INTRODUCTION
S’il y a encore quelques années l’étude du Cyber restait discrète, ce nouvel objet devient plus largement sujet d’intérêt au sein de la littérature, notamment en science politique. Outre les productions entourant l’analyse stratégique de la cyberguerre et l’apparition de ce nouveau moyen de « faire la guerre », notamment via les écrits initiés par Arquilla et Ronfeldt (1993), l’on voit apparaitre (y compris en France) plusieurs réflexions venant analyser le Cyber par le prisme des relations internationales ou encore de la géopolitique. La majorité de ces études tendent à montrer combien cette « nouvelle menace » vient impacter la manière dont les Etats (inter)agissent (modifiant au passage leurs politiques internationales), mais également impacter nos concepts analytiques préexistants. Lucas Kello (2014) indique d’ailleurs à ce sujet que si les théoriciens des relations internationales considèrent de manière classique les Etats comme les acteurs principaux et irréductibles auxquels tous les autres agents nationaux et internationaux sont subordonnés, et que les relations entre eux sont régies par des règles strictes permettant la modération des rivalités, le phénomène cyber vient remettre en cause les modèles explicatifs traditionnels. L’émergence de nouveaux acteurs, notamment privés, sur la scène internationale venant en effet redessiner les relations interétatiques. D’autres auteurs comme Chris Demchak (2011) évoquent l’idée que le Cyber vient modifier profondément les politiques de défense des Etats, qui doivent désormais développer impérativement un « Cyber Power » pour se maintenir en tant que grande puissance militaire.
Cependant si l’on s’intéresse régulièrement à la manière dont le Cyber peut venir modifier nos cadres analytiques de science politique, tout autant que la manière dont les Etats produisent leurs politiques de défense, peu si ce n’est aucun travaux ne s’intéressent à la manière dont la « variable politique » peut venir modifier la forme que va prendre « l’objet Cyber » au sein de chaque pays. Ainsi, en reprenant certains matériaux et réflexions d’un travail de thèse que nous avons effectué, et portant sur l’analyse comparative des politiques de cyberdéfense en France et aux Etats-Unis, nous tenterons ici de montrer comment des logiques internes et propres à l’Etat peuvent venir modifier les contours des politiques Cybe. En l’espèce nous montrerons qu’en mobilisant quelques outils d’analyse des politiques publiques classiques, et en s’intéressant notamment au processus d’apparition de la menace au sein de l’Etat, à la construction du « problème » par ses promoteurs, mais aussi à l’apparition de fenêtres d’opportunités, ou encore poids de certains acteurs, et à la capacité des institutions à imposer leurs décisions, il nous est possible de mieux comprendre l’importance et la forme que prennent les politiques de cyberdéfense et cybersécurité dans un pays donné. Ainsi, nous observerons comment et pourquoi les politiques de régulation Cyber aux Etats-Unis semblent avoir systématiquement échoué ces 25 dernières années. Constat qui peut surprendre, d’autant plus lorsque l’on connait la manière dont certaines puissances comme la France sont parvenues à développer des politiques de régulations parfois fortes en la matière.
I – L’identification d’une « nouvelle menace » et l’impact du Cyber sur la manière de concevoir les politiques de sécurité et de défense américaines
La première question qu’il convient de se poser est de savoir à partir de quel moment l’Etat s’intéresse-t-il à ce sujet « cyber », à quel moment il est identifié comme une menace, et comment est-il devenu un nouveau « problème » qui pourrait réclamer son intervention ?
