Rechercher un rapport, une publication, un expert...
L'Institut Montaigne propose une plateforme d'Expressions consacrée au débat et à l’actualité. Il offre un espace de décryptages et de dialogues pour valoriser le débat contradictoire et l'émergence de voix nouvelles.
29/03/2023

Cyberguerre en Ukraine : les leçons américaines

Cyberguerre en Ukraine : les leçons américaines
 Jonathan Guiffard
Auteur
Expert Associé - Défense et Afrique

L'invasion russe en Ukraine, qui dure depuis plus d'une année déjà, ne se limite pas à sa seule dimension terrestre. La confrontation qui se joue dans l'espace numérique est aussi déterminante dans le déroulement du conflit. Si de nombreux rapports et analyses ont été réalisés sur ce sujet, Jonathan Guiffard, expert en résidence et chercheur sur les enjeux géopolitiques de l'écosystème cyber américain, propose de les compléter avec un décryptage des grandes leçons - parfois provisoires - tirées par les États-Unis de la cyberguerre russo-ukrainienne. C'est aussi le premier volet d’une série d’analyses consacrée aux enjeux géopolitiques du cyber.

Le 24 février 2022, des colonnes de soldats et de blindés russes sont entrées sur le territoire ukrainien pour tenter une manœuvre de grande échelle qui visait à prendre le contrôle de Kyiv et à faire tomber le gouvernement ukrainien. Cette manœuvre militaire "classique" a été précédée, dès le 23 février 2022, par le déclenchement d'une multitude de cyberattaques contre des cibles stratégiques infectées au préalable. À l'image des premières salves de missiles, il s'agissait de neutraliser de manière préemptive les capacités de réaction des autorités ukrainiennes. Cette stratégie cyber est relativement nouvelle dans le domaine militaire et matérialise le déclenchement d’une cyberguerre, très commentée sur le plan théorique et scientifique.

À l'heure actuelle, les entreprises de cybersécurité estiment que les États-Unis sont la première cible, en volume, de cyberattaques et l'Ukraine, la seconde. Ainsi, le soutien direct et indirect de l'écosystème cyber américain au gouvernement ukrainien a permis aux États-Unis d’observer de près la réalité de cette première cyberguerre, toujours en cours, et d'en tirer de nombreuses leçons sur les plans opérationnels, politiques ou organisationnels.

Les États-Unis en position d'observation en Ukraine depuis 2014

Après l’annexion de la Crimée par les forces armées russes en mars 2014, les autorités américaines, sous pression d’un Congrès proactif et véhément, ont déployé une importante politique de soutien aux autorités ukrainiennes sur le plan économique, institutionnel et militaire, estimant que la Maison Blanche avait particulièrement mal réagi à ce changement de fait de l’ordre international. Cette inaction laissait craindre au Congrès que le gouvernement russe ne la considère comme un blanc-seing pour envahir l'Ukraine.

Un des volets de cette stratégie a consisté à assister l'Ukraine dans le domaine cyber, ce pays étant devenu, dès 2013 et les prémices de la première agression russe, la cible d'un nombre très important de cyberattaques attribuées sur le plan politique à la Fédération de Russie. Le choc déclenché par la mise à plat du réseau électrique ukrainien par une attaque du groupe criminel russe Sandworm, le 23 décembre 2015, a constitué un wake-up call pour le gouvernement américain.

Ainsi, l'Ukraine est devenue un poste d'observation privilégié d'études de la menace cyber pour de nombreux acteurs américains, privés ou institutionnels.

L'Ukraine est devenue un poste d'observation privilégié d'études de la menace cyber pour de nombreux acteurs américains, privés ou institutionnels. 

En effet, si la confiance a mis beaucoup de temps à s’installer entre les acteurs institutionnels américains et ukrainiens, des grandes entreprises américaines de cybersécurité se sont installées à Kyiv dès 2014 comme prestataires auprès du gouvernement. Des firmes, telles que Microsoft, Cisco, Mandiant ou Crowdstrike, ont contracté avec différentes institutions du gouvernement ukrainien ou différents secteurs stratégiques (cyberpolice, infrastructures énergétiques, transports…) bien avant l’invasion de février 2022.

C'est un point extrêmement important car, par ce positionnement, ces entreprises ont constitué le front du renseignement cyber (Cyber Threat Intelligence) américain en leur permettant de développer une connaissance en constante amélioration des modes opératoires russes et des méthodes possibles de remédiation. À mesure que l'Ukraine subissait des cyberattaques en continu, les entreprises américaines et leurs partenaires ukrainiens ont développé une expérience précieuse pour améliorer dans d'autres pays leurs services de cybersécurité et pour aider la cyberdéfense américaine en retour. À noter qu’avant l’invasion de 2022, l’essentiel de ces cyberattaques étaient destinées à de l’espionnage.

