DSI

Sécurité et défense : De la relation entre « cyber » et « nucléaire »

Un missile de croisière à charge nucléaire AGM-86B. Toujours en service, il sera remplacé par le LRSO (Long Range Stand-Off) vers 2030. (© US Air Force)

Par Daniel Ventre, CNRS (laboratoire CESDIP, UMR 8183). Artice paru dans DSI n°132, novembre-décembre 2017.

Sont apparues ces dernières années des expressions telles que « cybermenace nucléaire », « cybersécurité nucléaire », « cybersécurité pour la protection physique des installations nucléaires », ou encore « dilemme de sécurité cyber/nucléaire », qui établissent l’existence de relations entre l’atome et le numérique. Les deux objets, cyber et nucléaire, occupent une place centrale dans les stratégies de sécurité et défense des États et dans la définition des rapports de force internationaux. Mais leur rencontre n’est pas sans risque.

Niveaux d’exposition aux cybermenaces du nucléaire civil et militaire

Fragilités du nucléaire civil
Plusieurs observateurs en conviennent : les infrastructures nucléaires sont insuffisamment préparées à affronter les cybermenaces (1), et ce alors même que les États et les acteurs du domaine nucléaire ont une conscience déjà significative des enjeux. L’actualité ne cesse de le rappeler : le secteur nucléaire subit des cyberattaques, mais est également victime d’incidents techniques comme des bugs logiciels (voir tableau ci-contre). Informatisé, connecté, en réseau, le domaine nucléaire est exposé aux mêmes risques et menaces cyber que tous les autres secteurs d’activité, critiques ou non. Les centrales nucléaires offrent une surface relativement importante aux cyberattaques. En moyenne, une centrale comporte 10 000 capteurs, connectés par 5 000 km de câbles. Les 431 centrales réparties dans 31 pays utilisent des systèmes numériques et analogiques, pour le fonctionnement, la supervision, le stockage des données, etc. (2). Les cyberincidents survenus dans le domaine nucléaire ont représenté 12 % du total des réponses traitées par l’ICS-CERT (3) en 2010 ; 5 % en 2011 ; 10,4 % en 2013 ; 6 % en 2014 (15 cas sur 245) ; 2,3 % en 2015 (7 cas du 295) (4).

Fragilités du nucléaire militaire
Aucun système ne saurait prétendre à une immunité totale dès lors qu’il est constitué d’ordinateurs, réseaux, logiciels. Le nucléaire de défense n’échappe pas à la règle (5). Les systèmes d’armes nucléaires sont soumis à des attaques incessantes, affirmait en 2012 l’un des responsables du Département de l’Énergie américain (6).

Le nucléaire civil et militaire victime de cyberincidents et cyberattaques. Quelques exemples (1)

Le Royal United Services Institute for Defence and Security Studies (RUSI) a publié en juillet 2016 un rapport sur la relation entre cybermenaces et armes nucléaires (7) : les menaces que fait peser le cyber sur l’organisation de la défense nucléaire sont multiples. De rappeler (page 2) la multitude de cibles potentielles : les systèmes de commandement et de contrôle dont il convient de garantir le fonctionnement, les ordinateurs et/ou les individus, les ordinateurs, logiciels, liens de communication liés aux armes nucléaires, logiciels piratés, hardware corrompus, les données secrètes qu’il faut protéger, les infrastructures civiles ou militaires susceptibles d’implications sur les forces nucléaires… La complexité croissante des systèmes informatisant la chaîne de l’arsenal nucléaire est également source potentielle d’accidents (8).

Le rapport Hacking UK Trident (9) décline lui aussi l’idée de la vulnérabilité aux cyberattaques des systèmes d’armes nucléaires : les vecteurs d’attaques sont multiples (injection de malwares au stade de la conception des systèmes, interception de données, drones sous-marins capables de détecter les bâtiments en s’approchant au plus près, nanotechnologies implantées dans les sous-marins permettant de capter et stocker des données, cyberattaques ciblant les sous-traitants…), et l’absence de connexion à l’Internet ou à tout réseau public ne constitue pas une protection absolue. L’accroissement de la complexité des techniques de cyberattaque élargit le champ des possibles et défie les capacités défensives. Le rapport circonscrit toutefois le périmètre des agresseurs aux acteurs étatiques, seuls en mesure de disposer à la fois de la volonté et des capacités pour mener de telles opérations.

