Ce papier sous forme d’entretien décrit et interprète les politiques menées par l’administration Biden en matière de cybersécurité et d’enjeux numériques (en rappelant les principaux instruments associés) pour mieux apprécier la particularité de la puissance américaine dans le cyberespace. L’auteur pointe ce paradoxe, pour lui majeur, entre la supériorité à l’échelle globale et les vulnérabilités à l’échelle nationale. Il replace cette analyse des politiques relatives au cyberespace, à la cybersécurité ou à la numérisation dans une perspective historique et souligne combien elles sont emblématiques de la politique étrangère et de sécurité nationale menée par les États-Unis.
Les opinions exprimées dans cet article n'engagent pas le CNAM.
Les références originales de cet article sont : Stéphane Taillat « En cybersécurité, la principale vulnérabilité des États-Unis, c’est leur propre système », IHEDN. Ce texte, ainsi que d’autres publications, peuvent être consultés sur le site de l’IHEDN.
Entretien avec Stéphane Taillat, Maître de conférences HDR en histoire contemporaine à l’Institut Français de Géopolitique de l’Université Paris 8, détaché à l’Académie militaire de Saint-Cyr Coëtquidan, et chercheur au centre Géopolitique de la datasphère (GEODE).
Vous relevez le paradoxe de la puissance Étasunienne dans le cyberespace : Ce pays jouit d’une supériorité à l’échelle globale, mais souffre de vulnérabilités criantes à l’échelle mondiale. Comment l’expliquez-vous ? Quelles sont les principales vulnérabilités ?
Stéphane Taillat : Pour comprendre, il faut repartir de la manière dont, historiquement, les différents acteurs étasuniens se sont approprié le cyberespace. Ceux qui l’ont fait le plus tôt, ce sont les services de renseignement, comme la National Security Agency (NSA), puis les forces armées. Ces acteurs ont vu prioritairement l’espace numérique sous l’aspect offensif.
En même temps, cet espace numérique naissant a aussi été approché sous l’angle des vulnérabilités, notamment concernant les infrastructures critiques, les services essentiels. Mais, malgré la précocité des alertes venues du sommet de l’État, cet aspect a souvent été marginalisé, du point de vue politique comme budgétaire. La principale explication réside donc dans la tension entre une préférence pour les solutions offensives et des difficultés structurelles à s’approprier le volet défensif.
Cette tension se comprend aussi à travers des facteurs internes aux États-Unis : le poids du secteur de la sécurité nationale d’une part, et d’autre part la difficulté politique, administrative et juridique, pour l’État fédéral, notamment l’exécutif, d’organiser de sa propre initiative une mise en cohérence de la partie défensive : trouver des acteurs pouvant coordonner la gestion de crise, imposer des réglementations de sécurité aux acteurs privés, etc.
On peut donc voir deux niveaux de vulnérabilité : d’abord, la difficulté à organiser ce secteur, liée à la Constitution, à la culture politique, juridique et administrative. L’exécutif a des pouvoirs limités, l’État fédéral est limité dans son action par rapport aux États fédérés, et le secteur privé a une marge de manœuvre très importante par rapport aux régulateurs. Même si je nuance ce constat, on voit déjà qu’il y a des trous dans la raquette.
« Le cyberespace, c’est le déploiement à l’échelle globale d’infrastructures et de règles Étasusiennes »
Stéphane Taillat : Pour comprendre, faisons une comparaison avec la France : l’ANSSI, qui existe depuis 2009, a la possibilité réglementaire, mais aussi les moyens humains et techniques, d’organiser la cybersécurité d’un grand nombre de secteurs, publics comme privés. Aux États-Unis, ce qui s’en rapproche est la Cisa (Cybersecurity and Infrastructure Security Agency), qui a été créée seulement en 2018 au sein du département de la Sécurité intérieure. En réalité, elle ne dispose de pouvoirs et de moyens qu’à hauteur de ce qu’elle a pu obtenir par un jeu politique complexe d’alliances auprès du Congrès ou des autorités locales.
Le deuxième niveau de vulnérabilité est l’écosystème numérique étasunien, très lié au premier niveau. Il ne faut pas oublier que le cyberespace, c’est le déploiement à l’échelle globale d’infrastructures, de règles, de normes étasuniennes. Or, comme je le disais, les questions de cybersécurité et de régulation n’y sont pas du tout présentes. Il y a donc une vulnérabilité structurelle, fondamentale, au cœur du système : les briques de base de l’espace numérique ne sont pas faites pour la sécurité. Ajoutons à cela la présence de nombreux acteurs privés, qui sont des points d’entrée pour l’adversaire. Ce manque de régulation donne un système très ouvert et une surface d’attaque très vaste.
