2. Une priorité de l'OTAN qui tarde à se concrétiser
Le thème de la cyberdéfense a retenu l'attention de l'OTAN dès le Sommet de Prague, en 2002, dont la déclaration finale préconisait un renforcement des capacités de l'Alliance contre les attaques informatiques.
L'OTAN s'est préoccupée dans un premier temps de la protection de ses propres systèmes d'information et de communication, et elle a mis en place à cet effet une structure spécifique : le centre technique de la capacité OTAN de réaction aux incidents informatiques ( Nato computer incident response capability - NCIRC ).
Ce centre NCIRC est responsable de la fourniture des services techniques et opérationnels de cybersécurité pour l'ensemble des réseaux et systèmes d'information et de communication propres à l'Alliance atlantique. Il doit permettre de traiter et de signaler les incidents et d'apporter son appui aux responsables de la gestion des systèmes. Par ailleurs, il a pour tâche de centraliser et de coordonner le traitement des incidents en un point unique, afin d'éviter toute duplication.
Les évènements survenus en Estonie au printemps 2007 ont amené l'OTAN à s'interroger sur son rôle, en tant qu'alliance défensive, en cas d'attaque contre l'un de ses membres.
Lors du sommet de Bucarest, d'avril 2008, les chefs d'Etat et de gouvernement des pays de l'Alliance ont souligné « la nécessité pour l'OTAN et pour les pays de protéger les systèmes d'information clés conformément à leurs responsabilités respectives, de mettre en commun les meilleures pratiques, et de mettre en place une capacité visant à aider, sur demande, les pays de l'Alliance à contrer les cyberattaques ».
En 2008, une autorité de contrôle de la cyberdéfense a été créée ( Cyber Defense Management Authority - CDMA ).
Les cyberattaques sont désormais une menace prise en compte dans le nouveau concept stratégique de l'Alliance atlantique , adopté lors du Sommet de Lisbonne en novembre 2010.
L'OTAN s'est dotée en janvier 2011 d'un concept en matière de cyberdéfense, décliné en juin 2011 en une politique. En octobre 2011, les ministres de l'OTAN ont approuvé un plan d'action, qui prévoit des actions concrètes.
Ce nouveau concept de cyberdéfense vise tout d'abord à renforcer la sécurité des systèmes d'information de l'Alliance , afin de la mettre à niveau face à la menace, grâce à l'amélioration des normes et des procédures de sécurité, et à une gestion plus centralisée.
La politique cyber de l'OTAN se veut globale, conformément au concept de « cyberdéfense en profondeur » promu par la France, c'est-à-dire qu'elle vise à compléter la défense traditionnelle des réseaux informatiques par différents mécanismes de détection précoce des menaces, de diversion des cyberattaques et de limitation des effets néfastes de ces attaques. Elle inclut notamment des exercices réguliers, des tests de vulnérabilité et la formation.
Elle a également pour objectif de renforcer la capacité de l'OTAN à coordonner l'assistance aux alliés subissant une attaque informatique d'importance, le cas échéant à l'aide d'équipes projetables .
Le partage des responsabilités entre l'OTAN et les nations, qui conservent la charge de la protection de leurs propres systèmes d'information, a été défini de manière à bien délimiter le périmètre des systèmes dont la protection incombe à l'OTAN.
Dans le cadre de la réforme actuelle des agences de l'OTAN, il est également prévu de créer une nouvelle agence, qui doit regrouper la gestion de l'ensemble des systèmes d'information et de communication dépendants notamment de l'Agence de communication et des systèmes d'information de l'OTAN ( Communication and Information Systems Services Agency - NCSA).
L'OTAN mène aussi depuis quelques années des exercices cyber. Ainsi, le dernier exercice, dénommé « Cyber coalition 2011 », qui s'est déroulé du 13 au 15 décembre 2011, a consisté à tester les capacités techniques et opérationnelles de l'Alliance en matière de cyberdéfense. Cet exercice était basé sur une situation de crise fictive dans laquelle tous les pays participants étaient confrontés à des cyberattaques simulées. 23 pays de l'OTAN et six pays partenaires ont participé à cet exercice.
