La transformation numérique des sociétés et la mondialisation ont conduit à la création d’un véritable espace dans lequel presque toutes les activités humaines peuvent être appréhendées : le « cyberespace ». Du fait de ses caractéristiques, il est une chance, notamment économique, scientifique et culturelle, car il amplifie les échanges, ce qui favorise le progrès et la création de richesses. Cependant, parce qu’il permet potentiellement d’atteindre tous ceux qui s’y connectent et tous les systèmes déployés, c’est aussi un milieu qui attire les convoitises, propice à la criminalité, l’espionnage, l’influence, le sabotage et/ou la déstabilisation. C’est donc un milieu de conflictualités qui induit des enjeux de sécurité et de défense.

Les interactions entre l’espace cyber et les autres espaces (terrestre, maritime, aérien et spatial) sont multiples et à plusieurs niveaux. En effet, le cyber est un espace transverse qui permet d’atteindre tous les autres. Tout comme les espaces terrestre et maritime, l’air et le spatial bénéficient d’une forte numérisation qui concoure à l’efficacité de l’action militaire dans ces milieux. Cette numérisation devient donc une source nouvelle de vulnérabilités. Sommes-nous condamnés à subir face à des risques certains et des menaces avérées (le « Winter is coming! » de la série Game of Thrones), en espérant que nos protections tiennent ? N’y a-t-il pas une stratégie pour mieux maîtriser ces risques et contrer ces menaces ? Ne pourrions-nous pas retourner ces vulnérabilités à notre avantage pour préserver notre liberté d’action, notre souveraineté, mais également la contester à nos adversaires ?

Pour faire face aux risques induits par le cyberespace, qui pourraient limiter l’action militaire dans l’air et le spatial, il est nécessaire, d’une part, de disposer d’une véritable défense opérationnelle cyber de tous nos systèmes, qui s’appuie sur une posture permanente de cyberdéfense, et, d’autre part, d’avoir la capacité à planifier et conduire des opérations militaires défensives et offensives dans le cyberespace tant sur les théâtres d’opérations extérieures que pour la défense des systèmes numérisés des armées. Et, de façon paradoxale dans cet environnement hyper-technologique, ce sont les qualités intrinsèques de l’humain, mises en œuvre dans le cadre de nouveaux métiers, qui permettent de répondre aux enjeux.

Pour étayer ces analyses et propositions, nous nous intéresserons successivement aux caractéristiques du cyberespace et aux vulnérabilités induites sur l’action militaire dans l’air et le spatial, puis aux capacités qu’il faut développer pour se défendre et mener des opérations dans le cyberespace.

Bénéfices de la numérisation et dangers du cyberespace

La numérisation de masse de l’information, le développement exponentiel des puissances de calcul, l’interconnexion des réseaux et la baisse des coûts des technologies associées ont conduit à une transformation de toutes les activités humaines. L’informatisation des processus optimise les activités et de nouveaux usages voient le jour, permettant de s’affranchir des cadres normatifs et réglementaires traditionnels. Ainsi, États, administrations ou acteurs historiques de secteurs disparaissent au profit d’une relation directe entre utilisateur et fournisseur de service. La numérisation est un multiplicateur d’opportunités et contribue au développement du progrès. Le réseau Internet est l’exemple emblématique de cette toile mondiale, connectée par câble ou onde, sur laquelle se branchent de nombreux réseaux privés ou publics. Initialement limitée aux systèmes d’information et de communication, la numérisation s’est également largement étendue aux systèmes de contrôle à distance d’automatismes (Supervisory Control And Data Acquisition – SCADA) et, dans le domaine de la défense, aux systèmes de commandement et de conduite (C2) ainsi qu’à presque tous les systèmes d’armes.