Deux exemples. Durant toute l’année 2023, l’une des priorités du Congrès et des agences fédérales a été d’attirer l’attention sur le fait qu’une grande partie des attaques menées sur des cibles aux États-Unis partent d’infrastructures basées aux États-Unis, les services de cloud de Google, de Microsoft, d’Amazon ou d’Oracle par exemple. Le pouvoir politique a peu de regard sur eux : doit-il leur tordre le bras, ou leur faire comprendre qu’ils doivent collaborer volontairement ? Il faudra probablement un mix des deux.
Deuxième exemple très récent, puisqu’il date de fin septembre : les trois principaux opérateurs de télécommunication aux États-Unis ont notifié avoir été victimes d’une intrusion par un groupe de hackeurs probablement affiliés à certains ministères chinois. Pour voler les données, ces hackeurs se sont installés dans des systèmes mis en place chez ces opérateurs pour les écoutes légales. Ces pirates chinois ont donc espionné des espions.
D’une certaine manière, la principale vulnérabilité des États-Unis, c’est leur propre système.
Vous dites que le secteur privé « est la colonne vertébrale de la sécurisation dans le cyberespace» : comment le réguler pour assurer la cybersécurité d’un pays ou l’interventionnisme administratif est très critiqué ?
Stéphane Taillat : C’est vraiment un point essentiel de mon ouvrage. Regardons déjà les solutions qui sont mises en place aujourd’hui, sur la période 2021-2023 que j’étudie. On peut diviser le secteur privé en trois parties : le marché de la cybersécurité, l’écosystème numérique en général (celui que tout un chacun utilise comme la suite Microsoft Office), et les opérateurs d’infrastructures critiques : eau, énergie, transports…
Avec le secteur de la cybersécurité, à l’initiative de la NSA et de la Cisa, il s’agit de créer une coopération, qui va tendre de plus en plus vers une forme de symbiose opérationnelle. Cela passe par des plateformes collaboratives d’analyse de la menace et par des corpus partagés sur les groupes de hackers.
Pour l’écosystème numérique, c’est plus compliqué. Là, comme le dit l’administration Biden, il s’agit de « refondre le contrat social de cybersécurité ». Depuis le début, il repose sur le comportement de l’utilisateur (individu, industriel, administration…), qui doit mettre à jour son antivirus. L’idée de la refonte est de dire que ce fardeau doit être remis sur les épaules de ceux qui peuvent le porter : les pouvoirs publics et l’écosystème numérique, à savoir les fournisseurs de services et de logiciels, qui sont la clé de tout ça – les GAFAM, mais pas seulement.
« La régulation est rendue complexe par cette culture politique si particulière »
Stéphane Taillat : C’est là que ça devient compliqué, car il faut marchander de manière très dure avec ces acteurs. On va avoir des tentatives de mise au pas de la part d’autorités de régulation, ou même des bras de fer. Le département de la Justice cherche à faire plier les GAFAM sur un certain nombre de comportements, notamment Google, Meta, Amazon et Microsoft. Il y a au moins cinq affaires en cours, pour protéger la vie privée, les mineurs, ou mettre fin à des monopoles qui deviennent des dépendances.
Concernant les infrastructures critiques, le problème est qu’aujourd’hui, elles sont classées en 16 secteurs qui relèvent chacun d’une voire plusieurs agences fédérales pour leur cybersécurité. Pour opérer, ces dernières dépendent des lois du Congrès. Et là où la Commission de l’énergie donne énormément de pouvoir régulateur aux agences qui en dépendent, l’agence de protection de l’environnement, chargée par exemple de contrôler la distribution et le traitement des eaux, a très peu de pouvoir, et il est encore rogné par différentes procédures judiciaires. Elle a donc dû mettre fin à certaines régulations.
Dans le domaine de la finance, la puissante Securities and Exchanges Commission (SEC) a pu imposer en 2023 des règles qui demandent aux entreprises cotées en bourse de lui notifier, dans un délai assez contraint, si elles ont été victimes d’une intrusion ou d’une demande de rançon.
Avec le CIRCIA Act voté par le Congrès en mars 2022, l’idée est d’appliquer la même chose à toutes les infrastructures critiques. Mais plus de deux ans après, la proposition que vient de faire la Cisa doit encore être examinée par les différents acteurs.
On le voit, la régulation en matière de cybersécurité est donc rendue complexe par cette culture politique si particulière.
Les précédentes élections nationales ont été l’occasion d’ingérences cyber étrangères. Quelles leçon les États-Unis ont-ils tirées pour la présidentielle qui se tient dans deux semaines ?
Stéphane Taillat : En effet, les élections présidentielles comme les scrutins de mi-mandat ont été touchés en 2016, 2018, 2020, 2022 et 2024 par des opérations de désinformation, mais aussi des tentatives de « hack and leak » : essayer de pirater des comptes de messagerie de campagnes dans le but de divulguer des informations « croustillantes », éventuellement « maquillées », pour peser sur le vote.
Depuis 2016, les Russes sont les principaux acteurs dans ce domaine, mais ils ont depuis été rejoints par les Iraniens et les Chinois.
