Intervention de Julien Nocetti

J'évoquerai d'abord deux notions clés, celle de risque et celle de dépendance, en me concentrant notamment sur la composante géopolitique du risque cyber et sur ses implications pour la France et l'Europe.

Celui-ci a pris rang parmi les principaux risques systémiques identifiés par les grandes institutions internationales et européennes, en sus des risques liés notamment à l'instabilité financière, au changement climatique et aux menaces pandémiques. Dans ce cocktail détonnant, il est parfois difficile de situer le risque cyber au sein d'une nomenclature des menaces. Le cyber contribue au brouillage des distinctions traditionnelles entre civil et militaire, temps de guerre et temps de paix, affaires intérieures et politique étrangère.

La maîtrise du cyber tend à devenir un attribut de la puissance des États, tout en participant de la relativisation de la place de ces derniers dans la conduite de relations internationales qui semblent engagées dans un processus de privatisation. En effet, alors même que certains analystes peuvent être enclins à maintenir une approche centrée sur le rôle des États, les conflits cyber sont bien davantage le fait d'acteurs privés, éventuellement d'entreprises, que de diplomates ou d'autres agents publics.

L'approche du risque cyber met traditionnellement l'accent sur la criminalité. Jusqu'à une date récente, l'on assimilait la cybercriminalité au bas du spectre des menaces, à tel point que les arsenaux et doctrines cyber élaborés par les États plaçaient l'enjeu criminel au second plan. La crise du covid-19 a rappelé l'acuité de ce risque, qui a pris une ampleur différente à l'heure du recours généralisé au télétravail et de la satellisation des données critiques des entreprises : au lieu d'être stockées principalement sur des serveurs internes, ces données sont réparties, diffusées auprès des collaborateurs, des prestataires ou encore des fournisseurs. La cybercriminalité est donc devenue un enjeu majeur des préoccupations des décideurs.

L'extorsion de fonds et de données par le truchement du numérique est devenue une activité industrielle qui engendre en un temps limité des profits importants pour les pirates et les réseaux. Le versement des rançons en cryptomonnaie rend de surcroît plus difficile le traçage des fonds et l'identification des auteurs. Le logiciel de rançonnage ou « rançongiciel » est devenu la mère des cyberattaques, et s'apparente au gré de son développement à un business « comme les autres », avec ses règles propres et sa division du travail entre développeurs, vendeurs et exécutants. Il s'agit d'une industrie hautement professionnalisée et globalisée, comme en témoigne notamment l'attaque menée au printemps dernier par le groupe cybercriminel DarkSide contre l'entreprise Capital Pipeline. DarkSide pratique le rançonnage sous forme de prestation de services – ransomware as a service – : ses opérateurs font appel à d'autres acteurs pour conduire les attaques, moyennant un partage du butin tel que, selon certaines estimations,70 à 90 % des gains reviennent à l'auteur de l'attaque. Nous assistons ainsi à une démocratisation des outils malveillants et à une multiplication des acteurs de la cybercriminalité.

Plusieurs facteurs contribuent à expliquer la recrudescence des rançongiciels, dont deux soulèvent des enjeux particuliers. D'une part, l'économie politique de la cybercriminalité – un modèle d'affaires très lucratif – est largement hébergée en Russie, et plus généralement dans l'espace post-soviétique, ce qui a des conséquences évidentes sur les relations internationales. D'autre part, l'investissement des différentes organisations pour leur cybersécurité reste insuffisant, alors même que l'évolution des modes de travail et la circulation des données suscitent et accroissent leur vulnérabilité aux risques numériques.

Trois pistes d'action sont à envisager pour lutter contre les rançongiciels.

Je pense d'abord au démantèlement de l'écosystème cybercriminel, qui consiste notamment à effacer les serveurs hébergeant des forums utilisés par les groupes cybercriminels et à réguler les plateformes d'échange de cryptomonnaie. Par exemple, le Trésor américain a récemment sanctionné la plateforme Suex pour son implication dans le blanchiment de fonds résultant de cyberattaques. Il s'agit d'empêcher la réalisation de profits par le biais de rançongiciels.

Le deuxième axe consiste à répondre aux enjeux géopolitiques qui sous-tendent ces risques, comme le président des États-Unis Joe Biden s'y est efforcé cet été lors de sa rencontre à Genève avec le président russe Vladimir Poutine. À l'issue de ce sommet, la Maison-Blanche a adressé un avertissement sous forme de ligne rouge en dévoilant une liste de seize infrastructures américaines critiques contre lesquelles toute cyberattaque ferait l'objet de rétorsions et de représailles. L'avenir nous montrera si cette ligne rouge sera respectée.

Le troisième axe concerne le renforcement de la coopération internationale entre les services de police spécialisés dans la lutte contre la cybercriminalité ; les réussites de ces services ne sont guère médiatisées, mais leur action s'avère de plus en plus cruciale. Rappelons, pour apprécier l'ampleur du phénomène, que cinq millions de nouveaux virus informatiques sont détectés chaque semaine.

Après avoir évoqué le bas du spectre, je parlerai également de l'aspect géopolitique de la menace cyber, qui concerne particulièrement la France, qui figure parmi les dix États les plus ciblés par les cyberattaques. Celles-ci prennent des tournures de plus en plus militarisées et offensives, comme l'ont montré les affaires SolarWinds et Microsoft Exchange, qui ont suscité de vifs débats au sein de l'appareil d'État civil et militaire américain. Ce contexte n'est pas celui d'une cyberguerre, mais celui d'un état de conflictualité latente. Le cyber constitue avant tout une ressource géopolitique qui permet à certains États contestant l'hégémonie américaine d'engager un rapport de force asymétrique à faible coût financier et humain. Pour l'heure, les conséquences stratégiques demeurent marginales, en raison de la difficulté d'engager des représailles, de la diffusion très large d'outils et de tactiques malveillants et de l'enjeu de l'attribution, marqué par une difficulté à établir une doctrine harmonisée au niveau européen, sachant que la menace cyber se couple à l'enjeu informationnel tel que pratiqué par d'autres acteurs géopolitiques. Les risques d'escalade sont désormais bien identifiés, avec des doctrines plus offensives. Leur mise en œuvre est cependant en difficulté compte tenu des contours relativement flous entre ce qui relève de l'appât du gain, de l'espionnage ou de l'acte de guerre.