaire.
Maintenant que la société est autant connectée, la responsabilité est partagée par les utilisa-
teurs : un simple objet connecté défaillant ou une application mal sécurisée dans une grande
infrastructure peut amener à une vulnérabilité dans le Cyberespace de toute une organisation.
Ce sont ces données qui sont principalement visées par les Cyberattaques, et ce sont ces don-
nées que la Cybersécurité doit protéger au maximum car les conséquences économiques, sociales
ou politiques d’une Cyberattaque peuvent être extrêmement importantes dans ce contexte (crise
politique pour un État ou crise économique pour une entreprise par exemple).
Ces enjeux représentent exactement ce dont il faut prendre conscience pour être « sensibilisé
» à la Cybersécurité, c’est lorsque l’on se rend compte des risques dans le Cyberespace que l’on
décide de tout mettre en œuvre pour se protéger.
Pour aller plus loin dans la compréhension de la Cybersécurité et de ses enjeux, nous allons
maintenant aborder ce que comporte la Cybersécurité, avec notamment ce qui la définit, les
différentes attaques et les métiers qui y sont associés.

1.2 Les différentes attaques

Compte tenu de l’évolution expliquée précédemment, L’ANSSI classe les différentes attaques
en quatre sous-catégories : l’atteinte à l’image 3 , la Cybercriminalité, l’espionnage et le
sabotage. Il s’agit là d’une preuve que ces dernières se multiplient et qu’il est aujourd’hui impor-
tant de les considérer et de s’en prémunir comme de réelles menaces. Notons également qu’il est
important d’expliquer succinctement en quoi elles correspondent et leurs fonctionnements afin
de comprendre comment les États s’en servent aujourd’hui pour en faire de véritables armes.

Le but de cette section n’est pas de faire une liste exhaustive de toutes les attaques possibles
et imaginables mais de bien comprendre comment des activités numériques, non palpables et
non meurtrières (au sens propre) peuvent prendre une place aussi prépondérante dans le monde
politique aujourd’hui. Nous avons essayé de démystifier un peu le Cyberespace afin de mieux
percevoir les enjeux de la Cyberguerre et l’ampleur qu’ils peuvent prendre.

Les attaques d’atteinte à l’image, fréquentes et peu sophistiquées, sont lancées à des fins
de déstabilisation contre des administrations ou des entreprises. Ces dernières font appel à des
outils et des services disponibles en ligne. De l’exfiltration de données personnelles à l’exploitation
de vulnérabilité, elles portent atteinte à l’image de la victime en remplaçant le contenu par des
revendications politiques, religieuses, etc. Ainsi, l’intégrité des sites attaquée est violée. On peut
citer les attaques par déni de service ou les attaques par défiguration. Le but est simple : exploiter
une vulnérabilité logicielle ou matérielle, solliciter une ressource particulière du système d’infor-
mation de la cible, jusqu’à "épuisement". Cette ressource peut être la bande passante du réseau,
la capacité de traitement globale d’une base de données, la puissance de calcul des processeurs,
l’espace disque, etc. Il existe plusieurs méthodes pour un résultat unique : le dysfonctionnement
3. On trouve aussi le nom "déstabilisation". Il s’agit de deux termes différents qui évoquent le même type
d’attaques, avec un but commun.

4
ou la paralysie complète d’un ou de plusieurs services de la victime. Généralement revendiqué
par des hacktivistes 4 , ce type d’attaque peut être réalisé à des fins politiques ou idéologiques.

Les attaques appartenant à la catégorie de la Cybercriminalité sont sans doute les plus
connues. En pleine recrudescence, de nombreuses attaques ciblent les particuliers mais aussi les
entreprises et les administrations. Elles visent à obtenir des informations personnelles afin de les
exploiter ou de les revendre (données bancaires, identifiants de connexion à des sites marchands,
etc.). Hameçonnage (phishing) et «Rançongiciel» (ransomware) sont des exemples connus d’actes
malveillants portant préjudices aux internautes.
Qui n’a jamais reçu cet email de Paypal disant qu’il faut mettre à jour ses données personnelles
en cliquant sur le lien ou en ouvrant la pièce jointe ? C’est exactement le mode opératoire utilisé
par le Cybercriminel : il se « déguise » en un tiers de confiance (banques, administrations, four-
nisseurs d’accès à Internet. . . ) et diffuse un mail frauduleux, ou contenant une pièce jointe piégée,
à une large liste de contacts. Les informations sont ensuite récupérées et, au mieux, réutilisées et
revendues. Dans le pire des cas, la pièce jointe ouverte installe un "virus" qui est en fait un logi-
ciel malveillant qui bloque l’accès aux fichiers. Un message s’affiche pour réclamer le versement
d’une rançon, payable en bitcoin ou via une carte prépayée, en échange de la clé de déchiffrement.

Contrairement aux attaques précédentes, les attaques appartenant à la catégorie espionnage

sont très ciblées et sophistiquées. Elles sont souvent le fait de groupes structurés et peuvent avoir
un impact grave à l’échelle d’une entreprise mais aussi à l’échelle nationale. Le but du criminel,
une fois la plateforme (machine, routeur, réseau ...) infectée, est de rester le plus longtemps
possible afin de connaître et d’exploiter les stratégies le moment voulu. On peut, par exemple,
citer l’attaque par point d’eau, Watering hole.
Cette dernière consiste à piéger un site légitime afin d’atteindre les équipements des visiteurs
du secteur d’activité visé par l’attaquant. L’objectif est d’infiltrer discrètement les ordinateurs
de personnels œuvrant dans un secteur d’activité ou une organisation ciblée pour récupérer des
données. On passe ainsi par des sites qui peuvent avoir des vulnérabilités connues pour atteindre
un secteur d’activité bien précis qui peut être plus difficile à attaquer.

Le sabotage informatique est le fait de rendre inopérant l’intégralité ou une partie d’un
système d’information d’une organisation via une attaque informatique 5 . Ce dernier s’apparente
à une panne organisée, frappant tout ou partie des systèmes. Ces attaques peut être revendi-
quées, parfois par des organisations ou des États et sont plus ou moins médiatisées. Le sabotage
et la destruction de systèmes informatiques peuvent avoir des conséquences dramatiques sur
l’économie d’une organisation, voire même d’un État.

