Plus besoin de balles, de roquettes, d’avions de combat ou de chars d’assaut: en 2030, la guerre se gagnera sur internet. En neutralisant les infrastructures critiques d’un État, d’une région ou d’une institution. Et personne n’est prêt. (Photo: Shutterstock)

Plus besoin de balles, de roquettes, d’avions de combat ou de chars d’assaut: en 2030, la guerre se gagnera sur internet. En neutralisant les infrastructures critiques d’un État, d’une région ou d’une institution. Et personne n’est prêt. (Photo: Shutterstock)

Pendant que le Luxembourg présentait sa première stratégie nationale de cyberdéfense et participait à un exercice de l’Otan façon «équipe rouge contre équipe bleue», des chercheurs de l’Alliance ont publié un sinistre catalogue des cybermenaces qui planent sur les États. Peu de pays sont prêts.

Même les taiseux, barrette de colonel sur l’épaule ou costume-cravate noir, ont lâché un rire gras. Ce jour-là, la très sérieuse  contre les cybermenaces. À la surprise générale, Israël ne fait pas partie du top 10. Israël ne voulait pas en faire partie, c’est tout, mais les chercheurs ne s’en sont pas aperçus…

À l’inverse, les États-Unis sont numéro 1, alors que, par exemple, , qui pointe l’absence de leadership, la mauvaise protection de certains sites sensibles et la difficulté à recruter.

Dans cette guerre asymétrique qui ne respecte aucun code, qui n’a aucun honneur, inutile de porter sur un plateau les informations dont vos adversaires, États aussi ennemis que voyous, agences «décentralisées» ou groupements plus obscurs de hackers, connaissent déjà la plus grande partie. Merci internet.

20 ans de discussions internationales

20 ans après que le sommet de Prague de l’Otan a pour la première fois intégré les cybermenaces à sa déclaration finale, et 12 ans après le sommet de Bucarest, où les chefs d’État et de gouvernement des pays de l’Alliance ont souligné «la nécessité pour l’Otan et pour les pays de protéger les systèmes d’information clés conformément à leurs responsabilités respectives, de mettre en commun les meilleures pratiques, et de mettre en place une capacité visant à aider, sur demande, les pays de l’Alliance à contrer les cyberattaques», la première asymétrie est là, dans le décalage entre le boom technologique et la mise en place d’une réponse structurée.

Il y a quatre ans que le Luxembourg a officiellement annoncé s’y préparer. Une conférence de presse de (LSAP), alors secrétaire d’État à la Défense, trace les lignes directrices de la défense luxembourgeoise à l’horizon 2025 et au-delà. Quatre ans plus tard, le ministère de la Défense, repris par (déi Gréng), a accouché d’ à l’ambition… très ambitieuse. 

«D’ici 2030, le Luxembourg disposera de l’une des défenses Otan-UE les plus cybersécurisées, grâce à la maximisation de ses capacités de cyberdéfense», s’avance le ministre. «En développant les capacités de cyberdéfense et en contribuant au cyberespace national résilience, la Défense luxembourgeoise entend renforcer sa réputation de partenaire fiable pour des organisations internationales telles que l’Otan et l’UE, ainsi qu’un point de référence pour les acteurs nationaux dans le domaine du cyberespace. Grâce à des investissements dans les personnes, la technologie, ainsi que comme en recherche et développement, le Luxembourg développera une expertise et des capacités qui peuvent également être offertes aux Alliés et aux partenaires.»

Toute déclaration de ce type est un appeau à ennuis dans un monde globalisé. Surtout quand elle s’accompagne d’autres déclarations qui font du pays un «coffre-fort inviolable». La réalité, comme l’ont montré les événements du printemps dernier, c’est que le Luxembourg n’est pas à l’abri des cyberattaques. Et cela ne va pas s’arrêter. L’ambition est d’autant plus audacieuse que le pays manque notoirement de personnel sur ces domaines très pointus et que chacun de ses développements offre de nouvelles surfaces d’attaques, que ce soit la voiture autonome, qui sera généralisée après les essais dans le fameux triangle transfrontalier, ou le HPC et le développement de la 5G – d’ici là, la 6G –, avec tout ce que cela signifie de nouveaux objets connectés.

