Dans un univers économique où s’impose l’obligation de choisir parmi les fins alternatives celles auxquelles seront affectées les ressources disponibles en quantité limitée, la construction de la figure de l’ennemi est une nécessité épistémologique de toute pensée stratégique. Sans identification de l’ennemi, il n’est pas de choix raisonné, donc pas de stratégie militaire sensée. La fabrication de l’ennemi est ainsi un acte fondateur de la politique de défense. Le constat vaut pour la cyberconflictualité comme pour toute forme de conflictualité1 en général.

Mais, dans le même temps, cette approche froide et rationnelle à des fins de construction de la démarche stratégique n’empêche pas, la fabrication de l’ennemi d’obéir à des ressorts tout à fait différents, d’ordre psychologique et sociologique, qui permettront aux combattants de trouver les ressources nécessaires pour faire face aux situations extraordinaires qu’ils affrontent quotidiennement en temps de guerre, et de souder la nation à l’heure où les coûts et les sacrifices vont mettre à mal sa cohésion voire son existence. L’ennemi n’est plus cet adversaire que l’on cherche à analyser froidement pour mieux évaluer ses forces et ses faiblesses, comprendre sa logique et anticiper ses mouvements ; il est cet autre radicalement différent, ce barbare qui foule aux pieds les valeurs communes de l’humanité, ignore les acquis de la civilisation, et témoigne d’une sauvagerie qui légitime le recours à tout l’éventail des moyens de la force et rend moralement acceptable la perspective de son anéantissement.

Durant la Première Guerre mondiale, Pierre Loti a ainsi mis tout son talent au service de la propagande française pour décrire l’avance des « Boches » comme un « lâcher de gorilles ». Après leur passage, « tout est saccagé, émietté, pulvérisé, les gorilles ont trouvé le temps de n’épargner rien »2. L’aimable Vincent Scotto, qui sera l’auteur de ritournelles aussi « fleur bleue » que J’ai deux amours ou Marinella, composa un air belliciste aujourd’hui bien oublié : « Les Boches, c’est comme des rats/Plus on en tue, plus il y en a. » Rats, cancrelats, cafards… Le bestiaire est relativement peu varié et c’est encore à un rat que le général Odierno fera référence lors de la capture de Saddam Hussein : « He was in the bottom of a hole with no way to fight back. He was caught like a rat3. »

Tout au long du xxe siècle, l’animalisation d’un ennemi parfaitement identifié est ainsi une constante dans laquelle il est possible de voir non seulement l’indice d’une pensée stratégique rationnelle, mais également l’une des clés des comportements individuels et collectifs dans des situations de violence extrême4.

L’histoire fournirait moult exemples montrant que la réflexion stratégique s’affaiblit et ouvre grand le champ des surprises, sources de défaites, si elle permet au bourrage de crâne de l’emporter sur la nécessité épistémologique et se laisse contaminer par la figure d’un ennemi rabaissé, déshumanisé, bestialisé. On se rassurerait à peu de frais en pensant que ce processus de contamination appartient au passé.

La littérature sur la cyberconflictualité peut, au contraire, donner le sentiment que ce danger est d’autant plus présent qu’aux classiques biais cognitifs et culturels, qui sont de tout temps, s’ajoutent les incertitudes nées de progrès technologiques qui ne connaissent aucun répit, l’accélération des cycles de décision politiques, économiques, militaires…, la multiplication des acteurs des relations internationales…, tous facteurs cumulatifs de brouillard stratégique et puissants générateurs d’erreurs d’analyse et de jugement.

À lire par exemple le best-seller emblématique de Richard A. Clarke5 aussi bien que les pseudo-études de consultants comme la société Mandiant6, la fabrication de l’ennemi cyber conduit à une figure passablement complexe qui renvoie tantôt au traditionnel et bestial « péril jaune », tantôt à un ennemi sans visage, exacerbation de cette nouvelle approche américaine qui consiste à lutter contre des concepts nébuleux et non contre des adversaires précisément définis.

La définition de l’ennemi cyber oscille donc dangereusement entre l’analyse rationnelle et les préjugés, les approximations techniques et les biais cognitifs. Sans prétendre apporter de réponse définitive à la question, il s’agira ici de lever certains des biais majeurs qui nous semblent marquer l’approche fréquente et dont l’un des meilleurs représentants est l’ouvrage de Richard A. Clarke précédemment évoqué. Précisons à ce propos que Cyber War : The Next Threat to National Security and What to Do About It n’est ni le moins pertinent ni le moins intéressant des ouvrages sur la question, et que son auteur n’est ni le moins compétent ni le moins réfléchi de ceux qui traitent des questions de cyberwar. S’il est retenu ici comme référence, c’est précisément parce qu’il jouit d’une crédibilité et d’une compétence indiscutables, mais que, pour autant, l’analyse qu’il propose, et que d’autres reprennent avec moins de talent ou de rigueur, n’en semble pas moins témoigner d’un certain nombre de biais qui méritent d’être discutés. On fera donc l’économie de citations en n’évoquant pas, sauf exception ponctuelle, les multiples ouvrages, pseudo-rapports, études ou analyses qui présentent ces mêmes défauts à un degré encore plus élevé.

Qui est donc l’ennemi cyber ? Est-il le même que l’ennemi non cyber ? Les particularités techniques de la cyberconflictualité influencent-elles la nature même de l’ennemi ? Sont-elles déterminantes pour tracer les nécessaires lignes de partage entre amis et ennemis dans le champ des relations internationales en ce premier quart du xxie siècle ?

Après avoir rappelé les caractéristiques générales de l’ennemi cyber tel qu’il ressort de la littérature qui s’inscrit dans la lignée de Richard A. Clarke, nous nous efforcerons de montrer en quoi certaines de ces caractéristiques doivent être nuancées, puis nous conclurons en proposant à notre tour une figure de l’ennemi cyber qu’il nous paraît opportun de prendre en compte.

• De la bestialisation à la diabolisation de l’adversaire : l’avènement du cyberennemi

La rhétorique de la cyberconflictualité confirme et amplifie le changement impulsé par les États-Unis dans la manière de définir l’ennemi. Traditionnellement, il s’agissait pour les responsables politiques et militaires de raisonner à partir d’un ennemi identifié par la nature de son projet politique afin de se prémunir contre les modalités d’emploi de la force auxquelles son potentiel humain, technologique, financier… lui donnait la possibilité d’accéder.

Après le 11-Septembre, la riposte américaine se tourne tout à la fois contre un ensemble de pays, « l’axe du Mal », que les vecteurs de propagande s’attachent à déshumaniser de manière somme toute traditionnelle7, puis contre un concept, « le terrorisme », contre lequel les États-Unis engagent une « guerre globale »8. Il s’agit donc de lutter contre un certain type d’attaques dont les auteurs peuvent varier au gré des errements des relations internationales, parfois « États voyous », parfois groupes insurgés en lutte armée contre les États-Unis, parfois soutiens avérés ou supposés des deux premiers. La construction de la figure de l’ennemi est profondément transformée. Il ne s’agit plus d’en faire un sauvage, puisqu’il l’est par définition dans la mesure où il recourt à des moyens d’action condamnés par le droit international. Il s’agit, en revanche, de convaincre l’opinion publique du fait que celui qui va être frappé appartient bien à la catégorie des « terroristes », ce qui peut au besoin se faire par la machination des preuves indispensables et le déploiement d’une propagande ad hoc.