1.3 La Diversité de la Cybersécurité et les métiers associés

Comme en témoignent les paragraphes précédents, le terme Cybersécurité est vague et cette
notion est très diverse. Aujourd’hui, la vision du hackeur capuché, avec un terminal vert sur fond
noir n’est plus vraiment d’actualité. Cette voie représente aujourd’hui tout un domaine d’activité
aussi varié que le sont les attaques présentées. Les métiers qui y sont liés sont d’ailleurs eux aussi,
découpés en deux catégories. On peut faire de la Cyber défensive (pour prévenir les attaques)
et/ou de la Cyber offensive. Dans ce dernier cas, on se met dans la peau du Cyber-criminel et on
essaye de mener à bien une attaque. Ci cette dernière aboutit, il s’agit de l’expliquer à l’entreprise
4. L’hacktivisme est une forme de militantisme utilisant des compétences du piratage informatique dans le but
de favoriser des changements politiques ou sociétaux.
5. Définition de l’ANSSI.

5
et de lui donner les outils afin de s’en préserver. On parle alors de white hat 6 .

Le vecteur principal de préservation de toutes sortes d’attaques est la sensibilisation. Il est

nécessaire et primordial que d’une part, les individus et internautes soient conscients des risques
encourus et des attaques existantes et d’autres parts que les entreprises investissent dans des cam-
pagnes de sensibilisation afin que l’employé soit capable de déceler une Cyberattaque. La crise
sanitaire que nous traversons actuellement vient multiplier de façon exponentielle les attaques.
Dans ce cadre exceptionnel, les entreprises investissent effectivement des sommes beaucoup plus
conséquentes dans la sécurisation des plateformes, et du matériel et dans la formation du per-
sonnel via des certifications de sécurité. Malheureusement, ces bonnes pratiques, que l’on peut
retrouver sur le site de l’ANSSI, ne sont pas toujours suffisantes. Ainsi, à l’échelle d’une nation,
ces mêmes attaques, menées un peu différemment plongent le monde et les puissances politiques
dans une Cyberguerre.

1.4 La réglementation
Maintenant que nous avons une idée plus claire de ce que représente la Cybersécurité et
des risques potentiels si elle n’est pas présente, nous allons aborder les mesures décrétées à
différentes échelles pour protéger les utilisateurs du Cybermonde. Pour les mesures de Cyber-
sécurité nous avons un schéma dans lequel l’État détermine des règles obligatoires (lois) pour
les acteurs critiques (Institutions, Grandes Entreprises) et des recommandations pour les autres
acteurs (particuliers, petites entreprises par exemple) : c’est de cette manière qu’est instaurée la
Cybersécurité en France pour accompagner la transition numérique du pays.

1.4.1 Française
Pour les mesures de Cybersécurité en France, nous pouvons prendre comme point de départ le
« livre blanc sur la défense et la sécurité » de 2008. Il annonçait la création d’une agence nationale
(aujourd’hui ANSSI) qui avait pour but de protéger les infrastructures de l’État mais aussi les
infrastructures les plus critiques du pays en se préparant et en gérant les attaques informatiques.
C’est le début de la prise de conscience par l’État français du besoin de Cybersécurité, depuis les
mesures se sont diversifiées et leur nombre s’est multiplié, notamment à cause de la découverte
d’attaques comme celle à l’encontre des ministères économiques et financiers rendue publique en
2011 qui avait pour but d’espionner et de récupérer des informations politiques, économiques et
financières.
Les positions de la France en matière de Cybersécurité ont été soutenues par les instances
internationales, notamment par certaines décisions prises par l’Union Européenne ou l’ONU :
nous verrons cela dans les prochaines parties.
En 2015, la France adopte la « Stratégie nationale pour la sécurité du numérique » composée
de 5 objectifs répondant aux enjeux que nous avons cités précédemment. Tout d’abord il y a
un objectif allant dans le même sens que les mesures déjà prises : la protection des systèmes
d’information de l’État et des infrastructures critiques. La meilleure façon de mettre cela en
œuvre est l’utilisation de lois, comme celles décidées dès 2013 : les articles 21 et 22 de la
loi n° 2013-1168 du 18 décembre 2013 obligeant le renforcement de la sécurité des
systèmes d’information les plus sensibles des opérateurs d’importance vitale.
6. Littéralement : Chapeau blanc. Que l’on met en opposition avec le black hat qui fait le même travail mais
illégalement et dans un but malveillant.

6
 Le second objectif, en revanche, va plus loin que les mesures déjà en place : il traite de la «
Confiance numérique » c’est-à-dire la protection de la vie privée et des données personnelles face
à la malveillance pour être en « confiance » dans le Cybermonde (que ce soit une entreprise ou
un particulier). Ce point est d’autant plus important avec l’importance qu’ont pris les réseaux
sociaux dans notre société, car énormément de données circulent dans le Cyberespace à travers
différentes entités pour chaque utilisateur. L’Etat français cherche à être encore plus précis
et efficace dans la protection des données personnelles que les lois Informatique et
Libertés du 6 janvier 1978 modifiées le 6 août 2004. Pour cette mission de protection des
données personnelles, l’État français a opté pour de la sensibilisation de la population dans un
premier temps pour que les utilisateurs soient conscients de l’importance de leurs données et des
risques encourus, puis dans un second temps il s’appuiera sur des lois européennes pour forcer
les entités et services du Cybermonde à respecter leurs utilisateurs (en France et dans le plus de
pays possibles). Le document présentant la stratégie, datant de 2015, précise que ce
type de loi européenne devrait arriver en 2016 : c’est bien sûr le Règlement Général
sur la Protection des Données (RGPD) que nous verrons dans la prochaine partie,
qui a bien été adopté en 2016.
L’objectif suivant est la sensibilisation de la population française, pour cela l’État a décidé de
l’intégrer dans les programmes des écoles, des formations initiales et des formations
continues, en essayant d’adapter les points abordés en fonction des filières. On peut rajouter à
cela la mise à disposition de moyens de sensibilisation faciles d’accès aux particuliers et entre-
preneurs comme le site du gouvernement présentant les risques Cyber ou le guide des
bonnes pratiques de l’informatique publié par l’ANSSI offrant des recommandations
aux PME qui n’ont pas forcément le budget pour un service de Cybersécurité.
Le quatrième objectif est de faciliter la recherche et l’innovation de la sécurité du numérique
en France pour que cela devienne un facteur de compétitivité pour les acteurs publics et pri-
vés. En 2012 L’ANSSI a d’ailleurs mis en place une politique industrielle nationale
pour développer les entreprises proposant des produits et services de sécurité in-
formatique. Ensuite ces services seront mis à disposition des acteurs économiques français qui
pourront les utiliser comme atout dans leur marché.
Le dernier objectif est la mise en place d’une souveraineté européenne pour le numérique
afin d’arriver à une stabilité du Cyberespace, puisque c’est dans l’intérêt des États européens de
collaborer pour promouvoir un Cybermonde sain, la France essaie donc de servir de modèle pour
accélérer le processus. Cette coopération européenne sera notamment abordée dans la prochaine
partie.
L’étude de cette stratégie nous permet de voir précisément comment la France gère la Cyber-
sécurité, pour une vision plus générale la « Stratégie internationale de la France pour le numérique
» a été présentée en décembre 2017 et qui aborde en profondeur notamment des points comme
la gouvernance et l’économie en plus de la sécurité. Pour la stratégie militaire (se rapprochant
ainsi de la Cyberguerre), une « Revue stratégique de Cyberdéfense » a été présentée en février
2018 traitant de la préparation et de la gestion des crises Cyber ce qui définit précisément la
Cyberdéfense.

