La palme de la cyberpuissance revient encore aux États Unis

Spread the love
  • Yum

La palme de la cyberpuissance revient encore aux États Unis

Comment déterminer le pays le plus en pointe sur le domaine cyber ? À première vue, on pourrait penser que c’est simple : vous mettez deux pays sous le microscope, vous regardez lequel des deux cyber plus fort que l’autre, et vous en tirez un classement. L’analyse de l’International Institute for Strategic Studies (IISS) opte pour une méthodologie un peu plus poussée : le think tank s’est attelé pendant deux ans à évaluer la posture de quinze pays sur plusieurs aspects essentiels représentatifs de leurs puissance dans le cyberespace. L’étude « Cyber Capabilities and National Power: A Net Assessment » se penche ainsi sur sept facteurs : la stratégie et la doctrine du pays sur les questions de cybersécurité, la gouvernance et la chaîne de commandement en place, les capacités de cyberespionnage, le « cyber empowerment » (comprendre l’appétence générale du pays pour le numérique), les efforts en matière de cybersécurité, le leadership du pays dans les affaires internationales ayant trait au cyberespace et enfin ses capacités offensives dans le domaine.

publicité

Tier list des cybers

L’analyse de ces différents facteurs a permis à l’IISS de classer les pays étudiés en trois tiers : le premier tiers est réservé aux « superpuissances », qui cochent une place de premier plan dans l’ensemble des sept facteurs étudiés par l’institut. Seuls les États Unis ont réussi à se tailler une place dans ce haut du panier, reléguant les autres pays étudiés dans les autres tiers. Pour les auteurs, les ambitions du pays dans le cyberespace remontent au milieu des années 90 et ont permis aux États Unis de prendre une longueur d’avance sur le reste du monde, tant sur ses capacités offensives que défensives, bien que le pays se sente aujourd’hui menacé par la Chine et la Russie dans ce domaine. Le deuxième tiers est réservé aux pays présentant une position dominante dans certains des aspects étudiés. Dans cette catégorie, l’ISS range ainsi la France, mais aussi le Canada, l’Australie, la Chine, Israël, la Russie et la Grande Bretagne. Enfin, le troisième tiers est réservé aux pays présentant des « faiblesses » flagrantes sur ces mêmes aspects, quand bien même ceux ci sont considérés comme de potentiels acteurs majeurs dans le domaine cyber. On y retrouve l’Inde, l’Indonésie, l’Iran, le Japon, la Malaisie, la Corée du Nord et enfin le Vietnam.

Sur le cas plus spécifique de la France, les auteurs du rapport notent la spécificité du « modèle français », qui sépare les fonctions offensives et défensives en les attribuant à des organisations différentes et indépendantes : ainsi, l’Anssi est exclusivement chargée des volets défensifs, quand le ComCyber et les agences de renseignement comme la DGSE sont capable de déployer des capacités offensives dans le cyberespace. Un positionnement stratégique qui prend le contre pied des approches retenues par les pays du groupe des « Five Eyes » (Australie, États Unis, Grande Bretagne, Nouvelle Zélande et Grande Bretagne), qui ont choisi de regrouper ces deux fonctions au, à l’instar de la NSA ou du GCHQ britannique. « La question de savoir si l’intégration organisationnelle de la France de ses capacités humaines et techniques et la séparation du cyberespionnage de la cybersécurité présentent des avantages pratiques par rapport au modèle utilisé par ses pairs Five Eyes fait l’objet de nombreux débats » notent les auteurs du rapport.

Mais dans l’ensemble, les analystes de l’IISS estiment que « les capacités offensives [de la France] sont matures, mais probablement en retard sur celles des États-Unis et du Royaume-Uni. Sa volonté d’autonomie nationale sur les capacités cyber clés empêche la France de profiter du gain potentiel résultant d’une approche plus intégrée avec des alliés, mais par conséquent elle est moins dépendante d’eux ».

Le rapport offre également un regard critique sur la supposé puissance d’acteurs comme la Chine, la Russie et la Corée du nord. Bien que très présents médiatiquement, les analystes de l’IISS soulignent les nombreuses faiblesses de ces pays sur des points clés comme le développement d’une industrie du numérique prospère et d’infrastructures appropriées, leur manque d’alliances et de soutien sur le plan international ou encore un manque de maturité sur les analyses de la menace.

Les pincettes s’imposent

Le rapport de l’IISS se destine aux décideurs nationaux et aux grandes entreprises afin de « calculer le risque stratégique et décider des investissements stratégiques. » On voit régulièrement ce type d’analyse publiées par différents organismes, et les conclusions sont souvent à prendre avec des pincettes. En octobre 2020 par exemple, un rapport similaire du Belfer Center de l’université d’Harvard plaçait la France en 6eme position, Washington en première position et la Chine en deuxième. De nombreux observateurs s’étonnaient alors de l’absence d’Israël dans le classement, alors que le pays est généralement reconnu comme un acteur incontournable dans le domaine cyber.

Dans le classement de l’IISS, c’est l’absence de pays comme l’Allemagne et les Pays Bas qui peuvent surprendre. Les auteurs du rapport expliquent que le choix des 15 pays constitue un premier galop d’essai pour leur méthodologie et que celle ci s’appliquera à évaluer d’autres pays dans ses prochaines versions. D’autres classements antérieurs comme le Global Cybersecurity Index 2018 de l’Union Internationale des Télécommunications faisaient de leur coté la part belle aux pays de l’Europe de l’Est comme l’Estonie ou la Lituanie, mais les critères retenus varient selon chaque approche. En effet, il n’existe pas d’outils clairement définis et unanimement acceptés pour mesurer les « cybers » des uns et des autres. Les auteurs du rapport de l’IISS ne s’en cachent pas, et rappellent que si de nombreuses ressources accessibles librement permettent une analyse qu’ils considèrent comme satisfaisante, l’équation finale reste minée par de nombreuses inconnues.

Leave a Reply

%d bloggers like this: