Dans son article fondateur de 2012, Thomas Rid décrivait les opérations conduites dans l’espace numérique sous le triptyque espionnage, sabotage et subversion. En insistant sur ces modes opératoires, il cherchait principalement à contester l’assimilation du cyberespace comme nouveau domaine de la guerre, et plus largement à remettre en question la métaphore de la « cyberguerre ».
Inscrivant la conflictualité numérique dans l’éventail plus large de la violence politique, Thomas Rid montrait la difficulté à l’analyser sous le prisme de la létalité (indirecte au mieux), mais aussi de l’instrumentalité. L’ambiguïté des effets, la difficulté à saisir l’intention et donc les objectifs poursuivis : autant de facteurs qui limitent la capacité des cyberopérations à être des instruments efficaces, utiles et contrôlables de la raison politique (1).
Cette lecture en termes clausewitziens a suscité de nombreux débats, qu’il serait trop long d’analyser ici. On peut cependant souligner que, sans remettre en question la typologie de Thomas Rid, ceux-ci ont consolidé une double approche analytique. Premièrement, une démarche plus féconde s’est appuyée sur la matérialité (et donc les contraintes) du cyber-espace et des cyberopérations pour en souligner les dilemmes, compromis et limites. Jon Lindsay et Erik Gartzke ont par exemple mis en lumière la nécessité de la deception comme condition nécessaire à la production des effets (2). Plus récemment, Lennart Maschmeyer a mis en avant les caractéristiques clandestines et manipulatrices des cyber-opérations pour en montrer les limites en matière de timing, d’intensité et de contrôle des effets (3). Enfin, d’autres chercheurs ont exploré les conditions organisationnelles de production des cyberopérations pour élargir le cadre à une analyse fondée sur les acteurs, organisations bureaucratiques ou assemblages d’agents aux statuts et objectifs hétérogènes (4).
Deuxièmement, cette approche pragmatique des cyberopérations a accompagné, sans toujours l’inspirer, une réflexion plus large – et davantage connectée aux débats politiques et stratégiques, notamment aux États-Unis – sur l’utilité stratégique des cyberopérations et les moyens corollaires de lutte contre les attaques numériques. Ce deuxième axe de la réflexion académique et politique a cherché à répondre à Rid en s’interrogeant sur les mécanismes stratégiques et donc l’instrumentalité des opérations numériques. La réflexion s’est portée principalement sur la pertinence des mécanismes coercitifs dans ce cadre. Rappelons que ces derniers s’appuient sur la manipulation du calcul coûts/bénéfices de la cible pour influencer son comportement. Classiquement, on distingue la dissuasion, qui consiste à décourager d’entreprendre une action, de la compellence, qui vise au contraire à forcer la cible à agir ou à stopper l’action entamée.
Enfin, ces mécanismes fonctionnent grâce à l’articulation de capacités et de signaux destinés à en montrer la crédibilité, mais aussi à souligner la détermination et la volonté de l’acteur coercitif. Ainsi, les travaux ont concerné l’ensemble de ces paramètres : le type de contraintes dans lesquelles s’inscrivent les opérations numériques, mais aussi la pertinence du signalement stratégique par ce moyen (5). Ce débat s’est déroulé parallèlement à l’interrogation stratégique aux États – Unis concernant les moyens de répondre aux attaques de la Chine, de la Russie, de l’Iran ou de la Corée du Nord, ou de les empêcher. Hérité de la pensée de la guerre froide, ce cadre d’analyse a été relativisé dans sa dimension dissuasive par l’émergence de concepts au cœur de la communauté stratégique, à l’instar du « Persistent Engagement » pour le Cyber Command. Dans cette conception, il s’agit d’opérer sous le seuil de la force armée et de la guerre afin d’entraver les actions adverses et, finalement, d’encadrer et de façonner leurs conditions de possibilité. Plutôt que la dissuasion, le mécanisme permettant d’assurer la supériorité dans le cyberespace et de limiter la fréquence et la sévérité des opérations ennemies est fondé sur l’ensemble du spectre de la coercition, mais avec un pivot davantage situé du côté de la compellence.
Pour autant, d’autres critiques de ces mécanismes et d’autres cadres d’analyse ont été proposés. C’est notamment le cas s’agissant des mécanismes subversifs. À la croisée de l’approche pragmatique et de l’interrogation sur l’instrumentalité du cyberespace, la théorie de la « cyber subversion » montre l’opportunité offerte par l’interconnexion globale et la numérisation croissante pour exploiter clandestinement les ressources d’un système sociotechnique ou sociopolitique afin de manipuler ses vulnérabilités (6). Par ce truchement, les opérations numériques ont des effets certes ambigus et indirects, mais qui s’accumulent dans une visée stratégique. Des débats existent concernant le décalage entre les promesses stratégiques de la subversion numérique – supposée permettre une exploitation à plus grande échelle et donc créer un plus important effet de levier, notamment dans la sphère informationnelle – et les contraintes technico – opérationnelles qui en limitent la faisabilité et l’efficacité (7).
