Cyberattaques et cyberguerre : les grandes manœuvres ?

28/02/2022 - 19 min. de lecture

Cyberattaques et cyberguerre : les grandes manœuvres ? - Cercle K2

Cercle K2 neither approves or disapproves of the opinions expressed in the articles. Their authors are exclusively responsible for their content.

Daniel Guinier est Expert de justice honoraire et ancien expert près la Cour Pénale Internationale de La Haye.

---

Depuis 2014 l'Ukraine connaît des affrontements armés dans l'est du pays. Ils opposent Kiev à des séparatistes dont le Kremlin est considéré comme le soutien militaire et financier. Tandis que des forces militaires russes sont massées en grand nombre à la frontière de l'Ukraine, des consultations ont eu lieu dans l’espoir de trouver une solution diplomatique. Une désescalade significative et vérifiable était attendue comme un signal positif, après que Vladimir Poutine ait assuré de ne pas vouloir la guerre, en annonçant le 15 février 2022 le retrait d'une partie des troupes russes stationnées à la frontière, ce que les Occidentaux n'ont pas observé dans les faits. A contrario, il a été vu la mobilisation générale décrétée par les dirigeants des territoires pro-russes, observé des accusations et des provocations mutuelles, avec des bombardements et des échanges de tirs, alimentant ainsi les craintes d'une invasion russe en Ukraine, et pas seulement dans ces territoires. Ce pressentiment était fondé.

Les efforts diplomatiques déployés par les Occidentaux et les menaces de sanctions auront été vains. De façon déterminée, en violation du droit international et en négation de l'existence de l'Ukraine en tant qu'État souverain, le chef du Kremlin avait déclaré le 21 février reconnaître les territoires indépendantistes pro-russes des républiques autoproclamées de Donetsk et de Lougansk dans le Donbass ukrainien, avant d'y ordonner l'envoi de troupes pour "maintenir la paix".  Le 24 février, peu avant 4 heures, heure de Paris, il a choisi son moment pour apparaître dans une vidéo diffusée à la télévision russe et annoncer le déclenchement d’une opération militaire en Ukraine, appelant les forces de Kiev à déposer les armes. En outre, il a mis en garde ceux qui tenteraient d'interférer, en les assurant d'une réponse de la Russie avec des conséquences encore jamais connues, mettant ainsi l'Europe et les Occidentaux sous la menace à peine voilée d'un feu nucléaire.

L'intervention, en pleine réunion du Conseil de sécurité des Nations Unies, actuellement sous la présidence de la Fédération de Russie, est un mépris affiché à l'égard des Nations Unies. Il s'agit d'un assaut militaire d'ampleur tous azimuts conduisant à l'invasion de l'Ukraine. Il porte ainsi un coup fatal aux accords de Minsk de 2014 et 2015, et bien au-delà, à la confiance en la diplomatie russe. Ce scénario ressemble en pire à celui vécu avec la Géorgie en 2008, conduisant au contrôle par la Russie des territoires de l’Abkhazie et de l’Ossétie du Sud, à l'époque où la France présidait également l’Union européenne. Il fait suite à l'annexion de la Crimée et de la ville de Sébastopol par la Russie en 2014. De façon commune, on ne peut que constater la volonté d'élargissement de la Fédération de Russie par l'emploi de la force, tandis que cette nouvelle guerre au sein de l'Europe met en péril l'avenir des peuples.

En rappelant que l’art. 2 (4) de la Charte des Nations Unies pose des bornes aux États qui en principe ne peuvent plus recourir directement à la force sans justifications, ces derniers sont alors tentés de se tourner vers des méthodes indirectes et plus subtiles. Si les forces armées en présence se soucient des frontières, ce n'est pas le cas des cyberattaques. C'est dans ce contexte et ce même jour 15 février que l'Ukraine avait été une nouvelle fois victime d'une cyberattaque. L'inquiétude est maintenant de voir apparaître des offensives cyber majeures menaçant particulièrement l'Europe et les Etats-Unis, en rapport avec ce conflit pour ensuite se généraliser.

