Image Pixabay
Domaine propice aux conflits hybrides entre États, Organisations internationales et entités non étatiques, le cyberespace est reconnu par l’Alliance comme « domaine d’opérations » depuis le Sommet de Varsovie (2016). Les concepts, outils et coopérations OTAN en matière de cyberdéfense ont été développés dans le cadre d’un mandat défensif.
La politique OTAN de cyberdéfense repose sur les principes suivants : la cyberdéfense fait partie intégrante de la défense collective de l’Alliance (article 5 du Traité de Washington) ; elle soutient que le droit international s’applique au cyberespace ; elle favorisera le développement des capacités de l’OTAN, des Alliés et des partenaires, et intensifiera la coopération avec l’industrie. La priorité absolue est de protéger ses réseaux. Cette politique est mise en œuvre par plusieurs plans d’action, qui fixent des objectifs et des délais dans les domaines allant du développement capacitaire aux partenariats, en passant par la recherche, la formation, l’entraînement et les exercices. Au Sommet de Varsovie, les Alliés ont pris l’engagement de faire de l’amélioration des moyens de cyberdéfense (infrastructures et réseaux nationaux) une haute priorité afin de renforcer la résilience globale de l’Alliance.
Les capacités OTAN comprennent : l’Agence OTAN d’Information et de Communication (NCIA) ; le centre de réaction aux incidents informatiques (NCIRC ; SHAPE - Mons) qui protège les réseaux 24/7 ; le Centre des cyberopérations (SHAPE) pour coordonner l’activité opérationnelle ; l’École des Systèmes d’Information et de Communication de l’OTAN (NCISS ; Oeiras - Portugal) pour dispenser des formations théoriques et pratiques; et le Centre d’excellence pour la cyberdéfense (Tallinn - Estonie) qui est un centre de recherche et d’entraînement accrédité OTAN.
Par ailleurs, afin de favoriser une approche commune dans ce domaine, l’OTAN fixe des objectifs pour la mise en œuvre par les 30 Alliés de capacités nationales de cyberdéfense dans le cadre des mécanismes de Planification de Défense. Enfin, L’OTAN conduit régulièrement des exercices spécialisés (exercice annuel « Cyber Coalition »), qui incluent la participation de partenaires (Suède, Finlande, Géorgie, Japon,…) sur la base des intérêts mutuels.
Les partenariats OTAN se diversifient, tant pour développer la résilience nationale des partenaires, que pour renforcer la sécurité internationale. Ainsi début 2021 trois nouveaux mémorandums d’entente (MoU) sur la coopération en cyberdéfense ont été signés avec la Macédoine du Nord, la Moldavie et la Mongolie. L’OTAN travaille avec l’UE, l’ONU et l’OSCE sur ce sujet. La cyberdéfense est l’un des domaines de coopération renforcée OTAN-UE aux termes de l’arrangement technique OTAN (NCIRC)/UE (CERT Commission) conclu en 2016. Au total, depuis juin 2019 les deux organisations ont échangé des informations et procédures sur 86 incidents « cyber » (notamment par la mise en œuvre de la plateforme d’échange d’informations sur les logiciels malveillants (MISP)). La coopération générale s’est intensifiée dans le cadre d’exercices et de travaux de recherche, y compris avec la participation du Centre d’excellence européen pour la lutte contre les menaces hybrides (Helsinki).
L’OTAN et ses membres resserrent les liens avec l’industrie au travers du Cyber Partenariat (NICP). Celui-ci réunit des entités OTAN, des centres nationaux d’alerte et de réaction aux attaques informatiques (CERT), ainsi que des industriels des pays Alliés. Il porte aussi sur les projets multinationaux de défense intelligente (DI) qui permettent aux pays d’unir leurs efforts pour développer des capacités dont ils ne pourraient pas supporter seuls les coûts de développement ou d’acquisition. Ces programmes de DI recouvrent : la plateforme MISP, la formation et l’entraînement multilatéral à la cyberdéfense (MNCD E&T), et le développement du projet de capacité multinationale de cyberdéfense (MNCD2).
