De la théorie à la pratique, le laboratoire cyber de l’OTAN à Tallinn
La grenouille et le paradoxe de la résilience
“The boiling frog” : c’est l’analogie utilisée par Tõnis Saar pour décrire la situation des pays de l’Alliance face à la menace grandissante dans le cyberespace. La métaphore est connue pour illustrer une incapacité à réagir face aux menaces insidieuses qui s’installent progressivement : si vous plongez une grenouille dans l’eau bouillante, elle s’en échappera d’un bond. En revanche, si vous la placez dans l’eau froide et que vous augmentez progressivement la température, elle ne percevra pas le danger et finira par mourir, à feu doux.
En 2007, l’Estonie subit la première cyberattaque d’envergure contre un État membre de l’OTAN : sites gouvernementaux paralysés, systèmes bancaires hors ligne. C’est à partir de cette crise que la création du CCDCOE s’accélère. Il sera inauguré un an plus tard avec un triple mandat : recherche, formation, et exercices. Dix-huit ans plus tard, le paysage de la menace a radicalement changé. « Nous voyions des milliers d’attaques à l’époque. Aujourd’hui, nous en voyons des millions – et nous ne parlons plus de milliers par jour, mais parfois par minute » mesure Saar.
Le colonel René Innos, commandant du Cyber Command estonien, que nous avions interviewé en janvier dernier dans le cadre de la série InCyber Defense, replaçait cette évolution dans une perspective opérationnelle : « Aujourd’hui, nous subissons quotidiennement des attaques de niveau comparable ou supérieur à 2007, mais la surface d’attaque s’est considérablement élargie ». Selon lui, l’Estonie a longtemps servi, malgré elle, de terrain d’essai : « La logique est simple : notre adversaire nous a bien formés, donc des cibles plus faciles existent désormais ailleurs. […] Nous observons davantage d’attaques contre des cibles plus vulnérables », notamment le secteur privé.
Le changement concerne non seulement le volume des attaques, mais aussi leurs cibles et leur degré de précision. Sur ce sujet, Saar prend l’exemple suivant : quand les données d’une chaîne de pharmacies sont volées, les attaquants savent quel médicament vous prenez, quel supermarché vous fréquentez. Ils peuvent fabriquer un e-mail ciblé directement contre vous. Ce n’est plus un problème d’État, mais une approche « impliquant l’ensemble de la société ».
C’est là qu’apparaît le paradoxe. Les capacités de cyberdéfense des Alliés ont progressé de manière spectaculaire depuis 2007 et les évaluations de risques se sont affinées. Résultat : ce type d’attaque qui paralysait un pays il y a près de dix ans ne constitue plus aujourd’hui une menace sérieuse. « Je pense que ces lignes rouges sont en réalité repoussées par notre propre résilience croissante, » résume Saar. En bref, plus les États renforcent leur défense, plus le seuil de la guerre recule.
La question de l’Article 5 cristallise cette tension. Le déclenchement de la clause de défense collective de l’OTAN par une cyberattaque reste avant tout une décision politique et, à ce stade, encore largement théorique. Le colonel Innos s’interrogeait en janvier : « Est-ce que le cyber peut déclencher l’Article 5 ? Honnêtement, je pense que nous n’en sommes pas encore là. Les lignes rouges ne sont même pas claires dans le domaine conventionnel. Elles le sont encore moins dans le cyber ».
Manuel de Tallinn : adapter les règles du jeu pendant la partie
Si le seuil est politique et que les lignes rouges reculent, reste la question du cadre. Comment conduit-on des opérations dans un espace où la pratique devance la théorie ? Saar le précise d’emblée : le Manuel n’est pas du droit. C’est un effort académique pour comprendre comment les règles du droit international existant s’appliquent au cyberespace : « Le message central, c’est que le monde cyber n’est pas fondamentalement différent du monde physique du point de vue de l’application du droit. »
Reste que la pratique devance largement la théorie. « Il y a quelques années, la question était purement hypothétique : peut-on mettre un site hors ligne ? Aujourd’hui, nous voyons ce type d’opérations quotidiennement. Et je crois que la pratique courante est en train de modifier progressivement l’interprétation des régulations internationales, » observe Saar. Les États remodèlent le droit international par leur conduite. C’est dans les exercices du Centre que ces questions juridiques prennent une dimension concrète : « Nous posons des questions très précises : peut-on faire cela ? Est-il juridiquement interdit de faire cela ? Y a-t-il un moyen d’interpréter cette action comme légale ? Parce que nous observons nos adversaires mener des activités illégales massives, et la question de ce qui constitue une réponse légitime est pressante. »
Le colonel Innos reconnaît sa valeur de référence, mais pointe un déficit d’épreuve par le réel : « Le Manuel de Tallinn reste largement théorique quant à la manière de conduire des opérations cyber. Mais sans avoir mené de telles opérations à grande échelle, il est difficile de confronter les dispositions du Manuel à la réalité ».