Avec la cyberconflictualité, un processus assez comparable est à l’œuvre. Il s’agit de définir l’ennemi en le qualifiant par le recours à une certaine forme d’action (l’intervention sur les réseaux et les flux du cyberespace), sans pour autant lui donner un visage prédéterminé et que l’on précisera si nécessaire. La figure de « l’ennemi cyber » n’est pas celle d’un « gorille », d’un « rat » ou d’un « cancrelat », mais celle d’un adversaire anonyme capable de frapper n’importe qui, n’importe où et n’importe quand. Sa puissance maléfique tient à la combinaison de trois caractéristiques qui lui sont propres : l’irrégularité, l’asymétrie et le pouvoir de destruction.

« L’ennemi cyber » est un ennemi irrégulier à plusieurs titres. Il peut tout d’abord profiter des caractéristiques propres du cyberespace pour mener son attaque sans se dévoiler ou en faisant porter par d’autres la responsabilité de ses actes. De fait, dans les exemples toujours cités de cyberconflictualité, l’Estonie ou la Géorgie notamment, aucune preuve solide n’a pu être apportée de l’origine des attaques constatées. Il n’en va autrement qu’en cas de revendication par l’auteur de l’attaque – le groupe de hackers roumains Tinkode dans le cas de l’attaque contre la Royal Navy en 2010 ou la quasi reconnaissance de paternité du virus Stuxnet par les États-Unis.

Il ignore également certains principes fondateurs du jus in bello. Même dans l’hypothèse où il vise spécifiquement des objectifs militaires, le cyberattaquant sait qu’il ne maîtrise pas les effets des armes qu’il emploie. En effet, ceux-ci se propageront presque nécessairement au-delà de la cible visée puisque le système informatique correspondant est plus ou moins ouvert sur l’ensemble des systèmes interconnectés, civils ou militaires, qui partagent des « briques » constitutives communes, physiques ou logicielles. Ce faisant, le cyberattaquant s’affranchit volontairement ou non de principes fondamentaux : la distinction qu’il convient d’opérer entre les combattants et les non-combattants, les civils et les militaires, la proportionnalité des moyens employés…

Certes, ces distinctions structurantes se sont largement effacées au cours du temps, les civils devenant les victimes les plus nombreuses des conflits armés contemporains par exemple. Mais elles conservent une valeur de référence pour les forces armées qui respectent le droit, l’éthique et la déontologie militaire. Avec la cyberconflictualité, le risque est grand de voir ces distinctions perdre l’essentiel de leur signification et favoriser la prolifération de l’irrégularité chez les différents protagonistes. La séparation entre les mondes militaires et civils, par exemple, laisse place à un continuum d’acteurs, de structures, de flux… qui vont élargir les cibles potentielles et faciliter la propagation des effets destructeurs. Même si l’attaque cyber ne cible pas un hôpital ou une centrale nucléaire mais une installation militaire, rien ne dit que le virus introduit ne touchera pas plus tard des infrastructures critiques protégées par les règles de ce même droit.

La cyberconflictualité exacerbe ensuite l’asymétrie des combattants. Les guerres contemporaines se caractérisent par un renforcement général de l’asymétrie. Celle-ci est recherchée de manière délibérée par les acteurs qui sont conscients de leur faiblesse intrinsèque au regard des ressources techniques qu’ils peuvent mobiliser et qui trouvent ainsi le moyen de résister à des adversaires qu’ils ne pourraient affronter victorieusement sur un champ de bataille traditionnel. Les travaux de Michel Goya mettent en exergue les mécanismes et les effets de cette asymétrie croissante sur les théâtres irakiens ou libanais9.

Mais le développement des conflits asymétriques résulte aussi mécaniquement de l’accessibilité croissante aux ressources à usage militaire. Dans le domaine des équipements militaires classiques, cette accessibilité croissante repose sur l’abondance de l’offre et, singulièrement, sur celle de matériels légers, suffisants pour déclencher et entretenir des conflits low cost dont tirent parti les entrepreneurs de guerre décrits par Paul Collier10. Mouvements insurrectionnels, guérillas révolutionnaires, groupes ethniques et/ou religieux… sont ainsi en mesure de lancer et de soutenir des opérations armées à l’encontre de gouvernements plus ou moins fragiles, mais disposant pourtant d’appareils d’État militaires et policiers.

La généralisation du cyberespace dans les pays développés fait craindre à certains un nouvel abaissement du seuil d’accessibilité des moyens de la conflictualité et l’aggravation des menaces asymétriques, notamment de la part des « jeunes nés avec la dimension cyber ». La fonction de production du cybercombattant mobilise en effet de manière privilégiée le facteur humain, notamment le capital intellectuel mesuré par le degré de compétence en matière d’informatique et de télécommunications. Le facteur technique se trouve paradoxalement réduit à sa plus simple expression du fait du progrès technologique et de la baisse du coût des matériels ou de l’accès au réseau.

Le niveau des ressources nécessaire pour concevoir et réaliser des attaques dans le cyberespace est présenté comme à la portée de groupes beaucoup plus réduits que pour la mise en œuvre d’attaques militaires conventionnelles. Des opérations dangereuses et politiquement significatives pourraient être menées par des acteurs qui, jusque-là ne pesaient pas dans le jeu des relations interétatiques : États dénués de la capacité économique et industrielle suffisante pour supporter un effort de défense substantiel, mafias spécialisées, mouvements insurrectionnels localisés, voire groupes ou individus politiquement motivés. Tous pourraient porter des dommages aux pays les plus puissants par la manipulation des flux d’informations aussi bien que par la dégradation de systèmes interconnectés civils ou militaires. Cybervandalisme, cyberterrorisme, cybermanipulations sont des formes de conflictualité accessibles à des acteurs beaucoup plus nombreux et beaucoup moins identifiables que dans les guerres nouvelles et, a fortiori, les guerres traditionnelles.

Dans la vision extrême de cette cyberasymétrie, un assaillant quelconque peut frapper instantanément, à partir de n’importe quel point du globe, et ce sans laisser ni traces ni moyens de l’identifier et de le confondre ou, pire encore, en ouvrant la possibilité d’incriminer à tort des tiers innocents. Le corollaire de cette capacité nouvelle d’agression est la disparition des concepts de droit (national, international) et d’éthique. « L’émergence tous azimuts d’une asymétrie croissante permettant à des acteurs de moindre importance (petits États, individus ou groupes d’individus) de remettre en cause le leadership d’acteurs majeurs (grands États, multinationales, organismes internationaux ou supranationaux) crée une situation géostratégique sans précédent11. »

Last but not least, l’ennemi cyber dispose d’une capacité de destruction massive à l’encontre de son adversaire. Les pays les plus puissants sur le plan politique, économique et militaire sont ipso facto les plus dépendants du cyberespace et les plus fragiles en cas d’attaque. Ce que doivent redouter les États-Unis d’un ennemi cyber, c’est un « cyber Pearl Harbor » ou, plus exactement, un « cyber 11-Septembre » puisque cet ennemi irrégulier et asymétrique s’en prendrait plus probablement à des infrastructures civiles, davantage accessibles que les installations militaires. Richard A. Clarke met en scène l’attaque des États-Unis par les hackers de l’armée chinoise. Ceux-ci détruisent les réseaux informatiques du gouvernement américain, font exploser les raffineries de pétrole, provoquent des fuites de chlore dans les usines chimiques, prennent le contrôle des réseaux aériens et de chemin de fer, et font s’écraser les avions ou dérailler les trains, paralysent les marchés financiers et le système bancaire, coupent l’électricité de l’Atlantique au Pacifique. Les victimes se comptent par milliers. Les grandes villes sont à court d’approvisionnement et les pillards envahissent les rues.