Cette place privilégiée des entreprises américaines a été complétée par le développement d’un partenariat avec la National Security Agency (NSA) et l'US Cyber Command, deux entités américaines sœurs en charge de la collecte du renseignement par moyens techniques et cyber, ainsi que des capacités cyber-défensives et cyber-offensives américaines. Ce partenariat a consisté en des échanges de renseignements sur les modes opératoires russes, sur les méthodes de remédiation et a culminé avec l'envoi, à la demande des autorités ukrainiennes, d’équipes de chasse ("Hunt Forward Team") pour scanner les réseaux critiques ukrainiens et les nettoyer en cas de détection de malware russe. 

Ainsi, à titre d'exemple, l'équipe envoyée à Kyiv par l'US Cyber Command à partir de novembre 2021 aurait notamment identifié un malware de sabotage sur le réseau ferroviaire ukrainien, qui a pu être nettoyé avant son activation. L'objectif russe était de saboter le fonctionnement des trains entre l’Est et l'Ouest de l'Ukraine, au moment de l’invasion. S'il avait fonctionné, la résistance ukrainienne aurait été sensiblement moins agile et les pertes civiles plus élevées, le rail ayant eu un rôle central dans les évacuations vers le centre et l’ouest du pays.

La menace cyber russe observée en action

La place privilégiée des acteurs de l'écosystème cyber américain auprès des institutions ukrainiennes a permis d’observer en temps presque réel les attaques russes. Au déclenchement de l'invasion de février 2022, le volume des cyberattaques russes a sensiblement augmenté. Avec le recul, voilà l’analyse qu’en font les acteurs américains : 

  • les lieux de prépositionnements dans les réseaux ukrainiens, la nature des malwares employés et leur volume tendent à dessiner une stratégie russe cyber pensée pour soutenir un choc initial, une neutralisation rapide des autorités et une prise de contrôle du territoire ukrainien en peu de temps ;

  • l'objectif des forces cyber russes était ainsi essentiellement de perturber les communications entre les autorités et les état-majors ukrainiens, mais en préservant l'essentiel des infrastructures. La cyberattaque initiale contre les satellites VIA-SAT est l'illustration de cette stratégie. Pour les analystes américains, l'armée russe prévoyait une victoire rapide et la nécessité de relancer rapidement les infrastructures sous leur contrôle. Selon eux, il est aussi probable qu'ils envisageaient de mettre ensuite physiquement la main sur un certain nombre de données importantes, qui n'ont pas fait l'objet d'un ciblage cyber en amont.

  • Dès lors que la stratégie militaire russe initiale a été mise en échec, le volume et la technicité des cyberattaques se sont réduits, les préparatifs n’ayant pas pris en compte ce scénario. 

  • Si le nombre de cyberattaques reste très élevé, sans commune mesure avec la période 2014-2022, celles-ci cherchent essentiellement à renseigner et à soutenir les offensives russes. Un pic a ainsi été observé avant la nouvelle offensive russe de l’automne 2022 et les analystes américains estiment qu’un nouveau pic sera bientôt observé en prévision d’une nouvelle offensive de grande ampleur envisagée au printemps.

L'observation principale et consensuelle à Washington DC est la réalisation que l'armée russe a été incapable de réaliser des manœuvres militaires intégrées entre ces différentes composantes. Ainsi, les opérations cyber, pas plus que les opérations aériennes, n'ont été intégrées à des manœuvres complexes, ce qui tend à relativiser son efficacité sur le plan militaire. L'administration américaine explique son erreur d'appréciation de la manière suivante : en août 2008, lors de l’invasion russe en Géorgie, l'appareil de sécurité national américain avait observé cette absence de manœuvre intégrée et estimé que la Russie en avait tiré les bonnes leçons à l’occasion des grandes réformes de son armée à partir d’octobre 2008.

L'observation principale et consensuelle à Washington DC est la réalisation que l'armée russe a été incapable de réaliser des manœuvres militaires intégrées entre ces différentes composantes. 

Pensant sincèrement que la Russie avait appris de ses erreurs et considérant la richesse de ses modes opératoires cyber et l'excellence technique de ses malwares, les Américains estimaient que les cyberattaques russes viendraient soutenir directement les manœuvres tactiques, à l'image de ce que pratiquent plusieurs armées de l'OTAN disposant de capacités cyber.