Les impératifs : sécurisation accrue  et modernisation

Au regard du volume de cyberattaques et cyberincidents observés dans le monde ces dernières décennies, étant donné l’évolution des modes d’attaques et l’incertitude qui pèse sur la capacité des moyens de sécurité et de défense actuels à protéger durablement les infrastructures critiques, le secteur nucléaire est appelé à renforcer sa cybersécurité et à se moderniser. Certes, le nombre de cyberattaques et cyberincidents documentés peut sembler insignifiant dans l’océan planétaire des cyberagressions. Mais l’opération « Stuxnet » a montré au monde entier ce qu’il est possible de faire en matière de cyberattaques visant des infrastructures nucléaires. Par ailleurs, les analyses alarmistes signifiant aux armées leurs vulnérabilités dans les multiples composantes de l’arsenal nucléaire ne sauraient être ignorées.

Renforcer le niveau de sécurisation tant dans le domaine civil que dans le domaine militaire
L’Agence Internationale pour l’Énergie Atomique (AIEA) a souligné à plusieurs reprises la nécessité d’intégrer la question cyber dans la sécurisation des installations nucléaires. Les enjeux sont rappelés dans ses Nuclear Security Studies (NSS), et plus particulièrement les NSS-13 (10) et NSS-17 (11) de 2011, et NSS-19 de 2013 (12). Dans la NSS-13, les cyberattaques sont identifiées comme une menace potentielle à la sécurité physique des installations nucléaires. Il faut protéger, dit le document, tous les systèmes informatiques dont dépendent la sécurité et la sûreté physique des infrastructures et moyens de gestion de la matière nucléaire.

La Nuclear Threat Initiative (NTI), qui a mis en place un groupe de travail intitulé « Cyber-Nuclear Weapons Study Group » (dont les réflexions portent sur la relation cyber/arme nucléaire, mais aussi et plus largement sur la sécurité des installations nucléaires face aux menaces cyber) a publié une étude en 2016 (13) dans laquelle il conclut que :

  • les États, les acteurs du nucléaire, opérateurs et régulateurs, sont bien entendu très conscients de la cybermenace, mais le niveau de prise en compte est très inégal d’un État à l’autre. Un premier bilan met en évidence quatre catégories, regroupant les États en fonction de leur niveau de prise en compte de la cybermenace (14) ;
  • les méthodes traditionnelles de cyberdéfense dans ce secteur ne sont pas à la hauteur des enjeux. Le numérique y a créé de nouvelles vulnérabilités. Il faut de nouvelles approches pour réduire considérablement ces risques spécifiques, au rang desquelles :
    – l’institutionnalisation de la cyber-sécurité : notion qui sous-entend la mise en œuvre d’un cadre réglementaire spécifique (rôle de l’État) en s’appuyant sur l’expérience de la sûreté nucléaire et de la sécurité physique des installations. Il faut former, motiver et recruter de nouveaux talents pour développer le secteur de la cyber-sécurité nucléaire et favoriser des échanges internationaux et la co-opération autour du sujet spécifique de la cybersécurité nucléaire,
    – la mise en œuvre d’une défense active, les architectures de cybersécurité statiques actuelles étant insuffisantes,
    – la réduction de la complexité – ennemie de la sécurité – en développant, quand cela est possible, des systèmes non numériques. Les systèmes développés jusqu’alors ont sans doute atteint dans bien des cas une complexité trop élevée, qui ne permet plus d’en évaluer le niveau de risque. Les auteurs préconisent donc une désinformatisation, autant que possible, de l’appareil nucléaire industriel.

Moderniser
Le rapport publié par le Government Accountability Office en mai 2016 a souligné l’urgence de la nécessaire modernisation de systèmes informatiques vieillissants. Plusieurs agences fédérales utilisent des systèmes, logiciels et matériels obsolètes qui ne sont plus maintenus et ont parfois près d’un demi-siècle d’existence (15). Il rappelle que de tels systèmes obsolètes, qu’il qualifie de « aging legacy systems », sont présents au cœur de l’organisation de la défense américaine. Ainsi, le système de commandement et de contrôle de l’arme de dissuasion serait piloté à l’aide d’ordinateurs datant des années 1970 (IBM Series/1 Computer), utilisant des disquettes 8 pouces. La question de l’existence des « legacy systems » dans les équipements militaires n’est pas nouvelle (16). Mais quand elle touche aux plus sensibles, que sont ceux de l’arsenal nucléaire, elle devient plus critique.