Selon l’auteur, la cyber Apocalypse n’est pas seulement théoriquement envisageable ; elle peut survenir aujourd’hui, dans le quart d’heure qui suit. Le cyberespace semble volontiers se prêter aux visions catastrophistes. Dans le domaine voisin de la cybercriminalité, les chiffres avancés pour situer le niveau des préjudices subis par les différents acteurs sont d’autant plus facilement repris qu’ils sont spectaculaires et dénués du moindre fondement méthodologique12. C’est ainsi que plusieurs institutions officielles font état de pertes d’un montant de mille milliards de dollars, soit 1,64 % du pib mondial. Notre collègue Alexandre Delaigue a eu l’occasion de montrer par quels mécanismes d’intoxication collective une évaluation aussi fantaisiste avait pu s’enraciner dans le discours majoritaire sur la cybercriminalité13.

Au total, l’ennemi cyber est moins un gorille ou un rat qu’un fantôme. Il n’en est que plus redoutable, car il est presque impossible de l’identifier ou de prévoir ce qu’il est susceptible d’entreprendre, sauf à anticiper que les résultats en seront catastrophiques. Le « Boche » était un gorille, mais on le connaissait et on savait qu’il arriverait par les plaines de l’Est. L’ennemi cyber peut renvoyer au « péril jaune » aussi bien qu’à des groupes d’insurgés ou des mafias de narcotrafiquants, des mouvements anarchistes, voire des étudiants malveillants. Son omniprésence et son omnipotence justifient la mobilisation générale des responsables civils et militaires ainsi que l’allocation de ressources massives en vue de sécuriser les systèmes d’information critiques.

• Mythes et réalités du cyberennemi

L’impression d’ensemble qui ressort du discours illustré dans la première partie est celle qu’un brouillard tel entoure l’ennemi cyber qu’il devient presque impossible de l’identifier et de le combattre de manière rationnelle. La chose n’est pas pour surprendre, puisqu’un brouillard non moins épais entoure la notion « d’attaque cyber ». Le ministère de la Défense des États-Unis serait confronté à « dix millions d’attaques » par an, selon un chiffre avancé par le général Alexander devant une commission budgétaire en 2012. Un tel ordre de grandeur ne peut se comprendre que si on mélange à peu près tout ce qui peut être lié à un usage non conforme des systèmes et des réseaux informatiques des armées américaines. Comme l’écrivent plaisamment Peter Singer et Allan Friedman, cela revient à traiter de la même façon le farceur qui allume un pétard, le braqueur armé d’un revolver, l’insurgé qui dissimule un engin explosif improvisé et l’État qui lance un missile de croisière au motif que tous recourent aux mêmes principes physico-chimiques gouvernant les explosifs14.

Est-il possible de dissiper le brouillard relatif à l’ennemi cyber en se penchant plus avant sur les caractéristiques qui sont véritablement les siennes. L’ennemi cyber est-il réellement ce fantôme capable de frapper n’importe qui et n’importe où tout en restant dans l’anonymat le plus complet ? Ne peut-on resserrer un peu l’éventail ainsi ouvert pour mieux éclairer les choix nécessaires dans l’affectation des ressources limitées mises à la disposition des forces armées ?

Si on en revient à la définition des termes, on ne peut être que frappé du vocable même d’« ennemi cyber ». On ne parle pas d’ennemi terrestre, maritime ou aérien. L’ennemi ne se définit pas par sa maîtrise plus ou moins grande d’un domaine d’expression de la force, mais par le fait qu’il témoigne d’une volonté crédible de recourir à la force pour faire triompher son projet politique dans le champ des relations internationales. Ce n’est pas l’instrument mobilisé qui le définit, mais son ambition politique. On retrouve ici la confusion qui procède de l’introduction de la guerre au nébuleux concept de terrorisme à la suite des attentats du 11-Septembre. Ce simple rappel permettrait déjà d’opérer un tri sévère dans le fatras des « attaques » dont le ministère de la Défense américain se dit la victime. C’est ainsi que les groupes mafieux qui voient dans la criminalité informatique une source nouvelle et prometteuse de revenus n’ont pas, le plus souvent, d’ambition politique hostile à celle des États dans lesquels ils opèrent. Bien au contraire, ils sont souvent des soutiens plus ou moins affirmés et plus ou moins affichés des pouvoirs en place, quelle que soit leur couleur politique.

Il convient donc de considérer que les individus ou les groupes organisés qui se livrent à la criminalité informatique ne relèvent pas de la catégorie des « ennemis cyber » d’États comme les États-Unis ou la France. La lutte contre leurs pratiques criminelles relève d’acteurs et de cadres juridiques qui ne sont pas ceux de la conflictualité, ce qui conduit à un resserrement très sensible de l’éventail des acteurs concernés par les problématiques de la cyberconflictualité. L’ennemi cyber doit donc être envisagé comme un ennemi classique, c’est-à-dire un État ou un groupe porteur d’un projet politique incompatible avec celui de l’État considéré, qui raisonne dans l’ombre portée ou la réalité de l’usage de la force et dont les capacités réelles ou supposées incluent la mise en œuvre de moyens cybernétiques pour peser sur la volonté de son adversaire.

Cet ennemi est-il ensuite aussi redoutable qu’il y paraît du fait qu’il puisse agir dans le cyberespace ? La réponse est négative pour au moins trois raisons. L’anonymat souvent mis en avant pour justifier la dangerosité de l’ennemi cyber ne doit pas être considéré comme constitutif de l’essence du cyberespace, mais comme une situation provisoire qui s’atténue chaque jour un peu plus du fait des progrès de la Computer Forensic Science. Les informations révélées par Edward Snowden montrent que les États-Unis et leurs alliés disposent déjà d’outils d’analyse à une échelle industrielle, et que les capacités de recueil et de traitement des données laissent assez peu de place à un anonymat véritable sur la Toile. On objectera qu’un groupe disposant d’une véritable compétence pourrait mettre en œuvre des moyens de dissimulation dont la sophistication croîtra à raison des progrès réalisés par les enquêteurs. Mais il serait tout à fait aventureux d’en déduire qu’il sera toujours impossible d’identifier l’auteur d’une cyberattaque et de lui faire porter la responsabilité qui est la sienne. Compte tenu de la politique de lutte des États-Unis contre le terrorisme dans le dernier quart de siècle, il faudrait plutôt craindre l’inverse, c’est-à-dire l’imputation d’une cyberattaque à un État contre lequel on souhaite agir militairement.

