Plus de cinq ans après la première chronique « Penser le cyber », il semble important de revenir sur les notions, concepts, représentations et modèles qui irriguent la réflexion et la pratique en matière de cybersécurité et de conflictualité numérique. La diversité et l’ampleur du champ, tant du point de vue académique que sur le plan professionnel, conduisent en effet à des approches multiples, segmentées et difficiles à appréhender pour le profane. En outre, cette fragmentation – parce qu’elle s’appuie souvent sur une forme de naturalisation des enjeux – rend difficiles leur mise en perspective, leur hiérarchisation et leur traduction en termes concrets (politiques, opérationnels ou éthiques).
Une première étape passe par la caractérisation et la définition du champ. Si le terme « cyberespace » – et l’usage du préfixe « cyber » – s’est généralisé, il importe de l’appréhender sur le plan analytique. Il s’agit en effet d’un concept pratique, utilisé pour donner du sens à des activités routinières dans un contexte professionnel ou culturel spécifique. Il véhicule donc des postulats, des prérequis et des orientations qui, s’ils ne sont pas discutés, risquent d’enfermer les acteurs dans une vision particulière et de les aveugler sur les évolutions, enjeux ou usages émergents (1). Ce qui est utile du point de vue de la gestion peut l’être moins sur le plan de l’adaptation à des conditions nouvelles (2). Dans le cas de « cyberespace », le problème tient autant à son origine dans la science – fiction qu’à sa définition volontiers technique et à son utilisation dans un contexte culturel « occidental ». À titre d’exemple, son usage par les autorités de la République populaire de Chine est cantonné à la Cyberspace administration of China, c’est-à‑dire l’organe régulateur de l’Internet dans ce pays.
Si donc les termes de cyberespace, espace numérique et sphère informationnelle ont leur utilité, leur prolifération (sans qu’ils soient toujours bien distingués les uns des autres) est davantage un problème pour une démarche analytique. Qu’il s’agisse de monter en généralités ou d’étudier des cas contextualisés, il manque un modèle permettant de rendre compte des enjeux dans une perspective comparative. À ce titre, la construction du concept de « data-
sphère » en 2016-2018 autour du centre « GEODE » est une étape clé dans ce processus (3). Dans le cadre de cette chronique, il est proposé de parler d’infrastructures numériques. La littérature en sciences humaines et sociales de même que les praticiens et les analystes privés recourent volontiers et de plus en plus à la notion d’infrastructures pour évoquer les assemblages, les dispositifs ou les réseaux qui permettent le fonctionnement ou la conduite d’opérations dans le cyberespace. Le mot peut tout autant désigner les moyens matériels, l’ensemble des acteurs ou encore les paramètres divers qui structurent le champ dans son aspect très concret.
On peut donc conceptualiser une infrastructure assurant le transfert, le traitement et l’exploitation de l’information dans sa forme numérique. Cette infrastructure est composée de systèmes matériels et physiques, d’un ensemble d’acteurs permettant de les opérer et de les maintenir, de protocoles et de règles tout aussi techniques ou administratives que juridiques, le tout agencé en réseaux plus ou moins denses, interconnectés et interdépendants. Sous cet angle, les infrastructures numériques sont particulièrement complexes, mais elles sont aussi cruciales pour l’ensemble des autres infrastructures (économiques, sociales, politiques) tant à l’échelle mondiale que sur le plan national ou local. Par ailleurs, envisager le cyberespace comme un ensemble d’infrastructures numériques éclaire aussi les logiques de pouvoir et de puissance, les risques et configurations de vulnérabilités et de dépendances, les stratégies de gestion des risques, les opportunités ou menaces que représente leur exploitation à des fins stratégiques.
Car la seconde étape consiste à envisager les enjeux de sécurité selon toutes les perspectives possibles. Sur le plan intellectuel comme organisationnel, la cybersécurité s’est en effet construite autour de deux perspectives qui, tout en étant complémentaires et cohérentes, sont souvent considérées isolément. La première s’intéresse aux menaces, en matière tant de modes opératoires que d’analyse des acteurs. Il s’agit d’un pan entier de l’industrie de cybersécurité (la Cyber threat intelligence) autant que de la recherche académique (notamment en matière d’études stratégiques). L’approche centrée sur la menace est essentielle dans la mesure où elle tente de circonscrire les intentions des acteurs, leur manière de conduire des opérations ainsi que leurs faiblesses éventuelles. Elle est particulièrement au cœur des processus d’imputation et d’attribution des cyberopérations. Cela signifie qu’elle est surtout orientée vers la réponse et la lutte. Sur le plan culturel et organisationnel, on la retrouve donc au cœur de la réflexion en matière de cyberdéfense, mais aussi dans les dimensions diplomatiques et judiciaires du sujet « cyber ». À l’intersection entre les acteurs privés et publics, la focalisation sur la menace s’est traduite par le développement des pratiques de threat hunting qui mettent en avant le renseignement sur la menace ainsi que diverses modalités d’entrave. Légitimement mise en avant par les gouvernements et par les acteurs de la défense et de la sécurité nationale, cette démarche peut devenir problématique si elle n’est pas articulée avec l’autre perspective orientée vers les vulnérabilités.
