Olivier Kempf (expert en stratégie) : « Le cyber est une avancée technologique qui ne change pas la nature ni la grammaire de la guerre » (1/3)
Nous estimons chez Digitemis que l’actualité internationale, très dense et sujette à de nombreuses interprétations, nécessite d’être éclairée. Nous vous proposons donc une série de trois entretiens d’experts consacrés à la géopolitique, aux enjeux de cybersécurité et à la cyberstratégie. Le premier à s’être gentiment prêté au jeu de nos questions est Olivier Kempf, militaire de carrière (GBR 2S) qui a notamment été en charge de la politique de cyberdéfense de l’armée de Terre. Il intervient désormais en tant que consultant auprès des grands médias nationaux. Au programme de notre entretien : la lutte contre la désinformation, le risque cyber, la guerre dite moderne ou encore la cyber résilience nationale. À paraître bientôt les entretiens avec Kevin Limonier (spécialiste de la Russie et du cyberespace russophone) et avec Julien Nocetti (spécialiste des enjeux numériques internationaux).
Les questions posées à Olivier Kempf, spécialiste en géopolitique et en stratégie :
1. Le cyberespace est un nouveau théâtre de conflits, invisible pour la majorité des populations civiles et en rupture avec la guerre dite classique. Comment préparer les mentalités à ce nouveau péril qu’est le risque cyber ?
Olivier Kempf : « Les populations civiles peuvent être des cibles indirectes, c’est-à-dire qu’elles sont victimes – par extension et du fait de leur dépendance – d’attaques contre les opérateurs d’importance vitale (OIV), les services publics, les banques ou encore les hôpitaux. Il est également possible que ces populations civiles soient directement les cibles d’emailings piégés et, par ce biais, les victimes d’escroqueries, d’espionnage, de vols ou de rançonnages. Dans ces cas-là, la seule façon de protéger le grand public est de le sensibiliser à l’hygiène informatique. Je pense qu’il est nécessaire de sensibiliser par la même occasion les décideurs qui considèrent encore qu’ils n’ont pas de responsabilité cyber, et notamment les acteurs de proximité : les mairies, les TPE et les PME, les médecins et même les géomètres locaux.
Il faut rappeler à ces professionnels de proximité qu’ils ne sont pas à l’abri de cyberattaques. Ils ont une responsabilité cyber qu’ils n’avaient pas jusqu’à présent. C’est d’autant plus vrai que le rançonnage s’est industrialisé, s’est automatisé, est devenu facilement accessible. Les actions à mener vis-à-vis de ces publics sont de trois types : sensibilisation, prévention et éducation à la gestion de crise. Ce sont finalement les trois volets d’une politique d’organisation cyber d’envergure. »
2. Comment lutter contre la désinformation et contre la propagande dans la sphère informationnelle, qui ont des conséquences néfastes sur la démocratie ?
Olivier Kempf : « Le cyberespace a facilité l’accès à de multiples sources d’information, donc à des sources diversifiées. D’une part, il y a beaucoup moins de monopoles des grands médias, même si leur influence demeure. Et, d’autre part, tous les acteurs du cyberespace ont aujourd’hui l’opportunité de devenir des producteurs. Deux phénomènes ont provoqué une massification des échanges médiatiques dans le cyberespace : l’émergence des réseaux sociaux et l’apparition du smartphone – outil connecté à Internet et utilisé par le plus grand nombre dès le plus jeune âge – qui favorise des communications rapides et permanentes, des échanges multimédias, du micro-blogging sur Snapchat, Facebook ou Twitter.
Cette massification des échanges médiatiques englobe une multitude d’acteurs, y compris des acteurs individuels : des phénomènes de clubs opèrent, avec des segmentations de publics qui se forment selon des affinités. Et, comme dans tout phénomène de ‘fan club‘, des groupes se radicalisent, en particulier dans le domaine politique : les opinions les plus radicales trouvent maintenant de l’audience et de l’écho alors qu’auparavant elles étaient complètement négligées. Il est logique, dans cet environnement informationnel en pleine mutation, de trouver des clubs radicaux véhiculant des propos mensongers : il y a ceux qui affirment que la Terre est plate ou que l’Homme n’est jamais allé sur la lune. Ces techniques de manipulation d’opinion sont finalement traditionnelles : la seule grande nouveauté est l’augmentation considérable de la sphère informationnelle, due au cyberespace.