1.4.2 Européenne
Nous avons vu précédemment la stratégie d’un État européen (la France) en matière de Cy-
bersécurité, nous avons aussi vu qu’un des objectifs pour les États est d’influer les décisions à plus
petite échelle (européenne et mondiale) pour s’assurer que leurs efforts soient coordonnés avec les
autres pays du monde. On retrouve plusieurs axes dans la stratégie numérique européenne qui
sont pour certains assez proches de ceux cités dans la stratégie de sécurité numérique française,

7
comme par exemple le fait de mettre en place une politique industrielle de l’Union Européenne
soutenant les recherches et le développement des technologies et services de sécurité numérique. Il
y a aussi un axe de soutien de l’Union européenne pour ses États membres ayant pour objectif de
promouvoir et encourager la sensibilisation ainsi que la prise de mesures relatives à la Cybersécu-
rité pour les entités publiques et privées. Le dernier point est celui qui nous intéresse le plus, c’est
l’axe réglementaire qui cherche à définir des réglementations protégeant les acteurs
qui composent l’Union Européenne tout en permettant leur développement numé-
rique. Ce sont des décisions européennes impactant directement le fonctionnement
des États pour avoir une ligne de conduite commune (comme le respect des droits
fondamentaux ou la protection des données à caractère personnel) et atteindre une
autonomie numérique européenne.
C’est dans les années 2000 que le besoin d’impliquer l’Union Européenne dans la question
de Cybersécurité s’est ressenti. En effet il fallait harmoniser et donc rendre plus efficaces les
politiques nationales de Cybersécurité des États membres. Les trois axes cités précédemment sont
retrouvés dans les différentes mesures européennes des années 2000 comme les plans d’action
« eEurope 2002 » et « eEurope 2005 » (basés notamment sur la facilité d’accès aux
systèmes d’information et leur sécurité) ainsi que la stratégie « Initiative i2010 »
(tournée vers l’innovation et la sensibilisation des populations).
Nous avons une idée claire de la stratégie employée par l’Union Européenne pour la Cyber-
sécurité avec notamment beaucoup de recommandations et de mesures encourageants les pays
membres pour le développement de leur sécurité dans le Cybermonde. Mais nous allons main-
tenant voir un cas de règlementation imposée avec le règlement 2016/679 du parlement
européen et du conseil du 27 avril 2016 traitant de la protection des personnes phy-
siques par la réglementation du traitement de leurs données personnelles. Pour faire un
petit rappel, une donnée personnelle est toute information permettant l’identification d’une per-
sonne physique (directement ou indirectement) et le « traitement » d’une donnée est l’ensemble
des opérations possibles (collecte, enregistrement, conservation etc.). Le nom du règlement que
l’on a cité est le RGPD (« Règlement Général sur la Protection des Données »), il en-
cadre tout le traitement des données personnelles sur le territoire de l’Union Européenne. Comme
beaucoup de mesures prises dans le domaine de la Cybersécurité, le RGPD permet de répondre
à l’évolution des systèmes d’informations et de leur utilisation accrue, notamment concernant les
réseaux sociaux et le commerce en ligne qui amènent beaucoup de données dans le Cyberespace.
Comme nous l’avons vu dans l’étude de la réglementation française, le RGPD va dans le sens
des Lois Informatique et Libertés Françaises de 1978 et 2004 avec la protection de la vie privée
tout en allant plus loin : il renforce aussi le contrôle direct des citoyens sur leurs données. On
retrouve donc ici un moyen d’amener une « confiance numérique » pour les utilisateurs puisqu’ils
sont protégés et ils ont le pouvoir de décision sur le traitement de leurs données. Un des points
importants du RGPD est qu’il s’applique à toute organisation qu’elle soit publique
ou privée traitant des données personnelles dans l’Union Européenne (société euro-
péenne par exemple) mais aussi pour une société hors Europe qui échange avec des
membres de l’Union Européenne (société Chinoise avec un site e-commerce français
proposant la livraison de produits en France). La responsabilité de protéger les données et
de permettre leur suppression aux utilisateurs revient donc à toute entité traitant ou collectant
des données liées à des membres de l’Union Européenne.

1.4.3 Le reste du monde

Nous avons abordé les réglementations à l’échelle d’un État (France) puis à celle d’une insti-
tution continentale (Union Européenne), dans cette partie nous allons voir comment des régle-

8
mentations mondiales essaient de voir le jour pour avoir une sécurisation internationale et une
utilisation harmonieuse du Cyberespace.
Les États et les institutions continentales essaient donc d’amener l’idée d’une entente
mondiale pour la sécurisation du Cybermonde à travers les différentes alliances dans
lesquelles ces acteurs sont engagés. C’est précisément ce que nous allons aborder dans cette
partie.
Il y a notamment le récent Appel de Paris qui montre une initiative d’un pays pour amener
à une coopération pour la régulation internationale du Cyberespace. En effet le Président de la
République Française Emmanuel Macron a lancé à l’occasion de la réunion du 12 novembre
2018 à l’UNESCO du Forum de gouvernance de l’internet l’« Appel de Paris »,
voulant ainsi appeler à une collaboration pour arriver à amener confiance et sécurité
dans le Cyberespace. Les soutiens à cet appel s’engagent donc à travailler un maximum pour
remplir cet objectif en suivant plusieurs axes que l’on a déjà cité comme la protection contre les
activités malicieuses en ligne, mais aussi des points assez particuliers en lien avec l’actualité :
comme la coopération pour prévenir les interférences des processus électoraux. Cet appel est
devenu la plus grande initiative mondiale en termes de quantités d’acteurs avec près de 1100
soutiens (Entreprises privées, États, Organisations).
Pour l’Organisation des Nations Unies (ONU) qui a pour but principal le maintien de la paix
et de la sécurité internationale, la question de la Cybersécurité est bien sûr très importante dans
le contexte actuel. Elle est d’ailleurs abordée pour la première fois à l’ONU en 1998
avec la résolution A/RES/53/70. Depuis de nombreuses réunions ont été organisées pour
négocier à propos des mesures à prendre en matière de sécurité, elles s’appellent les Groupes
d’Experts Gouvernementaux (GGE – Group of Governmental Experts) qui ont eu à
leur suite plusieurs rapports aboutissant à des recommandations mais aussi une liste de principes
à respecter par les États dans le Cyberespace comme l’interdiction d’attaquer des infrastructures
critiques en temps de paix ou l’obligation de porter assistance à un État attaqué qui demande
de l’aide. Mais par exemple la réunion de 2017 n’a rien donné puisqu’un accord n’a pas été
trouvé notamment sur des points liés à la Cyberguerre : les contre-mesures en cas d’agression,
le droit humanitaire dans le Cyberespace et si une Cyberattaque est une attaque armée pouvant
enclencher la légitime défense. Ce désaccord a donc forcé l’ONU à faire poursuivre le processus
de négociation avec notamment deux résolutions prises fin 2018 : la création d’un groupe de
travail dédié à la Cybersécurité et d’un sixième Groupe d’Experts Gouvernementaux. Ce sont
des négociations qui se poursuivent et c’est dans ces circonstances que certains acteurs essaient
de concilier les États membres pour une régulation internationale du Cybermonde, c’est l’objectif
de la France avec l’Appel de Paris.
Des accords peuvent aussi être décidés lors d’une réunion d’alliance, comme par exemple avec
l’adoption d’une mesure au sein de l’Alliance Atlantique (OTAN) du « Cyberdefense Pledge
» pendant le sommet de Varsovie en juin 2016 qui reconnaît notamment le Cyberespace
comme un domaine d’opérations, ce qui signifie que l’OTAN s’y défendra comme elle le faisait
déjà dans les airs, sur terre ou en mer. Il aborde donc des questions de Cyberdéfense liées à la
Cyberguerre, cette dernière est d’ailleurs le sujet que nous allons maintenant traiter.