En deuxième lieu, contrairement au paradoxe mis en avant à propos de l’asymétrie qui caractériserait la cyberconflictualité, le plus faible ne devient pas, comme par enchantement, le plus fort ni même l’égal de celui qui dispose de la maîtrise la plus grande dans le cyberespace. Sans doute, la littérature et le cinéma hollywoodien ont-ils fait beaucoup pour la diffusion de l’idée qu’un adolescent isolé peut déclencher la Troisième Guerre mondiale en s’introduisant dans les réseaux informatiques du Pentagone (War Game) ou qu’un groupe de terroristes déterminés est en mesure de menacer l’ensemble des infrastructures américaines : communications, marchés boursiers, réseaux d’électricité et de gaz (Die Hard IV). Il est également vrai que le pays le plus puissant est en même temps le plus dépendant de ses réseaux informatiques et des télécommunications, et que ses adversaires technologiquement moins avancés sont, de facto, moins exposés que lui à une attaque cyber. Les États-Unis sont donc plus vulnérables à une cyberattaque que la Corée du Nord, le Lesotho ou le Panama. Pour autant, cela revient-il à donner à ces pays moins dépendants des technologies les plus avancées un avantage décisif dans la cyberconflictualité ?

Il convient tout d’abord de remarquer que le seuil d’accès aux cyberarmes est plus élevé qu’on ne le dit volontiers. Si l’on se fonde sur l’un des seuls cas connus de sabotage d’un système industriel semblant avoir causé des dommages physiques significatifs à une installation critique (l’attaque des installations nucléaires iraniennes par le virus Stuxnet), on notera que les moyens mobilisés pour concevoir, réaliser et conduire l’attaque sont considérables et manifestement hors de portée de la quasi-totalité des pays de la planète, pour ne rien dire des groupes politiques qui pourraient vouloir se livrer à ce type d’action. Selon des estimations nécessairement approximatives, l’ensemble du processus a demandé des mois de travail à des équipes entières de spécialistes qui avaient une parfaite connaissance des installations physiques, des matériels mis en œuvre, des systèmes informatiques qui les pilotaient, des logiciels employés ainsi que de la capacité à introduire l’arme cybernétique dans un complexe militaire hautement protégé15. De telles capacités, notamment le capital intellectuel et logistique requis, forment sans doute des soubassements moins visibles que des usines d’armement, mais elles n’en sont pas moins réservées à un tout petit nombre d’acteurs qui disposent en particulier de la base industrielle sans laquelle il n’est pas de production de cyberarmes ayant une chance quelconque de causer des dommages significatifs à des infrastructures critiques.

En second lieu, le fait de pouvoir mener des attaques cyber conduit à affaiblir les capacités de l’adversaire, pas nécessairement à se donner un avantage manifeste. Il a souvent été question, y compris dans la presse quotidienne, d’une « ahurissante information » selon laquelle les « liaisons descendantes de flux vidéo » provenant des drones américains employés en Irak et en Afghanistan auraient été interceptées par des insurgés moyennant l’acquisition d’un logiciel russe coûtant vingt-cinq dollars quatre-vingt-dix-neuf16. Le comble de l’asymétrie serait ici atteint puisqu’un équipement militaire ayant nécessité des années de recherche et de développement et des dizaines de milliards de dollars de budget serait mis en échec par une ressource quasi gratuite et en accès libre. Il conviendra cependant de nuancer fortement l’impression d’une égalisation de la puissance des forces armées américaines, détentrices des drones, et des insurgés capables de capter les flux vidéo émis par ces derniers. Accéder à ce que voient les drones ne permet pas d’en disposer, de les détourner de leur mission, de les détruire ou de les bloquer au sol. Cela permet tout au plus de mieux se dissimuler et de prévenir certaines des attaques qui pourraient avoir lieu. Il s’agit tout au plus d’une relative perte d’efficacité dans l’emploi d’une arme, par ailleurs susceptible d’une correction technique assez simple, mais pas d’un renversement du rapport de force.

Il convient également de nuancer la capacité de destruction supposée massive d’une attaque informatique. Le spectre d’un « cyber 11-Septembre » entraînant le chaos dans une grande puissance par la paralysie ou la destruction de ses réseaux financiers, industriels, logistiques… est évoqué depuis au moins un quart de siècle sans qu’aucun de ces réseaux dans aucun pays du monde n’ait été véritablement mis en difficulté durablement. Dans le cas emblématique de l’Estonie, pays présenté comme le plus vulnérable de la planète puisque le plus connecté pour ses activités fondamentales (banques, transports…), une attaque supposée menée par un des pays les plus puissants en matière de cyberconflictualité, la Russie, n’aurait abouti qu’à un déni de service, sans dommage autre pour les Estoniens que l’impossibilité de consulter le solde de leur compte en banque ou d’accéder à certains services administratifs pendant quelques heures17. On pourrait dire que les réseaux bancaires ont été autrement mis en péril dans les années récentes par les « errements non cyber » de leurs dirigeants et que ces comportements irresponsables sont à l’origine de paniques autrement plus dangereuses pour les pays développés. On se souvient ainsi du Bank Run (ruée bancaire) qui a poussé des milliers de déposants et d’épargnants anglais dans la rue pour retirer leurs économies de la Northern Rock en septembre 2007. Aucune attaque informatique n’est encore parvenue à un début de commencement d’un résultat de ce type. C’est dire qu’un scénario à la Die Hard IV, qui n’est pas si éloigné du discours de Richard A. Clarke, mériterait de ne pas être envisagé comme le paradigme de l’attaque cyber et que le potentiel de nuisance de l’ennemi cyber mériterait d’être considéré avec une certaine prudence.

Enfin, dans le rapport entre l’attaquant et le défenseur, on soulignera que l’avantage du premier a toutes les chances de ne pas être définitif ni, surtout, durable. Ainsi, le virus Stuxnet, qui a nécessité des mois de travail de la part d’équipes hautement spécialisées et dont le coût de conception, de « fabrication » et de mise en œuvre représente probablement un investissement que très peu de pays sont susceptibles de réaliser, peut être neutralisé de manière relativement simple une fois qu’il est découvert. Dès lors, les dommages initiaux peuvent se trouver confinés par la mise en place de patchs qui anéantiront la menace, du moins pour les infrastructures sensibles où des procédures convenables de sécurité des systèmes d’information permettront de « boucher la faille » par laquelle l’attaque a été menée. Les investissements considérables mis en œuvre pour la fabrication de l’arme pourront donc être confinés voire neutralisés par un remède dont le coût sera infiniment plus faible. L’asymétrie ne joue donc pas que dans un seul sens.

• Conclusion : qui est l’ennemi cyber ?

Compte tenu de ce qui précède, comment définir l’ennemi cyber et comment l’intégrer dans la démarche visant à spécifier la menace pour y adapter la politique de défense d’un pays comme la France ?