L’interconnexion mondiale des systèmes numérisés a créé un espace complètement artificiel, le « cyber », où chacun peut potentiellement interagir avec tous. Au vu de la transformation profonde des sociétés qui accompagne son déploiement, nous pourrions dire qu’il est l’émergence de la numérisation des espaces physiques (terrestre, maritime, aérien et spatial), dans le sens du concept philosophique. Car c’est un espace d’un niveau supérieur puisqu’il interpénètre tous les autres et permet d’y agir. Dans un autre univers (Tolkien), nous invoquerions que c’est un espace « pour les gouverner tous ». Parfois vu comme un tout, le

cyberespace n’est pas homogène et est souvent décrit selon 3 couches superposées : physique, logique et sémantique (ou cognitive/sociale). La première est constituée des matériels et composants informatiques ainsi que les réseaux qui les relient qui peuvent être des câbles, fibres ou ondes électromagnétiques. La deuxième est constituée de l’ensemble des données numériques, des processus de traitement et flux d’échange qui sont activés dans la couche physique. La troisième rassemble ce qui est échangé entre les humains (idées, sentiments…) dans le cyberespace notamment par l’intermédiaire d’identités numériques (avatars) animées par ses utilisateurs. Ces trois couches sont interdépendantes et agir sur l’une peut avoir également des conséquences sur les autres. Il est possible de masquer son identité réelle et ses traces pour rester anonyme et/ou furtif.

Nos sociétés et administrations utilisent massivement le cyberespace pour soutenir leurs activités et en deviennent dépendantes. Or, ses contours et sa structure ne cessent d’évoluer. À part sa couche physique, il ne connaît pas de véritables limites, caractéristiques géographiques ou frontières politiques/juridiques qui permettraient de le rattacher à des États et de décliner les notions de territorialité ou de souveraineté. Peu présents, il est difficile à ces derniers d’y jouer leur rôle de stabilisateur. Ce sont les grandes entreprises associées au numérique (Gafam ⁽¹⁾, BATX ⁽²⁾, NATU ⁽³⁾) qui y sont réellement influentes tant au niveau économique que social. Certains révolutionnent des domaines entiers, comme Elon Musk, à l’origine du New Space avec SpaceX. De fait, ce ne sont plus les États qui initient ou soutiennent le développement des technologies dont celles essentielles aux activités aériennes et spatiales, et régulent leur diffusion, mais des intérêts privés.

Sur Internet, chacun, quelles que soient ses motivations, peut potentiellement diffuser une information ou un logiciel, de façon quasi instantanée, à des destinataires en masse ou de façon très ciblée. Il existe des outils pour se protéger contre les logiciels malveillants mais peu de protection contre la diffusion de fausses informations (fake news ou « infox ») qui visent à manipuler les opinions.

Vulnérabilités induites sur l’action militaire dans l’air et l’Espace

La mise à niveau fréquente des composants matériels et logiciels, pour des raisons d’obsolescence rapide, est une contrainte forte du cyberespace. S’appuyant sur des architectures ouvertes, il faut rajouter des mécanismes pour la confidentialité, la disponibilité, l’intégrité et la traçabilité des données et traitements. Du fait de la complexité du développement et du paramétrage des composants matériels et logiciels associés à ces mécanismes, des vulnérabilités peuvent être découvertes. Rendues publiques, elles donnent lieu à la diffusion de correctifs qui ne sont pas toujours installés aussi rapidement que nécessaire. Ainsi, il existe des opportunités pour les attaquants ; certains piègent même des correctifs pour infecter des machines. Par ailleurs, certains fabricants sont accusés de piéger les équipements ou logiciels qu’ils vendent au bénéfice de leur État d’appartenance (cf. les polémiques autour de Kaspersky ou de Huawei).

