FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • INCYBER Defense Col. René Innos – Commandement Cyber estonien

    INCYBER Defense Col. René Innos – Commandement Cyber estonien

    Écrit par
    Adèle Forveille
    06.01.26
    Cyber stabilité
    15
    MIN
    INCYBER Defense Col. René Innos – Commandement Cyber estonien
    INCYBER Defense Col. René Innos – Commandement Cyber estonien
    INCYBER Defense Col. René Innos – Commandement Cyber estonien
    Image L’Ukraine va bloquer l’accès à Starlink pour les appareils non autorisés
    Cyber stabilité
    03.02.26 Cyber stabilité
    Prochain article
    L’Ukraine va bloquer l’accès à Starlink pour les appareils non autorisés
    Lire
    01
    MIN
    Image La Lettonie s’inquiète d’un renforcement de la menace cyber russe
    Cyber stabilité
    03.02.26 Cyber stabilité
    Prochain article
    La Lettonie s’inquiète d’un renforcement de la menace cyber russe
    Lire
    02
    MIN
    Image Utilisation de Starlink par la Russie : tensions entre Elon Musk et le gouvernement polonais
    Cyber stabilité
    29.01.26 Cyber stabilité
    Prochain article
    Utilisation de Starlink par la Russie : tensions entre Elon Musk et le gouvernement polonais
    Lire
    02
    MIN
    Image Starlink en Iran : les mollahs contre le magnat
    Cyber stabilité
    25.01.26 Cyber stabilité
    Prochain article
    Starlink en Iran : les mollahs contre le magnat
    Lire
    07
    MIN

    L’Estonie est largement reconnue comme pionnière en matière de cyberdéfense militaire. Pourriez-vous présenter brièvement le Commandement Cyber – sa création, son évolution et son rôle actuel au sein des Forces de défense estoniennes ?

    Le Commandement Cyber a été créé en 2018 pour répondre à des problématiques très pragmatiques. Premièrement, le cyber gagnait en importance dans la sphère militaire depuis environ une décennie. Pourtant, il n’était pas géré de manière aboutie ; il se développait sans véritable leadership ni cadre structurant. La décision a été prise de regrouper toutes les activités liées au cyber sous une structure unique. Deuxièmement, toutes les branches des forces armées se disputaient le même vivier de talents. Tout consolider au sein d’un seul commandement permettrait d’éviter la concurrence interne et de rationaliser l’utilisation du personnel.

    Chaque pays définit le « commandement cyber » de manière très différente. En Estonie, nous incluons la fourniture des technologies de l’information et de la communication (TIC) aux forces, l’ensemble des systèmes de communication et d’information, les opérations cyber défensives et offensives, les opérations d’information, la guerre électronique, ainsi que le soutien aux états-majors supérieurs en temps de paix comme en temps de guerre. Notre Commandement Cyber est donc plus large que les seules opérations défensives ou offensives. Nous pensons que ce modèle intégré fonctionne parce que le cyber est partout ; il n’y a aucun intérêt à le fragmenter.

    L’Estonie fait face à un environnement de menaces cyber particulièrement aigu étant donné sa proximité avec la Russie. Comment caractérisez-vous le paysage actuel des menaces, et comment celles-ci ont-elles évolué depuis les attaques de 2007 ?

    Aujourd’hui, nous subissons quotidiennement des attaques de niveau similaire ou supérieur à 2007, mais la surface d’attaque s’est incontestablement étendue. De 2007 jusqu’à l’occupation de la Crimée [2014], nous faisions principalement face à des perturbations de service et des attaques DDoS. Jusqu’en 2020, l’armée était une cible privilégiée. Selon notre analyse, nous servions de terrain d’entraînement. Les attaques les plus vicieuses étaient d’abord testées sur nous, puis déployées contre d’autres pays européens.