Plus important pour notre propos, ce deuxième cadre d’analyse de l’utilité stratégique des cyberopérations s’appuie sur des études de cas portant principalement sur les actions russes ou chinoises. Autrement dit, plus qu’une opposition entre deux écoles sur la pertinence de tel ou tel mécanisme stratégique, cette littérature permet de saisir combien ceux-ci dépendent en réalité des choix effectués par les acteurs en fonction de la manière dont ces derniers ont conceptualisé et construit le domaine numérique comme enjeu sécuritaire ou stratégique. À une grammaire stratégique organisée autour de la coercition depuis la fin de la guerre froide – celle des États – Unis principalement – il faudrait donc opposer (pour la compléter) une grammaire appuyée sur une conception élargie de la coercition incluant la subversion dans la sphère informationnelle – celle de la Russie par exemple (8).
La grammaire stratégique de la conflictualité numérique dépend donc de ce que les acteurs en font. Autrement dit, il faut prendre en compte plusieurs dimensions nécessaires à sa compréhension. D’une part, les dispositifs et les acteurs (notamment bureaucratiques) au cœur des opérations, qu’il s’agisse des services de renseignement, des organisations militaires ou des divers proxys et acteurs mercenaires intervenant dans la chaîne opérationnelle. Des acteurs du renseignement technique auront sans doute tendance à enfermer la conflictualité numérique dans la sphère des opérations clandestines et à assimiler piratage et renseignement d’interception, nonobstant la différence entre ces deux modes opératoires. D’autre part, les concepts, représentations et doctrines qui rationalisent la division du travail ainsi que les préférences pour certains mécanismes plutôt que d’autres.
Conceptualiser les cyberopérations comme une extension de l’action de l’État (secret, clandestin, militaire ou diplomatique) ne produit pas les mêmes effets sur la conflictualité dans le cyberespace que de la considérer sous l’angle d’une action en réseau regroupant des acteurs aux intérêts et logiques divers. Enfin, les pratiques opérationnelles délimitent également les contours de la conflictualité numérique, déterminant des contraintes (juridiques, politiques, organisationnelles), mais surtout dégageant des opportunités (tactiques, stratégiques, bureaucratiques). Stuxnet a ainsi démontré la pertinence – et a donc participé à légitimer – des cyber-opérations sur le critère de la précision de leurs effets et de la distinction des cibles. En retour, l’épisode a servi autant à structurer la montée en puissance de dispositifs offensifs (pour l’Iran) qu’à légitimer l’activisme croissant de la Russie. Celui-ci a dès lors été jugé à l’aune de Stuxnet pour en dénoncer le caractère irresponsable.
Ce processus de construction progressive de l’action dans l’espace numérique – tout comme celle de sa conceptualisation et de son incarnation dans des dispositifs ad hoc ou institutionnalisés – dépend donc des interactions entre les acteurs eux – mêmes. Si l’accent placé par les acteurs russes sur une approche subversive dans une sphère informationnelle élargie se comprend à travers l’héritage des organes de force de l’époque soviétique, il est probablement accentué par la volonté de contourner les forces et d’exploiter les faiblesses américaines dans la période post – guerre froide. Plutôt que de chercher à définir des principes universels guidant la conflictualité numérique, il est certainement plus fécond d’envisager celle – ci comme le produit d’un processus collectif susceptible d’établir certains principes à moyen terme, mais également des ajustements rapides. Par ailleurs, les intuitions et démonstrations initiales de Thomas Rid restent valables s’agissant de l’inscription des cyberopérations dans le spectre large de la conflictualité. Dans cette perspective, l’analyse est enrichie par l’ajustement de l’utilité stratégique au contexte : les règles du jeu spécifiques à chacun des « états » de la configuration conflictuelle imposant leurs contraintes, mécanismes et grammaire.
Notes
(1) Thomas Rid, « Cyber War Will Not Take Place », Journal of Strategic Studies, vol. 35, no 1, 2012, p. 5-32.
(2) Erik Gartzke et Jon R. Lindsay, « Weaving Tangled Webs : Offense, Defense and Deception in Cyberspace », Security Studies, vol. 24, no 2, 2015, p. 316-348.
(3) Lennart Maschmeyer, « The Suversive Trilemma : Why Cyber Operations Fall Short of Expectations », International Security, vol. 46, no 2, 2021, p. 51-90.
(4) Voir notamment Max Smeets, No Shortcuts : Why State Struggle to Develop a Military Cyber-Force, Hurst, Londres 2022.
(5) Parmi d’autres : Stefan Soesanto, Cyberdeterrence Revisited, Perspectives Papers on Cyber Power, Air University Press, Maxwell AFB, 2022, mais aussi les travaux d’Erica et Shawn Lonergan : « The Logic of Coercion in Cyberspace », Security Studies, vol. 26, no 3, 2017, p. 452-481 ; « Cyber Operations as Imperfect Tools for Escalation », Strategic Studies Quarterly, vol. 13, no 3, 2019, p.122-145 ; « Cyber Operations, Accommodative Signaling and the De-Escalation of International Crises », Security Studies, vol. 31, no 1, 2022, p. 32-64.
(6) Lennart Maschmeyer, Subversion : from Covert Operations to Cyber Conflict, Oxford University Press, New-York, 2024.
(7) Andreas Krieg, Subversion : The Strategic Weaponization of Narratives, Georgetown University Press, Washington DC, 2023 ; Lennart Maschmeyer, « A new and better quiet option ? Strategies of subversion and cyber conflict », Journal of Strategic Studies, vol. 46, no 3, 2023, p. 570-594.
(8) Dmitry Adamsky, The Russian Way of Deterrence : Strategic Culture, Coercion and War, Stanford University Press, Redwood City, 2023.
Stéphane Taillat