![[Net Assessment] et Cybersécurité : précision stratégique dans un monde saturé de données](https://incyber.org//wp-content/uploads/2025/07/incyber-news-abstract-data-9-2160x735.jpg)
Net Assessment et Cybersécurité : précision stratégique dans un monde saturé de données
![Image Route de la surveillance - épisode 5 : [États-Unis], trouble jeu sur la cybersurveillance](https://incyber.org//wp-content/uploads/2026/02/media-episode-1-885x690.png)
Le Net Assessment a été créé en 1973 par Andrew Marshall à l’Office of Net Assessment du Pentagone. Marshall, surnommé Yoda par les militaires américains, avait une idée simple : la puissance ne se lit jamais dans les stocks d’armes mais dans les trajectoires systémiques. Le premier rapport emblématique, “Soviet Military R&D: Trends and Asymmetries” (1976), montrait que la victoire stratégique dépendait moins des missiles que de la manière dont un système politico-militaire évoluait dans le temps. C’est cette vision qui a permis aux États-Unis d’identifier avant tout le monde la stagnation structurelle de l’URSS. Ce fut un succès.
Mais transposer cette méthode au cyber est impossible sans transformation profonde. Un exemple suffit : l’attaque NotPetya de juin 2017. Une opération russe initialement ciblée contre l’Ukraine via le logiciel comptable M.E.Doc, qui finit par ravager Maersk, Merck, Saint-Gobain, FedEx et Rosneft. Dix milliards de dollars de dommages selon le White House Economic Council (2018). Aucun indicateur de puissance classique n’aurait pu prévoir cet effet domino. NotPetya a référé au monde une vérité simple : la puissance cyber ne se mesure pas dans les capacités offensives mais dans les vulnérabilités systémiques. Ce que le Net Assessment, dans sa version d’origine, ne sait pas intégrer.
Même constat avec SolarWinds en 2020. Une infiltration patiente du code source d’Orion, menée par SVR/Cozy Bear, qui a touché le département du Trésor, le DHS, Microsoft, FireEye et 18 000 organisations. Une attaque où la puissance tient dans la compréhension fine d’une chaîne d’approvisionnement logicielle. Une attaque où la valeur stratégique est distribuée, fractale, impossible à représenter par une matrice héritée de la guerre froide. Le Net Assessment, tel qu’il est, n’a pas les outils pour analyser une menace qui n’est plus un acteur mais un écosystème infiltré.
Les grandes puissances ont elles-mêmes reconnu cette limite. Le rapport “Cyberspace Solarium Commission” remis au Congrès américain en mars 2020 l’admet explicitement : l’évaluation stratégique doit s’appuyer sur des modèles systémiques, capables d’absorber la non-linéarité du cyber. Le Royaume-Uni, dans sa “Integrated Review 2021”, affirme la même nécessité. La France aussi, dans la Revue stratégique de défense et de sécurité nationale de 2017, évoque une “industrialisation de la menace” et des “vulnérabilités d’interdépendance” impossibles à réduire aux schémas classiques. Même l’ANSSI, dans son rapport d’activité 2022, parle “d’environnement chaotique où les acteurs majeurs modifient en permanence leur signature”.
Il fallait donc reviser l’ancien Net Assessment. Le reconstruire dans la logique des sciences des systèmes.
Comment les sciences des systèmes rendent le Net Assessment enfin pertinent pour le cyber
Les sciences des systèmes ne sont pas un décor intellectuel. Elles apportent une grammaire pour comprendre un monde où les attaques sont des phénomènes émergents et non des opérations militaires structurées.
L’approche de Jay Forrester au MIT dans les années 1960, qui a servi de base aux modèles du Club de Rome, posait déjà les principes clefs : interdépendance, rétroaction, saturation, effet-retard, points critiques. Aujourd’hui, ces outils servent à analyser les chaînes logicielles mondiales. Le rapport de la CISA sur l’incident Log4Shell (2021) montre que la faille d’une bibliothèque open source maintenue par trois bénévoles peut mettre à terre des milliers d’infrastructures critiques. Une vulnérabilité microscopique, un impact systémique global. Le Net Assessment traditionnel ne voit pas ce type de disproportion. La systémique, si.