A la lumière des moyens employés et des impacts, il s'agit d'abord de considérer ce qui relève de déstabilisation de certains secteurs d'une Nation visant à l'affaiblir et à saper la confiance des citoyens, sinon de grandes manœuvres virtuelles hybrides pour tester les capacités d'une cyberattaque massive dans le but de paralyser des secteurs stratégiques avant une attaque armée classique, ou encore de prémisses d'une cyberguerre. Il s'agira ensuite de voir l'état de préparation de la France au vu de l'évolution de ces phénomènes.

 

Introduction

Il faut rappeler que le cyberespace ukrainien est l'objet de précédents récurrents. Dès 2014 l’Ukraine a été victime de cyberattaques déstabilisatrices. En 2015, l'atteinte du système de distribution d’électricité avait privé des centaines de milliers d'ukrainiens pendant plusieurs heures, tandis qu'en 2017 une attaque fondée sur le code malveillant NotPetya[1], dont la finalité est la destruction des systèmes et données, avait atteint divers sites : ministères, système de paiement du métro de Kiev, etc. Il faut aussi noter que de nombreuses entreprises au travers le monde avaient été touchées, notamment Saint-Gobain en France. 

Le 13 janvier 2022, divers sites ministériels des  affaires étrangères, des anciens combattants, de l’énergie, des services d’urgence de l’État, etc., et des dizaines de sites gouvernementaux ont été visés, avec le message suivant affiché sur les écrans des ordinateurs compromis : “Ukrainiens ! Toutes vos données personnelles ont été téléchargées sur le réseau public. Toutes les données de l’ordinateur sont détruites, il est impossible de les restaurer”[2].

Le 15 février 2022 le ministère de la Défense ukrainien et des banques : Privat, Crédit Agricole, First International Ukrainian Bank, Oschadbank, etc. ont été touchés à leur tour par une autre cyberattaque. Privat étant le premier système d'échanges financiers de l'Ukraine, 20 millions d'usagers ont été temporairement impactés du fait de la nature de l'attaque par déni de service distribué (DDoS), provoqué par un nombre massif de requêtes visant à saturer les serveurs. Bien que l'origine de cette attaque n'ait pas été formellement attribuée, et qu'elle ne soit pas de grande envergure, elle peut cependant constituer un signal destiné à maintenir la pression sur l'Ukraine. Selon des renseignements américains obtenus par le Washington Post, des hackers affiliés au gouvernement russe se seraient déjà infiltrés dans les systèmes militaires, énergétiques et de plusieurs infrastructures cyber critiques de l’Ukraine. 

Sans négliger que des informations auraient pu être recueillies par des méthodes subtiles pour servir à de futures actions, il n'est pas relevé ici d’attaque suffisamment massive s'apparentant à un acte de manœuvres virtuelles hybrides ou de cyberguerre. La menace reste néanmoins importante, alors que le cyberespace devient un champ de confrontation à part entière, tout spécialement en cette période.

 

Définitions et aspect connexes

Cyberattaques et état de la menace

Après plusieurs définitions insatisfaisantes[3], en 2016, le gouvernement français en propose la définition suivante : "Une cyberattaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes". Plutôt qu'une simple définition, après que la nécessité de modélisation ait été rappelée par les instances européennes[4], nous avons proposer un modèle général fondé sur la représentation des caractéristiques statiques et dynamiques, respectueux des propriétés essentielles[5].

Les cyberattaques sont une menace majeure, alors que des actions quasi-quotidiennes visent l'État, les opérateurs d’importance vitale, ainsi que les grandes entreprises nationales ou stratégiques du pays, sans que l’on puisse souvent distinguer avec certitude les acteurs qui les conduisent ou les soutiennent. Juridiquement, une cyberattaque peut être considérée comme une agression et la définition adoptée par les Nations Unies depuis 1974 lui serait partiellement applicable, pour envisager une riposte quand il s'agit d’une arme utilisée par un État contre un autre, si toutefois l’agresseur est identifié, ce qui peut être une difficulté.