L’approche de la cybersécurité centrée sur l’identification, la réduction et la résolution des vulnérabilités est également présente aux origines de « la sécurité de l’information » (Information Security ou Infosec) (4). Elle est le moteur d’une industrie florissante de services de sécurité (antivirus, pare – feu, etc.), mais aussi de pratiques plus ambiguës de « tests de pénétration » (penetration testing ou PenTest) ou de « bug bounty » (la recherche de vulnérabilités au profit d’un fournisseur de biens ou de services désireux d’en connaître les failles). Cette démarche se justifie par la configuration propre des infrastructures numériques. Plus particulièrement, il faut tenir compte de leur architecture décentralisée, de leur structuration en plusieurs couches (matérielles, logicielles et cognitives), de leur déploiement selon des logiques principalement globales et transnationales et enfin de l’absence de « sécurisation dès la conception » tant dans l’ensemble du système que dans les dynamiques de ses acteurs. Cette omniprésence des vulnérabilités est une clé essentielle permettant d’appréhender les enjeux de sécurité dans les infrastructures numériques. Elle structure les politiques et dispositifs de cybersécurité à toutes les échelles et selon des logiques à la fois économiques, politiques et sociales. Ainsi notamment de la répartition des responsabilités et des obligations entre les acteurs privés de la cybersécurité, les opérateurs des infrastructures numériques, les services essentiels ou les pouvoirs publics. La question des vulnérabilités peut ainsi faire l’objet de négociations plus ou moins harmonieuses et conflictuelles entre les régulateurs étatiques ou de société civile d’une part, le secteur privé – numérique ou non – d’autre part (réglementation, coopération, partage d’informations, etc.).
De la même manière, les services de l’État occupent une position ambivalente. D’un côté, ils sont censés faciliter, voire piloter, et coordonner l’atténuation des risques liés aux vulnérabilités (par l’information, la fourniture de services de sécurisation, la protection des acteurs face aux risques réputationnels ou économiques par exemple). De l’autre, ils sont des moteurs de la prolifération ou de la persistance de certaines vulnérabilités en matière logicielle (voire matérielle) dans la mesure où celles-ci sont un levier à exploiter dans le cadre de leurs compétitions ou rivalités avec d’autres États. Ainsi, le marché lucratif des failles logicielles est-il aussi alimenté par la demande étatique, aux États-Unis hier, en République populaire de Chine aujourd’hui. Le contexte géopolitique incite en effet les acteurs à saisir les opportunités que semblent leur offrir les infrastructures numériques sur le plan stratégique. De fait, l’interdépendance entre les acteurs et la porosité des modes opératoires entre les volets offensif et défensif sont des éléments montrant qu’il est crucial de réfléchir à la manière dont les pratiques en matière de remédiation des vulnérabilités d’une part et de lutte contre la menace d’autre part doivent être envisagées simultanément et en interrelation.
Ainsi, sans que cela épuise la réflexion sur les enjeux de sécurité dans les infrastructures numériques, un cadre analytique (mais aussi juridique, politique, économique et social) plus global est aujourd’hui nécessaire pour penser ensemble menaces et vulnérabilités et réintroduire les dimensions politique et stratégique de la cybersécurité.
Notes
(1) Jordan Branch, « What’s in a Name? Metaphors in Cybersecurity », International Organization, vol. 75, no 1, 2020, p. 39-70 ; Stéphane Taillat, « Conceptualizing Cyberwarfare », in Tim Stevens et Joe Devanny (dir.), Research Handbook on Cyberwarfare, Edward Elgar, Cheltenham, 2024, p. 34-51.
(2) Jon R. Lindsay, Information Technology and Military Power, Cornell University Press, Ithaca, 2020.
(3) Frédérique Douzet et Alix Desforges, « Du cyberespace à la datasphère : le nouveau front pionnier de la géographie », NetCom, vol. 32, no 1/2, 2018, p. 87-108.
(4) Andrew J. Stewart, A Vulnerable System: The History of Information Security in the Computer Age, Cornell University Press, Ithaca, 2021.
Stéphane Taillat