Comment faire pour lutter contre cette désinformation et contre cette propagande ? Il faut de la part des experts davantage de pédagogie, de neutralité, de distance dans l’expression de leurs analyses, de façon à pouvoir convaincre rationnellement. La raison appuyée sur du factuel et sur la reconnaissance d’éventuelles erreurs, voilà ce qui est de nature à contrecarrer efficacement la dimension essentielle principale de cette sphère informationnelle qu’est l’émotion. »
3. Vous avez écrit récemment sur votre blog que la guerre classique était morte. Dans cette guerre dite moderne, le cyber prendra-t-elle une place prééminente dans les futurs conflits ?
Olivier Kempf : « Non, ce ne sera pas le cas. La rupture radicale est intervenue il y a presque 80 ans : il s’agit de la bombe atomique, qui a totalement bouleversé la situation des pays placés sous parapluie nucléaire et des autres. Cela a radicalement changé la manière dont sont conduits les conflits et la guerre aujourd’hui. Les grandes guerres classiques, comme les guerres napoléoniennes ou les deux guerres mondiales du XXème siècle, ont disparu.
L’Ukraine n’est pas sous parapluie nucléaire et en fait l’amère expérience : elle subit une guerre contre un adversaire qui possède l’arme nucléaire, ce qui empêche les autres puissances nucléaires de venir la soutenir. Le nucléaire est donc le grand changement stratégique, celui qui a réellement bouleversé la grammaire stratégique. Le cyber est une avancée technologique qui, contrairement à beaucoup d’illusions, n’aura pas cet effet : fondamentalement, aujourd’hui, le cyber ne tue pas directement.
Depuis une quinzaine d’années, j’entends parler d’hypothèses catastrophistes comme le « cyber Pearl Harbor » ou le « cyber Armageddon »… Les Américains adorent se faire peur et « marvelisent » le phénomène cyber. Ils aiment se dire que le cyber est le nouveau nucléaire. Or ce n’est pas le cas, mais cela ne veut pas dire que le cyber n’est pas un élément important : le cyber est un nouveau lieu d’affrontements qui s’ajoute aux autres milieux que sont la terre, la mer ou l’espace. Le cyber vient les complexifier mais il ne change que les modalités. Ce n’est pas une révolution stratégique, le cyber ne change pas la nature ni la grammaire de la guerre. »
4. La Russie est considérée comme l’une des puissances cyber dans le monde, assez loin devant la France et l’Allemagne. Comment rattraper ce retard ? L’Europe est-elle la solution ?
Olivier Kempf : « Nous ne sommes pas si loin que cela de la Russie. La France est d’ailleurs considérée comme une grande puissance cyber. À travers les trois dernières Lois de Programmation Militaire (LPM), énormément d’efforts ont été consentis. Nous possédons un dispositif étatique très conséquent avec un vrai socle économique, une base industrielle de cyberdéfense robuste, peut-être même plus solide que celle des Russes.
Les grandes questions auxquelles il convient de répondre désormais sont les suivantes : ‘La cyberstratégie pour quoi faire ? Quels objectifs ?’. Il y a d’autres sujets qui viennent se greffer au cyber comme celui de la souveraineté numérique. Le cyber pur est une dimension importante, certes, mais qui fait partie d’une stratégie numérique plus globale.
