Illustration © 123RF
Par Clotilde Dauchy, « Liaison Manager » et Dr. Sandro Gaycken, Fondateur et CEO de Monarch
Basé à Berlin, Monarch est un fournisseur de solutions éthique dans le renseignement privé, focalisé sur la protection des démocraties et des infrastructures critiques et sur le développement d’un éventail de capacités cyber au niveau État-nation pour les armées.
Les opérations offensives sur les réseaux informatiques (Computer Network Operations, CNO) forment une partie de la guerre électronique depuis plus de trois décennies.
Consistant à exploiter les faiblesses des systèmes à des fins d’espionnage – Computer Network Exploitation (CNE) -ou de dommages – Computer Network Attack (CNA), elles offrent un avantage tactique aux États qui investissent dans leur développement. Au cours des quinze derniers mois, nous avons été témoins des diverses façons dont ces tactiques peuvent être utilisées pour soutenir la guerre stratégique dans le conflit avec l’Ukraine.
Elles peuvent être utilisées pour perturber les communications de l’ennemi, intercepter des signaux, perturber, désengager, et endommager l’armement, interférer avec le fonctionnement des infrastructures critiques (pour couper les ressources) et soutenir la désinformation, tout cela en créant des sentiments de peur et d’incertitude à travers l’ensemble de la population.
Bien que l’on considère généralement que les opérations en cyber comportent trois éléments, l’exploitation et l’attaque étant considérées comme distinctes de la défense des réseaux informatiques (CND), il ne faut pas sous-estimer l’important avantage stratégique défensif que procure l’expertise cybernétique offensive. Une défense de réseau qui ne tient pas compte des techniques, tactiques, et procédures offensives (TTP) se retrouve en situation de rattrapage et échoue facilement. Les méthodes défensives doivent donc se fonder sur la connaissance de l’offensive pour mettre au point des mécanismes d’atténuation efficaces. En outre, les TTP offensives sont en constante évolution, pour s’adapter aux patchs et à la défense, ce qui signifie que ces connaissances doivent être maintenues à jour en permanence, faute de quoi elles deviennent rapidement obsolètes et inutiles.
Le renforcement de la défense par l’offensive a par exemple été réalisé par le biais de programmes non commerciaux de primes aux bugs, tels que le programme Hack the Pentagon du ministère américain de la défense, lancé en 2016 et répété en 2018 et 2022, dans lequel les chercheurs en cybersécurité étaient incités à identifier et à divulguer les vulnérabilités des réseaux publics du gouvernement, tels que le Facility Related Controls System (FRCS). Cette méthode de piratage légal et éthique a permis de révéler plus de sept cents problèmes, et son succès a incité le ministère de la sécurité intérieure à reproduire l’initiative avec le programme “Hack the DHS” (piratage du ministère de la sécurité intérieure). De plus et surtout, de solides capacités cybernétiques offensives peuvent être dissuasives en elles-mêmes. Un cybercriminel – qu’il soit soutenu par un État-nation ou en tant qu’individu – réfléchira à deux fois avant d’attaquer un système capable de l’attaquer en retour.
Le développement d’exploits et l’acquisition de bugs à des fins de renseignement et militaires peuvent constituer un moyen de dissuasion essentiel dans une arène internationale instable. Les armes cybernétiques présentent de nombreux avantages par rapport aux armes conventionelles : elles peuvent être placées secrètement à l’avance et déclenchées à tout moment, et offrent la possibilité d’infliger des dommages réversibles et non létaux, réduisant ainsi le risque d’escalade vers une guerre cinétique. Les effets non
létaux et réversibles peuvent inclure la mise hors service, à court terme, d’infrastructures critiques ou militaires, des attaques par ransomware pour empêcher l’accès aux données, ou le contrôle à distance de satellites militaires pour entraver les opérations. Il est essentiel de comprendre en détail le large éventail de capacités des cyberattaques offensives, ainsi que leurs méthodes et leur commandement et contrôle, car certaines armes peuvent également causer des dommages irréversibles et mortels, et peuvent cibler des infrastructures critiques, pouvant conduire à une escalade incontrôlée.