    Depuis le début de la guerre en Ukraine, l’attention s’est détournée des cibles militaires. La logique est simple : notre adversaire nous a bien formés, donc des cibles plus faciles existent désormais ailleurs. Je ne dis pas que nous nous reposons, mais nous observons davantage d’attaques contre des cibles plus vulnérables : institutions gouvernementales, collectivités locales, secteur bancaire, fournisseurs d’infrastructures critiques, commerce en ligne, etc. Quand nous sommes attaqués aujourd’hui, il s’agit généralement de techniques nouvelles ou inédites ; nous continuons à servir de base d’essai en ce sens. Mais les attaques nous ciblant spécifiquement sont devenues plus rares.

    Parallèlement, côté civil, on observe une hausse significative des fraudes, des rançongiciels et des attaques DDoS. La plupart des institutions gouvernementales disposent désormais d’une bonne protection anti-DDoS, donc la pression s’est reportée sur le secteur privé. Nous restons constamment ciblés, mais disons que nos adversaires semblent occupés par l’Ukraine.

    Le conflit en Ukraine a démontré l’intégration des opérations cyber au sein de la guerre hybride. Quelles leçons l’Estonie a-t-elle tirées de l’observation des opérations cyber russes en Ukraine ?

    C’est précisément l’observation de l’efficacité russe dans les opérations sur le terrain informationnel qui nous a conduits à intégrer ce domaine au Commandement Cyber. La Russie excelle dans la guerre hybride, et plus précisément dans la manipulation des populations via les réseaux sociaux et les plateformes numériques – une capacité indissociable du cyber.

    En Ukraine, il est difficile d’identifier précisément où le cyber a été directement impliqué dans une opération. Ces liens sont difficiles à établir aujourd’hui, mais nous les mettrons probablement en évidence après la guerre, lorsque nous pourrons analyser les informations sous-jacentes aux attaques. Toutefois, nous voyons clairement que le cyber et les opérations sur les systèmes d’information et de communication sont aujourd’hui directement liés aux combats, notamment à travers les réseaux sociaux pour semer la peur ou mener des campagnes de désinformation.

    L’impact des cyberattaques dépend fortement du degré de dépendance numérique d’une société. Juste avant la guerre, la Russie a réussi à mettre hors service des centrales électriques ukrainiennes par des moyens cyber. Mais les Ukrainiens n’étaient pas si dépendants du numérique ; ils disposaient encore de procédures manuelles. L’attaque a réussi, les systèmes sont tombés, mais ont été restaurés manuellement. L’effet a été de courte durée.

    En Estonie, nous sommes très dépendants au numérique : peu de gens payent en liquide, les systèmes de distribution sont très centralisés… Si des adversaires parvenaient à compromettre le système bancaire estonien, cela créerait la confusion pendant au moins une semaine. Nous avons été témoins de ces effets en cascade lorsque l’Ukraine a été attaquée et que Maersk a été touché ; une chaîne de supermarchés estonienne a également été affectée – tous ses magasins sont restés à l’arrêt pendant quatre jours parce que le système central avait été compromis. Si un adversaire neutralise tous les systèmes centraux de distribution, il crée une semaine de confusion, au minimum. Tout dépend de cette dépendance, et dans certains secteurs, l’Estonie est très dépendante. Nous en sommes conscients et nous nous efforçons de protéger ces systèmes.

    Le modèle estonien de e-gouvernance repose donc fortement sur l’infrastructure numérique et les services cloud. Comment conciliez-vous les avantages de la transformation numérique avec les dépendances technologiques ?

    Nous savons que nous serons toujours dépendants en raison de notre taille. Construire une infrastructure cloud comparable à celle d’Amazon nous est impossible. La redondance et la gestion des risques sont à notre agenda depuis le début de la guerre en Ukraine. Avant 2022, nous considérions les risques comme des dysfonctionnements systémiques à compenser. Aujourd’hui, nous avons évolué vers l’acceptation que quelque chose peut être entièrement détruit. La compréhension du risque a fondamentalement changé.

    Les actions en faveur de la redondance – survivre même quand quelque chose est détruit – sont désormais prioritaires. Par exemple, plutôt qu’un immense centre de données unique, il peut être plus judicieux d’en construire dix petits répartis sur tout le territoire, réduisant ainsi la concentration des cibles. Suite aux coupures de câbles de l’année dernière, nous examinons comment maintenir les communications lorsque les câbles sont sectionnés.