Dans un esprit voisin de celui qui conduit Thomas Rid à considérer que les actions menées dans le cyberespace ne sont pas, pour l’essentiel, des actes de guerre, les lignes qui précèdent nous amènent à considérer que l’ennemi cyber est une figure dont l’importance doit être sensiblement revisitée. Les traits particuliers qui lui sont prêtés par certains spécialistes, tels Richard A. Clarke, en font un adversaire quasiment invincible contre lequel aucune défense ne serait véritablement possible et qui n’attendrait que son heure pour frapper au cœur les sociétés occidentales les plus vulnérables. Cette conception nous semble dangereuse car elle aboutit à une extension quasiment indéfinie de la notion d’ennemi qui paralyse en les aveuglant les procédures de choix en matière de ressources à consacrer à la dimension cyber de la politique de défense. Pour resserrer l’éventail des possibilités, il convient de retenir que l’ennemi cyber est d’abord et avant tout un ennemi, c’est-à-dire un adversaire politique qui menace de recourir à l’ensemble des moyens de la force auxquels il peut accéder afin d’imposer sa volonté dans le champ des relations internationales.

L’ennemi cyber est ensuite un ennemi capable de mettre en œuvre des actions visant à produire des effets spécifiques sur les systèmes interconnectés de traitement automatisé de l’information en vue de les contrôler, d’en modifier le contenu, voire de provoquer des dommages aux infrastructures critiques de l’adversaire. Mais l’ennemi cyber n’est pas un « pur ennemi cyber ». Le plus souvent, l’action dans le cyberespace sera associée à d’autres formes de mise en œuvre de la force en vue d’obtenir l’assujettissement de la volonté adverse.

On voit donc que la définition ne doit pas succomber à l’éternelle tentation technologique – certes, les considérations techniques sont essentielles dans l’appréhension des formes modernes de conflictualité. On ne saurait pas davantage raisonner justement à propos de la cyberconflictualité en ignorant tout de l’architecture et du fonctionnement des réseaux interconnectés qui forment le cyberespace qu’on ne saurait traiter de dissuasion nucléaire en ignorant tout de la physique nucléaire et de la fission de l’atome. Mais la dimension technique de la question ne doit pas intervenir seule dans la définition d’un concept, l’ennemi, qui est le produit d’une volonté politique avant que d’être celui d’une capacité technique.

Concrètement, l’application de ce double critère pourrait conduire à limiter l’éventail possible de nos « ennemis cyber » à des acteurs des relations internationales, États ou groupes armés, disposant de la maîtrise technique suffisante pour être susceptibles de concevoir et de mettre en œuvre des actions de force significatives dans le cyberespace, en combinaison ou non avec des moyens cinétiques plus traditionnels. Faute de projet politique susceptible d’entrer en concurrence avec celui des nations concernées (États-Unis, Europe…), on écartera de cette catégorie les individus ou groupes qui pourraient par ailleurs avoir des compétences informatiques plus ou moins affirmées et qui les utiliseraient à des fins criminelles. Il en est de même des États ou des groupes armés qui ne disposent pas du capital intellectuel et de la base industrielle indispensable (plus importante qu’on ne le dit fréquemment) pour constituer une menace sérieuse à l’encontre des infrastructures critiques, civiles ou militaires, de leurs adversaires. On ne retiendra pas non plus ceux qui, tout en disposant d’une véritable compétence cyber, ont des projets politiques en cohérence ou complémentaires avec les nôtres. Ce faisant, il ne s’agit pas de dire qu’il faut baisser la garde et que les risques et les menaces dans le cyberespace seraient purement fantasmatiques. L’intrusion dans les systèmes informatiques, l’espionnage politique, militaire ou industriel, la propagande sur les réseaux sociaux… sont autant de pratiques connues dont l’influence est loin d’être négligeable dans les processus compétitifs qui caractérisent une économie mondialisée et un système politique de plus en plus ouvert. Mais ces pathologies ne sont pas nécessairement de nature à caractériser l’existence d’un ennemi cyber au sens de la politique de défense. Voir dans tout acte de déviance informatique le témoignage d’une attaque cyber, donc de l’action délibérée d’un ennemi cyber, relève du bourrage de crâne, non de la nécessité épistémologique. Il y a là un danger symétrique tout aussi fort réel, que celui qui consisterait à ne pas reconnaître que le cyber est désormais un espace majeur de la conflictualité.

In an economic world where it is becoming a requirement to choose from among the various alternative ends those ends to which the limited available resources will be allocated, the construction of the figure of the enemy is an epistemological necessity in any strategic thinking. Without identifying the enemy, there can be no rational choice and therefore no sensible military strategy. Fabricating the enemy is thus a founding act of defence policy. This is true both for cyber conflict and for any form of conflict1.

However, this cold and rational approach to strategy construction does not prevent enemy fabrication from, at the same time, being dictated by quite different motives, of psychological and sociological natures, that will enable combatants to find the necessary resources to cope with the extraordinary situations they will face on a daily basis in war time, and that will enable the nation to pull together at a time when costs and sacrifices will undermine its cohesion or indeed its existence. The enemy is no longer this adversary that we seek to analyse coldly to assess its strengths and weakness better, to understand its rationale and to anticipate its movements; it is this radically different other, this barbarian who tramples on the common values of humanity, ignores the progresses of civilisation, and shows a savagery that legitimates the use of the full range of means of force against it, and makes the prospect of its annihilation morally acceptable.

During the First World War, Pierre Loti thus put all his talent at the service of the French propaganda machine to describe the advance of the “Boches” as a “gorillas on the loose” In their wake, “everything is laid waste, crushed, pulverised; the gorillas found time not to spare anything » 2. The amiable Vincent Scotto, who was to write ditties as sentimental as J’ai deux amours (Two loves have I) or Marinella, composed a bellicose air that has long since been forgotten: “The Boches are like rats. The more you kill, the more of them there are. » Rats, cockroaches… The bestiary lacks variety and it was, once again, a rat to which General Odierno referred when he recounted Saddam Hussein’s capture: “He was in the bottom of a hole with no way to fight back. He was caught like a rat3. »

Throughout the xxth Century, animalisation of a precisely identified enemy is thus a constant that points not only to a rational strategic thought process, but also to one of the keynotes of individual and collective behaviour in situations of extreme violence4.

History gives us many examples showing that strategic thinking is weakened and left wide open to surprises, which are sources of defeat, if it enables acceptance of propaganda hype to take precedence over epistemological necessity, and if it allows itself to be contaminated by the figure of a denigrated, dehumanised, and bestialized enemy. It would be cheap reassurance to think that such contamination processes belong to the past.

Literature on cyber conflict can, on the contrary, give the impression that that danger is all the more present since, added to the classic cognitive and cultural biases that have always existed, are uncertainties born out of technological progress that knows no let up, the acceleration of political, economic, military, and other decision cycles, the increase in the number of players in international relations, etc. all of these additions being cumulative factors in the strategic fog and powerful generators of errors of analysis and of judgment.

For example, if we are to believe either the emblematic bestseller by Richard A. Clarke5, or the pseudo-studies by consultants such as the company Mandiant6, fabrication of the cyber enemy leads to a rather complex figure redolent both of the traditional and bestial “yellow peril” and also of a faceless enemy, an exacerbation of this new American approach that consists in waging war against nebulous concepts rather than against precisely defined adversaries.