En effet, des robots logiciels malicieux ("bots"), installés à l'insu de leurs utilisateurs, peuvent être exécutés sur de nombreuses machines compromises ("zombies") pour servir de tête de pont à des cyberattaques. En se connectant automatiquement à un serveur de contrôle et commande (C&C), elles constituent un "botnet", ce qui rend difficile l'identification de la source et permet de diriger des actions pilotées à distance à partir du serveur C&C, en particulier pour conduire des attaques ciblées par DDoS, des envois massifs de codes malveillants, ou diffuser de fausses nouvelles ("fake news") pour mener efficacement des campagnes de propagande et de bombardements pour manipuler les esprits, y compris en usant de "botnets sociaux".

De plus, l'authentification par les "bots" des commandes reçues empêche la neutralisation du "botnet" par des parties extérieures, tandis que leurs relais par adresse ou propagation permettent aux nouveaux "bots" de localiser ceux existants et de faire croître le "botnet", dont la résilience est affecté par sa topologie, faible si elle est centralisée et forte quand elle est aléatoire. Ceci montre qu'il est difficile de déterminer la source des attaques, tandis que le recours à un "botnet" ne nécessiterait pas des ressources extraordinaires. 

Par ailleurs, certaines cyberattaques feront appel à des méthodes plus subtiles[6]. Les menaces avancées persistantes (APT) seront liées à la capacité de s'adapter aux moyens de détection de la cible en préservant les acquis et les informations recueillies par l'attaquant, tout en permettant l'installation discrète et durable de modules malveillants sur les systèmes compromis, notamment pour de futures attaques. Quant aux techniques d'évasion (AET), elles permettraient l'installation furtive de codes malveillants connus, mais non détectables en raison de leur capacité de contourner l'interprétation des protocoles, en jouant des défauts de normalisation des couches de trafic. Aussi, devant des enjeux géopolitiques, si une agence de renseignement était impliquée, il faudrait s'attendre au recours à de telles méthodes, mais resterait plus difficile à démontrer.

Face aux cyberattaques, la cybersécurité est un moyen stratégique qui relève d'organismes interministériels, tels que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ou d’un ministère particulier. L'ANSSI en donne la définition suivante : "La cybersécurité est l'état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense".

Sans la cybersécurité fondée sur la sécurité des systèmes d'information, avec l'appui de la recherche publique et privée, pour disposer de compétences scientifiques et de moyens technologiques de haut niveau propres à garantir l'indépendance, mais aussi de la formation, avec notamment l'ANSSI et les observatoires zonaux de la sécurité des systèmes d’information (OZSSI) comme relais, la sécurité des infrastructures vitales et des données essentielles ne saurait être garantie, pas plus que les intérêts fondamentaux de la Nation.

Concernant la lutte contre la cybercriminalité et l'aptitude à répondre à une crise majeure, le Commandement de la gendarmerie dans le cyberespace (COMCyberGEND), a été créé en 2021. Cette formation pleine et entière, directement rattachée au directeur général, dispose d'une autonomie budgétaire à compter de 2022. Elle a pour objectif d’animer, de coordonner, et de mettre en cohérence les capacités de prévention, de formation ou d’investigations des forces cyber[7] de la gendarmerie nationale réunies sous un étendard unique. Le chapitre suivant traitera de la mise en place d’une cyberdéfense.

 

Cyberdéfense et état de l'organisation

Il s'agit de protéger les infrastructures vitales et industrielles contre le sabotage, pour garantir la continuité des fonctions essentielles de la Nation, et son patrimoine scientifique et technique contre l'espionnage émanant d'agences étatiques ou privées. Selon la définition de l'ANSSI, "la cyberdéfense est l’ensemble des mesures techniques et non-techniques permettant à un État de défendre, dans le cyberespace, les systèmes d’information jugés essentiels".

La loi 2018-607 du 13 juillet 2018 relative à la programmation militaire (LPM) pour les années 2019 à 2025 porte diverses dispositions intéressant la défense, en particulier celles relatives à la cyberdéfense (arts. 34 et 37), laquelle relève d'une politique interministérielle inscrite dans le cadre d'un schéma directeur défini dans le Livre blanc sur la défense et la sécurité[8] du 29 avril 2013. 