Lors de récentes séances (7 juin 2017) du sous-comité des forces stratégiques du Sénat américain, plusieurs responsables et experts se sont exprimés sur le programme d’acquisition, sur la doctrine et la stratégie nucléaire et ont confirmé la nécessité de modernisation (17). Celle-ci, maintes fois reportée, ne peut plus attendre, affirment-ils. Les capacités ont atteint leur limite d’âge, poursuivent-ils, et la modernisation consistera notamment à intégrer dans les capacités nucléaires les technologies du XXIe siècle. À titre d’exemple, le général Robin Rand cite le cas du B-52, qui restera en service au moins jusqu’en 2050, mais dont les systèmes radars devront être modernisés, car utilisant les technologies des années 1960-1980. La modernisation de l’appareil est d’ailleurs déjà engagée : il est entré dans l’ère numérique après modifications de sa configuration, permettant à l’équipage d’avoir une vue partagée de l’espace de bataille.

En France, un rapport du Sénat du mois de mai 2017, intitulé La nécessaire modernisation de la dissuasion nucléaire, aborde lui aussi la question du lien cyber/nucléaire : les systèmes de communication, détection, surveillance sont au cœur des systèmes de la défense nucléaire. La prise en compte des cybermenaces est donc essentielle dans cette modernisation de l’arsenal de dissuasion (18).

Le lien cyberdéfense/défense nucléaire : questions stratégiques, doctrinales

Le même rapport estime que les enjeux de la relation cyber/nucléaire sont à la fois techniques (l’opération « Stuxnet » fait là encore référence, mais sont également rappelés les risques associés à toute la chaîne de construction de l’arsenal nucléaire, comprenant l’industrie, la sous-traitance, la recherche, et les risques d’espionnage auxquels elle est confrontée) et doctrinaux (peut-on par exemple envisager une réaction nucléaire à une cyberattaque ?).

Les puissances nucléaires sont aussi des puissances du cyberespace, dotées d’unités de cyberdéfense militaire et/ou de cybercommandement ou organisations qui s’en approchent

Les cas de recours au nucléaire envisagés par la doctrine américaine ne semblent pas pouvoir inclure une option de riposte à une cyberattaque majeure. Rien n’est clairement dit par les États qui se réservent le droit de recourir à l’arme atomique dans le cas de menaces et atteintes majeures à leur espace souverain. L’attribution des cyberattaques demeurant un processus long et encore incertain dans bien des cas, cette option de réaction nucléaire semble peu envisageable et paraît disproportionnée.

Cyberdissuasion versus dissuasion nucléaire
Sur le plan théorique, conceptuel, stratégique ou doctrinal, le modèle de la dissuasion nucléaire n’a cessé de fournir depuis près de vingt ans les bases d’une réflexion autour de la notion de « cyberdissuasion ». Les stratégistes ont recherché les analogies entre un atome fait arme de destruction massive et un cyber fait arme de perturbation massive, sans toutefois parvenir à des conclusions permettant de formuler cette stratégie de cyberdissuasion (19). Elle viserait à empêcher tout État de lancer des cyberattaques majeures méritant le qualificatif d’acte de guerre et mettant en péril la nation tout entière. On a ici en tête le spectre d’un Cybergeddon.

Pour l’heure, à vrai dire, rien n’interdit le recours à un cyberarmement, et rien ne semble devoir en réguler, limiter, contrôler le développement, contrairement au nucléaire. Cyber et nucléaire sont d’ailleurs engagés dans deux dynamiques inverses : l’arsenal nucléaire est, ou devrait être, en diminution ; quand l’arsenal cyber est dans une dynamique de croissance, incontrôlable, de prolifération. C’est donc, selon nous, sur un autre plan qu’il faut chercher le point de rencontre entre dissuasion nucléaire et cyberdéfense : le recours aux cyberarmes ou aux cyber-opérations peut-il se substituer à l’emploi de la force nucléaire ? Le recours aux cyberarmes/cyberopérations peut-il contrer les stratégies de dissuasion nucléaire (affaiblir ou annihiler les capacités nucléaires d’un adversaire) ?