9
2 Cyberguerre : Mythe ou réalité ?
2.1 L’origine et l’évolution temporelle
2.1.1 L’origine
Le terme "Cyberguerre" a traversé des décennies d’évolution, bien relatée dans l’histoire de
Thomas Rid, Rise of the Machines, qui a brouillé sa signification : il est apparu pour la première
fois dans un article du magazine Omni de 1987 décrivant les guerres futures avec des robots
géants, des véhicules volants autonomes et des systèmes d’armes autonomes. Mais cette idée de
type Terminator de la Cyberguerre robotique a cédé la place dans les années 1990 à une idée
qui se concentrait davantage sur les ordinateurs et Internet. Un article de 1993 rédigé par deux
analystes du groupe de réflexion RAND intitulé «La Cyberguerre arrive !» a décrit comment les
pirates militaires seraient bientôt utilisés non seulement pour la reconnaissance et l’espionnage
des systèmes ennemis, mais aussi pour attaquer et perturber les ordinateurs utilisés par un
ennemi pour le commandement et le contrôle.

2.1.2 L’évolution jusqu’à nos jours

Il y a trois grandes périodes qui caractérisent l’histoire de la Cyberguerre.La première prend
place avec les débuts d’internet dans les années 1980. Tout doucement, les internautes prenaient
conscience de la menace que représente le Cybermonde. Les responsables étaient alors encore
majoritairement des hackers ayant pour but de nuire aux systèmes vulnérables sans raison par-
ticulière.
La seconde période est comprise entre les 1998 et 2003, soit durant les périodes pré et post 11
septembre. Les attaques prennent alors une tournure différente : le but est maintenant de collecter
des informations. C’est également pendant cette même période que la notion de « hacktiviste »
évoquée précédemment a vu le jour.
Enfin, la troisième période est une phase de militarisation qui dure depuis 2003. Depuis, nous
observons des opérations comme celles sur L’Estonie ou Stuxnet, qui seront abordées dans la
partie suivante.
Le premier incident, “The Morris Worm” en 1988, a permis de montrer que les Cyberat-
taques existent et que même s’il s’agit d’un accident, les conséquences ont des dommages réels et
palpables sur une économie, une industrie, une entreprise ou une entité. Cet incident a également
éveillé les consciences et a ainsi permis la création de nouvelles lois punissant ces attaques. C’est
dans ce cadre que de plus en plus d’ingénieurs ont été formés par la suite pour lutter contre
ces menaces. Il existe aujourd’hui des services militaires d’États spécialisés dans la Cyberdéfense
et la Cyberguerre. Leur but est de se protéger des crises Cyber et certains mènent aussi des
Cyberattaques. In finé, l’unité Cybersécurité a le même rôle virtuelle que n’importe quelle autre
unité réelle et pourtant les impacts sont tout aussi importants.

2.2 Différentes opérations connues

2.2.1 Estonie : La série de Cyberattaques de 2007
En Avril 2007, l’Estonie fut la cible d’une campagne de Cyberattaques d’une durée totale de
22 jours. Les attaques faisaient partie d’un grand conflit politique entre l’Estonie et la Russie
par rapport à la décision de l’Estonie, de déplacer un monument de l’ère soviétique de l’Armée
Rouge qui se trouvait à Tallinn vers la banlieue.

10
 Pendant plus de trois semaines : sites gouvernementaux et parlementaires, ministères, presse,
fournisseurs d’accès Internet, grandes banques et petites entreprises ont toutes été ciblées, prin-
cipalement par un déni de service distribué (DDoS).
La grande majorité des attaques provenaient de l’extérieur de l’Estonie. Pour lutter contre
cela, certaines banques ont coupé temporairement tout trafic étranger tout en restant accessibles
aux clients d’Estonie. Cette liste a ensuite été progressivement élargie pour inclure les pays aux
nombreux clients tout en gardant le nombre d’attaquants au plus bas possible, les employés du
gouvernement n’ont pas pu communiquer entre eux via mail, et les journaux et les diffuseurs ont
soudainement constaté qu’ils ne pouvaient plus diffuser leurs informations sur les divers médias.
Le gouvernement estonien s’est empressé de blâmer le Kremlin, l’accusant d’être directement
impliqué dans les attaques. Il a été révélé plus tard que les allégations n’étaient pas tout à fait
exactes. À en juger par la variété et le volume des différentes attaques, il est probable qu’elles
aient été commises par de nombreux différents individus, toutefois, certaines accusations ont pu
être faites :
— Sergey Alexandrovich Markov : accusé d’être à l’origine des Cyberattaques contre les systèmes
du gouvernement estonien, Markov a été déchu de ses immunités diplomatiques et n’était plus
considéré comme le bienvenue en Estonie, en 2008, il a également été expulsé d’Ukraine. Markov
a déclaré qu’il était en contact avec les responsables des attaques sur l’Estonie.
— Dmitri Galuškevitš, un étudiant de 20 ans en Estonie a été condamné à une amende pour avoir
organisé une attaque DDoS contre le site Web d’un parti politique en Estonie.
— Konstantin Goloskokov, un "commissaire" du groupe de jeunes Nashi soutenu par le Kremlin,
a revendiqué la responsabilité de l’attaque.
En fin de compte, le choc causé par la Cyberattaque a conduit à un renforcement significatif
des capacités, des institutions et de la législation de Cyberdéfense en Estonie et dans l’Union
européenne que nous aborderons dans la prochaine partie.
Cette première Cyberattaque importante a causé des perturbations et des coûts pour l’Es-
tonie, mais elle n’a jamais été destinée à causer des dommages irréversibles et durables. C’était
avant tout un acte de communication. Le message voulu était que la Russie avait la capacité
d’isoler efficacement un État en perturbant le flux de données comme les transferts financiers, les
actualités, les e-mails, etc. Cet isolement aurait pu être initié sans avertissement et aurait donc
été impossible à contrer.