Ce fonctionnement en silo tiendrait à plusieurs facteurs propres aux doctrines et pratiques de l’armée russe, mais aussi au fait que la quasi-intégralité des opérations cyber russes sont menées par les trois services de renseignement (GRU, FSB, SVR) et bien que le GRU soit une entité militaire, la composante cyber n’a pas été intégrée dans les différents échelons de l’armée russe. Les objectifs des services de renseignement et des forces conventionnelles russes n’ont pas été les mêmes, rendant la coordination d’autant plus hasardeuse.

Enfin, les Américains ont observé une forte utilisation des moyens cyber russes en soutien de leurs opérations informationnelles, en amont et en aval de l'invasion de 2022, ce qui est aussi un facteur d’explication de moindre efficacité destructive des cyberattaques russes. Les ressources étaient absorbées pour aider à la dissémination et à l’amplification des manœuvres de propagande dans l’espace numérique.

La cyberdéfense ukrainienne, un système performant

S’il faut se méfier des grandes leçons qui traversent le débat stratégique, il est intéressant de noter qu’il existe un consensus à Washington sur le caractère cardinal de la défense (capacité à anticiper, détecter ou prévenir des cyberattaques) et de la résilience (capacité à remédier rapidement à une cyberattaque) dans l’amortissement du choc cyber initial. Les Américains ont identifié plusieurs facteurs critiques : 

  • le degré de compétence et de technicité des Ukrainiens, accru à mesure qu’ils subissaient des attaques depuis 2013. Cet entraînement a été un facteur clé ;

  • les leçons transmises par l’écosystème cyber américain, dès 2015-2016, ont été bien intégrées par leurs partenaires et clients ukrainiens ;

  • la présence de longue date des entreprises cyber américaines a permis une montée en compétence des Ukrainiens. Les infrastructures critiques ont reçu un degré élevé de protection ;

  • la formation en cybersécurité permise par des programmes d’aide américains (USAID), votée par le Congrès dès 2014, a permis, en partenariat avec des entreprises de cybersécurité américaines et ukrainiennes, de sensibiliser ou former plusieurs dizaines de milliers de personnes aux pratiques de cybersécurité ;

  • la mise en place de mécanismes de partages de renseignements cyber sur les modes opératoires russes entre l’appareil de sécurité national américain, les entreprises américaines, les autorités et clients ukrainiens, et les partenaires européens ou otaniens. Ces mécanismes de partage ont été importants pour la neutralisation progressive des malwares russes à grande échelle et la correction des vulnérabilités informatiques détectées ;

  • l'envoi de plusieurs équipes de chasse américaines (cf. ci-dessus).

L'avantage final en faveur de la défense a été permis par la campagne américaine de partage et de déclassification de ses renseignements.

Tous ces facteurs ont préparé les acteurs ukrainiens, probablement comme aucun autre pays au monde, à faire face. L’avantage final en faveur de la défense a été permis par la campagne américaine de partage et de déclassification de ses renseignements, dès octobre 2021, durant laquelle les autorités américaines ont fait le choix d’alerter les Ukrainiens et leurs partenaires européens de l’imminence d’une invasion russe.

Malgré une difficulté à convaincre de la réalité de ce scénario, la confiance importante nouée entre les autorités ukrainiennes et l'écosystème cyber américain a permis une dernière préparation des réseaux ukrainiens à faire face et à convaincre un exécutif ukrainien réticent de mettre ses données stratégiques sur des serveurs d'Amazon Web Service ou de Microsoft, afin de les mettre hors de portée des Russes.

La qualité des services de cybersécurité du cloud d'Amazon Web Service est indéniable, mais il faut interpréter cette décision comme un geste éminemment stratégique, cohérent avec la vision d’ensemble du gouvernement ukrainien : en mettant les données dans un espace numérique sous souveraineté de membres de l'OTAN, il y avait une volonté de dissuader les Russes d'agir contre ces serveurs. Ceux-ci ont en effet montré leur volonté de ne pas risquer une escalade avec l'OTAN. Ce "saut de la foi" ukrainien est tactique, stratégique et politique, l'Ukraine démontrant par le biais de ses données sa volonté de s’en remettre à l'alliance atlantique. Ce geste fort a été reçu particulièrement favorablement par les autorités américaines qui ont, en retour et malgré de fortes réserves initiales, changé leurs règles de partage dans le domaine cyber : les entreprises de cybersécurité ukrainiennes et institutions sont désormais alimentées en retour d'un volume accru de renseignements cyber, sensibles par nature car susceptibles de révéler les accès américains au sein des réseaux russes.