Premier contrat avec CybExer et premier jeu de rôles géant

«L’accent sera mis sur l’amélioration des compétences de notre personnel, sur le renforcement de la résilience nationale dans le cyberespace, sur le soutien des capacités du secteur privé, sur nos engagements en matière de cyberdéfense au sein de l’UE et l’Otan, et sur le renforcement de notre engagement avec nos Alliés et nos partenaires. Cela garantira une approche durablement soutenue afin d’intégrer la cyberdéfense au sein de la Défense luxembourgeoise», explique le communiqué. Cette stratégie, prévue pour 10 ans, et qui sera mise à jour périodiquement, a plusieurs objectifs à long terme: une main-d’œuvre qualifiée et motivée; une coopération nationale et internationale étroite; une cyberdéfense intégrée dans l’ensemble des activités, des actifs et de la culture de la Défense luxembourgeoise, ainsi qu’un paysage «CyberFutures» cartographié avec des priorités identifiées et des programmes de recherche mis en route. 

Le Luxembourg a signé un premier contrat, de trois ans, via la même agence de soutien logistique de l’Otan que celle qui avait amené l’hôpital militaire provisoire l’an dernier, avec une start-up estonienne spécialisée dans «les jeux de rôles» numériques autour de ces questions sensibles, CybExer, qui a remporté le prix de l’innovation de l’Otan en 2018. Moins de deux ans après sa création, la start-up avait déjà été utilisée pour former un tiers de la population active estonienne à l’hygiène numérique.

Du 16 au 18 février, . L’exercice a impliqué des équipes de 18 pays – dont le Luxembourg – et plus de 200 participants, qui devaient détecter des cyberattaques avec des schémas différents, y répondre et protéger leurs réseaux. «Les équipes ont résolu des tâches et ont défendu leurs réseaux dans la gamme cybernétique exclusive de CybExer, composée de 1.500 machines virtuelles», raconte le communiqué de la start-up. 

(SatOpSim – un simulateur d’opérations satellitaires qui peut être utilisé pour tester les systèmes et processus de mission satellitaire), la technologie de vol et d’enregistrement de drones, et la technologie de détection de drones et de systèmes UAS. Les sociétés estoniennes Marduk Technologies, Threod Systems, Spaceit et CGI Estonia ont également contribué à l’exercice. Marduk Technologies développe et fabrique des plateformes anti-drones, Threod Systems fabrique des drones et des équipements d’observation électroniques et des systèmes connexes qui permettent l’exploitation de véhicules aériens sans pilote. Spaceit, en collaboration avec CybExer Technologies et CGI Estonia, développe un simulateur de satellite de cyberdéfense dans le cadre du programme GSTP de l’Agence spatiale européenne.

Les résultats ne seront communiqués aux participants que les 9 et 10 juin à Lille, mais une chose est déjà sûre: ils sont encore beaucoup trop éloignés des réalités du terrain.

Megalopolinn, la smart city malmenée

Depuis Tallinn, toujours en Estonie, l’Otan gère un centre d’excellence sur le sujet, qui vient de publier sa mise à jour des menaces d’ici 2030. .

Et s’arrête le 2 février 2030. Dans la cité de Megalopolinn, 10 millions d’habitants et 30% du PIB du petit État de Varmatia, un nœud crucial de la défense de l’Alliance. Ce soir-là, à 19h43, une attaque massive de DDoS met à l’arrêt la moitié de la ville connectée, qui se retrouve sans électricité ni eau. À deux jours de Defender 2030, un exercice comme celui auquel vient de participer le Luxembourg, les canaux qui entourent la ville ne sont plus gérés par le système automatique, et l’eau monte.

Plus aucun rire gras ne retentit nulle part. Sauf peut-être chez le vilain voisin, Lusia.

Il y a 87.800 communes en Europe qui hébergent 74% de la population. Les dépenses pour la smart city y auront triplé à 267 milliards de dollars en 2023. Le coup pourra venir de partout et atteindre n’importe qui. Au point qu’une nouvelle approche va à l’encontre de toutes les théories de mutualisation de l’effort. Le «zero trust», concept créé en 2010, doit être réévalué, à la lueur d’une société décentralisée à cause du Covid-19.

Articles Associés