Les pires scénarios imaginent l’attaque des systèmes numérisés de mobiles aériens (avion, hélicoptère, drone, missile…) ou spatiaux (satellite, fusée…) civils ou militaires. Sans avoir besoin de pirates à bord, il serait possible de les prendre en main à distance pour les faire s’écraser, se percuter en vol ou être utilisés comme projectile volant, dans une déclinaison des attentats terroristes du 11 septembre 2001. D’autres scénarios imaginent l’intrusion dans un système de contrôle aérien pour le leurrer en masquant/ajoutant/déplaçant des pistes. À ce jour, les quelques attaques réussies rendues publiques concernent les systèmes de réservations de vol ou de gestion des comptes voyageurs qui n’ont eu que des impacts financiers et sur l’image des compagnies.

Du fait des interopérabilités et interdépendances, les risques qui pèsent sur les activités civiles pèsent également sur les activités militaires. Tout ce qui est connecté à (ou dans) l’avion, via lien physique ou radio et même de façon asynchrone via support amovible, peut être utilisé comme canal d’entrée pour une cyberattaque. Ainsi, les systèmes de nouvelle génération pour la gestion du trafic aérien dans le cadre du ciel unique européen ou américain, qui se fonde sur des liens satellitaires et l’interconnexion des systèmes avec le regroupement des informations liées à l’avion et à son environnement, représentent une plus grande source de vulnérabilités cyber. La robustesse et la résilience face à un risque d’attaque systémique sont des enjeux majeurs pour toutes les organisations publiques et privées comme les compagnies aériennes, les aéroports, les armées de l’air, le secteur des missiles et lanceurs ainsi que celui des satellites.

Les cyberattaques concernent doublement l’action militaire dans l’air et l’Espace. D’une part, au titre des missions de l’Armée de l’air de défense de l’espace aérien et de la surveillance de l’espace exo-atmosphérique. D’autre part, au titre de la défense de ses propres capacités aériennes et spatiales. Il est donc indispensable de bien analyser ces risques et menaces, notamment pour évaluer leurs impacts possibles contre nos systèmes car, aujourd’hui, ce sont des « systèmes de systèmes » qui reposent sur des architectures complexes. Ils intègrent de nombreux constituants numérisés, aéroportés ou au sol, des liaisons de données et différents capteurs. Le concept de C4ISTAR (Command, Control, Communications, Computers, Intelligence, Surveillance, Target Acquisition) illustre bien les gains opérationnels offerts par le numérique qui permettent l’intégration de ces différentes fonctions, inimaginable à l’époque du traitement manuel et analogique. Les liaisons de données tactiques sont également une avancée majeure pour la coordination du combat et l’affectation optimale des cibles.

Pour la France, ces avancées se concrétisent par le « combat collaboratif » ou « combat connecté » avec le projet majeur du Système de combat aérien du futur (Scaf) qui regroupe avion de combat de 6^e génération et un large éventail d’éléments interconnectés et interopérables comme des drones. Cette interconnexion facilite la pénétration par un attaquant. Il en est de même pour toute la gamme des systèmes satellitaires utilisés par les militaires (observation, écoute, communications, positionnement-navigation) qui est potentiellement vulnérable dans tous ses composants et fonctions (charge utile, maintien à poste…), y compris via ses segments sol. Leur cybersécurité est un enjeu fort car il n’y a pas aujourd’hui d’opération militaire pour laquelle l’Espace n’est pas en soutien.

Opérations de cyberdéfense et action militaire dans l’air et l’Espace

Sans révolutionner les principes de la guerre (concentration des efforts, économie des moyens…), les armes cyber ouvrent de nouvelles perspectives aux États et groupes armés par leur caractère d’irrégularité et d’emploi hybride en complément des armes et actions traditionnelles. Internet permet de s’affranchir du temps, des distances et des frontières en diffusant de façon très ciblée ou plus large, une information ou un logiciel malveillant pour déstabiliser un État. La dépendance aux technologies de l’information des sociétés occidentales et la mondialisation (qui rend plus facilement accessible les hautes technologies) permettent de produire des effets contre elles dans le cyberespace. L’utilisation du cyberespace ajoute à la difficulté des États d’apporter la réponse adaptée dans un contexte où les frontières entre paix, crise et guerre ne sont plus autant marquées qu’auparavant. Il n’y a pas de définition internationale reconnue pour dire si une attaque cyber peut être considérée comme une agression armée, ouvrant le droit à la légitime défense au sens de l’article 51 de la Charte des Nations unies, voire au déclenchement d’une défense collective au sens de l’article 5 du Traité de l’Atlantique Nord. Les cyber-attaques et les stratégies d’influence sur les réseaux sociaux apportent donc une asymétrie qui modifie profondément le cadre des rapports interétatiques.