2.2.2 Stuxnet : Un virus contre l’enrichissement nucléaire iranien en 2010

Stuxnet, virus informatique qui a perturbé l’enrichissement nucléaire iranien en 2010, est le
premier exemple d’attaque de réseau informatique connue pour causer des dommages physiques
à travers les frontières internationales. Certains ont décrit Stuxnet comme la naissance d’une
nouvelle forme de guerre qui menace même les puissances militaires les plus puissantes.
Plusieurs grandes entreprises de sécurité informatique ont examiné en profondeur Stuxnet
et tous concluent que l’objectif principal de ce logiciel était de provoquer des pannes subtiles
d’équipement. Ces systèmes sont conçus pour des données en temps réel : collecte, contrôle
et surveillance des infrastructures essentielles, y compris les centrales électriques, le pétrole /
gaz pipelines, raffineries, systèmes d’eau ou autres applications nécessitant une commande par
ordinateur. Il semble que l’Iran ait été l’épicentre des attaques. Ceci est indiqué par le volume
d’infections ainsi que l’analyse d’échantillons de logiciels malveillants. La société de sécurité
Symantec a suivi 100 000 machines infectées le 29 septembre 2010 - dont environ 60000 qui se
trouvaient en Iran. L’Indonésie fût le deuxième pays avec environ 15000 infections.

11
 Les auteurs de Stuxnet n’ont pas été identifiés officiellement. Mais en regardant la taille du
code, sa complexité et les efforts de développement qui ont été mis en place pour construire
cette "arme", c’est assez évident que c’est impossible sans l’aide d’un parrainage d’une grande
Nation. Bien que personne ne s’est présenté officiellement pour revendiquer les responsabilités
de ces attaques, de nombreuses sources estiment qu’il s’agit d’un effort conjoint des États-Unis
et d’Israël.
L’unité des Cyber-conséquences des États-Unis (US-CCU) a suggéré qu’Israël préférerait
peut-être monter une Cyberattaque plutôt qu’une attaque militaire contre les installations nu-
cléaires iraniennes. Cela est plutôt logique pusiqu’Israël est un très petit pays en termes de
ressources humaines et de ressources naturelles en comparaison avec l’Iran, mais ils sont bien
en avance sur beaucoup de pays en termes de technologie. Il est donc clair qu’ils peuvent se
battre avec le pays ennemi en utilisant une Cyberarme ce qui coûte moins cher en argent et en
ressources.
Il est possible que l’Amérique ait commencé à s’impliquer dans le projet Stuxnet depuis l’ère
du président George Bush et cela s’est accéléré à l’époque de Barack Obama. En avril 2011, le
gouvernement iranien a déclaré l’implication des Américains et des Israéliens en coopération dans
la création et la diffusion de Stuxnet contre l’Iran en tant qu’arme de Cyberguerre. Le lanceur
d’alerte Edward Snowden 7 , tout en révélant de nombreuses opérations privées illégales par les
États Unis, en particulier par la NSA, a confirmé la même chose. Il y a aussi des possibilités
d’implication de la Jordanie, de la France et de la Chine, mais il n’y a pas confirmation de cela.
Avec les efforts combinés des nombreux experts en sécurité de l’informatique et agences gou-
vernementales de sécurité, on pense que Stuxnet n’a pas causé pertes de vies ou de ressources
en Iran. Mais à cause de Stuxnet, de nombreuses barrières politiques ont été levées entre de
nombreuses nations.

2.3 Les contre-mesures et réponses associées

Pour l’étude des contres mesures faisant suite aux attaques présentées précédemment, nous
allons nous concentrer sur les conséquences et les décisions qui ont suivies en Europe et dans le
reste du monde. En effet il est compliqué de se concentrer sur la France dans cette partie puisque
les mesures ont été prises à de plus petites échelles comme au sein de l’Union Européenne ou
de l’OTAN. Mais il faut noter que les actions de la France en matière de Cybersécurité et de
Cyberdéfense à l’international proviennent de leçons qui ont été tirées de ces attaques (Appel de
Paris pour une régulation du Cybermonde).

2.3.1 Européennes
Comme nous l’avons observé avec les réglementations au niveau européen il arrive parfois que
les mesures aient du mal à se décider, en effet il y a un manque de coopération, de coordination
et de confiance à propos de la Cybersécurité et de la Cyberdéfense. Les États ont des « Cy-
berstratégies » propres à chacun, certains y portent beaucoup d’intérêt, d’autres peu et certains
n’ont simplement pas les moyens nécessaires en termes de budget : l’Espagne avait souligné ce
dernier point en 2016 dans son livre blanc, suite notamment à la crise financière de 2008. Cela
n’est donc pas viable pour une régulation harmonieuse du Cyberespace, ce sont donc certains
membres qui parfois essaient de faire avancer les choses de différentes manières.
C’est de cette manière que L’Estonie à travers les déclarations de son président Toomas
Hendrik a cherché à impliquer les organisations internationales suite aux attaques que le pays a
subi en avril 2007. Le Parlement Européen a condamné un mois plus tard, la Cyberattaque contre
7. Ancien consultant de la NSA