Dans ce contexte, l’échelon européen est très intéressant. Il a été utile dans le cadre du Règlement Général pour la Protection des Données (RGPD) et dans celui des initiatives européennes sur le Digital Services Act (DSA) et le Digital Markets Act (DMA). Ce sont des initiatives bénéfiques pour la France parce qu’elles apportent une dimension supplémentaire à notre stratégie nationale (en attendant de voir que va apporter dans les faits la nouvelle directive SRI 2). Je crois que cette double action conjuguée est pertinente : une stratégie nationale – très bien faite et qui, je n’en doute pas, sera renforcée par la prochaine LPM – soutenue à l’échelon européen, qui vient apporter une couche supplémentaire de cybersécurité. »
5. Les agressions se multiplient dans le cyberespace français à l’encontre des entreprises, des OIV, des collectivités ou encore des hôpitaux… Pensez-vous que la France soit armée pour les parer ?
Olivier Kempf : « Il faut reconnaître que ce n’est pas le cas. Depuis 15 ans, et c’est une satisfaction, nous avons créé un dispositif national efficace en cohérence notamment avec les opérateurs d’importance vitale et les différents grands acteurs économiques. Tout ce qui a été fait au niveau macro a été bien fait, même s’il y a toujours des points à améliorer.
Mais l’État a négligé le niveau local. Et quand je dis local, il ne s’agit pas des régions mais plutôt du micro-local : des territoires de proximité, de l’échelon départemental et en dessous. Le département a été un peu victime de réformes administratives qui n’ont pas été très heureuses. Il faut donner plus d’importance au département car c’est un échelon territorial très utile en cyber. Il y a ensuite des questions plus générales liées à l’information et à la sensibilisation des citoyens français.
Nous pourrions inclure par exemple dans le programme du service national 2 jours consacrés à l’initiation aux dangers de l’informatique et aux mesures d’hygiène. Cela serait pertinent vis-à-vis de cette nouvelle génération nativement numérique. Enfin, Il subsiste encore beaucoup d’efforts à réaliser auprès des professionnels de proximité et sur le plan éducatif. »
6. Quels seront, à horizon 2030, les enjeux cyber liés à la 5G/6G, aux objets connectés, au métavers et à l’Intelligence Artificielle (IA) ?
Olivier Kempf : « Concernant l’Intelligence Artificielle, il y a une accélération prononcée depuis 5 à 10 ans du fait de l’augmentation du nombre de données disponibles et des moyens de traitement de ces données. On ne s’en rend pas forcément compte mais l’IA est déjà très présente dans nos vies.
Jusqu’à présent, nous avons vécu avec l’illusion que nous avions la maîtrise des échanges de données. Or, avec l’IoT, la 5G et la 6G notamment, la masse des objets et des sous objets connectés communiqueront entre eux, échangeront des données sans que l’être humain soit capable de maîtriser la situation.
À ce propos, une anecdote sur la guerre en Ukraine est plutôt éclairante : suite au pillage récent d’un village proche de Kiev par les soldats russes, l’un d’entre eux a volé un iPod. Le propriétaire de l’iPod a pu suivre le trajet de son objet ainsi que celui du soldat voleur, qui est passé ensuite en Biélorussie et dans le Donbass. Demain, nous serons tous équipés d’objets connectés sans que l’on pense forcément à couper la liaison entre eux. Cette situation va générer des monceaux de données non maîtrisées, difficiles à gérer d’un point de vue cyber.
La tendance prévisible est celle du développement du métavers professionnel et pas seulement celui du métavers de loisir comme l’affirment les médias. Ce métavers professionnel pourrait se muer en outil de test en matière de cybersécurité, avec l’avantage d’épargner les systèmes d’information. Le développement technologique des prochaines années entraînera des complications, des problèmes supplémentaires et en même temps des moyens de les résoudre, dans un monde toujours incertain. »
>> Consultez la biographie d’Olivier Kempf et sa bibliographie
Derniers articles
Sécuriser votre environnement cloud : stratégies essentielles et tests d’intrusion
Découvrez les meilleures pratiques pour sécuriser vos données cloud avec des stratégies de protection et des tests d’intrusion efficaces.
L’évolution marquante du métier de DPO en 2024 : chiffres clés et nouvelles tendances
Le métier de DPO connaît une croissance fulgurante de 64% et une diversification des profils en 2024. Entre défis et opportunités, découvrez les chiffres clés et les dernières tendances de cette profession essentielle dans la protection des données personnelles.