The definition of the cyber enemy thus swings dangerously between rational analysis and preconceived ideas, technical approximations, and cognitive biases. Without claiming to bring a definitive answer to the question, the aim here is to remove certain major biases that seem to us to mark the frequent approach and of which one of the best representatives is the above-mentioned work by Richard A. Clarke. We should point out that Cyber War: The Next Threat to National Security and What to Do About It is neither the least pertinent nor the least interesting of the works on the question, and that its author is neither the least competent of the authors addressing cyber war issues, nor the one that gives the least amount of careful thought to what he is saying. If it has been chosen here as a reference work, it is precisely because its author enjoys indisputable credibility and competence, but also because the analysis it proposes, and that others take up with less talent or rigour, nevertheless appears to show a certain number of biases that are worth discussing. We thus make only occasional mention of the many works, pseudo-reports, studies, or analyses that suffer from the same failings but to an even greater extent.

So, who is the cyber enemy? Is it the same as the non-cyber enemy? Do the technical specificities of cyber conflict influence the very nature of the enemy? Are they decisive in drawing the necessary dividing lines between friends and enemies in the field of international relations in this first quarter of the xxist Century?

After having recalled the general characteristics of the cyber enemy as it appears from the literature that follows in the footsteps of Richard A. Clarke, we endeavour to show how some of those characteristics should be nuanced, and then we conclude by proposing our outline of a figure of the cyber enemy that, it seems to us, would be opportune to take into account.

• From bestialization to demonization of the adversary:
  the advent of the cyber enemy

The rhetoric of cyber conflict is confirming and amplifying the US-spurred change in the way the enemy is defined. Traditionally, political and military leaders had to base their reasoning on an enemy who was identified by the nature of its political project, in order to protect themselves from the types of use of force to which it was given the possibility of accessing by its human, technological, financial and other potential.

After September 11th, the American riposte focussed both on a set of countries, the “Axis of Evil”, and also on vectors of propaganda aiming to dehumanise in manner that was really quite traditional7, and then it turned to fighting a concept, “terrorism” or “terror”, against which the United States began waging a “global war”8. The idea was thus to combat a certain type of attack whose perpetrators could vary with the ebbing and flowing of international relations, sometimes being “Rogue States”, sometimes being groups of insurgents involved in armed struggles against the United States, and sometimes proven or presumed backers of such states or such insurgent groups. The construction of the figure of the enemy has been profoundly transformed. There is no longer any need to make a savage of it since it already is one by definition insofar as it uses means of action that are condemned by international law. However, it is necessary to convince public opinion that the enemy who is to be struck does indeed belong to the category of “terrorists”, which can, if need be, be done by manipulating essential evidence and by deploying ad hoc propaganda.

With cyber conflict, a rather comparable process is at work. The idea is to define the enemy by qualifying it by its use of a certain form of action (intervening on the networks and on the flows in cyberspace) without actually giving it a predetermined face, more detailed descriptions of it then being possible as and when necessary. The figure of the “cyber enemy” is not that of a “gorilla”, “rat” or “cockroach”, but rather it is that of an anonymous adversary capable of striking anyone, anytime and anywhere. Its evil power stems from the combination of three characteristics that are specific to it: irregularity, asymmetry, and destructive power.

The “cyber enemy” is an irregular enemy in several respects. Firstly, it can take advantage of the intrinsic characteristics of cyberspace to make its attack without revealing itself or by putting the blame for its acts on others. In the examples of cyber conflict that are always cited, in particular Estonia and Georgia, no sound evidence has been produced of the origins of the observed attacks. It is otherwise only when the perpetrator of the attack claims it did it – the TinKode group of Romanian hackers in the attack against the Royal Navy in 2010, or the United States practically acknowledging paternity for the Stuxnet virus.

The cyber enemy also ignores certain founding principles of jus in bello. Even when it specifically targets military objectives, the cyber attacker knows that it cannot control the effects of the weapons it is using. The weapons will almost necessarily spread beyond the target because the corresponding computer system is open to some extent to all of the civil or military interconnected systems that share common “building blocks” in hardware or software form. In doing so, the cyber attacker ignores, intentionally or otherwise, fundamental principles: the distinction that should be made between combatants and non-combatants, civilians and military personnel, the proportionality of the means used, etc.

Admittedly, these structuring distinctions have already been very largely eroded over time, with civilians being the largest group of victims of contemporary armed conflicts, for example. But they continue to be reference values for the armed forces who abide by law, ethics and good military conduct. With cyber conflict, there is a major risk of seeing these distinctions lose most of their meaning and of fostering proliferation of irregularity among the various protagonists. The separation between the military and civilian worlds, for example, is giving way to a continuum of players, of structures, of flows, etc. that are going to broaden the potential targets and facilitate propagation of the destructive effects. Even if the cyber attack is not targeting a hospital or a nuclear power station, but rather it is targeting a military facility, there is nothing to say that the virus introduced will not subsequently affect critical infrastructures protected by the rules of that law.

Cyber conflict also exacerbates the asymmetry of the combatants. Contemporary wars are characterized by a general reinforcement of asymmetry. This is sought deliberately by the players who are conscious of their intrinsic weakness with respect to the technical resources they can mobilise, and who thus find the means for standing up to adversaries whom they could not beat on a traditional battlefield. The work by Michel Goya highlights the mechanisms and the effects of this growing asymmetry in the Iraqi or Lebanese theatres9.

But the development of asymmetric conflicts is also resulting mechanically from the increasing accessibility of military-use resources. In the field of conventional military equipment, this growing accessibility relies on the abundance of supply, and in particular, on the abundance of the supply of light equipment, sufficient to start and to maintain low-cost conflicts of which advantage is taken by the war entrepreneurs described by Paul Collier10. Insurrectional movements, revolutionary guerrillas, ethnic and/or religious groups, etc. are thus able to launch armed operations sustainably against governments that are more or less fragile but that nevertheless have government-run military and police systems.

The generalisation of cyberspace in developed countries is making some people fear a further lowering in the threshold of accessibility to conflict means, and a worsening of asymmetric threats, in particular from “young people born with the cyber dimension”. The function of producing the cyber combatant mobilises, in preferred manner, the human factor, in particular the intellectual capital that is measured by the degree of skill in computing and telecommunications. Paradoxically, the technical factor finds itself reduced to its simplest expression due to technological progress and to the reduction in the cost of equipment or of access to networks. The level of resources necessary for planning and implementing attacks in cyberspace is presented as being within the capability of groups that can be much smaller than those required for implementing conventional military attacks. Dangerous and politically significant operations could be conducted by players who hitherto carried no weight in inter-country relations: States lacking sufficient economic and industrial capacity to sustain a substantial defence effort, specialist mafias, localised insurrectional movements, or indeed politically motivated groups or individuals. All could inflict damage on the most powerful countries both by manipulating flows of information and also by degrading interconnected civilian or military systems. Cyber vandalism, cyber terrorism, and cyber manipulations are forms of conflict that are accessible to a much larger number of much less identifiable people than are new wars, and, even more so, than are traditional wars.

