Les indicateurs de maturité, quel cadre pour leur utilisation ?

Il existe de nombreux indices destinés à évaluer la sensibilité ou la maturité des États face aux problématiques de cybersécurité. Une multiplicité reflet du caractère protéiforme de ces mêmes risques, qui intéressent les États à plusieurs niveaux. Un indicateur tel que le National Cyber Power Index (NCPI), produit par le Belfer Center de la Harvard Kennedy School, s’articule ainsi autour de la notion de puissance, et réduit son champ d’étude aux pays les plus développés dans le secteur dans le but de produire une hiérarchie mondiale des puissances cyber. Cet index repose, pour évaluer la « puissance cyber » des États étudiés, sur une série d’indicateurs mesurant les capacités et intentions des pays étudiés. Ceux-ci découlent de 7 critères plus généraux correspondants aux objectifs poursuivis par les États qui utilisent les moyens cyber. On retrouve parmi ces 7 objectifs la surveillance des groupes d’attaquants locaux, la collecte d’information au service de la sécurité nationale, ou encore la destruction des infrastructures d’un adversaire.

Pour autant, même au sein d’indicateurs construits selon le même paradigme de « puissance » qui structure le NCPI, les évaluations peuvent changer selon les variables et critères considérés. Ainsi, le Cyber Capabilities and National Power : A net Assessment de l’International Institute for Strategic Studies (IISS) inclut-il par exemple dans ses 7 critères de comparaison la notion de dépendance[1], moins présente dans le NCPI. Et si au final les mêmes nations se retrouvent au sommet de la hiérarchie, les évaluations peuvent différer d’un classement à l’autre pour certains pays comme la France, dont la volonté d’indépendance et la capacité à potentiellement nationaliser ses cœurs de réseau est par exemple notée par l’indice de l’IISS.

Élargir la perspective, pour une utilisation plus immédiate

La perspective est plus large pour l’un des indices majeurs de développement dans la cybersécurité qu’est le Global Cybersecurity Index (GCI), de l’International Telecommunication Union. Contrairement aux susnommés, il prend en compte l’ensemble des 193 pays membres de l’ONU ainsi que l’État de Palestine dans son évaluation des mesures prises par les États pour améliorer leur résilience face aux risques cyber. Mais si la focale est ici plus « civile » et se concentre sur le niveau d’engagement des administrations à améliorer leur cybersécurité, on note une complémentarité avec les indices présentés ci-dessus et mesurant la « puissance », à travers l’utilisation de critères communs comme l’élaboration d’une stratégie nationale de cybersécurité ou la participation à la production de normes de comportement responsables.

Le GCI illustre par ailleurs l’utilisation pratique qui peut être faite de ces différents travaux. Dans sa troisième et dernière édition en date de 2020, l’International Telecommunication Union note les retours qui lui ont été faits par les États quant à l’utilisation de son Index. Le Global Cybersecurity Index est ainsi employé par certains gouvernements pour améliorer la coordination (et la sensibilisation) entre les différents acteurs du secteur, mais aussi pour comparer les mesures nationales aux bonnes pratiques des voisins régionaux, et plus généralement pour la collecte de remarques et de retours sur les initiatives prises.

Des indicateurs aux limites bien comprises

Si les indices permettent de jeter un regard un peu plus fin sur les capacités des États à assurer leur cybersécurité, ils n’en restent pas moins limités, et ce au sein même du champ de recherche circonscrit par leur institut de création – une absence d’exhaustivité reconnue par ces derniers. Le Belfer Center constate ainsi par exemple qu’en dépit de son importance, il ne peut pour le moment intégrer la variable « amasser de la richesse et extraire des cryptomonnaies »[2] dans son évaluation de la puissance cyber, du fait de données trop lacunaires. L’International Telecommunication Union, qui contrairement au Belfer Center ou à l’IISS, est dépendant des réponses aux questionnaires remis aux États, rappelle qu’il a dû plusieurs fois pallier l’absence de données en menant ses propres recherches, données qui « ne pourraient pas réfléchir correctement la posture cybersécurité d’un pays »[3].

Mais si les limites « matérielles » des indices peuvent être comblées en utilisant notamment plusieurs index dans une analyse complémentaire, il existe une difficulté moins aisément saisissable, et c’est celle de l’évolution constante des menaces. Comme le rappelle Klara Jordan, Chief Public Officer au sein du Cyber Peace Institute : « Lorsque l’on réfléchit aux indices, il s’agit en général d’une mesure pour la cybersécurité. J’ai souvent constaté que ces indices se basent sur une menace statique. Le développement de ces indices prend beaucoup de temps, et pendant ce temps les menaces évoluent. La menace n’est pas statique, alors que nos indices le sont ». Il semble ainsi que la prochaine avancée majeure dans le domaine puisse se trouver dans le développement d’outils de veille plus réactifs, permettant une identification et une formalisation rapide des nouveaux défis cyber auxquels auront à faire face les différents acteurs du milieu. Avec au centre, la question primordiale de la collecte de données. Un nouvel axe de réflexion pour les institutions ?