12
l’Estonie, le refus de la Russie de coopérer avec l’Estonie au sujet du déplacement du monument
et le siège de l’ambassade d’Estonie dans la capitale russe : Moscou. De plus, le parlement invite
la Commission Européenne et tous les États membres à apporter des analyses et des solutions
sur la question des Cyberattaques au niveau européen. On en déduit donc logiquement que les
réglementations européennes après 2007 que nous avons citées précédemment dans ce rapport ont
été influencées par ces événements, cela a notamment souligné le besoin pour les États membres
de protéger les systèmes d’information vitaux puisque l’Estonie a véritablement été paralysée par
ces attaques. La Commission Européenne a notamment adopté une politique sur la
Protection des Infrastructures d’Information Critiques (CIIP – Critical Information
Infrastructure Protection) allant dans ce sens, le 30 Mars 2009. Nous aborderons les
réactions aux Cyberattaques en Estonie d’un point de vue mondial dans la prochaine partie.
Pour les attaques avec Stuxnet, les acteurs présumés étaient hors de l’Union Européenne,
c’est donc avec un œil extérieur que l’Europe a observé la situation puis a décidé d’analyser le
logiciel malveillant en question. C’est l’Agence Européenne chargée de la sécurité des
réseaux et de l’information (ENISA) qui a proposé son analyse de haut niveau en
2010 suite aux attaques, elle lance d’ailleurs un signal d’alarme sur le fait que des menaces
similaires se développeront et qu’il faudra prévoir une protection adéquate : avec des solutions de
défense différentes de celles utilisées pour se protéger d’attaques de déni de service comme celles de
l’Estonie. Le directeur exécutif de l’ENISA Udo Helmbrecht souligne notamment la complexité de
Stuxnet, confirmant ainsi ce que nous avons précisé dans la présentation de l’attaque : les auteurs
de ce programme ont eu des quantités considérables de temps et d’argent. L’ENISA précise
qu’elle soutient pleinement le plan d’action CIIP puisqu’un logiciel comme Stuxnet s’attaque à
des systèmes d’informations industriels qui peuvent être critiques.

2.3.2 Internationales
L’Union Européenne a donc des difficultés à se regrouper afin de s’entendre sur le sujet de
la Cyberdéfense dans le contexte actuel où la Cyberguerre est un sujet de plus en plus réel.
C’est donc l’OTAN qui reste la principale structure internationale de défense pour ses membres,
notamment pour le Cyber avec des avancées importantes dans le contexte de la Cyberguerre :
l’adoption du « Cyberdefense Pledge » en 2016 au sommet de Varsovie définissant le Cybermonde
comme un domaine d’opération. Les membres de l’Union Européenne ont donc plutôt fait le
choix de se concentrer sur le renforcement de la coopération transatlantique pour une sécurité
commune.
Nous pouvons d’ailleurs observer les réactions aux attaques de l’Estonie de 2007. Comme
nous l’avons précisé tout à l’heure le président estonien a voulu impliquer les organisations
internationales pour recevoir de l’aide. L’OTAN a donc fourni une solidarité politique et une
expertise technique pour gérer cette crise et travailler sur le futur de la protection au sein de
l’alliance car ce genre d’attaque peut être reproduit avec un pays différent en tant que cible,
une évaluation interne de la Cybersécurité de l’alliance a été conduite juste après et a débouché
sur un rapport remis aux ministres alliés de la défense fin 2007. L’OTAN ouvrira ensuite
en 2008 un centre d’excellence sur la Cyberdéfense (CCDCOE) dans la capitale de
l’Estonie : Tallinn, pour mener des recherches et proposer des formations à propos
de la Cyberguerre. Les attaques de l’Estonie amènent à penser que le Cyberespace peut être
utilisé à des fins militaires, amenant ainsi l’OTAN à réfléchir sur le droit de la guerre qui doit
s’étendre à ces nouveaux enjeux : c’est aussi en 2008 que l’OTAN lance la rédaction du
« Manuel de Tallinn sur le Droit International applicable à la Cyberguerre » par
un groupe d’experts. Il sera publié en 2013 et contient 95 règles adaptées à la Cyberguerre en
se calquant sur les conflits « classiques ». Il n’est pas approuvé mondialement puisque la Russie

13
estime que cela est un pas vers la « militarisation » du Cyberespace et que la vision du manuel
est unilatérale. Ce n’est pour autant pas une publication officielle statuant des règles au sein de
l’OTAN, mais plus une recherche souhaitant faire avancer le débat et les négociations autour de
la Cyberguerre.
À propos de Stuxnet, le constat des experts de l’OTAN (des centres d’excellence CCDCOE)
est similaire à ceux de l’ENISA : il est très compliqué et avancé, impliquant ainsi un grand coût
en temps et en ressources pour le développer. Cette première « Cyber arme » est particulièrement
inquiétante pour l’OTAN, les dégâts peuvent être très importants sans préparation adaptée à
une menace de ce type. C’est sans aucun doute une des raisons pour laquelle la Cyberdéfense est
devenue une priorité pour l’Alliance Atlantique avec le concept stratégique de l’OTAN adopté
en 2010 à Lisbonne.

2.4 La rivalité et les enjeux de la gouvernance d’internet

La gouvernance d’Internet est l’élaboration et l’application de normes, de règles et de procé-
dures décidées conjointement, par les États, le secteur privé, la société civile et les organisations
internationales. Dans ce cadre, chaque entité veut pouvoir en tirer le plus grand profit. Par
ailleurs, le Cyberespace, comme on a pu le voir, est aujourd’hui militarisé : chacun veut imposer
sa vision pour asseoir un peu plus sa domination. Il est dit qu’il s’y déroule, en somme, "une
guerre par, pour et contre l’information", correspondant au triptyque : subversion, espionnage
et sabotage que l’on a évoqué ci-dessus. L’information dont il est question est aujourd’hui mon-
nayée. Elle est assimilée à un bien économique et échangeable. Une telle perspective tend aussi
à réduire la légitimité des politiques publiques qui viseraient à en contrôler le flux. En même
temps, quel contrôle les États peuvent-ils prétendre exercer sur les flux informationnels qui tra-
versent leurs frontières ? Nous tenterons d’apporter un élément de réponse à ces questions dans
les parties suivantes. Nous verrons par ailleurs que les entreprises, et pas seulement les GAFAM,
ont largement leur place dans cette course non plus à l’armement mais à l’information...

2.4.1 Les enjeux et les difficultés associées

Les attaques liées à l’information présentées dans ce rapport montrent les rivalités entre États
en matière de conflits Cyber, mais on peut y rajouter les différentes affaires d’espionnage comme
les écoutes électroniques par les États-Unis révélées en 2013 par Edward Snowden ou les affaires
récentes sur les manipulations d’élections comme avec les élections 2016 du président des États-
Unis, où la Russie a utilisé les réseaux sociaux pour pratiquer la désinformation en propageant
de fausses informations. Toutes ces actions offensives sont en général associées à la Cyberguerre,
en plus de la Cyberdéfense des États.
On se rend donc compte que la Cyberguerre est une notion très vaste, que ce soit par rapport
à la nature des conflits (militaire ou non) ou aux acteurs impliqués (États ou acteurs non-
Étatiques).
La Cyberguerre ne s’arrête pas non plus à des actions concrètes au sein du Cyberespace,
on peut aussi lui attribuer la fonction d’influencer les négociations à propos des normes
techniques et politiques relatives à Internet et à son utilisation : c’est-à-dire la
Gouvernance d’Internet. Toute norme politique ou technique adoptée pour le Cybermonde
aura une influence sur les États, et de la même manière que la protection de ces derniers passe
par la protection de ses acteurs internes (entreprises par exemple), les normes techniques ou
politiques imposées à un État devront être respectées par ces mêmes acteurs. Nous pouvons
prendre l’exemple de la RGPD que nous avons présentée précédemment : elle doit être appliquée
pour toute donnée étant liée à un acteur de l’Union Européenne, ce qui a notamment été un défi

14
à relever pour de nombreuses entreprises, même pour celles hors de l’Europe. C’est pour cette
raison que les entreprises ont leur rôle à jouer dans la gouvernance d’internet, et donc dans la
Cyberguerre.
Cette réflexion sur l’utilisation du Cyberespace est en lien avec les Cyberattaques concrètes,
en effet les positions prises par les États et les différentes alliances internationales sont la plupart
du temps en réaction à des opérations ayant eu lieu. C’est ce que nous avons mis en lumière
avec les contre-mesures et les réglementations présentées précédemment. Mais une des questions
sans réponse est celle de la « contre-attaque » face à une Cyber agression, c’est une réelle
source de désaccord puisque c’est ce qui a amené, comme nous l’avons vu précédemment, à une
réunion sans résultat des Groupes d’Experts Gouvernementaux de l’ONU en 2017.
De plus, dans le cas où nous considérerions les Cyberattaques comme des attaques ar-
mées pouvant enclencher la légitime défense, cela nous amènerait sur un problème
central de la Cyberguerre : l’attribution des attaques. Toutes les attaques que nous avons
citées ont un point commun car aucune n’a été reconnue officiellement par les États suspectés.
S’il y a faute de preuves pouvant incriminer un État, les responsables de l’attaque (hackers) sont
ceux déclarés coupables et punis, comme nous l’avons vu avec les verdicts pour les participants à
l’attaque contre l’Estonie. Seulement les fuites et dénonciations ont permis d’attribuer officieuse-
ment certaines attaques à certains États, comme les affirmations d’Edward Snowden concernant
les commanditaires de Stuxnet. Il y a donc très peu de certitudes concernant l’attribution des
attaques, c’est pourquoi la Cyberdéfense reste la priorité.
En effet, nous pouvons observer une absence de réelles sanctions (ou enquêtes approfondies)
vis-à-vis des attaques pour les États malgré des preuves (officieuses) confirmant leur implication.
Si l’on prend le cas de Stuxnet où des preuves montrent l’implication des États-Unis et Israël,
nous avons observé que les réactions de l’Union Européenne et de l’OTAN étaient l’analyse de
l’attaque et la préparation d’une stratégie de défense contre ce type de menace. Nous observons
donc la volonté d’éviter les confrontations qui pourraient déboucher sur de véritables conflits
diplomatiques entre États troublant ainsi la paix au sein des alliances pour plutôt se concentrer
sur la défense.

2.4.2 Les perspectives d’avenir

L’information est au centre des économies modernes. Dans ce cadre, il est difficile de recon-
naître la légitimité des institutions qui gouvernent les flux informationnels, ainsi que de l’autorité
dont disposent les États pour gérer et contrôler ces flux au sein de leurs frontières. Il y a un
désaccord profond relevé par ces questions. Effectivement, chaque parti aboutira à une logique
économique et géopolitique particulière, qui bénéficiera disproportionnellement à une poignée
d’acteurs dominants. Autrement dit, cette doctrine constitue un effort de légitimation et de pro-
pagation d’une économie politique bien précise. Shawn M. Powers et Michael Jablonski font
un parallèle intéressant entre le pétrole et la gouvernance d’internet. En effet, il a été crucial
pour les États de créer des institutions qui gouvernent ces industries. Un contexte relativement
stable est donc mis en place et on peut alors prévoir les fluctuations de cette économie. Il serait
ambitieux, malgré la nécessité qu’il y a à s’entendre sur ces questions, de penser que
les États et les différents acteurs vont trouver un accord sur la gestion des données
ainsi que sur la façon dont elles sont collectées, stockées, transférées, voire même
taxées. Ajoutons que ces questions, déjà primordiales, redoublent encore de gravité, alors que
l’internet continue de s’installer dans nos vies, et que les flux informationnels numériques sont
sur le point d’être décuplés par la 5G et l’avènement de l’internet des objets.
Nous finirons ce paragraphe par l’extrait d’un entretien personnel avec Bertrand Badie 8 à
8. Politiste français spécialiste des relations internationales

15
Paris, 13 juillet 2020 :
" – [. . . ] La géopolitique n’existe plus, de toute façon.
– C’est fini ! ?
– Oui, complètement. D’ailleurs le sous-titre de mon prochain livre," Intersocialité", sera "Le
monde n’est plus géopolitique". Je ne veux plus entendre parler de ce mot. Il n’a aucun sens,
parce que le monde d’aujourd’hui n’est ni géo, ni politique."

En effet, le monde d’aujourd’hui est numérique.

2.4.3 Vers une nouvelle relation entreprise/État ?

La relation Entreprise/État est incontournable dans notre société, puisque l’État est un acteur
important pour le contexte d’une entreprise. Cela peut être de manière indirecte en influençant
l’environnement de l’entreprise avec la mise en place d’un cadre juridique pour le bon fonction-
nement de l’économie. Mais la relation peut être aussi directe dans le cas où l’État est client, et
fait donc appel aux services proposés par l’entreprise.
Ceci est un schéma simple de la relation Entreprise/État, ce qui nous intéresse est la
façon dont cette relation s’est renouvelée pour intégrer le nouvel enjeu qu’est la
Cyberguerre pour ces deux entités. Nous avons mentionné précédemment que la protection
d’un territoire d’un État dans le Cyberespace dépend des acteurs qui se situent à l’intérieur,
puisque des frontières ne peuvent être mises en place pour protéger les informations de l’État
comme celles délimitant le territoire : il y a donc une dépendance mutuelle. Comme nous l’avons
précisé précédemment, c’est dans l’intérêt des entreprises de s’intégrer dans la problématique de
la Gouvernance d’Internet et de coopérer avec l’État pour étudier le sujet ainsi que de participer
aux missions de sensibilisations des populations.
C’est dans cette optique que nous avons pu observer en 2017 la signature d’un
partenariat entre l’ONU et Microsoft, l’objectif pour l’entreprise américaine est de soutenir
l’action avec le Haut-Commissariat des nations Unies aux droits de l’homme (HCDH) en utilisant
notamment des technologies de pointes. Le HCDH est la principale entité de l’ONU en matière
de droits de l’homme, il s’engage pour la promotion et la protection de l’ensemble des droits
de l’homme et des libertés stipulés dans la « Déclaration universelle des droits de l’homme ».
À travers ce partenariat Microsoft prévoit de fournir des solutions technologiques pour faire
progresser la mission du HCDH, de soutenir le plaidoyer en faveur des droits de l’homme et
de participer aux campagnes de sensibilisation du Haut-Commissariat sur différents sujets de
société : dont notamment la Gouvernance d’Internet et la protection des données et de la vie
privée. C’est dans ce cadre que le président de Microsoft Brad Smith a participé à la 10ème
édition des « Geneva Lecture Series » de l’ONU au Palais des Nations de Genève, le sujet était «
Current Internet Governance Challenges : what’s next ? » 9 . Il a présenté lors de cette conférence
les différents enjeux amenés par le Cyberespace et sa réflexion à propos de la Gouvernance
d’Internet.