In the extreme vision of this cyber asymmetry, any assailant whomsoever can strike instantly, from any point of the globe, and without leaving either any trace or any means of identifying it and challenging it, or, worse still, while opening up the possibility of wrongly incriminating innocent parties. The corollary of this new aggression capacity is the disappearance of the concepts of (national and international) law and of ethics. « The emergence, all around us, of an increasing asymmetry enabling players of lesser significance (small States, individuals, or groups of individuals) to call into question the leadership of major players (large States, multinationals, international or supranational bodies) is generating an unprecedented geostrategic situation11. »

Last but not least, the cyber enemy has a capacity for inflicting mass destruction on its adversary. The countries that are most powerful politically, economically, and militarily are, ipso facto, the most dependent on cyberspace and the most fragile in the event of attack. What the United States has to fear from a cyber enemy is a “cyber Pearl Harbor” or, more exactly a “cyber 9/11” because this irregular and asymmetric enemy would probably attack civilian infrastructures because they are more accessible than military facilities. Richard A. Clarke stages an attack on the United States by hackers from the Chinese Army. Those hackers destroy the computer networks of the US Government, blow up oil refineries, cause chlorine to leak from chemical plants, take control of the air and rail networks, and cause aircraft to crash or trains to derail, paralyse the financial markets and the banking system, and cut off the electricity supply across the USA from the Atlantic to the Pacific. There are thousands of victims. The large cities are short of supplies and looters run riot in the streets.

According to the author, the cyber apocalypse is not only a theoretical possibility, but rather it can strike today, in the next quarter of an hour. Cyberspace seems to readily lend itself to catastrophic visions. In the neighbouring field of cyber criminality, the figures bandied about for the level of harm suffered by the various players are all the more easily taken up and reproduced since they are spectacular and totally lacking in any methodological basis12. This is how several official institutions report losses of one thousand billion dollars, i.e. 1.64% of global gdp. Our colleague Alexandre Delaigue had the opportunity of showing by what mechanisms of collective intoxication such a fanciful assessment was able to root itself into the majority line on cyber criminality13.

In short, the cyber enemy is less a gorilla or a rat than a ghost. It is nonetheless formidable because it is almost impossible to identify it or to predict what it might undertake except to anticipate that the results of its action will be disastrous. The “Boche” was a gorilla, but we knew it and we knew that it would come from the plains of the East. The cyber enemy can conjure up images of the “yellow peril” or of groups of insurgents or of drug-trafficking mafias, or anarchist movements, or indeed ill-intentioned students. Its omnipresence and its omnipotence justify the general mobilisation of the civilian and military leaders and allocation of massive resources with a view to making critical information systems secure.

• Myths and realities about the cyber enemy

The overall impression that comes out of the line illustrated in the first part is that the cyber enemy is hidden in such a thick fog that it is almost impossible to identify it or to fight it in rational manner. This is not surprising because a fog that is no less thick envelopes the concept of “cyber attack”. The United States Department of Defense is, apparently, confronted with “ten million attacks” per year according to a figure put forward by General Alexander before a budget commission in 2012. Such an order of magnitude can be understood only if we combine just about everything that can be related to non-compliant use of the computer networks and systems of the us armed forces. As Peter Singer and Allan Friedman amusingly point out, that boils down to giving the same treatment to a joker who lights a banger, a robber armed with a handgun, an insurgent who conceals an improvised explosive device, and a State who launches a cruise missile, on the grounds that all of them use the same physical and chemical principles that govern explosives14.

Is it possible to clear the fog relating to the cyber enemy by taking a closer look at the characteristics that are genuinely specific to it? Is the cyber enemy really this ghost capable of striking anyone anywhere while remaining completely anonymous? Is it not possible to narrow this vast range of potential enemies a little in order to make more enlightened choices in allocating the limited resources available to the armed forces?

Returning to the actual definition of the terms, we can but be struck by the very wording of the term “cyber enemy”. We do not speak of “land, sea, or air enemies”. The enemy is not defined by the degree of its mastery in one particular expression of force, but rather by the fact that it shows credible will to use force to make its political project win in the field of international relations. It is not the mobilised instrument that defines it, but rather its political ambition. He, once again, we find the confusion that follows from the war on the nebulous concept of “terrorism” or “terror” that was introduced after the September 11 attacks. That simple reminder would already make it possible to filter out a lot of the “attacks” of which the us Department of Defense claims to be a victim. For instance, the mafia groups that see in computer crime a new and promising source of revenue usually do not have any political ambition hostile to the political ambitions of the States in which they operate. Very much to the contrary, they often give more or less asserted and more or less open support to the authorities in place, regardless of their political colour.

It should thus be considered that the organised groups or individuals who commit computer crime do not come under the category of “cyber enemies” of States like the United States or France. Combating their criminal practices is the competence of players and lies within legal frameworks that are not the players and frameworks of conflict, which leads to a very significant narrowing of the range of players concerned by the problems of cyber conflict. The cyber enemy should thus be considered as a conventional enemy, i.e. a State or a group leading a political project that is incompatible with the political project of the State in question, and who thinks in terms of shadow cast or of reality of use of force, and whose real or presumed capacities include implementing cybernetic means to influence the will of its adversary.

Is that enemy then as formidable as it appears due to its capacity to act in cyberspace? The answer is “no” for at least three reasons. The anonymity often highlighted to justify the dangerousness of the cyber enemy should not be considered as constituting the essence of cyberspace, but rather as a provisional situation that is attenuated a little more every day due to the progress of Computer Forensic Science. The information revealed by Edward Snowden shows that the United States and their allies already have industrial-scale analysis tools, and that the capacities for collecting and processing data already allow little room for genuine anonymity on the Web. It might be objected that a group that has genuine skill could implement concealment means whose sophistication will grow at the same rate as the progress made by the investigators. But it would be very bold indeed to deduce that it will always be impossible to identify the perpetrators of cyber attacks and to hold them to account. In view of the United States anti-terrorism policy over the last quarter of a century, the opposite should probably be feared, i.e. that a cyber attack will be attributed to a State on which the attacked State wishes to act militarily.

Secondly, contrary to the paradox highlighted above relating to the asymmetry that would apparently characterise cyber conflict, the weaker does not, as if by enchantment, become the stronger or even the equal of the player who has the greatest control in cyberspace. Doubtless, literature and Hollywood movies have done much to disseminate the idea that an isolated teenager can trigger the Third World War by hacking into the computer networks of the Pentagon (WarGames) or that a determined group of terrorists is capable of threatening all of the American infrastructures: communications, stock markets, electricity and gas networks (Die Hard IV). It is also true that the most powerful country is also the most dependent on its computer and telecommunications networks, and that its technologically less advanced adversaries are, de facto, less exposed than it to a cyber attack. The United States is thus more vulnerable to a cyber attack than North Korea, Lesotho, or Panama. However, does that mean that such countries who are less dependent on the most advanced technologies have a decisive advantage in cyber conflicts?