    Un autre point à comprendre est que le risque n’est plus confiné à l’informatique. Sans électricité (en cas de défaillance des centrales ou des lignes de transmission), l’infrastructure TIC finit par tomber elle aussi, faute d’alimentation. Le paysage des risques s’est élargi, et la compréhension des interdépendances s’est accrue en conséquence.

    Selon votre ministre de la Défense, la Russie teste les limites pour voir jusqu’où elle peut aller avant de déclencher l’article 5 de l’OTAN. Comment le Commandement Cyber contribue-t-il aux discussions sur la définition des « lignes rouges » cyber et les questions de dissuasion ?

    Tout d’abord, il faut comprendre que la déclaration de l’article 5 est une décision politique. Et il en va de même pour l’attribution des cyberattaques, c’est toujours politique. Le cyber peut-il déclencher l’article 5 ? Honnêtement, je pense que nous n’en sommes pas encore là. Bien sûr, nous l’avons testé lors d’exercices OTAN : « que devrait-il se passer pour provoquer l’article 5 ? » Mais je crois que nous n’avons pas atteint ce stade.

    L’une des raisons est que les seuils n’ont pas été définis. Les pays de l’OTAN subissent quotidiennement des centaines de milliers de cyberattaques avec un certain niveau d’impact. Ce volume rend difficile la distinction du moment où nous atteignons un point de rupture. Il est facile de parler de l’article 5 quand des roquettes tombent : on peut retracer leur point de départ, leur point d’impact, identifier les dommages collatéraux et les victimes. Mais même les cas conventionnels ne sont pas tranchés : cette année, une vingtaine de drones ont pénétré l’espace aérien polonais, certains possiblement armés. Il s’agissait de drones adverses, certains abattus par des avions de l’OTAN. Cela a-t-il déclenché l’article 5 ? Non. Les lignes rouges ne sont donc pas claires, même dans la guerre conventionnelle. Elles le sont encore moins dans le cyber.

    Ce qui rend le cyber particulièrement difficile en matière d’attribution, c’est son utilisation massive à des fins criminelles. La plupart de ces centaines de milliers d’incidents quotidiens à travers les 32 pays de l’OTAN semblent avoir des motivations criminelles.

    Il existe des débats académiques sur la possibilité d’intégrer le cyber à la dissuasion. Je suis sceptique. L’attribution prend au minimum deux à trois mois. Comment cela peut-il constituer une forme de dissuasion ? Si vous ne pouvez pas attribuer immédiatement, ça ne sert à rien. Le temps que nous identifions et nommions l’attaquant, il a atteint ses objectifs et s’est retiré. Encore une fois, en fin de compte, c’est toujours une décision politique.

    Un réseau de CERT militaires a été établi à travers l’Europe. Quel rôle joue l’Estonie, et quelles sont les conditions essentielles pour une réponse transfrontalière efficace aux incidents ?

    Ces équipes de réponse ont été créées il y a des années. L’idée était que le cyber est un nouveau domaine, et que notre principal défi est la coopération. Ce n’est pas que nous ne savons pas quoi faire – mon Commandement Cyber sait exactement comment repousser ou mener des attaques – mais lorsqu’il s’agit de coopérer avec d’autres pays, cela crée des frictions parce que nous fonctionnons tous différemment. L’idée principale derrière les équipes de réponse cyber est de faire travailler ensemble différents pays et de développer des procédures communes.

    Les domaines traditionnels ont résolu ce problème. Les forces aériennes, les marines et les forces terrestres disposent de manuels exhaustifs sur les opérations conjointes. Quand une unité d’infanterie française arrive en Estonie, nous utilisons les procédures de l’OTAN indépendamment des pratiques nationales. Le cyber, étant jeune, n’a pas encore développé de procédures équivalentes ; elles émergent à mesure que le domaine mûrit. Les équipes de réponse et les exercices comme Locked Shields accélèrent ce processus. Il existe désormais une règle dans Locked Shields : on ne peut pas participer seul. Il faut s’associer à d’autres pays pour développer des procédures et des standards communs.