Il apparaît un engagement motivé pour développer la capacité de cyberdéfense, du fait de la dépendance de la Nation aux systèmes et aux infrastructures des technologies de l'information et de la communication (TIC), et de cyberattaques qui constituent une menace majeure, voire un véritable acte de guerre. Il est décidé d'une doctrine nationale avec une politique de sécurité ambitieuse, pour être en mesure d’identifier l’origine des attaques, d’évaluer les capacités des adversaires potentiels et de pouvoir les contrer. Le principe d’une approche globale se fonde sur la robustesse et la résilience des systèmes d’information de l’État, et sur la capacité de résistance et de réponse ajustée face à des agressions de nature et d’ampleur variées[9], ceci jusque dans l'espace exo-atmosphérique.

Afin d’augmenter le niveau de sécurité des systèmes d’information de l’État et des opérateurs d’importance vitale (OIV), il est indiqué que des mesures législatives et réglementaires seront prises, avec un renforcement de la capacité à agir de l'ANSSI en cas de crise grave. Plusieurs axes d’efforts, coordonnés par le secrétariat général de la Défense et de la Sécurité nationale (SGDSN), sont identifiés, en particulier le renforcement des moyens humains, le soutien de compétences scientifiques et technologiques de haut niveau dans les domaines cyber, la capacité à produire les dispositifs de sécurité pour assurer la souveraineté nationale, tout en développant des relations étroites avec des partenaires internationaux de confiance. Il est vu que la cyberdéfense est intégrée aux forces pour préparer ou accompagner les opérations militaires, et enfin, que l’implication des réserves militaires constitue un atout majeur au service de la résilience de la Nation.

La cyberdéfense se réfère à plusieurs composantes : la sécurité des systèmes d'information, au sens des technologies de l'information et de la communication, pour laquelle l'appartenance à la cyberdéfense est appropriée, mais non exclusive. Sans cette composante la sécurité des données de défense et des services essentiels de l’État ne pourrait être assurée, pas plus que la souveraineté de la Nation. A ceci s'ajoute la lutte informatique défensive[10] et offensive, le renseignement extérieur et le contre-espionnage relevant de moyens numériques en réseaux, y compris satellitaires, la mise à disposition de systèmes sécurisés, en lien avec l'ANSSI[11], mais aussi la veille et la préparation à l'éventualité d'une cyberguerre, ou d'une forme voisine.  Il est prévu la formation des personnels, la création de filières de recherche et de diplômes en cyberdéfense[12], et la mise en place de réservistes opérationnels spécialisés formés en matière de cyberdéfense. Il est aussi indiqué qu'une réserve citoyenne soit organisée à cet effet. La lutte défensive relève des moyens de lutte contre la cybercriminalité, et de mesures planifiées en réaction aux incidents et aux cyberattaques. La lutte offensive, voire la défense active, pose de surcroît des questions délicates de droit et de contrôle.

Créé en 2017, le commandement de la cyberdéfense (COMCYBER), placé sous l’autorité du chef d’état-major des armées, est un commandement opérationnel composé de l’ensemble des forces de cyberdéfense des armées sur lesquels il exerce sa tutelle. Il est chargé d'opérations de cyberdéfense qu'il conçoit, planifie et conduit, et de la protection et la défense des systèmes d'information du ministère des Armées, à l'exclusion de ceux de la direction générale de la sécurité extérieure (DGSE) et de la direction du renseignement et de la sécurité de la Défense (DRSD). Il s’assure de la cohérence de la cyberdéfense avec les besoins spécifiques en termes techniques et de ressources humaines d'active en ceux de la réserve de cyberdéfense[13]. Depuis 2020, le COMCYBER dispose d’un état-major et d’une unité de support pour accompagner sa montée en puissance : le groupement de la cyberdéfense des Armées (GCA), de façon à décloisonner, à favoriser les synergies et à soutenir les centres techniques existants par la création d’une entité unique de façon à mutualiser les compétences en cyberdéfense.