It should firstly be pointed out that the threshold for access to cyber weapons is higher than it is willingly said. If we look at one of the only known cases of sabotage of an industrial system that would appear to have caused significant physical damage to a critical facility (the attack of the Iranian nuclear facilities by the Stuxnet virus), it can be noted that the means mobilised to design, carry out, and lead the attack were considerable and manifestly beyond the grasp of almost every country in the world, not to mention of any political groups who might have wanted to carry out that type of action. According to estimates that are necessarily approximative, the entire process required months of work for whole teams of specialists who had full knowledge of the physical installations, of the hardware implemented, of the computer systems that steered them, of the software used, and of the capacity to introduce a cybernetic weapon into a highly protected military complex15. Such capacities, in particular the intellectual and logistics capital required, doubtless form a less visible underpinning structure than weapons factories, but they are nonetheless reserved to a tiny number of players who, in particular, have the industrial base without which there can be no production of cyber weapons having any chance whatsoever of causing significant damage to critical infrastructures.

Secondly, while being capable of conducting cyber attacks leads to weakening the capacities of the adversary, it does not necessarily give a manifest advantage. We have often heard, including in the daily press, a piece of “astounding news” according to which the “video feed downlinks” from US drones used in Iraq and in Afghanistan have apparently been intercepted by insurgents equipped with a piece of Russian software that costs twenty-five dollars and ninety-nine cents16. The ultimate in asymmetry would appear to have been reached here because military equipment that required years of research & development and a budget of tens of billions of dollars would apparently have been thwarted by a resource that is almost free of charge and that is freely available. However, the impression of an equalisation in the balance of power between the US armed forces, who have the drones, and insurgents capable of intercepting video feeds emitted by the drones should be strongly tempered. Accessing what the drones see does not make it possible to take possession of them, to deflect them from their mission, to destroy them or to keep them grounded. At the most, it makes it possible to hide better and to be forewarned of certain attacks that might take place. The result is no more than a relative loss of effectiveness in the use of a weapon, that would be technically relatively easy to correct anyway, and the balance of power is in no way turned over.

The presumed capacity for mass destruction of a computer attack should also be nuanced. The spectre of a “cyber 9/11” wreaking chaos in a major power by paralysing or destroying its financial, industrial, logistics, and other networks has been looming for at least a quarter of a century now without any such networks in any country of the world having actually been durably put in trouble. In the emblematic case of Estonia, the country presented as being the most vulnerable on the planet because it is the most connected for its fundamental activities (banks, transport, etc.), an attack that was supposed to have been conducted by one of the most powerful in terms of cyber conflict, Russia, would apparently have led only to access to services being denied, without any damaging consequence for the Estonians other than it being impossible to consult their bank balances or from accessing certain administrative services for a few hours17. It could be said that the lives of the bank networks were endangered to a considerably more serious extent in recent years by the “non-cyber bad habits” of their managers, and that that irresponsible behaviour caused panic that was much more dangerous for developed countries. We might remember the Bank Run in the UK that drove thousands of British depositors and savers into the streets to withdraw their savings from Northern Rock in September 2007. No computer attack has yet achieved anything approaching even the beginning of a result of that type. Which just goes to show that a Die Hard IV type scenario, which is not a far cry from the what Richard A. Clarke is saying, should not be seen as the paradigm for cyber attack, and that the cyber enemy’s potential to harm should be considered with a certain amount of caution.

Finally, in the relationship between the attacker and the defender, it should be emphasised that the advantage of the former has every chance of not being final, or, above all, sustainable. Thus, the Stuxnet virus that was presumed to have taken months of work by highly specialised teams and whose design, “production” and implementation cost probably represented an investment that very few countries could make could be neutralised relatively simply once it had been discovered. The initial damage can then be confined by putting patches in place that annihilate the threat, at least for the sensitive infrastructures where appropriate information system safety procedures make it possible to “stop up the gap” through which the attack was conducted. The considerable investments implemented for manufacturing the weapon can thus be confined or indeed neutralised by a remedy whose cost is infinitely lower. Thus, asymmetry does not act in one direction only.

• Conclusion : who is the cyber enemy?

In view of the above, how can the cyber enemy be defined and how can it then be integrated into the approach aimed at specifying the threat so as to adapt the defence policy of a country like France to counter it?

In a spirit close to the one that led Thomas Rid to consider that the actions conducted in cyberspace are not, for the most part, acts of war, the above lines lead us to consider that the cyber enemy is a figure whose significance should be revisited to a substantial extent. The particular traits that are attributed to it by certain specialists, such as Richard A. Clarke, make it an almost invincible adversary against whom no defence would really be possible, and who is merely biding its time before striking the cores of the western societies that are the most vulnerable because of the progress in the interconnection of their automated information processing systems, and of their critical civilian or military infrastructures. This conception seems to us to be dangerous because it leads to almost indefinite extension of the notion of “enemy” that paralyses the procedures for choosing the resources to be devoted to the cyber dimension of defence policy by blinding those procedures. In order to narrow down the range of possibilities, it should be noted that the cyber enemy is first and foremost an enemy, i.e. a political adversary who is threatening to use all of the means of force to which it has access to impose its will in the field of international relations.

Secondly, the cyber enemy is an enemy who is capable of implementing actions aimed at producing specific effects on interconnected automated information processing systems with a view to controlling them, to altering the contents of them, or indeed to causing damage to the critical infrastructures of the adversary. But the cyber enemy is not a “purely cyber enemy”. Most often, the action in cyberspace will be associated with other forms of implementation of force with a view to obtaining subjugation of the adversary’s will.

It can thus be seen that the definition should not succumb to the eternal technological temptation. Admittedly, technical considerations are essential in comprehending modern forms of conflict. It would no more be possible to apply accurate reasoning to cyber conflict while knowing nothing of the architecture and of the workings of the interconnected networks that make up cyberspace than it would be possible to address nuclear dissuasion while knowing nothing of nuclear physics and of splitting the atom. But the technical dimension of the question should not be the sole aspect in defining a concept, namely “the enemy”, which is a product of political will before it is the product of a technical capability.

In concrete terms, applying these two criteria could lead to limiting the possible range of our “cyber enemies” to players in international relations, namely States or armed groups, who have sufficient technical command to be capable of designing and of implementing significant acts of force in cyberspace, whether or not that is combined with more traditional kinetic means. If they do not have any political project that might challenge the political projects of the nations in question (United States, Europe, etc.), any individuals or groups who might also have more or less asserted computer skills and who might use them for criminal purposes will be excluded from this category. The same goes for States or armed groups who do not have the intellectual capital and the industrial base (larger than is frequently said) essential to constituting a serious threat to the critical civilian or military infrastructures of their adversaries. Neither should we include those who, while they have genuine cyber skill, also have political projects consistent with or complementary to ours. This is not to say that we should lower our guard and that risks and threats in cyberspace are merely fantastical. Intrusion into computer systems, political, military, or industrial espionage, propaganda over social networks, etc. are all known practices whose influence is far from being negligible in the competitive processes that characterise a globalised economy and a political system that is increasingly open. But such pathologies are not necessarily sufficient to characterise the existence of a cyber enemy in the defence policy sense. To see in any act of computer deviance the mark of a cyber attack, and thus the deliberate action of a cyber enemy, is more akin to accepting propaganda hype than it is to epistemological necessity. Here, there is also a symmetrical risk that is equally dangerous: that of not acknowledging that cyberspace is now a major field of conflict.