    Les équipes de réaction rapide sont-elles efficaces ? Elles répondent à un besoin réel. Sous attaque, vous êtes submergé de données provenant des outils d’analyse, des systèmes de protection et des journaux d’information. Quelle que soit votre taille, vous faites face à une pénurie de capacité cognitive. Mener des opérations 24h/24 et 7j/7 pour repousser des attaques évolutives nécessite des renforts. Le défi est d’utiliser ces équipes correctement. Bien sûr, aucun pays n’accorde à des étrangers un accès profond à ses réseaux. Mais ces équipes sont précieuses pour des opérations spécifiques et pour bâtir la confiance.

    Et au niveau national, comment le Commandement Cyber se coordonne-t-il avec les forces terrestres, aériennes et navales ? Et avec les entités civiles ?

    Notre petite taille est un avantage ici. Le Commandement Cyber est le point focal unique pour toutes les questions cyber ; pas de cyber séparé pour la mer, l’air ou la terre. De notre point de vue, avoir une seule entité responsable du cyber élimine les problèmes de coordination. Nous avons un cyber unique pour tout le monde dans la défense, y compris le ministère de la Défense. Le Commandement Cyber sert de pôle cyber pour l’ensemble du périmètre du ministère.

    En Estonie, les responsabilités sont clairement réparties. Le Commandement Cyber gère le cyberespace du ministère de la Défense ; l’Autorité estonienne des systèmes d’information (EISA) gère les infrastructures critiques civiles. Nous avons une loi sur la cybersécurité qui oblige tous les fournisseurs d’infrastructures critiques non militaires et les institutions gouvernementales à s’y conformer. Par ce biais, nous appliquons les normes européennes comme la directive NIS, avec un signalement obligatoire à l’EISA. Les entreprises privées désignées comme fournisseurs d’infrastructures critiques doivent signaler les incidents et peuvent être tenues d’apporter des modifications. Ainsi, notre petite taille nous permet de travailler en coopération très étroite.

    L’Estonie dispose d’un écosystème de startups technologiques dynamique, comprenant plusieurs entreprises de cybersécurité. Quelles formes de partenariat public-privé se sont révélées les plus précieuses ?

    Nous coopérons largement avec le secteur privé, mais ici, la petite taille joue contre nous. Certaines disciplines cyber sont trop coûteuses à maintenir en interne, ou nécessitent une expertise tellement pointue qu’une capacité interne serait inutile. Nous nous appuyons sur des partenaires privés, principalement estoniens, par exemple pour les tests de produits. Nous dépendons presque entièrement de partenaires externes pour tester les produits avant leur intégration aux réseaux militaires.

    L’Unité Cyber de la Ligue de défense estonienne représente un modèle unique de coopération civilo-militaire. Comment cette réserve de volontaires complète-t-elle vos forces régulières ?

    Le modèle des Forces de défense estoniennes maintient les unités principales en réserve en temps de paix. Les unités d’active préparent les réservistes – nous accueillons des conscrits, les formons pendant onze mois, puis ils rejoignent des unités de réserve. En temps de guerre, mes unités seraient environ quatre fois plus importantes qu’en temps de paix. Ils se situent à l’intersection des sphères civile et militaire. Je les appelle « caméléons » parce qu’ils adaptent leur rôle à la situation.

    Ils sont essentiels pour maintenir les réserves à niveau. Entretenir les compétences des réservistes est crucial, et nous le faisons à travers les unités cyber de la Ligue de défense, où réside notre structure de réserve. La Ligue de défense a l’autorité de mobiliser le personnel plus facilement que les Forces de défense régulières.

    Nos unités de réserve sont organisées au sein de la structure de la Ligue de défense. Bien qu’elles ne soient pas en service actif, elles restent en réserve au sein des unités de la Ligue de défense. Quand j’en ai besoin, je les convoque et elles arrivent en tant qu’unité, principalement pour des exercices. Depuis deux à trois ans, mon personnel d’active ne participe plus aux exercices comme il le faisait il y a six ou sept ans. À la place, je convoque des unités de réserve pour Locked Shields ou Cyber Coalition.