Les leçons pour le système américain

L'importance cardinale de la défense représente la leçon la plus importante pour les Américains. Il n’est jamais trop tard pour commencer. Ainsi, alors que l'invasion russe était imminente, le Cyber Infrastructure & Security Agency (CISA, équivalent américain de l’ANSSI) a lancé, en février 2022, une initiative à forte portée politique : Shields Up. Anticipant une vague de cyberattaques contre des entités américaines, en rétorsion de l’aide apportée à l’Ukraine, le CISA et les institutions américaines chargées de la cyberdéfense ont, par cette initiative, sensibilisé les entreprises américaines en les appelant à renforcer leur vigilance et en leur fournissant des outils et des conseils pour raffermir leur cybersécurité. À ce jour, la vague attendue n’est jamais arrivée, surprenant des autorités jugées un peu alarmistes. Celles-ci se sont défendues en expliquant que cette préparation était justement un excellent entraînement et permettait de mettre en œuvre des mécanismes collectifs vertueux.

Une autre leçon importante : le partage et la création de communautés. La guerre en Ukraine a illustré, pour les Américains, l’importance de la circulation d’informations dans le domaine cyber. Plusieurs mécanismes de coordination quotidiens entre les institutions de la cyberdéfense tels que le Joint Cyber Defense Collaborative (JCDC) ou le Cyber Collaboration Center (CCC) ont fonctionné à plein régime. Ce mantra du partage est désormais affiché de manière permanente dans la communication institutionnelle, révélateur d’une politique assez récente et nécessitant un engagement constant des acteurs privés.

Une autre leçon importante : le partage et la création de communautés. La guerre en Ukraine a illustré, pour les Américains, l’importance de la circulation d’informations dans le domaine cyber. 

Cette politique est complétée par une communication publique accrue du CISA, mais aussi de manière plus surprenante de la NSA, visant à partager avec le plus grand nombre vulnérabilités, bonnes pratiques de cybersécurité et conseils d’hygiène numérique.

Ces leçons s’inscrivent dans un contexte particulier mais important pour les décideurs américains : la crise du Covid a accru le télétravail et accéléré la digitalisation des entreprises, entraînant un accroissement de la surface numérique à défendre. Le ransomware qui a mis à l’arrêt, en mai 2021, l’entreprise énergétique Colonial Pipeline avait suscité une prise de conscience aiguë du risque pesant sur les infrastructures économiques. 

Sur le plan militaire, en complément de l'incapacité de l'armée russe à intégrer le cyber dans ses manœuvres, il faut retenir une autre leçon importante : en s'appuyant sur des groupes criminels, le système cyber offensif russe s’est montré peu fiable. La professionnalisation des capacités cyber devient alors nécessaire, confirmant le choix d’avoir créé l'US Cyber Command.

Les débats académiques et stratégiques font rage pour déterminer l'importance des armes cyber, en raison d’un sentiment relativement consensuel que la menace cyber n’a pas eu l’effet de choc et de paralysie anticipé par les observateurs. Une grande partie de cette confrontation dans le cyberespace reste masquée pour le grand public, ce qui rend difficile l’analyse de sa réalité et de ses conséquences. Si une partie des membres de la communauté stratégique américaine tend ainsi à relativiser le rôle du cyber dans la guerre en Ukraine, estimant que la différence sur le terrain apparaît grâce à la nature des armements déployés et aux capacités de manœuvre ukrainiennes, d’autres appellent à ne pas mettre de côté le cyber qui représente un outil important d’espionnage tactique et stratégique, de sabotage potentiel et dont la fréquence sature et occupe fortement les entités ukrainiennes. La préparation cyber et la nature des malwares sont adaptées à des plans stratégiques précis. Ce sont ces derniers qui sont la raison de la victoire ou de l'échec, plutôt que la nature des armes.

Vers une stratégie renforcée et élargie

Le 02 mars 2023, la Maison Blanche a annoncé une nouvelle stratégie nationale cyber, la dernière datant de 2018. C’est la première stratégie rédigée et pilotée par le nouveau bureau du directeur cyber national (Office of the National Cyber Director), ce dernier, rattaché au président américain qu’il conseille, existe depuis le 1er janvier 2021.

Le 02 mars 2023, la Maison Blanche a annoncé une nouvelle stratégie nationale cyber, la dernière datant de 2018.