Les prochaines étapes. Depuis fin 2019, l’OTAN a lancé une double démarche : 1. l’amélioration de sa cyberdéfense pour être plus efficace dans la protection et la résilience de ses outils en cas d’agression ; 2. la redéfinition de rôle de l’OTAN dans le cyberespace (quelles capacités autonomes ?). Cela se traduira par une refonte importante de son organisation afin de rendre plus cohérentes ses actions, et par des évolutions significatives de ses politiques et plans d’action.
Ainsi, l’opérationnalisation du cyberespace va se traduire dans des actions défensives et offensives. Pour cela l’OTAN s’est dotée en 2020 d’une doctrine en « version 1.0 » et d’une capacité de planification et de conduite. Des opérations de type défensif seront initiées en 2021 avec des capacités propres OTAN. Toutefois, dans la mesure où son mandat reste de nature défensive, l’OTAN ne disposera pas de capacités offensives. L’intégration d’actions offensives (renseignement, perturbation ou destruction) dans le cadre d’un effet militaire recherché dans une opération ou une mission s’effectuera via le processus SCEPVA (« Sovereign Cyber Effects Provided Voluntary by Allies into Alliance and Missions »). L’OTAN exprimera l’effet souhaité et les nations ayant répondu favorablement à ce besoin chercheront à obtenir cet effet pour le compte de l’OTAN (mais sans contrôle de sa part).
Un débat sensible, de nature plus politique, agite par ailleurs l’Alliance : celui de la décision de l’attribution des cyberattaques pour l’activation de l’article 5. Dans la mesure où il est déjà très difficile d’obtenir au niveau national une certitude totale quant à l’origine précise d’une attaque, comment envisager une attribution commune aux 30 Alliés ? L’État victime pourrait demander l’assistance de ses Alliés sur la base de l’article 5 non pour répondre immédiatement et directement à la cyberattaque - ce qui supposerait une attribution « partagée » en amont -, mais pour l’aider à désigner l’auteur de cette agression.
Christophe CORNU
Senior Policy Officer - Secrétariat International OTAN
La politique OTAN de cyberdéfense repose sur les principes suivants : la cyberdéfense fait partie intégrante de la défense collective de l’Alliance (article 5 du Traité de Washington) ; elle soutient que le droit international s’applique au cyberespace ; elle favorisera le développement des capacités de l’OTAN, des Alliés et des partenaires, et intensifiera la coopération avec l’industrie. La priorité absolue est de protéger ses réseaux. Cette politique est mise en œuvre par plusieurs plans d’action, qui fixent des objectifs et des délais dans les domaines allant du développement capacitaire aux partenariats, en passant par la recherche, la formation, l’entraînement et les exercices. Au Sommet de Varsovie, les Alliés ont pris l’engagement de faire de l’amélioration des moyens de cyberdéfense (infrastructures et réseaux nationaux) une haute priorité afin de renforcer la résilience globale de l’Alliance.
Les capacités OTAN comprennent : l’Agence OTAN d’Information et de Communication (NCIA) ; le centre de réaction aux incidents informatiques (NCIRC ; SHAPE - Mons) qui protège les réseaux 24/7 ; le Centre des cyberopérations (SHAPE) pour coordonner l’activité opérationnelle ; l’École des Systèmes d’Information et de Communication de l’OTAN (NCISS ; Oeiras - Portugal) pour dispenser des formations théoriques et pratiques; et le Centre d’excellence pour la cyberdéfense (Tallinn - Estonie) qui est un centre de recherche et d’entraînement accrédité OTAN.
Par ailleurs, afin de favoriser une approche commune dans ce domaine, l’OTAN fixe des objectifs pour la mise en œuvre par les 30 Alliés de capacités nationales de cyberdéfense dans le cadre des mécanismes de Planification de Défense. Enfin, L’OTAN conduit régulièrement des exercices spécialisés (exercice annuel « Cyber Coalition »), qui incluent la participation de partenaires (Suède, Finlande, Géorgie, Japon,…) sur la base des intérêts mutuels.
