Pendant la guerre froide, l'accent était mis sur les menaces militaires classiques et leur défense du territoire national. Crédit :Keystone/Steffen Schmidt
Lorsqu'une cyberattaque est orchestrée par un acteur étatique, les gens peuvent être tentés de l'appeler « guerre ». Après tout, c'est une attaque menée contre les infrastructures nationales par une puissance étrangère. Mais le terme « cyberguerre » a été utilisé si souvent pour un effet dramatique que je ne veux pas simplement mettre en garde contre le battage médiatique. Il est également temps d'atténuer les attentes concernant la portée de l'intervention gouvernementale.
Définie durant la guerre froide comme la protection contre les menaces militaires classiques et la défense du territoire national, le terme « sécurité » est désormais largement compris comme incluant des dimensions non militaires. Rapport sur la politique de sécurité 2016 de la Suisse, par exemple, énumère non seulement les attaques armées mais aussi le terrorisme, la criminalité, manipulation de l'espace d'information, les interruptions d'approvisionnement, les catastrophes et les urgences en tant que menaces. Cela a conduit à adapter les instruments de la politique de sécurité pour la prévention, la défense et la gestion de ces menaces. Et bien que l'armée soit toujours importante ici, ce n'est plus le seul instrument.
Une affaire pour les militaires ?
Si les cyberattaques étaient vraiment une forme de "guerre", il appartiendrait alors en premier lieu aux militaires de faire face à ce danger. Mais l'hypothèse ne reflète ni la vraie nature de la menace, ni la capacité juridique et opérationnelle de l'armée en tant qu'instrument de politique de sécurité pour y faire face.
La grande majorité des cyberattaques sont de nature criminelle, et cibler les réseaux privés et les actifs de l'entreprise. Les organes de l'État n'ont pas accès à ces réseaux. Les quelques attaques contre le gouvernement ou des réseaux liés au gouvernement ces dernières années - par exemple, l'incident de RUAG en 2016 en Suisse – étaient de l'espionnage. Ils nous laissent un sentiment désagréable et concernent la sécurité nationale, mais les activités de renseignement étranger sont monnaie courante. Nous sommes donc loin d'être en guerre. Et bien que nous sachions que les acteurs étatiques et non étatiques utilisent de plus en plus les cybermédias pour atteindre des objectifs stratégiques, tous ces incidents sont jusqu'à présent considérablement réduits - et sans doute consciemment - à court de guerre.
Si ce n'est l'armée, alors quelle institution gouvernementale devrait être responsable de la politique de cybersécurité ? C'est une question que débattent actuellement de nombreux pays, dont la Suisse. Parce que les incidents à motivation politique sont en augmentation, la cybersécurité est reconnue comme une préoccupation de sécurité nationale au moins depuis 2010 et a été intégrée dans le cadre politique plus large de la sécurité. Le fait que le problème est trop important pour être traité avec uniquement des mesures techniques et opérationnelles a également été reconnu. Par conséquent, il y a maintenant une tendance à la centralisation :des compétences de cybersécurité auparavant disparates sont regroupées et renforcées politiquement sous une direction (civile) en les affectant à des unités spécifiquement responsables, parfois situé au plus haut niveau gouvernemental.
Comme pour les autres dangers actuels, le rôle que l'État veut (et peut) jouer dans ce domaine est remarquablement faible. Toutes les politiques de cybersécurité connues reposent principalement sur une prise de responsabilité personnelle des entreprises et des citoyens :c'est une question de légitime défense. Cela signifie que l'État ne doit intervenir que lorsque des intérêts publics sont en jeu ou, en Suisse précisément, lorsqu'il agit conformément au principe de subsidiarité. Les forces armées sont principalement responsables de la protection de leurs propres systèmes. À cette fin, le développement des capacités opérationnelles offensives et défensives se poursuit dans le cadre juridique existant.
Et c'est une bonne chose.
La cybersécurité est une question de politique de sécurité, mais tout le monde doit s'unir dans un effort national. La sécurité ne peut être renforcée que si les entreprises, les universités et diverses autorités travaillent ensemble et si nous collaborons de manière constructive avec d'autres pays. La militarisation discursive – enracinée dans les constructions de l'ennemi national et les hypothèses sur notre État-nation et ses ressources – ne fait que créer des troubles et susciter de fausses attentes.