Au-delà des impacts techniques, la prolifération de la menace, la variété des modes d’action souvent furtifs et difficilement attribuables, la multitude des cibles possibles, la capacité des cyberattaques à produire des effets globaux avec des ressources limitées induisent des enjeux opérationnels forts. Ils engagent la liberté d’action des forces armées et la souveraineté nationale. Nos adversaires sont en mesure de dérouler de véritables stratégies d’attaque contre les armées ou les industriels de défense. Les mesures organisationnelles et techniques de protection locales ne sont plus suffisantes et doivent être complétées par une défense cyber globale, réactive et dynamique, structurée dans le cadre d’une posture permanente de cyberdéfense. Elle s’articule autour d’une chaîne de commandement opérationnelle et de moyens humains et techniques spécialisés. Il faut anticiper les modes d’action adverses, les détecter, les caractériser, visualiser leurs impacts prévisibles et réagir afin de préserver au mieux notre activité opérationnelle. C’est une séquence comparable à celle de la défense aérienne, adaptée au cyberespace. Une attaque cyber pouvant être globale ou arriver par des chemins indirects, il est indispensable de partager entre tous les acteurs la même situation opérationnelle cyber afin de répondre collectivement aux crises.

Au sein du ministère des Armées, le commandement de la cyberdéfense (Comcyber) est responsable de la conduite des opérations de Lutte informatique défensive (LID) selon une politique de coordination de bout en bout autour d’un principe de subsidiarité. Chaque grande entité du ministère (armée, direction, service…) met en place les moyens de LID sur son périmètre de responsabilité supervisé par une structure technico-opérationnelle (un Security Operations Center – SOC). Le Centre d’analyse en LID (Calid), unité du Comcyber, assure une « hypervision » technique d’ensemble, qui synthétise et partage l’information des situations cyber produites par l’ensemble des SOC ou par ses moyens propres. Au sommet de la chaîne de LID, le Comcyber dispose d’un centre d’opérations pour orienter le travail du Calid et des SOC et assurer la fonction d’« hypervision » opérationnelle. Complété par des informations en provenance des partenaires nationaux et internationaux de cybersécurité, de cyberdéfense et du renseignement, le Comcyber partage l’état de la menace cyber et des nouvelles vulnérabilités découvertes afin d’optimiser l’efficacité de la chaîne.

Les actions dans le cyberespace sont à considérer aujourd’hui comme de véritables opérations, leur conception et leur conduite doivent suivre le même type de processus que les opérations militaires traditionnelles. Elles s’appuient sur des moyens de C2 garants de la cohérence et de l’efficacité de la manœuvre. Bien qu’elles puissent être menées en autonome avec des objectifs propres, l’apport des opérations cyber-offensives est souvent plus important quand elles sont combinées avec des opérations traditionnelles, comme au bénéfice d’une attaque aérienne en profondeur pour la masquer aux radars, de façon plus discrète qu’avec un brouillage de guerre électronique.

Les opérations offensives permettent aussi de paralyser l’adversaire, ce qui évite ou limite les combats. La théorie de l’Américain John A. Warden, qui pense l’ennemi comme un système décliné en cinq cercles ⁽⁴⁾, bien connue des aviateurs, illustre cette possibilité. Les cercles (forces déployées, population, infrastructures, fonctions organiques essentielles, direction) peuvent être atteints individuellement ou collectivement par le cyberespace. Par ailleurs, avec les opérations d’influence sur les réseaux sociaux, la couche « population » redevient une cible de choix pour agir indirectement contre la couche « direction ».