Conclusion
Nous sommes maintenant dans la capacité de mieux comprendre la façon dont le « nou-
veau monde » qu’est le Cyberespace change notre société. Les enjeux politiques, économiques
et sociaux qui y sont liés grandissent avec l’augmentation constante de l’usage des systèmes
d’information et de leur niveau de sophistication.
9. Les défis de gouvernance d’Internet actuelle : quelle est la suite ?

16
 C’est en observant l’impact des premiers logiciels malveillants informatique à la fin du 20ème
siècle que la question de la sécurité des ordinateurs et des réseaux est devenue primordiale, la
sécurité des données critiques ne peut que provenir d’une défense efficace et organisée d’une
infrastructure ou d’un État ainsi que d’utilisateurs sensibilisés. Il y a un nombre incalculable
de façons de porter atteinte à une infrastructure ou à une personne en utilisant les systèmes
d’information, c’est pour cela que de nombreuses technologies, formations de professionnels et
réglementations à toutes les échelles ont été pensées pour y répondre.
C’est dans ce contexte que l’idée de Cyberguerre s’est développée, maintenant que des armes
invisibles, très efficaces et intraçables peuvent être utilisées pour porter atteintes à des infra-
structures sans frontières. Le Cybermonde a donc commencé à se militariser et à connaître ses
premières attaques d’envergure dans le monde. Les organisations de défenses des États se sont
rendu compte que la clé d’une utilisation saine du Cyberespace serait de se réunir par le biais des
différentes alliances pour négocier une entente mondiale pour sa sécurisation. Les négociations
sont très compliquées malgré le fait que ce sujet soit devenu une priorité à l’échelle interna-
tionale depuis plusieurs années, plusieurs mesures pour un haut niveau de Cyberdéfense sont
prises dans des alliances ne regroupant pas l’intégralité des États du monde (Union Européenne
par exemple). La Cyberguerre ne se résume pour autant pas simplement à des Cyberattaques
militaires, elle a aussi lieu aux réunions internationales dans les discussions par rapport à la Gou-
vernance d’Internet où les États et les Entreprises négocient leur liberté pour l’usage d’Internet.
Il semble donc assez peu probable de voir éclater une « Cyberguerre pure », mais il est certain
qu’il y aura des Cyberopérations ciblées qui auront lieu dans les prochains conflits diplomatiques
et/ou armés.
Pour répondre à notre problématique, nous pouvons déduire que la Cybersécurité se déve-
loppera et s’adaptera continuellement aux nouvelles Cybermenaces dans ce nouveau contexte de
Cyberguerre, mais que seule une entente politique mondiale assurerait une sécurité permanente
de tous les acteurs dans le Cybermonde.

17
 Ordre pour les références :
[12], [3], [18], [18], [5], [10], [9], [6], [1], [11], [14], [8], [16], [2], [7], [17], [4], [15], [13]

Références
[1] Conférence « CYBER DEFENCE PLEDGE » – L’OTAN fait face
aux risques numériques. https://www.ssi.gouv.fr/actualite/
conference-cyber-defence-pledge-lotan-fait-face-aux-risques-numeriques/.
[2] Cyberguerre - Le Média sur la Cybersécurité et Géostratégie de l’ère Numérique. https:
//cyberguerre.numerama.com/.
[3] Glossaire ANSSI. https://www.ssi.gouv.fr/entreprise/glossaire/.
[4] La cyberguerre, nouvel enjeu des armées. https://www.lemonde.fr/technologies/
article/2013/07/13/la-cyberguerre-nouvel-enjeu-des-armees_3446492_651865.
html.
[5] Les règles de sécurité. https://www.ssi.gouv.fr/administration/
protection-des-oiv/les-regles-de-securite/.
[6] Légifrance - Le service public de la diffusion du droit. https://www.legifrance.gouv.fr/.
[7] L’Union européenne et la cyberguerre : un enjeu de plus en plus central mais relativement
peu évoqué – EU-Logos. https://eulogos.blogactiv.eu/2016/12/14/.
[8] L’ère de la cyberguerre - Toile de Fond. https://toiledefond.net/cyberguerre/.
[9] Publication : Guide des bonnes pratiques de l’informatique. https://www.ssi.gouv.fr/
particulier/guide/guide-des-bonnes-pratiques-de-linformatique/.
[10] Risques cyber | Gouvernement.fr. https://www.gouvernement.fr/risques/
risques-cyber.
[11] Qu’est-ce que c’est, la « cyberguerre » ? http://www.isd.sorbonneonu.fr/blog/
quest-ce-que-cest-la-cyberguerre/, March 2018.
[12] The History of Cyber Security — Everything You Ever Wanted to Know - Senti-
nelOne. https://www.sentinelone.com/blog/history-of-cyber-security/, February
2019. Section : Security.
[13] Nicolas Arpagian. Les entreprises, complices et victimes de la « cyberguerre » ? Revue
internationale et strategique, n° 87(3) :65–72, October 2012. Publisher : Armand Colin.
[14] Michel Baud. La cyberguerre n’aura pas lieu, mais il faut s’y préparer. Politique etrangere,
Eté(2) :305–316, July 2012. Publisher : Institut français des relations internationales.
[15] Bérenger Massard. La cyberguerre : rivalités et en-
jeux de la « gouvernance » d’internet. https://lvsl.fr/
la-cyberguerre-rivalites-et-enjeux-de-la-gouvernance-dinternet/, August
2020.
[16] Par Emmanuel Meneut. La cyberguerre au cœur des secteurs civils critiques : mythe ou
réalité ? page 11, 2015.
[17] Nations Unies. Cyber Security and Internet Governance - Microsoft President and Chief
Legal Officer Brad Smith. https://www.youtube.com/watch?v=qOiD-GmUCXA&feature=
youtu.be, November 2017.
[18] Ministère de l’Europe et des Affaires étrangères. La France et la cybersécu-
rité. https://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/
securite-desarmement-et-non-proliferation/lutter-contre-la-criminalite-organisee/
la-france-et-la-cybersecurite/.

18