    L’Autorité estonienne des systèmes d’information maintient également sa réserve au sein de l’Unité Cyber de la Ligue de défense. Leur partie est purement civile, pas des combattants, mais dans la même unité.

    Le Manuel de Tallinn reste une référence clé pour le droit international dans le cyberespace. Selon vous, quelles lacunes doctrinales ou juridiques doivent encore être comblées, notamment concernant les opérations offensives ?

    Tout cadre juridique nécessite une application pratique pour révéler ses lacunes, et nous n’avons pas encore eu suffisamment de pratique. Le Manuel de Tallin reste largement théorique quant à la manière de conduire des opérations cyber. Sans avoir mené de telles opérations à grande échelle, il est difficile de confronter les dispositions du Manuel à la réalité. Nous avons évidemment besoin de règles d’engagement dans le cyber, et celles-ci découlent principalement du Manuel de Tallinn. Mais identifier des lacunes spécifiques nécessite de la pratique. 

    Bien sûr, nous l’utilisons comme référence pour les opérations. Comprendre les dommages collatéraux dans le contexte cyber est essentiel, et le Manuel intègre des valeurs démocratiques ; nous nous efforçons de conduire la guerre de manière équitable. Je dirais que nous n’avons pas encore mis le Manuel à l’épreuve. Avec le temps, il prendra davantage de consistance.

    Sur le plan international, je peux confirmer que nous discutons de plus en plus ouvertement des opérations offensives. Je suis dans le cyber depuis au moins dix ans. Au début, discuter des capacités offensives était considéré comme inapproprié, voire politiquement inacceptable. Aujourd’hui, nous en parlons librement. Cela reflète l’évolution du domaine. L’état d’esprit auparavant purement défensif a cédé la place à la reconnaissance de l’idée que les murs, aussi épais soient-ils, peuvent toujours être percés. Il est utile de maintenir des capacités offensives et de les utiliser de manière contrôlée pour dissuader les adversaires ou stopper les attaques. Je pense que la troisième édition du Manuel abordera ces opérations offensives de manière plus ouverte.

    Adèle Forveille
    06.01.26
    Articles du même auteur :
    1
    13.01.26 Transformation numérique
    Grok : anatomie d’une IA sans garde-fous
    Lire
    07
    MIN
    2
    24.11.25 Cybersécurité
    Cartographie du numérique africain : infrastructures en expansion, autonomie en question
    Lire
    08
    MIN
    3
    24.10.25 Transformation numérique
    D’usine du monde à géant technologique : les ressorts de la montée en puissance chinoise
    Lire
    08
    MIN
    4
    25.09.25 Cybercriminalité
    Fraudes en ligne et “cyber-esclavage” : la plaque tournante sud-asiatique
    Lire
    05
    MIN
    Image L’Ukraine va bloquer l’accès à Starlink pour les appareils non autorisés
    Cyber stabilité
    03.02.26 Cyber stabilité
    Prochain article
    L’Ukraine va bloquer l’accès à Starlink pour les appareils non autorisés
    Lire
    01
    MIN
    Image La Lettonie s’inquiète d’un renforcement de la menace cyber russe
    Cyber stabilité
    03.02.26 Cyber stabilité
    Prochain article
    La Lettonie s’inquiète d’un renforcement de la menace cyber russe
    Lire
    02
    MIN
    Image Utilisation de Starlink par la Russie : tensions entre Elon Musk et le gouvernement polonais
    Cyber stabilité
    29.01.26 Cyber stabilité
    Prochain article
    Utilisation de Starlink par la Russie : tensions entre Elon Musk et le gouvernement polonais
    Lire
    02
    MIN
    Image Starlink en Iran : les mollahs contre le magnat
    Cyber stabilité
    25.01.26 Cyber stabilité
    Prochain article
    Starlink en Iran : les mollahs contre le magnat
    Lire
    07
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.