Les travaux de Ross Anderson et de l’équipe de Cambridge sur l’économie de la cybersécurité montrent que les États ne sont pas forts ou faibles, mais dépendants de couches techniques qu’ils ne maîtrisent pas : DNS, BGP, firmware, cloud souverain ou non souverain. La dépendance à Amazon Web Services, par exemple, est telle qu’une panne du 25 novembre 2020 aux États-Unis a paralysé des pans entiers de la logistique nationale. Il ne s’agissait pas d’une attaque, mais d’une démonstration involontaire : la puissance numérique américaine repose sur une infrastructure privée dont les militaires ne connaissent pas l’architecture interne. Ce type de fragilité n’a aucune place dans le Net Assessment classique. Dans le Net Assessment systémique, c’est une donnée centrale.
Même logique avec la Chine. Le rapport “China and the Strategic Logic of Managed Ecosystems” (RAND Corporation, 2022) montre que Pékin construit sa puissance non par les capacités cyber isolées mais par la densité de ses systèmes : Beidou, Huawei, SMIC, Great Firewall, normes industrielles, certification de composants, standardisation quantum. Une puissance par intégration, non par confrontation. Le Net Assessment d’origine n’a aucun outil pour mesurer ce type d’architecture. La systémique, oui : elle permet d’évaluer la résilience, la redondance, la capacité d’absorption des chocs, les effets de réseau internes.
Autre cas : l’Iran. Le worm Stuxnet en 2010, opéré conjointement par la NSA et l’unité 8200 israélienne, n’a pas simplement détruit des centrifugeuses à Natanz. Il a révélé une autre vérité stratégique : un système nucléaire dépendant de logiciels industriels allemands (Siemens S7-300) et d’ingénieurs formés à l’Ouest, donc vulnérable par intermédiation. Le Net Assessment systémique permet d’intégrer ce type de dépendance croisée. Et de comprendre pourquoi la réponse iranienne, entre 2012 et 2023, a consisté non pas à produire plus d’armes mais à créer un écosystème cyber autonome (APT33, APT34, APT35, infrastructure MOIS/NEDA).
Dernier exemple : l’invasion russe en Ukraine en 2022 et l’échec partiel de l’offensive cyber initiale. Les rapports conjoints NSA–CISA–NCSC publiés en 2022 montrent que les attaques russes (HermeticWiper, CaddyWiper, IsaacWiper) étaient techniquement efficaces mais ont échoué parce que le système ukrainien, soutenu par Microsoft, Mandiant et Starlink, s’est reconfiguré en temps réel. C’est exactement ce que décrivent les sciences des systèmes : un système qui survit non pas parce qu’il est fort, mais parce qu’il est capable de muter sous pression.
C’est cela, le renouvellement du Net Assessment : non plus mesurer la puissance, mais mesurer la capacité de transformation.
Vers un Net Assessment systémique du cyber
Le Net Assessment amélioré par la systémique permet trois choses essentielles.
D’abord, il replace les données au centre. Les États-Unis surveillent aujourd’hui la structure du code ouvert via la fondation OpenSSF, financée en partie par le Department of Homeland Security. L’Union européenne, avec NIS2 (2022), impose la cartographie des dépendances logicielles. La France, via l’ANSSI, oblige en 2023 les OIV à vérifier leurs chaînes d’approvisionnement. Ces décisions ne sont pas techniques, mais stratégiques : elles traduisent l’idée que la puissance dépend de l’architecture logicielle, pas des armes.
Ensuite, il introduit un réalisme brutal. La cybersécurité mondiale repose sur quelques centaines de développeurs open source qui n’ont ni moyens ni protection. Le rapport de l’Open Source Security Foundation (2023) le confirme : 80 % des infrastructures critiques utilisent moins de 50 bibliothèques maintenues par des bénévoles. C’est une vulnérabilité structurelle d’échelle civilisationnelle.
Enfin, il redonne une précision conceptuelle : la puissance est une propriété émergente. Les États-Unis ne sont pas puissants parce qu’ils ont Cyber Command ; ils le sont parce qu’ils peuvent mobiliser Microsoft Detection & Response Team (DART), Google Mandiant, Amazon S2 Security, Cloudflare. La Russie n’est pas faible parce que ses infrastructures sont anciennes ; elle est fragile parce que son système repose sur des dépendances industrielles héritées de la période soviétique. La Chine n’est pas forte parce qu’elle produit des supercalculateurs, mais parce qu’elle organise une intégration verticale de tout son numérique.
Le Net Assessment systémique permet de décrire tout cela sans fiction. Un outil qui voit enfin les systèmes, pas seulement les acteurs.