 

Cyberguerre et considérations juridiques

Sans assurance d'acception juridique, le néologisme "cyberguerre" fait couramment référence à des situations qui s’inscrivent dans un contexte conflictuel ou hostile, voire suspicieux, où des cyberattaques peuvent survenir dans de multiples configurations. Le Conseil de sécurité des Nations Unies, dans sa résolution 1113 du 5 mars 2011 définit la cyberguerre comme "l’utilisation des ordinateurs ou moyens numériques par un gouvernement, ou avec la connaissance ou l’appui explicite de ce gouvernement contre un autre État, ou contre la propriété privée dans un autre État, incluant l’accès intentionnel, l’interception de données ou des dommages causés à des infrastructures numériques ou numériquement contrôlées". 

La notion d'agression est à son tour définie par la résolution 3314 de l’Assemblée générale des Nations Unies du 14 décembre 1974, en reconnaissant l’emploi illicite indirect de la force, qui est l'une des particularités des cyberattaques étatiques, difficiles à qualifier comme des violations prima facie de l’art. 2(4) de la Charte des Nations Unies, au vu du caractère non physique de leurs conséquences, à l'exception cependant des cas de légitime défense ou en application d'une décision du Conseil de sécurité, en vertu du chap. VII de cette Charte. Cette définition connait un nouvel intérêt suite à la décision de la Cour pénale internationale de La Haye (CPI) de l'utiliser comme fondement de la définition du nouveau crime d’agression, avec le nouvel art. 8 bis du Statut de Rome de la CPI. Si on considère la prolifération de nouveaux moyens et méthodes de guerre non armées et hybrides, la multiplication de cyberattaques étatiques commises par des groupes d’individus, il est  pressant qu'un consensus international soit enfin trouvé pour la qualification juridique internationale des cyberattaques commises en périodes de paix et de conflit.

Suite aux violentes cyberattaques qui ont touché l'Estonie en 2007, les travaux de Tallinn, consignés dans les manuels de Tallin de 2013 et 2017, affirment sur ce point l’applicabilité du droit international au cyberespace, et la transposition des règles applicables à l'utilisation des armes conventionnelles en période de conflits, aux armes cybernétiques. Une réflexion est attendue comme urgente au sein de l'Organisation des Nations unies, pour interpréter la notion de légitime défense de l’art. 51 de sa Charte, face à des cyberattaques menées ou soutenues par des États, ou des groupes non-étatiques à partir d’États conciliants ou trop faibles. Face à une situation d’urgence et de la nécessité de protection des populations dont l'État est le seul garant légitime, la réponse ne devrait pas seulement émerger au fil des crises où les principes sont trop tardivement testés.

Pour être considéré comme un acte de cyberguerre, les cyberattaques doivent impliquer un Etat, l'action doit être motivée pour causer des dommages importants par l'usage de méthodes sophistiquées et le recours à une planification. Les caractéristiques de telles cyberattaques sont variables selon le cas, en termes d'origine de l'action : tolérée ou soutenue par un Etat, ou initiée ou exécutée par un Etat, de motifs politiques, économiques,  ou militaires : probables, déclarés ou probants, d'impact : modéré ou important, de durée : moyenne ou longue, et de sophistication : exploit non publié et faille "0-Day", ou nécessitant une mise au point spécifique. Ainsi les attaques menées contre l'Estonie du 27 avril au 10 mai 2007, suite à un désaccord avec la Russie, la Géorgie en août 2008, deux jours avant le déclenchement de la deuxième guerre d'Ossétie du Sud, où se sont affrontées l'armée géorgienne et les troupes russes résulteraient d'actes de cyberguerre.