Dans le cas de Stuxnet, dont la cible était l’installation iranienne d’enrichissement de l’uranium de Natanz, l’infection initiale a été introduite par un disque amovible dans l’un des ordinateurs du réseau et s’est propagée à partir de là. Le ver s’est toutefois propagé bien au-delà de sa cible initiale et a touché un grand nombre d’installations nucléaires en Iran et au-delà. Il a été développé en partant de l’hypothèse que Natanz était sous air gap (séparé des réseaux externes), se propageant par l’internet, et a pu s’échapper de l’installation en raison d’une violation du protocole, probablement une erreur humaine de la part d’un employé de Natanz. Il est essentiel d’être conscient de ces risques lors du développement de malware à des fins d’espionnage ou d’attaque, car les conséquences d’une arme cybernétique mal conçue pourraient être désastreuses.
Les institutions gouvernementales, et en particulier les cyber- commandements occidentaux, sont confrontés à un défi de taille lorsqu’il s’agit de procurer des experts en cyber-attaque. Si quelques pays ont réussi à mettre en place des équipes de cyber-offense performantes, notamment les Pays-Bas, le Royaume-Uni, et les États- Unis, beaucoup ont encore du mal à recruter et à retenir les meilleurs talents. Cela est dû à une série de facteurs. Le plus important est que les talents sont limités et qu’ils se composent principalement d’individus à l’esprit indépendant, ce à quoi les équipes gouvernementales peuvent avoir du mal à s’adapter. La plupart des hackers préfèrent le secteur privé ou le travail en free-lance, qui offrent tous deux une meilleure rémunération et une plus grande liberté. En raison de la complexité et de la longueur des procédures de passation de marchés, l’identification et l’embauche de hackers indépendants pour le soutien des pouvoirs publics peuvent rester assez difficiles et devenir coûteuses, car ces hackers doivent être rémunérés sur la base d’un contrat d’actionnariat.
Encourager la cyberactivité en tant que domaine d’enseignement pour créer plus de talents pourrait sembler une entreprise intéressante, si ce n’est pour les autres problèmes qui pousseront ces talents vers, à nouveau, le secteur privé. En outre, il s’agit d’un domaine de travail très particulier dans lequel il est difficile de réussir et même simplement d’accéder aux connaissances requises pour développer une expertise, sans parler des décennies que cette solution prendrait. À court et à moyen terme, deux solutions principales peuvent être identifiées : utiliser le secteur privé comme mécanisme de soutien et investir dans des changements internes à long terme dans le fonctionnement des institutions cybernétiques du gouvernement.
Le secteur privé est un moyen de contourner une série de problèmes mentionnés ci- dessus. Les entreprises spécialisées dans le renforcement des capacités cybernétiques ont la capacité d’utiliser leur expertise pour répondre à des besoins en constante évolution, allant du conseil et de la formation à la mise en place d’un commandement durable, doté de talents capables d’évaluer les besoins de mission en fonction de cibles individuelles et de développer et déployer des armes cybernétiques. En confiant à ces entreprises le soin d’identifier et de sous-traiter les fournisseurs les plus appropriés à chaque étape du processus, les institutions gouvernementales évitent de perdre du temps avec la bureaucratie du processus d’acquisition et économisent de l’argent en ne conservant pas de capacités inutilisées, dont le besoin peut varier d’une année à l’autre. La confiance reste toutefois un obstacle aux partenariats public-privé. Il existe peu d’entreprises disposant de l’expertise nécessaire pour apporter ce soutien et réaliser des progrès significatifs, ce qui signifie qu’une collaboration avec des entreprises étrangères – même si elles sont basées dans l’Union Européenne – peut s’avérer nécessaire. Il s’agit d’un acte de foi, et les institutions gouvernementales doivent se fier à leur propre jugement en matière d’expertise dans ce domaine très complexe, et se fier à l’expérience et à l’éthique des entreprises.
L’investissement dans le secteur privé ne résout cependant pas les problèmes plus profonds qui sont à l’origine des difficultés à retenir les bon éléments en cyber. Renforcer les capacités est une chose, les conserver en est une autre. Les cyber-institutions nationales doivent se concentrer sur une transformation à long terme afin de devenir entièrement fonctionnelles et durables. Cela signifie qu’il faut augmenter les salaires et les motivations, simplifier les mesures de passation de marchés et soutenir la transformation culturelle.
Surtout, cela signifie également l’embauche régulière de consultants experts pour l’identification de lacunes en matière de capacités et le recrutement ciblé continu, afin de répondre aux besoins les plus pressants sur ce territoire en constante évolution. Sans développement significatif, les capacités cybernétiques des gouvernements resteront vulnérables aux attaques d’États-nations et d’individus et passeront à côté d’avantages tactiques et stratégiques significatifs, autant ad bellum qu’in bello.