A Tallinn, les ministres jouent à la guerre cyber hybride (V2)

A Tallinn, les ministres jouent à la guerre cyber hybride (V2)

Share

(B2) C’était une petite première dont ne sont pas peu fiers les Estoniens. A Tallinn, lors de l’informelle défense, les 28 ministres de l’UE ont été invités à jouer leur propre rôle pour ce qui est le premier exercice cyber, mené au niveau stratégique.

Le scénario : une opération militaire de l’UE attaquée

Du scénario de « UE CYBRID 2017 », B2 a eu quelques éléments (même si les Européens ne veulent pas s’étendre, histoire de préserver les susceptibilités du grand voisin russe). Un scénario conçu sur des évènements en cascade touchant une opération militaire de l’UE déployée en mer. Cette attaque se poursuit durant un certain temps. Tout d’abord, on apprend le crash d’un drone d’observation. Puis c’est une attaque cyber sur un serveur informatique de l’état-major militaire qui dégrade non seulement les capacités locales de réaction mais son commandement et les liaisons Bruxelles – terrain. Un deuxième drone crashe… puis les évènements s’accélèrent.

Un malware et des fausses informations

On découvre un ‘malware’, un logiciel malveillant, qui a été introduit dans les systèmes européens. Et enfin c’est la communication avec les navires déployés qui se perd. Dans le même temps, l’Union doit faire face à une offensive, via les médias sociaux, de désinformation, voire de déstabilisation, avec diffusion de fausses nouvelles. Il importe donc de réagir vite pour informer la population.

Les 28 doivent réagir, tablette à l’appui

Une réunion ministérielle est convoquée pour décider des mesures à prendre face. La question qui se pose aux Européens est : que faire ? comment communiquer ? Comme dans la réalité, les informations remontent du terrain, données en partie par les médias, et les ministres sont invités à donner leur position. Pour cela, chaque délégation est a été munie d’une tablette. Et, face à un questionnaire à choix multiples, qui défile sur un écran tactile, chaque ministre doit indiquer sa position. Le tout dans un temps limité. Car, comme dans la réalité, l’important en cas d’attaque cyber et hybride est  de réagir vite… et de garder la tête froide. A chaque étape, le résultat de la décision s’affiche en temps quasi-réel, sous la direction de Jonatan Vseviov, le secrétaire permanent du ministère estonien de la Défense, qui joue le rôle du chef d’orchestre.

Associer le maximum d’acteurs

Hors des ministres, d’autres structures de l’UE sont impliquées : le Service diplomatique européen (SEAE), l’Agence européenne pour la sécurité des réseaux et de l’information (ENISA, basée à Heraklion en Grèce) et l’Agence européenne de défense (basée à Bruxelles), tout comme l’OTAN. Ce qui est à la fois un atout – bénéficier de l’avis des experts – mais complique aussi la donne de décision (comme dans la réalité).

Huiler les procédures

L’objectif de l’exercice est tout d’abord de « prendre conscience de la situation » comme l’explique un expert du dossier, puis d’« assurer la gestion des crises » comme la prise de position publique (NB : la communication stratégique) entre tous les États membres, en bref « huiler les procédures » pour arriver à une ligne directrice politique commune face à un cas de cyberattaque qui menace les structures militaires de l’Union européenne.

Les ministres se sont pris au jeu

Un peu sceptiques au départ, « les ministres se sont pris au jeu » en fait. Et, durant la bonne heure qu’a duré l’exercice (temps d’explication inclus), chacun des participants a été amené à réfléchir à la nécessité de prendre des décisions, rapides, stratégiques, en consultant à la fois sa capitale mais en arrivant surtout à une position commune, pour éviter de donner à « l’assaillant » la victoire ou le sentiment de la victoire.

Une différence d’appréciation au fil de l’exercice

Au début de l’exercice, lorsque les premières nouvelles sont arrivées, « tout le monde était presque d’accord pour avoir une communication aussi large que possible, factuelle sur les évènements » raconte à B2, le ministre belge de la Défense, Steven Vandeput. « Mais au fur et à mesure que tombaient les nouvelles, cela est devenu plus difficile, la plupart [des États] se fermaient ». Ce qui montre toute la difficulté de ce type d’attaque. « La défense aime bien apposer un « classified defence » sur tous ces documents pour empêcher toute information », précise un expert du dossier.

Des questions qui se posent

L’exercice a entraîné aussi quelques questions : à quel moment peut-on parler d’une attaque, d’un conflit, au sens international du terme ? Ce qui provoquerait la mise en place des procédures de solidarité (clause d’assistance mutuelle type article 42.7 au niveau de l’UE ou de défense collective article 5 pour l’OTAN). Les 28 ne sont pas automatiquement sur la même longueur d’onde, nous a confié un des participants.

Autres questions : De quels outils dispose (ou doit se doter) l’Union européenne pour faire face à de telles attaques ? Comment coopérer, de façon pratique, et politique avec l’OTAN, qui parait davantage « armée » pour faire face à des cyberattaques sur ses structures de défense ? « Au niveau de l’Otan, il y a des procédures. Au niveau de l’UE, c’est moins développé, il y a encore des progrès à faire » précise Steven Vandeput.

Le cyber ne connait pas de frontières

L’exercice montre que « différents problèmes ‘techniques’ peuvent se transformer rapidement en des questions nécessitant une orientation politique », a résumé ensuite le ministre estonien de la Défense Jüri Luik. « Le monde cybernétique et les menaces cybernétiques ne connaissent pas de limites nationales ou d’obstacles entre les organisations ».

Une communauté de réaction OTAN – UE

Il est donc « important d’effectuer ce type d’exercices conjoints, entre les États membres de l’Union européenne ainsi que l’UE et l’OTAN. Nous devons échanger des informations et avoir une compréhension commune, afin d’assurer une meilleure préparation pour faire face aux menaces cybernétiques ». NB : Une réplique de cet exercice devrait se tenir au niveau de l’OTAN en octobre, où l’Union européenne sera invitée.

(Nicolas Gros-Verheyde, à Tallinn)


Le souvenir d’il y a dix ans

Les Estoniens sont particulièrement sensibilisés aux attaques cyber à relents hybrides. Il y a quelques dix ans, le 27 avril 2007 exactement, la petite république balte subissait une attaque informatique d’ampleur (organisée depuis la Russie) qui a déstabilisé gravement son système bancaire. L’attaque s’est accompagnée de répliques plus ou moins importantes dans les mois suivants, accompagnées de diffusion de fausses informations sur une possible dévaluation de la monnaie estonienne qui ont mis l’Estonie dans une situation plus qu’inconfortable.


mis à jour à 16h45 avec des éléments plus détaillés sur le scénario, le jeu entre les ministres et les questions posées