Il faut être conscient que des informations exfiltrées lors d'une première intrusion sont aptes à faciliter une cyberattaque massive susceptible de paralyser des secteurs entiers d’activité, et de déclencher des catastrophes pouvant faire de nombreuses victimes, ce qui constitue en soi un véritable acte de guerre fondé sur celui d'une cyberguerre. En plus d'une cyberdéfense organisée, des moyens de renseignements adéquats sont nécessaires pour identifier l’origine des cyberattaques, évaluer en permanence les aptitudes offensives des adversaires possibles pour pouvoir les contrer. Aussi, les capacités défensives et offensives sont essentielles pour permettre une riposte éventuelle rapide et proportionnée à l’attaque.

 

Conclusion

Les liens entre cyberattaque et cyberguerre et les termes de cybersécurité et de cyberdéfense qui s'y opposent sont à la fois forts et ténus, tandis que l’arme cyber est l’objet d’interrogations car elle est relativement nouvelle dans le jeu géopolitique et les conflits possiblement hybrides.

L'accroissement en nombre des cyberattaques mais aussi de leur sophistication, et leur usage en période de conflit aigu à des fins politiques, économiques, militaires, etc., témoignent que la souveraineté numérique constitue un nouveau défi pour les Nations et leurs armées, ce qui est clairement d'actualité pour l'Europe et la France. Aussi, les grandes puissances tentent de développer des stratégies appropriées pour la maîtrise de leur cyberespace, y compris exo-atmosphérique, en définissant deux types de réponse, l’une défensive et l’autre offensive, pour ne pas laisser à certains le soin de préparer des cyberattaques en vue d'une cyberguerre et à d'autres celui de s'en prémunir. Il est déjà nécessaire d'apprendre à contrôler ce que l’on peut et à affronter ce qui est incertain. La cyberdéfense est un problème de méthode alors que, pour l’attaquant comme pour le défenseur, les ressources sont limitées en termes de délais et de compétences. Pour ce dernier, le défi à relever est cependant plus important.

Les faits ont montré que nous n'étions pas prêts face à une pandémie, alors que le risque était identifié. Le sommes-nous davantage face à des cyberattaques massives et avancées dans une période incertaine et très conflictuelle ? La sécurité de l'UE étant liée plus que jamais à celle de l’ensemble du continent européen, il est de l’intérêt de l’Europe, et de la France en particulier, de faire de la cybersécurité et de la cyberdéfense une priorité, malgré un manque critique de compétences partout dans le monde. Le volonté politique est indispensable, pour recruter les savoirs, stimuler la recherche publique et privée, et pour assurer les formations adéquates, ce qui prendra des années et nécessitera la mobilisation de tous.

Daniel Guinier

---

Biographie sélective

Bockel J.-M. (2012) : La cyberdéfense : un enjeu mondial, une priorité nationale. Rapport d'information, Rapport du Sénat n° 681 (2011-2012) déposé le 18/07/12.

Bories C. (2014) : Appréhender la cyberguerre en droit international. Quelques réflexions et mises au point. La Revue des droits de l’homme, 6, n°5 , 4 déc.

CORDIS (2017) : Commission Européenne EU E-Crime Project, FP7-Security : How to gear up against cyber crime, Research'eu Results Magazine, n° 67, novembre, p. 42.

Farwell J.P., Rohozinski R. (2011) : Stuxnet and the Future of Cyber War, Survival, vol. 53, n°1, pp. 23-40.

Guinier D. (1997) : La guerre de l'information et des technologies afférentes - Introduction au paradigme "IW" et à son contexte. Expertises, n° 208, octobre, pp. 306-310

Guinier D. (2013) : Les pôles cyber essentiels au cyberespace et leurs liens. Approche systémique et gouvernance. La Revue du GRASCO, n° 6, juillet, pp. 61-73.

Guinier D. (2017a) : Cyberattaques : de la ruse à la manipulation quand "la part de l'homme" reste le maillon faible. Expertises, n°423, avril, pp. 141-149

Guinier D. (2017b) : Réseaux et "bots" sociaux : Fondements et risques émergents. La Revue du GRASCO, avril, n°18, pp. 23-32.

Guinier D. (2017c) : MacronLeaks et autres cyberattaques et diffusion de fausses informations. Expertises, n° 426, juillet-août, pp. 262-268

Guinier D. (2018) : Modèle de représentation des cyberattaques, mesures génériques et prospective. La revue juridique Dalloz IP/IT, mars, pp. 163-169. Article ayant reçu le prix "Recherche et réflexion stratégique" de la Gendarmerie nationale en 2019.

McAfee (2014) : Preventing sophisticated attacks : Anti-evasion and Advanced Evasion Techniques (AET), 3p.

M. D. (2013) : Livre blanc "Défense et sécurité nationale 2013", La documentation française,160 p.

Tresgots D. (2011) : Les attaques APT - Advanced Persistent Threats. Forum Cert-IST, 29 p.

Ziolkowski K. (2013) : Peacetime regime for state activities in cyberspace : International Law, International. Relations and Diplomacy, Tallinn, NATO Cooperative Cyber Defence Centre of Excellence.

---

 
[1] Apparu le 27 juin 2017, il s'apparente à un rançongiciel mais dépourvu de la partie dédiée à la rançon. Il est basé sur EternalBlue, un exploit développé par la NSA qui utilise une faille de sécurité pourtant résolue par Microsoft avec une mise à jour de sécurité publiée le 14 mars 2017. D'abord détecté en Ukraine, NotPetya s'est aussi propagé en Russie, dans plusieurs pays d'Europe et aux Etats-Unis.

[2] Le “Microsoft Threat Intelligence Center" (MSTIC) disposant d'éléments caractérisant une opération malveillante destructrice ciblant plusieurs organisations en Ukraine.

[3] Définitions officielles du CSSG (Allemagne) de 2011, du NIST (États-Unis) et de l'OTAN de 2013.

[4] Voir CORDIS (2017), EU E-Crime Project.

[5] Voir D. Guinier (2018).

[6] D. Tresgots (2011) et McAfee (2014) font une description précise des cybermenaces avancées APT et AET, avec comme exemples le ver "Stuxnet" (APT), apparu en 2010, et le ver "Conficker" (AET) connu dès 2007.

[7] La gendarmerie dispose d'un réseau plus de 6 700 enquêteurs numériques, répartis sur l’ensemble du territoire national : Correspondants en technologies numériques (C-NTECH) au niveau des brigades, enquêteurs en technologies numériques spécialisés (NTECH) au niveau départemental, antennes du Centre de lutte contre les criminalités numériques (C3N) dans les sections de recherches des chefs-lieux des Juridictions inter-régionales spécialisées (JIRS), jusqu'à l’échelon national, avec le C3N et l’actuel département informatique (INL) de l’IRCGN.

[8] Voir le rapport sur la cyberdéfense du 18 juillet 2012, rédigé par J.-M. Bockel, sénateur du Haut-Rhin.

[9] Voir M. D. (2013),"…faisant en premier lieu appel à l’ensemble des moyens diplomatiques, juridiques ou policiers, sans s’interdire l’emploi gradué de moyens relevant du ministère de la Défense, si les intérêts stratégiques nationaux étaient menacés" ; uniquement dans le dossier thématique. De plus : "…Une capacité informatique offensive, associée à une capacité de renseignement, concourt ainsi de façon significative à la posture de cybersécurité".

[10] Pour faire face aux attaques, le ministère de la Défense fait notamment appel aux groupes d'intervention rapides (GIR), et au Centre d'analyse de lutte informatique défensive (CALID) pour les attaques sensibles de haut niveau.

[11] De façon étroite avec le centre opérationnel de la sécurité des systèmes d’information de l'ANSSI.

[12] Avec notamment des modules spécifiques associant l'ETRS de Rennes, la création d'un diplôme d'ingénieur en cyberdéfense à l'ENSIBS et celle de la chaire de cyberdéfense au sein des Ecoles de Saint-Cyr Coëtquidan.

[13] Il est notamment prévu dans la LPM des effectifs supplémentaires affectés de manière ciblée pour consolider les domaines prioritaires, notamment en matière de cyberdéfense et d’action dans le cyberespace (1 500 sur 2019-25), portant à 4 000 le nombre de cyber-combattants.

28/02/2022

Last publications