Enfin, cette politique définit également les principes de la coopération, dans le domaine de la cyberdéfense, entre l'OTAN, les pays partenaires, les organisations internationales, le secteur privé et le monde universitaire.
Pour autant, l'OTAN n'est pas complètement armée face à cette menace.
D'ailleurs, l'OTAN a été la cible de plusieurs attaques informatiques en avril 2010, attaques attribuées à la mouvance Anonymous et même l'ordinateur personnel du Secrétaire général de l'OTAN a été piraté.
Ainsi, la principale unité informatique de l'Alliance n'est toujours pas opérationnelle 24 heures sur 24, 7 jours sur 7 et elle n'assure pas encore la sécurité de l'ensemble des systèmes et des réseaux de l'OTAN.
Lors du dernier Sommet de Chicago, de mai 2012, les chefs d'Etat et de gouvernement des pays de l'Alliance ont rappelé l'objectif d'une pleine capacité opérationnelle du centre de l'OTAN de réaction aux incidents informatiques d'ici la fin de l'année 2012.
Le 8 mars 2012, un contrat de 58 millions d'euros a été attribué par l'OTAN à l'américain Northrop Grumman, associé aux entreprises Finmeccanica, SELEX Elsag et VEGA, pour la mise en place de la capacité opérationnelle de l'OTAN en matière de réponse aux cyberattaques.
Toutefois, il est désormais clair que cet objectif ne pourra pas être atteint dans ce délai et nécessitera encore plusieurs années pour l'être pleinement.
Plus généralement, l'OTAN doit encore déterminer quelle attitude adopter pour répondre à des cyberattaques lancées contre l'un des Etats membres.
Peut-on invoquer l'article 5 du traité de Washington en cas de cyberattaque ? Une « attaque informatique » peut-elle être assimilée à un « acte de guerre » et comment identifier l'agresseur ? Les mesures de rétorsion doivent-elles se limiter à des moyens cybernétiques, ou bien peut-on également envisager des frappes militaires conventionnelles ?
Il n'y a pas encore de réponses claires à ces questions , comme votre rapporteur a pu le constater lors de ses entretiens au siège de l'OTAN à Bruxelles avec les principaux responsables chargés de ces questions.
Lors du dernier Sommet de l'OTAN, qui s'est tenu à Chicago, le 20 mai 2012, les chefs d'Etat et de gouvernement des pays membres de l'Alliance atlantique ont adopté une déclaration, dont le point 49 est consacré à la cyberdéfense .
Cette déclaration insiste d'abord sur la montée en puissance de la menace : « Le nombre de cyberattaques continue de s'accroître de manière significative et leur niveau de sophistication et de complexité ne cesse d'évoluer ».
Elle traduit également l'engagement des pays membres de l'OTAN à renforcer les capacités de l'Alliance atlantique en matière de cyberdéfense, tout en rappelant que les Etats membres restent responsables de la protection de leurs propres systèmes d'information et de communication :
« Sur la base des capacités existantes de l'OTAN, les éléments critiques de la capacité opérationnelle totale (FOC) de la capacité OTAN de réaction aux incidents informatiques (NCIRC), y compris la protection de la plupart des sites et des utilisateurs, seront en place d'ici la fin 2012. Nous nous sommes engagés à fournir les ressources et à mener à bien les réformes nécessaires pour mettre en place une capacité centralisée de cyberprotection pour tous les organismes de l'OTAN, de manière à garantir que les moyens que nous investissons collectivement dans l'OTAN sont protégés par des capacités de cyberdéfense renforcées. Nous allons continuer d'intégrer des mesures de cyberdéfense dans les structures et les procédures de l'Alliance et, à titre individuel, nous restons attachés à recenser et à mettre en place des capacités nationales de cyberdéfense qui renforcent la collaboration et l'interopérabilité au sein de l'Alliance, y compris dans le cadre des processus OTAN de planification de défense. Nous continuerons de développer notre capacité à prévenir et à détecter les cyberattaques, à nous en défendre et à nous en relever ».
