Risque d’escalade cyber : « Il n’y a pas de paix dans le cyberespace »

L’OTAN et certains États se réservent la possibilité de réagir par des moyens conventionnels à des cyberattaques contre des infrastructures critiques. C’est dire le niveau d’hybridation des conflits actuels. Dès lors, répondre à des attaques cyber sans escalade incontrôlée devient un véritable jeu d’équilibriste, ont expliqué quatre experts civils et militaires lors d’une table ronde au Forum InCYBER 2025. Analyse.

« Je pense que nous vivons une époque assez intéressante. Une guerre sur le territoire européen, une guerre hybride dans l’indopacifique, une incertitude économique à cause de la situation aux États-Unis […], voire un risque d’effondrement de l’économie mondiale et donc de la sécurité » : d’emblée, le colonel Daniel Blanc, ancien commandant des Forces cybernétiques canadiennes, dresse un sombre tableau de la situation internationale. Un contexte hautement volatil qui rend complexe la réponse à la croissance des menaces cyber. « Évidemment, à l’OTAN, nous nous concentrons sur la Russie et la Chine. Nous observons que la Russie augmente ses activités sur le cyberespace de manière considérable. Son seuil d’acceptation du risque est plus élevé, ce qui est vraiment inquiétant », complète Ben Hiller, responsable des politiques de l’OTAN en cyber et en guerre hybride.

Comment répondre à ces agressions provenant d’acteurs étatiques tout en maîtrisant la menace d’un embrasement généralisé ? Plus que jamais, les responsables cyber militaires et civils sont sur la corde raide. C’est ce qui ressort de la table ronde organisée durant le Forum InCyber 2025 intitulée « Comment maîtriser le risque d’escalade ? ». Outre les deux responsables militaires, y participaient Rayna Stamboliyska, fondatrice et CEO de RS Strategy, et Lilian Knippenberg, responsable de la sécurité des systèmes d’information (CISO) pour la municipalité de La Haye. « C’est un endroit où se trouvent beaucoup d’institutions liées à la paix. Nous vivons donc des menaces assez spécifiques », explique cette dernière. Elle relève de plus une « externalisation des activités malveillantes par des acteurs étatiques et non étatiques », rendant plus difficiles leur identification et la réponse aux attaques.

Développer le « double usage des technologies cyber »

Pour elle, la coopération entre les différents acteurs est vitale. De fait, complète Rayna Stamboliyska, « ce sont surtout des acteurs non étatiques, tels que les entreprises privées et les organisations sans but lucratif qui mènent ces activités de cybersécurité ». Elle plaide pour une « approche intégrée » entre acteurs publics et privés et le « double usage des technologies » cyber. Alors que l’OTAN offre « bonnes bases de relations », il faudrait « amener tout le monde autour de la table », abonde Daniel Blanc. Si tous partagent ce constat, tous conviennent de la difficulté d’y parvenir, Rayna Stamboliyska évoquant même « une fragmentation croissante de la discussion » rendant difficile d’« avoir la même vision d’une réalité partagée ». Pourtant, estime Daniel Blanc « l’importance des partenariats public-privé est reconnue et l’Ukraine en a été un bel exemple ». Ce conflit a permis « de mettre en place le centre de cyberdéfense de l’OTAN, qui réunit l’industrie et nos personnels ».

Les passerelles existent pourtant sous forme de coopérations et d’exercices entre organismes, qu’ils soient publics ou privés. « Nous avons une étroite collaboration avec Barcelone, différentes organisations des Pays-Bas qui partagent notre approche de la cybersécurité, des entreprises ou les ISACs [Information Sharing and Analysis Centers, NDLR] », détaille Lilian Knippenberg. Les exercices conjoints permettent aussi d’échanger les bonnes pratiques et de créer des liens entre organisations. « Pourtant, on n’apprend pas autant des exercices qu’on le souhaiterait. En revanche, on apprend énormément des opérations réelles », nuance Daniel Blanc.

« Nous vivons des combats, mais ils sont en dessous du seuil du conflit »

Des opérations comme cette guerre cyber qui se joue en arrière-plan du conflit russo-ukrainien. Cette guerre ouverte est un bon exemple de ces terrains où l’escalade n’est souvent qu’à un clic de distance. « Il faut comprendre que le cyberespace est conflictuel en permanence. Il n’y a pas de paix dans le cyberespace », avertit Ben Hiller. Selon lui, la résilience n’est plus suffisante, car « elle ne permet pas de changer les plans de nos adversaires ». Il plaide pour « une approche proactive et intégrée aux niveaux politiques, techniques et militaires ».

Des États et des organisations comme l’OTAN qui sont officiellement en paix n’ont pas la bonne posture dans le cyberespace, qui est le théâtre de « campagnes d’attaques », lesquelles appellent « des campagnes de réponse, en prenant en compte le risque d’escalade ». « Il ne faut pas que cette guerre cybernétique se retrouve dans l’espace cinétique », prévient-il. Pourtant, souligne Lilian Knippenberg, « parfois, l’objectif d’une cyberattaque est de créer ces répercussions dans le monde physique ».

« La Terre, la mer, l’air, nous comprenons bien ces espaces, mais le cyberespace évolue à une vitesse énorme, c’est un espace très complexe », abonde Daniel Blanc. « Nous y sommes attaqués tous les jours par des acteurs étatiques ou non étatiques. Nous vivons des combats, mais ils sont en dessous du seuil du conflit ». Comment se fixe ce seuil ? « Il évolue à chaque élection, par la volonté politique, et par adaptation aux nouvelles menaces », répond l’officier canadien.

« Ambiguïté stratégique au niveau politique, militaire, technique »

Mais si « on sait comment réagir au niveau technique, au niveau politique, ce n’est pas aussi clair », développe Ben Hiller : les 32 États de l’OTAN ont « 32 visions différentes, 32 niveaux de risque différents ». L’OTAN se réserve le droit de répliquer de manière conventionnelle à une cyberattaque, qui peut même déclencher l’article cinq, entraînant la défense solidaire de tous ses membres en cas d’agression sur l’un d’eux. Mais « une cyberattaque n’est pas l’équivalent d’un missile », nuance le responsable cyber de l’Alliance atlantique. « Il y a un aspect cumulatif. Plusieurs cyberattaques peuvent entraîner le déclenchement de l’article cinq », explique-t-il, ajoutant néanmoins que « lorsque surviennent des cyberattaques, il y a une réaction, mais qui n’est pas forcément visible », ajoute-t-il.Le responsable cyber de l’Alliance atlantique explique que son organisation ne « fixe pas de seuil » pour conserver une « ambiguïté stratégiqueau niveau politique, militaire, technique ». « Si on fixe des lignes rouges, alors on peut être sûr que nos adversaires nous testeront constamment juste en deçà de cette ligne rouge », explique-t-il, avant de conclure : « On ne parle pas de ligne rouge, mais plutôt de zone rouge ».