Les agences fédérales, les pouvoirs publics, mais aussi une partie du corps politique et des médias ont tiré beaucoup de leçons en la matière. Ce qu’on observe cette année est relativement inédit. D’abord, au niveau fédéral, on assiste depuis 2018 à la constitution d’une coopération renforcée, d’une synergie entre acteurs : la Cisa, le FBI, la NSA et le CyberCommand des forces armées ont construit un système qui a l’air de fonctionner.
Il fonctionne aussi parce que s’est nouée une relation avec les nombreux acteurs des élections au niveau local – puisqu’aux États-Unis, les scrutins sont sous la responsabilité d’autorités locales pas forcément indépendantes des deux partis. Il s’agit à la fois de sécuriser l’infrastructure numérique de tenue du vote, et de lutter contre les fausses rumeurs qui pourraient détourner les Américains du vote.
« Une forme de maturité dans le traitement médiatique et politique des opérations de hacking »
Stéphane Taillat : Cependant, depuis 2020, on voit qu’une partie des responsables, notamment républicains, tendent à être moins ouverts aux messages qui leur viennent des autorités fédérales. C’est surtout le cas pour la Cisa, vue par une partie des élus comme une sorte de ministère de la propagande aux mains de l’administration Biden, visant à censurer les voix conservatrices.
Concernant la NSA et le CyberCommand, ça fonctionne, et une partie des opérations d’ingérence ont été tuées dans l’œuf, soit par des opérations cyber, soit par voie judiciaire en saisissant des noms de domaine ou adresses IP.
On voit aussi une forme de maturité dans le traitement médiatique et politique des opérations qui ont réussi. Cet été, des acteurs iraniens ont tenté un hack and leak en piratant, semble-t-il, une partie de la campagne de Donald Trump et en essayant de divulguer les informations à de grands médias américains. Cette fois, les médias n’ont pas exploité ces éléments, et ont au contraire collaboré avec le FBI pour constituer les dossiers d’enquête.
On est donc très loin de 2016, où le fait que le New York Times et le Washington Post parlent des fuites concernant la campagne d’Hillary Clinton avait peut-être eu des effets sur le résultat de l’élection.
Vous écrivez que pour les américains, la cybersécurité est construite comme un enjeu central de la compétition de long terme avec la Chine » :quelle est leur stratégie vis-à-vis de ce pays
Stéphane Taillat : La première stratégie est interne aux États-Unis : il s’agit de développer la résilience pour tenir dans cette compétition. Les États-Unis se sentent vulnérables vis-à-vis de l’assertivité chinoise dans l’espace numérique. On le voit depuis le printemps 2023 avec la présence ou les tentatives d’intrusion dans les infrastructures critiques de toute une série d’acteurs, que Microsoft baptise de noms se terminant toujours par « Typhoon » : Volt Typhoon, Flax Typhoon… On retrouve ce sentiment de vulnérabilité avec la question de TikTok dans la couche sociale.
Aux États-Unis, on craint que les vulnérabilités structurelles construisent une relation asymétrique avec la Chine : elle profiterait des infrastructures globales étasuniennes, comme les services de cloud, pour les retourner contre les États-Unis, en jouant sur l’absence ou la faiblesse de la régulation.
La deuxième stratégie est internationale, en ce sens que l’espace numérique est aussi un instrument du leadership et de la puissance des États-Unis. De leur point de vue, une compétition se jouerait entre deux modèles de gouvernance, de normes et de standards techniques : le modèle américain, modèle « pour la démocratie » selon la rhétorique de l’administration Biden, qui existe aujourd’hui et qu’il faudrait refonder pour lui permettre de résister ; et en face, un modèle autoritaire, qui serait promu notamment par la Chine via le déploiement d’infrastructures dans le cadre des « Routes de la soie » numériques.
« construire progressivement des leviers qui permettront d’agir contre la chine »
Stéphane Taillat : En termes stratégiques, cette opposition se traduit, comme l’a théorisé le Conseiller à la sécurité nationale de l’administration Biden, Jake Sullivan, par l’idée qu’il faut « dérisquer » les États-Unis vis-à-vis de la Chine : l’interdépendance entre les deux pays, rendue encore plus forte par le numérique, ne doit plus poser de risques pour eux. Il faut aussi contrôler les exportations et les investissements chinois aux États-Unis, de manière à construire progressivement des leviers qui permettront d’agir contre la Chine.
C’est flagrant dans le domaine des semi-conducteurs, auxquels les Américains s’efforcent de limiter l’accès des Chinois : même s’ils sont surtout fabriqués à Taïwan, leurs brevets sont majoritairement étasuniens, tout comme ceux des machines de haute précision qui permettent de les produire.
La stratégie américaine est donc à la fois de se prémunir contre cette interdépendance, et de l’instrumentaliser pour contenir la Chine.
Par : Stéphane TAILLAT
Source : Institut des Hautes Etudes de Défense Nationale