Enfin, la déclaration reconnaît l'importance de la coopération avec d'autres partenaires ou organisations, et en premier lieu avec l'Union européenne :
« Pour faire face aux menaces qui pèsent sur la cybersécurité et pour améliorer notre sécurité commune, nous sommes déterminés à travailler avec les pays partenaires concernés, au cas par cas, et avec des organisations internationales, entre autres l'UE, comme convenu, le Conseil de l'Europe, l'ONU et l'OSCE en vue d'accroître la coopération concrète. En outre, nous tirerons pleinement parti de l'expertise offerte par le Centre d'excellence pour la cyberdéfense en coopération en Estonie ».
Un accord de coopération et de coordination technique sur la cyberdéfense a ainsi été conclu entre la France (ANSSI et état-major des armées) et l'Alliance atlantique, le 30 septembre 2011, qui prévoit des échanges d'informations et de bonnes pratiques, l'assistance en situation de crise et la participation à des activités conjointes.
En revanche, on peut regretter l'insuffisante coopération entre l'OTAN et l'Union européenne dans ce domaine.
Même si l'établissement d'une coopération formelle se heurte à des difficultés politiques, en raison du différend chypriote, mais aussi de la difficulté pour l'OTAN de trouver un interlocuteur unique du côté de l'Union européenne en raison de la dispersion des responsabilités au niveau européen, il semble souhaitable de renforcer la coopération entre l'OTAN et l'Union européenne dans ce domaine , dans un souci de complémentarité et de mutualisation.
Cela pourrait passer par un renforcement des échanges entre l'état-major de l'OTAN et celui de l'Union européenne, entre le NCIRC et le CERT de l'Union européenne, entre le commandement allié chargé de la transformation (ACT) et l'agence européenne de défense (AED) ou encore entre le centre d'excellence pour la cyberdéfense en coopération de Tallinn et l'agence européenne chargée de la securité des réseaux et de l'information (ENISA).
Sept pays alliés 41 ( * ) ont décidé en 2008 de contribuer à la création d'un centre d'excellence sur la cyberdéfense . Plusieurs pays, dont les Etats-Unis, ont décidé de les rejoindre portant à onze à ce jour les pays représentés 42 ( * ) au sein du centre.
Ce centre n'est pas à proprement parler un organisme de l'OTAN mais il a reçu une homologation de l'Alliance atlantique en 2008. Constitué à partir d'une capacité estonienne déjà existante, ce centre, situé à Tallin, est constitué d'une trentaine d'experts provenant des pays impliqués. Comme votre rapporteur a pu le constater lors d'un déplacement à Tallin, en marge de l'assemblée parlementaire de l'OTAN, au cours de laquelle il a eu l'occasion de visiter le centre d'excellence et de s'entretenir avec son commandant, le colonel Ilmar Tamm, ce centre n'a pas de vocation opérationnelle mais s'apparente plutôt à un centre de recherche. Son objectif est de réunir au profit de l'Alliance l'expertise en matière de risques cybernétique, d'élaboration d'une doctrine, de retour d'expérience et de formation d'experts. Ses travaux portent principalement sur le cadre juridique national et international, la doctrine et les concepts, ainsi que sur la protection des infrastructures critiques.
Alors que onze pays membres de l'OTAN sont aujourd'hui représentés au sein du centre d'excellence sur la cyberdéfense, dont les Etats-Unis, on peut regretter l'absence de toute présence française, comme d'ailleurs de l'Union européenne en tant qu'organisation.
Alors que la France a largement participé au processus de définition de la politique de cyberdéfense de l'OTAN, il semblerait souhaitable pour votre rapporteur que la France soit représentée au sein du centre d'excellence sur la cyberdéfense.
Une telle présence serait cohérente avec le renforcement de notre participation et de notre influence au sein de l'Alliance atlantique, conséquence de la réintégration pleine et entière de la France au sein des structures de commandements et organes de l'OTAN décidée en 2009, mais aussi de la volonté de notre pays de s'affirmer sur le plan international comme un acteur important sur ce dossier.
Pourquoi ne pas envisager également une présence de l'Union européenne au sein du centre d'excellence sur la cyberdéfense ?
* 41 Allemagne, Espagne, Estonie, Italie, Lettonie, Lituanie et Slovaquie.
* 42 Pologne, Hongrie, Pays-Bas et Etats-Unis. Des discussions sont également en cours avec la Turquie.