Cyberdéfense : Les nouvelles doctrines face à un tournant majeur
Les faits
Autour de nous, plusieurs gouvernements révisent leurs doctrines de cybersécurité pour intégrer des actions plus proactives et, parfois, des mesures de riposte. Ces réorientations concernent des États occidentaux mais pas uniquement. Le programme britannique d'Active Cyber Defence (ACD) est en place depuis plusieurs années et sert de socle opérationnel aux actions proactives de suppression des abus numériques². Aux États-Unis, les notions opérationnelles de 'defend forward' et 'persistent engagement' ont été explicitées par le Department of Defense dans sa stratégie cyber de 2018³. Ces cadres donnent un cadre conceptuel aux opérations menées hors des frontières nationales.
Trois tendances structurent ce basculement doctrinal. Premièrement, le déploiement massif d'outils visant à réduire la nuisance: takedowns, sinkholing, blocage d'infrastructures de commande et contrôle, et services automatiques de signalement et d'identification de phishing exploités par des CERT². Deuxièmement, la multiplication des autorisations administratives ou militaires pour mener des actions de neutralisation ciblées, actions qui peuvent dépasser des frontières nationales³. Troisièmement, l'amélioration des capacités d'attribution technique et de justification politique: le partage d'indicateurs, les collaborations public-privé et la production de preuves techniques sont désormais des prérequis avant toute riposte audible publiquement.
La dynamique n'est pas nouvelle mais elle s'est accélérée depuis le milieu des années 2010. Le Royaume-Uni a commencé à institutionnaliser des routines ACD dès la fin des années 2000², et le DoD a formalisé ses orientations en 2018³. Les incidents et la conflictualité autour de l'Ukraine ont renforcé l'urgence et les débats en Europe depuis 2022. Les opérations sont observables sur plusieurs continents: Europe et Amérique du Nord pour l'essentiel, mais aussi dirigées contre des infrastructures hors de ces régions, ce qui complique la gouvernance et les opérations des responsables de sécurité des systèmes d'information.
Sur le terrain, les réponses oscillent entre démarches administratives et actions techniques. Les démarches administratives incluent les demandes de suppression auprès d'hébergeurs ou les signalements coordonnés. Les réponses techniques vont du sinkholing à l'usurpation d'identités contrôlant des canaux de commande, et, dans un contexte militaire, jusqu'à l'exploitation ciblée de vulnérabilités zero-day et l'établissement d'accès persistants pour neutraliser des capacités ennemies³. Ces opérations exigent une chaîne de renseignement technique solide, des capacités forensiques robustes et des processus de coordination entre CERT, forces armées et autorités civiles.
Contexte
ACD et précédents opérationnels
L'ACD du Royaume-Uni est souvent présenté comme un ensemble de mesures défensives administratives: listes de blocage, services de signalement anti-phishing et actions de takedown coordonné². Dans la pratique, ACD a aussi fourni un terrain d'expérimentation pour des techniques plus offensives quand les autorités politiques ou militaires l'autorisent². Le modèle britannique a servi de référence et d'alerte pour d'autres pays qui réfléchissent à la limite entre défense et action proactive¹.
Les États-Unis ont institutionnalisé la posture 'defend forward' et 'persistent engagement' pour permettre à leurs forces cyber d'initier des opérations hors du périmètre national afin d'endiguer des menaces en amont³. Cette posture déplace la logique de la défense vers une logique d'anticipation opérationnelle, ce qui soulève des exigences fortes en attribution, en gouvernance et en coordination diplomatique.
Cadre juridique et normes
La frontière entre action policière, opération défensive et acte armé reste floue en droit international. Le Tallinn Manual 2.0 fournit des repères pour identifier quand une cyberopération peut constituer une attaque ou une légitime défense, et aborde la question de la proportionnalité et de l'autorisation⁴. En l'absence d'un cadre international contraignant, les États et les entreprises naviguent dans une zone d'incertitude juridique qui pèse sur la conduite des opérations proactives et sur le partage d'informations.
Réactions et conséquences
Réactions institutionnelles
Les ministères de la défense plaident pour des moyens permettant de dissuader et de perturber efficacement les capacités adverses. Les administrations civiles et les agences responsables de la sécurité numérique privilégient souvent des mesures proactives mais administratives, perçues comme moins risquées sur le plan diplomatique². Parallèlement, juristes, ONG et certains États appellent à davantage de transparence et à des critères d'attribution indépendants pour limiter le risque d'escalade et d'erreur⁴.
Impacts pour les entreprises et les opérateurs
Les opérateurs cloud et les hébergeurs reçoivent un volume croissant de demandes de suppression et d'analyses d'indicateurs. Les équipes SOC et CERT internes doivent intégrer des procédures de coordination avec les autorités et définir des chemins décisionnels clairs pour traiter ces requêtes². Les fournisseurs de plateformes doivent automatiser et accélérer les processus de blocage, ce qui alourdit les coûts opérationnels et peut générer des erreurs de blocage affectant des services légitimes.
Scénarios techniques et risques opérationnels
Un takedown coordonné typique débute par l'identification d'un botnet et la collaboration avec un hébergeur pour couper l'infrastructure C2 et sinkholer les domaines malveillants². Dans un scénario 'defend forward', une unité cyber pourrait obtenir un accès préventif à des plateformes d'un acteur hostile pour détruire ou neutraliser une charge dangereuse avant son déploiement³. Pour que ces opérations restent crédibles, l'attribution doit être solide: télémétrie, analyses forensiques horodatées et validation par partenaires fiables.
Les principales menaces opérationnelles sont l'attribution erronée et les effets collatéraux. Une mauvaise identification d'un acteur ou une suppression de domaine mal calibrée peut interrompre des services légitimes et provoquer une escalade technique ou diplomatique. Une gouvernance juridique et des procédures de validation sont indispensables pour limiter ces risques⁴.
Mesures pratiques pour les organisations
Organisation et gouvernance
- Établir des accords formels avec le CERT national pour partager les IOC et coordonner les takedowns.
- Documenter et conserver des logs immuables; traiter chaque capture forensic comme une preuve potentielle à usage juridique.
- Définir une politique interne claire sur ce qui peut être fait techniquement sans déclencher d'escalade et sur les niveaux d'autorisation requis.
Techniques et investissements
- Déployer un monitoring multi-sources et corréler télémétrie et renseignements sur les vulnérabilités pour détecter les phases précoces d'attaque.
- Renforcer les capacités forensiques et disposer d'outils capables de produire des rapports acceptés par les autorités.
- Automatiser le partage d'IOC et la notification des abuse contacts pour accélérer les procédures de suppression.
Exercices et coopération
- Simuler des scénarios incluant des actions externes coordonnées, en impliquant juridiction, CERT et fournisseurs cloud.
- Participer à des forums sectoriels pour définir des standards de coopération public-privé avant qu'une crise n'impose des décisions en urgence.
- Prévoir des procédures de repli pour limiter les impacts collatéraux d'une opération de neutralisation.
L'évolution doctrinale actuelle n'est pas une mode passagère: elle répond à des menaces concrètes et à la multiplication des outils abusifs. Les organisations doivent préparer leurs processus, investir dans la forensic et l'intelligence, et définir des règles claires de coopération avec l'État pour réduire les risques d'erreur et d'escalade. Une coordination pragmatique entre acteurs privés et publics reste la meilleure manière d'agir rapidement sans multiplier les dommages collatéraux.