La France considère que la Lutte information offensive (LIO) militaire élargit la palette des options militaires. Elle peut se combiner ou se substituer aux autres capacités militaires et contribue à acquérir et conserver la supériorité militaire pour la défense de nos intérêts et la préservation de notre souveraineté. Toutefois, sa spécificité crée des contraintes pour son emploi. Celui-ci doit être encadré et exige une maîtrise des risques politique, juridique et militaire. Comme toute autre arme de guerre, la LIO est soumise aux principes et règles du droit international, notamment humanitaire (proportionnalité, distinction, discrimination…), ainsi qu’aux lois et règlements nationaux. Elle n’est donc utilisée que dans le respect de règles d’engagement (ROE) très restrictives. Il faut éviter par ailleurs tout risque de compromission, de détournement ou de dommage collatéral ou fratricide.

Le développement de la cyberdéfense militaire s’accompagne de nouvelles expertises spécifiques au cyber, par exemple : analyse de la menace (« Threat Intel »), stratégie de détection d’attaques informatiques, patrouille et chasse sur les réseaux (« cyber patrol », « Hunting »), investigation numérique (« Forensic »), rétro-ingénierie de code, gestion de crise cyber, traitement de données en masse (« data analyst »), droit des conflits armés et du numérique. Un cyber-combattant n’est pas un spécialiste des systèmes d’information et de communications, ou du renseignement, ou de l’ingénierie sociale, ou un « pur » opérationnel. C’est un « combiné » de ces différents métiers. Cela nécessite des formations de plus en plus individualisées, en continu, modulaires, en alternance, en partenariat avec le monde académique civil ou industriel pour faire monter en compétence ou les adapter aux métiers. Mais, au-delà des savoirs et savoir-faire, il faut aussi rechercher un savoir être adapté au cyberespace. Il faut donc plutôt des personnes nées avec le numérique (« digital native ») avec un état d’esprit de « hacker » (forcément « éthique » !), au sens premier de « bidouilleur » qui relève tous les défis, avec une passion et une capacité d’auto-apprentissage importante. Certains autodidactes sont parmi les plus performants. Le recrutement et la fidélisation d’une ressource humaine qualifiée sont des éléments essentiels pour la performance de la cyberdéfense militaire.

* * *

Comme les autres espaces, l’aérien et le spatial bénéficient des apports de la numérisation mais subissent également les vulnérabilités associées au cyber. Pour maîtriser les risques importants et contrer les menaces avérées, il est indispensable d’avoir une approche résolument opérationnelle du cyberespace et de mettre en œuvre une posture permanente de cyberdéfense pour défendre nos systèmes d’armes et d’information. Il faut également savoir saisir les opportunités offertes par le cyberespace, dans un cadre strict et contrôlé, pour pouvoir mener des opérations offensives, seules ou combinées avec d’autres formes d’actions, car elles apportent un avantage opérationnel significatif aux niveaux stratégique et tactique qui permet de faire basculer les rapports de force et de pouvoir paralyser l’adversaire. L’humain est bien au centre du dispositif car ce sont ses capacités d’adaptation et d’apprentissage, sa réactivité, sa diversité et son sens de l’engagement qui feront la différence pour faire face à la forte évolutivité du cyberespace. ♦

(1) Google, Amazon, Facebook, Apple, Microsoft.
(2) Baidu, Alibaba, Tencent et Xiaomi.
(3) Netflix, Airbnb, Tesla et Uber.
(4) Warden John, « Air Theory for the 21^st century » in Schneider Barry R. et Grinter Lawrence E., Battlefield of the Future, 21^st Century Warfare Issues, Air War College, Studies in National Security n° 3, p. 103-124 (www.airuniversity.af.edu/Portals/10/CSDS/Books/battlefield_future2.pdf).