Le cyber peut-il se substituer à la puissance nucléaire ?
Tel n’est pas le chemin pris par les États, qui réaffirment la suprématie de l’arme nucléaire pour garantir la paix et la stabilité. Le sénateur Fisher, qui ouvre la séance du sous-comité des forces stratégiques du Sénat américain (7 juin 2017), rappelle les déclarations du président Barack Obama lors d’un discours à Prague en 2009 : « Aussi longtemps que les armes nucléaires existeront, les États-Unis maintiendront un arsenal sûr, sécurisé et efficace permettant de dissuader tout ennemi, et de garantir la défense de nos alliés. (20) » Dans le même ordre d’idées, un officiel de la défense américaine déclare : « Les armes nucléaires qui sont entre les mains d’adversaires potentiels constituent la seule menace existentielle claire pesant sur les États-Unis et, de fait, menacent aussi ses alliés. (21) » Exit, donc, la cybermenace existentielle. Cyber et nucléaire ne jouent pas sur le même registre : l’une est arme de destruction massive, l’autre de perturbation massive.

Les États peuvent-ils recourir sans danger à des cyberopérations pour paralyser des capacités nucléaires ?
Mais en jouant pleinement de cette capacité perturbatrice, l’arme cyber pourrait remettre en question la capacité nucléaire de l’adversaire. L’hypothèse fut émise selon laquelle des cyberopérations américaines seraient à l’origine des échecs que rencontre le programme balistique nord-coréen – idée formulée après les deux échecs successifs d’octobre 2016 (22). Mais alors, comment expliquerait-on ses nombreux succès ? Certaines analyses attribuent plus simplement ces échecs à l’absence de maîtrise totale des technologies par les ingénieurs nord-coréens (23). Quoi qu’il en soit, la capacité d’interférer avec le système de défense nucléaire adverse, d’altérer, voire d’annihiler sa capacité d’action nucléaire, demeure une option stratégique essentielle, à la fois pour les pays qui eux-mêmes possèdent l’arsenal nucléaire et pour ceux qui en sont dépourvus.

Mais cette option implique une approche proactive, offensive : elle est une attaque préemptive (24), une opération devant être menée en amont, sans doute même avant le conflit. La généralisation de cette stratégie de sabotage présenterait un risque de déstabilisation des relations internationales non négligeable : suspicion généralisée, caractère illégal de ces attaques contre des pays qui ne sont pas en guerre, absence de limite ou de définition d’un périmètre de ce qui relève des systèmes de la dissuasion nucléaire, question de droit international aussi (ces opérations de sabotage sont des attaques contre des systèmes qui touchent à la souveraineté des États. Sans doute pourraient-elles être qualifiées d’actes de guerre). Comment la communauté internationale accueillerait-elle cette extension non cinétique mais offensive des options de défense antinucléaire ? Plusieurs analystes insistent sur la notion d’incertitude qu’introduit dans la stratégie nucléaire la notion de cyberattaques.

Le dilemme de sécurité cyber/nucléaire
Le rapport du RUSI déjà cité introduit la notion de « nouveau dilemme de sécurité cyber/nucléaire ». L’expression désigne la place importante que tiendra désormais le cyber dans les décisions liées au nucléaire et dans les équilibres stratégiques. L’un doit être pensé en fonction de l’autre. L’équilibre relatif créé par la dissuasion nucléaire est en partie remis en question par l’incertitude introduite par le cyber dans le système international. Les cyberattaques peuvent désormais jouer un rôle sur la stabilité entre États nucléaires. L’association de cyberattaques perturbant les communications, les processus de décision, de commandement, en temps de crise sur fond de menace nucléaire, complexifie l’analyse de la situation. Les cyberattaques peuvent avoir un effet sur les perceptions, sur l’interprétation des intentions des ennemis, sur le sentiment d’insécurité, de menace, sur la pression ressentie par les décideurs, et se traduire par des décisions dans le domaine nucléaire.

Artice paru dans DSI n°132, novembre-décembre 2017.

Notes

(1)  Caroline Baylon, Roger Brunt, David Livingstone, Cyber Security at Civil Nuclear Facilities: Understanding the Risks, Chatham House, Londres, octobre 2015 ; Alexandra Van Dine, Michael Assante, Page Stoutland, Outpacing cyber threats. Priorities for cybersecurity at nuclear facilities, NTI, Washington, 2016.