Comme en 2018, l'intérêt de cette doctrine est qu'elle est très complète et permet d’observer les avancées conceptuelles des institutions américaines à l’égard d'un champ cyber relativement récent et toujours en maturation. Sa publication a été retardée et le contexte ukrainien n'y est pas pour rien. À l'aune de la guerre en Ukraine, les leçons évoquées ci-dessus ont alimenté cette réflexion inter-agence, ce qui transparaît dans le document.

L'administration annonce deux évolutions conceptuelles importantes : 

  1. le transfert de la responsabilité de la cybersécurité vers les grandes entreprises, mieux positionnées pour surmonter cet enjeu que les particuliers et les petites entreprises ;
  2. favoriser les investissements de long-terme pour assurer une meilleure cyberdéfense du pays, sans se faire absorber par les menaces du quotidien.

Cette stratégie est associée très directement à la politique d’investissement de long terme dans les infrastructures et le tissu industriel américain (Infrastructure Investment and Jobs Act), pierre angulaire de la stratégie du président Biden. Elle est aussi à relier avec son concept de "politique étrangère pour les classes moyennes".

Dans ce cadre, une dichotomie dans la cybersécurité apparaît dans le discours américain, différente de la doctrine qui prévalait jusqu’alors : 

  1. un tissu économique défendable, pour la masse des cyberattaques de faible qualité qui exploitent le faible niveau de protection des particuliers et petites entreprises ;
  2. un tissu administratif et économique résilient, pour faire face aux cyberattaques les plus critiques.

Cette dichotomie est importante car elle tranche complètement avec les conceptions de dissuasion et de suprématie qui prévalaient auparavant. Les autorités américaines ont compris que la puissance politique, militaire et diplomatique ne permettrait pas d’établir une dissuasion crédible, particulièrement vis-à-vis des acteurs cybercriminels, et que le cyberespace était un espace fluide et dynamique qui imposait une réflexion sur la résilience plutôt qu'un diptyque forteresse/dissuasion.

Cette dichotomie est importante car elle tranche complètement avec les conceptions de dissuasion et de suprématie qui prévalaient auparavant. 

C’est entre autres pour cette raison que l’administration décide de mettre en responsabilité les grandes entreprises du cyber, du logiciel et de l’informatique en poussant pour une cybersécurité by design des matériels et logiciels. 

Les cinq piliers de la nouvelle approche américaine ne sont pas nouveaux, mais offrent un regard sur la manière dont la cybersécurité est envisagée aux États-Unis : 

  1. Défendre les infrastructures critiques : le gouvernement assume sa responsabilité pour les infrastructures critiques, avec l’aide des entreprises, ce qui résulte de l’attaque contre Colonial Pipeline et des attaques russes observées contre les secteurs critiques ukrainiens (électricité, énergie, transports…) ;

  2. Entraver et démanteler les acteurs menaçants : le gouvernement prend ici encore ses responsabilités pour se charger de contrer les acteurs menaçants, avec un focus nouveau sur le risque des rançongiciels et une volonté d’isoler sur la scène internationale les pays malveillants ou sanctuaires, référence directe à la Russie ;

  3. Façonner les forces du marché pour se charger de la sécurité et de la résilience : le gouvernement fait porter la responsabilité de cette mission aux grandes entreprises et insiste sur la résilience du tissu économique. Il faut désormais apprendre à vivre avec des cyberattaques régulières ;

  4. Investir dans un futur résilient : Le prolongement de la politique d'investissement du gouvernement qui insiste ici sur la R&D dans les technologies émergentes, notamment celles qui changeront les paradigmes de la cybersécurité : l'Intelligence Artificielle et la cryptographie quantique. Cette partie est à relier avec la confrontation technologique que mène désormais le gouvernement américain avec la Chine et son lien défini avec les enjeux de sécurité nationale ;

  5. Forger des partenariats internationaux pour poursuivre des objectifs communs : Le gouvernement continue de plaider pour une politique d'alliance, renforcée par la guerre en Ukraine. On perçoit son influence dans la mention d’une "aide aux Alliés pour se préparer en temps de guerre comme en temps de paix", référence au partenariat américain avec l'Ukraine et d'autres pays.

Cette nouvelle stratégie évolue conceptuellement, sans remettre fondamentalement en cause les briques précédentes, faisant preuve d'une maturité réelle en cybersécurité. Le gouvernement fédéral joue un rôle central de chef d'orchestre, anime un dialogue transversal et positif entre tous les acteurs de l’écosystème cyber et de la société américaine. La guerre en Ukraine a donné un large coup de boost à cette politique : désormais, tout le monde est dans le même bateau.

 

 

Copyright Image : Markus Spike / Pexels

Recevez chaque semaine l’actualité de l’Institut Montaigne
Je m'abonne