Intervention de Julien Nocetti

Il s'agit effectivement d'un révélateur extrêmement éclairant. Par le passé, les Américains avaient déjà attribué quelques attaques à la Chine. Durant la présidence de Barack Obama, ces tensions et ces attributions étaient demeurées, sinon en sourdine, du moins relativement discrètes par rapport aux attributions formulées sous la présidence de Donald Trump. Les attributions publiques constituent d'ailleurs – nous basculons dans une autre thématique – un point extrêmement sensible de cette géopolitique.

Les Américains ne se privent absolument pas d'attribuer publiquement des cyberattaques. Au contraire, la France s'y montre plutôt réticente, pour différentes raisons, principalement parce que les capacités d'attribution reposent sur des traces techniques détectables et sur des capacités de renseignement. De fait, lorsque vous attribuez une attaque, vous révélez en partie vos propres capacités de renseignement. Nous comprenons donc les réticences de la France dans ce domaine. En revanche, les Américains appliquent une politique d'attribution publique systématique, dite du « name and shame », qui a débuté à la fin du mandat de Barack Obama, avec notamment différentes attaques attribuées à la Russie à l'occasion de la campagne présidentielle de 2016. Plus largement, les exemples nord-coréens jalonnent les présidences américaines successives. Souvenons-nous notamment de la cyberattaque ayant ciblé Sony Pictures en 2014, qui avait conduit Barack Obama à réagir publiquement à la télévision américaine pour attribuer cette attaque importante au régime de Pyongyang.

Sous l'administration Trump, les attributions publiques sont allées crescendo. Si ces attributions émanaient initialement de la Maison-Blanche, le processus d'attribution a graduellement été marqué par une forme de décentralisation. Les attributions n'émanaient plus nécessairement de Donald Trump ou de ses conseillers, mais du département de la Justice pour les mises en accusation et du département du Trésor pour les sanctions adoptées vis-à-vis de certains hackers, groupes criminels ou autres.

Avec Joseph Biden, nous devons nous attendre, malgré une volonté d'apaisement qui sera recherchée avec la Chine, à une politique du coup pour coup sur ces questions de cybersécurité, et à une stratégie de représailles systématiques contre ces velléités chinoises de tester les États-Unis. Nous le savons, les Américains sont amplement testés depuis quelque temps. Nous en avons vu la première manifestation avec l'attaque dirigée contre SolarWinds, qui fut pour partie attribuée à la Russie, tandis que certains acteurs chinois auraient également effectué quelques intrusions au sein des systèmes compromis. Je pense également à cette attaque subie par la Floride, dont les systèmes d'approvisionnement en eau auraient été compromis par l'intervention de pirates informatiques. Plus récemment, nous avons tous en tête l'attaque dirigée contre Microsoft Exchange par le biais de pirates chinois.

Aux États-Unis, cette tradition d'attributions publiques des attaques relève aussi d'une logique d'envoi de signaux : envoyer des signaux de dissuasion et/ou de coercition et empêcher que tel ou tel acteur ne se livre à des attaques répétées et plus conséquentes en termes de dégâts. S'il est probable que cette tendance se poursuive aux États-Unis, reste à savoir si cette systématisation des attributions se répercutera, à long terme, chez les alliés européens. Au Royaume-Uni, on observe depuis quelque temps une forme de mimétisme et d'alignement, avec de multiples cyberattaques attribuées à la Russie. Le reste de l'Europe est, quant à lui, marqué, sur ce plan également, par des divergences de politiques et de conceptions sur l'attribution ou la non-attribution de cyberattaques. À ce stade, aucun consensus ne semble véritablement se dégager. L'un des points fondamentaux suscitant le plus de débats est d'ailleurs l'enjeu du « hack back », ou piratage en retour, qui confère aux acteurs privés un rôle important en matière de représailles. Ce sujet ne fait absolument pas consensus et se prête parfois aux chamailleries des différents États européens au sein des enceintes de discussion communautaires.