(2)  Munish Sharma, « Moving cyber from the orbit to the nucleus of the nuclear security summit », Indian Defence Review, 30 mars 2016.

(3)  ICS : Industrial Control Systems ; CERT : Computer Emergency Response Team. L’ICS-CERT, créé au sein du Department of Homeland Security, traite des cybermenaces touchant les secteurs critiques.

(4)  ICS-CERT Incident Response Summary Report, 2009-2011 ; NCCIC/ICS-CERT Year in Review, DHS, 2013 ; ibid. 2014 ; ibid. 2015.

(5)  Andrew Futter, « Cyber threats and nuclear weapons, New questions for command and control, security and strategy », RUSI Occasional Paper, juillet 2016.

(6)  Jason Koebler, « US Nukes Face Up to 10 Million Cyber Attacks Daily », US News and World Report, 20 mars 2012.

(7)  Andrew Futter, op. cit.

(8)  Les risques relatifs à l’existence de bugs dans les systèmes informatisés ajoutent aux risques de la complexité propre à l’organisation et aux processus liés au nucléaire (tant civil que militaire). Scott Sagan, The limits of safety: organizations, accidents and nuclear weapons, Princeton University Press, Princeton, 1993.

(9)  Stanislas Abaimov, Paul Ingram, Hacking UK Trident: A Growing Threat, British American Security Information Council, Londres, juin 2017.

(10)  Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities, (INFCIRC/225/Revision 5), IAEA Nuclear Security Series no 13.

(11)  Computer Security at Nuclear Facilities, IAEA Nuclear Security Series no 17.

(12)  Establishing the Nuclear Security Infrastructure for a Nuclear Power Programme, IAEA Nuclear Security Series no 19.

(13)  Alexandra Van Dine, Michael Assante, Page Stoutland, op. cit.

(14)  Ibid., p. 14.

(15)  GAO, « Information Technology: Federal Agencies Need to Address Aging Legacy Systems », GAO-16-468, Washington, 25 mai 2016.

(16)  J. M. Schlesselman, « Preserving legacy systems, by choice or necessity », http://mil-embedded.com/, 11 février 2010.

(17)  Department of Defense Nuclear Acquisition Programs and the Nuclear Doctrine, Subcommittee on Strategic Forces, Washington D.C., juin 2017. L’intégralité des retranscriptions des auditions sont disponibles à l’adresse : https://www.armed-services.senate.gov/imo/media/doc/17-57_06-07-17.pdf.

(18)  Xavier Pintat, Jeanny Lorgeoux, André Trillard, Pascal Allizard et Claude Haut, La nécessaire modernisation de la dissuasion nucléaire, Rapport d’information no 560 (2016-2017) fait au nom de la commission des Affaires étrangères, de la Défense et des Forces armées, déposé le 23 mai 2017. Voir notamment le chapitre « Le risque cyber et la dissuasion ».

(19)  Martin Libicki, Cyberdeterrence and Cyberwar, Rand Corp., Santa Monica, 2009 ; Dorothy E. Denning, « Rethinking the Cyber Domain and Deterrence », Joint Force Quarterly, no 77, avril 2015 ; Joseph S. Nye, « Deterrence and Dissuasion in Cyberspace », International Security, vol. 41, no 3, hiver 2016/2017.

(20)  « Obama Prague Speech on Nuclear Weapons », http://www.huffingtonpost.com/2009/04/05/obama-prague-speech-on-nu_n_183219.html.

(21)  Robert Soofer, « SASC-SF Hearing on the President’s Fiscal Year 2018 Budget Request for Nuclear Forces and Atomic Energy Defense Activities », 7 juin 2017.

(22)  Ryan Pickrell, « It’s ‘100% Possible’ to knock Kim Jong-Un’s nukes offline without firing a shot », The Daily Caller, 6 avril 2017.

(23)  Michael Elleman, « The Secret to North Korea’s ICBM success », IISS, 14 août 2017.

(24)  Andrew Futter, « The Dangers of Using Cyberattacks to Counter Nuclear Threats », Arms Control Association, juillet/août 2016.

Pin It on Pinterest

X