Le hack russe n’était pas une cyberguerre. Cela complique la stratégie américaine

La liste des Les agences gouvernementales américaines compromises dans le piratage de SolarWinds continuent de se développer, avec des rapports d’infiltrations à Trésor, commerce, sécurité intérieureet potentiellement L’État, la Défense et le CDC. Il s’agit d’un La grande affaire pour la sécurité nationale : Il s’agit de la plus grande violation connue des données du gouvernement américain depuis la Piratage de l’Office de la gestion du personnel en 2014, et pourrait donner aux pirates informatiques une mine d’informations privilégiées.

Bien que la portée de ce piratage soit encore en cours de détermination, une telle violation extraordinaire soulève une question assez évidente : La cyberstratégie américaine fonctionne-t-elle ? Historiquement, les États-Unis ont toujours compté sur, premièrement, une dissuasion et, plus récemment, l’idée d’une  » stratégie défendre en avant » pour prévenir et répondre aux comportements malveillants dans le cyberespace. L’échec de ces stratégies est-il à blâmer ? La réponse (comme toute chose politique) est compliquée.

Tout d’abord, il est important d’établir ce que ce piratage était. Le fait qu’un prétendu acteur de l’État-nation (probablement la Russie) a réussi à compromettre une tierce partie (SolarWinds) pour avoir accès à un nombre encore inconnu de réseaux du gouvernement américain et l’exfiltration de données est une réalisation importante en matière d’espionnage. Et cela illustre la façon dont les fournisseurs tiers peuvent offrir aux acteurs de la menace un moyen de mener des campagnes d’espionnage d’une portée et d’une échelle généralement inconnues en dehors du cyberespace.

Mais appeler cet incident un cyberattaque serait fausse. À ce stade, l’opération semble avoir été une opération d’espionnage visant à voler des informations de sécurité nationale, plutôt qu’à perturber, nier ou dégrader les données ou les réseaux du gouvernement américain. Bien que cela puisse sembler couper les cheveux en quatre, la terminologie est importante car elle a des conséquences politiques, et souvent juridiques. L’espionnage est un élément accepté de l’art de la politique internationale, auquel les États répondent souvent par des arrestations, de la diplomatie ou du contre-espionnage. En revanche, une attaque (même une cyber-attaque) a des conséquences internationales et nationales ramifications juridiques qui pourrait permettre aux États de répondre par la force. Jusqu’à présent du moins, ce piratage n’est pas cela.

La question de savoir ce que cet incident signifie pour la cyberdétermination, en revanche, est moins simple. Pour comprendre pourquoi cette question est compliquée, il est utile de comprendre comment cette stratégie fonctionne (et ne fonctionne pas). La dissuasion consiste à convaincre un adversaire pas de faire quelque chose en menaçant de punition ou en faisant croire que l’opération ne réussira pas. C’est une chose difficile à faire pour plusieurs raisons. Premièrement, les États doivent menacer de réagir d’une manière à la fois effrayante et crédible. Une menace peut ne pas être crédible parce que l’État n’a pas les capacités nécessaires pour la mettre à exécution. Ou, comme c’est plus souvent le cas avec les États-Unis, les menaces peuvent manquer de crédibilité parce que les adversaires ne croient pas qu’il y aura un suivi. Par exemple, les États-Unis pourraient menacer d’utiliser des armes nucléaires en réponse à un acte de cyber-espionnage, mais aucun État ne croirait que les États-Unis lanceraient effectivement une attaque nucléaire en réponse à une violation de données. Ce n’est tout simplement pas une menace crédible.

Pour rendre les choses encore plus compliquées, il est également difficile de dire quand la dissuasion a réellement fonctionné car, si c’est le cas, rien se produit. Ainsi, même si un État était découragé par une bonne défense, il est presque impossible de savoir si l’État n’a pas donné suite à l’attaque simplement parce qu’il n’était pas intéressé à prendre des mesures au départ.

Il existe peu de mécanismes de dissuasion, voire aucun, qui permettent d’empêcher le cyber-espionnage. Comme les États s’espionnent régulièrement les uns les autres – amis et ennemis – il existe un nombre très limité de sanctions crédibles que les États peuvent utiliser pour menacer les autres de ne pas espionner. Les États-Unis ont essayé d’utiliser une poignée d’options pour la cyberdétermination, telles que l’émission de mandats pour les pirates informatiques parrainés par l’État ou menaçant sanctions pour le cyber-espionnage. Mais celles-ci ont eu un succès limité. Cela ne signifie pas pour autant qu’il faille rejeter la dissuasion bébé avec l’eau du bain. Comme Jon Lindsay, professeur à l’université de Toronto, souligneLe succès de la dissuasion en dehors du cyberespace peut encourager et façonner le comportement des États dans le cyberespace. Et il existe des preuves irréfutables que la dissuasion peut travailler dans le cyberespace. Aucun adversaire n’a jamais mené une cyber-attaque contre les États-Unis qui aurait créé de la violence ou qui aurait eu des effets importants et durables sur les infrastructures ou les capacités militaires. Cela s’explique sans doute par le fait que la force militaire conventionnelle des États-Unis, importante et meurtrière, est un moyen de dissuasion crédible à des seuils cybernétiques plus élevés. Le défi stratégique le plus contrariant pour les États-Unis se situe dans l’espace entre l’espionnage de sécurité nationale (où la dissuasion ne s’applique pas tout à fait) et les cyberattaques majeures (où la dissuasion semble tenir).