Tõnis Saar indique que le Manuel de Tallinn 3.0, actuellement en préparation et attendu pour 2027, intégrera les nombreuses positions nationales formulées depuis la deuxième édition, publiée il y a près de dix ans. Cette nouvelle version prendra également en compte les évolutions liées à la cybercriminalité dans le cadre du Statut de Rome, le régime de sanctions cyber de l’Union européenne, ainsi qu’un volet consacré aux enjeux liés à l’intelligence artificielle.
De la doctrine à l’entraînement opérationnel
Les exercices, deuxième pilier du CCDCOE, le distinguent d’un think tank en ajoutant la pratique à ses prérogatives centrales.
Locked Shields, organisé chaque année par le Centre, est le plus grand exercice de cyberdéfense au monde. L’édition 2025 a rassemblé environ 4 000 participants de 41 nations, défendant 8 000 systèmes virtuels contre plus de 9 000 attaques simulées. Le scénario est calqué sur les réalités géopolitiques du moment : réseaux électriques, réseaux 5G, systèmes satellitaires, systèmes de gestion du champ de bataille. Tõnis Saar nous annonce que l’édition 2026 introduira notamment :
- « un module dédié aux systèmes électoraux, afin de répondre au besoin critique de protection des processus démocratiques ;
- une extension du segment cloud ;
- la création d’un nouvel environnement informationnel dynamique destiné aux communications stratégiques. »
Mais l’enjeu central n’est pas technique, c’est la capacité des nations à opérer ensemble. « Nous avons des doctrines, mais ce qui nous manque, c’est une compréhension très précise de la façon d’opérer en équipe – en tant qu’Alliance, ou en tant que nations travaillant ensemble, » reconnaît Saar. Le colonel Innos le confirmait : les forces aériennes, navales et terrestres disposent de manuels d’opérations conjointes éprouvés par des décennies de pratique. Le cyber n’a pas encore consolidé ces procédures.
Si Locked Shields est défensif, Crossed Swords entre sur le terrain de l’offensif. C’est là que le CCDCOE teste l’intégration des opérations cyber avec d’autres domaines, et en premier lieu le renseignement. Saar assume la dimension offensive sans réserve : « Il est fondamentalement impossible de défendre un système sans comprendre comment l’attaquer. Une capacité cyber offensive n’est pas différente d’un missile. C’est un nouvel élément de l’arsenal. On le détient à des fins défensives, et on ne l’emploie que lorsque c’est nécessaire. » Le colonel Innos relève que ce discours aujourd’hui admis était encore impensable il y a dix ans : « Discuter de capacités offensives était considéré comme inapproprié, voire politiquement inacceptable. Aujourd’hui, nous en parlons librement. »
Leçons d’Ukraine
Ces exercices s’appuient sur les enseignements d’un conflit en cours. Tõnis Saar revient tout juste de Kiev. Il en tire deux leçons pour l’Alliance.
La première est opérationnelle : « Sur le terrain, vous avez différentes unités : certaines fournissent du renseignement d’origine électromagnétique, d’autres mènent des opérations cyber, d’autres opèrent des drones. Mais comment faire fonctionner tout cela comme un ensemble cohérent ? C’est quelque chose que beaucoup de nations de l’OTAN n’ont jamais expérimenté, » décrit Saar. C’est précisément ce que le CCDCOE tente de codifier dans ses manuels opérationnels et de tester à travers ses exercices.
La seconde leçon touche au modèle d’acquisition lui-même. Historiquement, le dual-use désignait une technologie développée pour le militaire puis adaptée au civil. L’Ukraine renverse la logique. « L’Ukraine a fondamentalement changé ma compréhension du double usage. Ce que nous voyons, particulièrement dans la guerre cyber et la guerre des drones, c’est l’inverse : tout ce qui fonctionne dans le secteur privé peut être adopté par le militaire, à condition que ce soit abordable, efficace et livrable logistiquement, » développe Saar.
Interrogé dans le cadre de notre série INCYBER Defense, le général Van Strythem à la tête du commandement cyber belge observait le même manque à gagner : « Dans nos interactions avec les partenaires publics et privés, nous constatons souvent un manque de conscience concernant le potentiel à double usage des technologies qu’ils développent. »
La question du secteur privé ne s’arrête d’ailleurs pas au dual-use. Saar rappelle que 70 à 80 % de la cybersécurité des infrastructures critiques est gérée par des acteurs privés. Interrogé sur les risques que cela présente, notamment avec une dépendance aux hyperscalers, il admet que la logique commerciale peut poser problème : « En temps de crise, il faut prendre des décisions qui défient la logique commerciale – des décisions où l’on va perdre de l’argent, mais sauver des vies ».
Du cadre juridique aux leçons de terrain, du paradoxe de la résilience à la dépendance au privé, le CCDCOE se retrouve au point de convergence de toutes les tensions qui traversent la cyberdéfense alliée. Saar conclut par un avertissement qui ne s’adresse pas aux adversaires, mais aux Alliés eux-mêmes : « Ceux qui dorment et pensent que la menace finira par passer – ceux-là doivent comprendre que ça n’arrivera pas. Ça n’arrivera tout simplement pas. »