Les partenariats OTAN se diversifient, tant pour développer la résilience nationale des partenaires, que pour renforcer la sécurité internationale. Ainsi début 2021 trois nouveaux mémorandums d’entente (MoU) sur la coopération en cyberdéfense ont été signés avec la Macédoine du Nord, la Moldavie et la Mongolie. L’OTAN travaille avec l’UE, l’ONU et l’OSCE sur ce sujet. La cyberdéfense est l’un des domaines de coopération renforcée OTAN-UE aux termes de l’arrangement technique OTAN (NCIRC)/UE (CERT Commission) conclu en 2016. Au total, depuis juin 2019 les deux organisations ont échangé des informations et procédures sur 86 incidents « cyber » (notamment par la mise en œuvre de la plateforme d’échange d’informations sur les logiciels malveillants (MISP)). La coopération générale s’est intensifiée dans le cadre d’exercices et de travaux de recherche, y compris avec la participation du Centre d’excellence européen pour la lutte contre les menaces hybrides (Helsinki).
L’OTAN et ses membres resserrent les liens avec l’industrie au travers du Cyber Partenariat (NICP). Celui-ci réunit des entités OTAN, des centres nationaux d’alerte et de réaction aux attaques informatiques (CERT), ainsi que des industriels des pays Alliés. Il porte aussi sur les projets multinationaux de défense intelligente (DI) qui permettent aux pays d’unir leurs efforts pour développer des capacités dont ils ne pourraient pas supporter seuls les coûts de développement ou d’acquisition. Ces programmes de DI recouvrent : la plateforme MISP, la formation et l’entraînement multilatéral à la cyberdéfense (MNCD E&T), et le développement du projet de capacité multinationale de cyberdéfense (MNCD2).
Les prochaines étapes. Depuis fin 2019, l’OTAN a lancé une double démarche : 1. l’amélioration de sa cyberdéfense pour être plus efficace dans la protection et la résilience de ses outils en cas d’agression ; 2. la redéfinition de rôle de l’OTAN dans le cyberespace (quelles capacités autonomes ?). Cela se traduira par une refonte importante de son organisation afin de rendre plus cohérentes ses actions, et par des évolutions significatives de ses politiques et plans d’action.
Ainsi, l’opérationnalisation du cyberespace va se traduire dans des actions défensives et offensives. Pour cela l’OTAN s’est dotée en 2020 d’une doctrine en « version 1.0 » et d’une capacité de planification et de conduite. Des opérations de type défensif seront initiées en 2021 avec des capacités propres OTAN. Toutefois, dans la mesure où son mandat reste de nature défensive, l’OTAN ne disposera pas de capacités offensives. L’intégration d’actions offensives (renseignement, perturbation ou destruction) dans le cadre d’un effet militaire recherché dans une opération ou une mission s’effectuera via le processus SCEPVA (« Sovereign Cyber Effects Provided Voluntary by Allies into Alliance and Missions »). L’OTAN exprimera l’effet souhaité et les nations ayant répondu favorablement à ce besoin chercheront à obtenir cet effet pour le compte de l’OTAN (mais sans contrôle de sa part).
Un débat sensible, de nature plus politique, agite par ailleurs l’Alliance : celui de la décision de l’attribution des cyberattaques pour l’activation de l’article 5. Dans la mesure où il est déjà très difficile d’obtenir au niveau national une certitude totale quant à l’origine précise d’une attaque, comment envisager une attribution commune aux 30 Alliés ? L’État victime pourrait demander l’assistance de ses Alliés sur la base de l’article 5 non pour répondre immédiatement et directement à la cyberattaque - ce qui supposerait une attribution « partagée » en amont -, mais pour l’aider à désigner l’auteur de cette agression.
Christophe CORNU
Senior Policy Officer - Secrétariat International OTAN