Outre la NSDD-145de 1984 voulue par Ronald Reagan[1], ce n’est véritablement qu’à partir de 1995 que le gouvernement fédéral américain semble s’intéresser à la question de la sécurité du territoire face à la menace d’une attaque informatique. En effet, suite à l’attaque terroriste d’Oklahoma City en 1995 (qui n’avait d’ailleurs rien de virtuel ou « cyber », puisqu’il s’agissait ici d’une explosion de produits chimiques), le Président Bill Clinton lancera plusieurs initiatives visant à produire des réflexions et rapports sur la sécurité des infrastructures critiques américaines. En juillet 1996 sera alors lancé le groupe de travail PCCIP (President’s Commission on Critical Infrastructure Protection) avec pour mission de produire un rapport complet sur les atteintes possibles concernant ces infrastructures. C’est à l’occasion du rapport produit par ce dernier que les Etats-Unis « découvriront » l’existence d’un « problème cyber ». Le président de la commission du PCCIP dira à l’époque :
« Nous avons découvert que toutes nos infrastructures dépendaient de plus en plus des systèmes d’information et de communications. Cette dépendance est source d’une vulnérabilité en plein essor, c’est donc ici qu’il faut que nous concentrions nos efforts. Si nous n’avons trouvé aucune menace imminente de cyber attaque visant les infrastructures critiques de la Nation, nous avons cependant trouvé l’existence de capacités pouvant exploiter ces vulnérabilités. Cette menace grandit à une vitesse alarmante. »[2]
L’importance prise par la question cyber (alors inédite) dans le rapport[3] semble d’ailleurs avoir surpris les conseillers de la Maison Blanche[4], qui découvriront à sa lecture que plus de la moitié des recommandations du PCCIP avaient pour objet des vulnérabilités non pas « physiques » (qui avaient initié le rapport) mais « virtuelles ». Le document indiquera alors qu’il est « urgent » d’agir sur ce qu’ils décrivent dès lors comme la « cyber sécurité » [5]. Mais outre la révélation de l’existence d’une « nouvelle menace », le rapport du PCCIP introduira également plusieurs éléments venant modifier la manière dont les Etats-Unis produiront désormais leurs politiques de sécurité et de défense.
Le premier élément notable est la distinction qui sera désormais faite entre d’un côté les menaces par atteintes « physiques » et de l’autre par atteintes « virtuelles », pouvant notamment toucher les infrastructures critiques[6]. Le rapport venant en effet introduire cette nouvelle dichotomie pour la première fois, et indique que désormais chaque type de menace devra faire l’objet d’un traitement spécifique, par le biais de solutions et d’outils différents.
Le deuxième apport majeur du rapport est qu’il mentionne la nécessité, désormais, de modifier la manière dont l’Etat doit envisager la protection des dites infrastructures critiques, en développant notamment de nouveaux moyens d’actions comme la mise en place d’un partenariats public / privé. Le rapport indiquera en ce sens que :
« Comme ces infrastructures sont dirigées et appartiennent principalement à des acteurs privés, nous avons conclu que la protection de ces infrastructures critiques relève d’une responsabilité partagée entre le secteur public et privé. Par conséquent, en supplément de nos recommandations concernant l’amélioration de l’action du gouvernement dans cet ‘’Age de l’information’’, nous avons également produit des recommandations pour la constitution d’une collaboration entre les organisations publiques et privées, qui modifient notre manière conventionnelle de penser les interactions entre le gouvernement et le secteur privé »[7].
Notons ici que le rapport n’indique pas la responsabilité pleine et entière de l’Etat dans la sécurisation de ces infrastructures face aux menaces cyber, mais crée une responsabilité « partagée » entre le secteur public et le secteur privé, sans pour autant en définir les termes. La formalisation de cette approche, matérialisée par les conclusions au sein du rapport du PCCIP, se révèle importante lorsque l’on étudie les mesures prises par le gouvernement fédéral au cours des deux décennies qui ont suivi. En effet, elle renvoie à l’idée que si certes le risque cyber représente une menace pour l’Etat (ce qui pourrait conduire légitimement à penser que ce dernier vienne produire une politique publique pour y répondre), il s’avère que bien souvent la responsabilité de la sécurité des infrastructures sera en réalité du ressort (et en réalité à la totale discrétion) des entreprises privées. Par suite, comme nous le verrons, compte tenu de la responsabilité renvoyée pour partie sur les partenaires privés, aucune politique forte ne verra immédiatement le jour. Seules des initiatives basées sur le volontariat des acteurs privés verront le jour.
Enfin, dernier apport du rapport produit par le PCCIP, l’on découvre que le cyber vient redessiner la manière dont les Etats doivent désormais concevoir la production de leurs politiques de sécurité et de défense. Si jusqu’ici c’est le pouvoir régalien qui assurait la protection pleine et entière du territoire face aux agressions extérieures, il se retrouve à partir de cet instant dans « l’obligation » de devoir composer avec des acteurs privés pour assurer sa propre sécurité. Les infrastructures critiques n’étant pas sous son contrôle. Par suite, l’approche américaine induite par le PCCIP indique en ce sens que :
« Notre nouvelle pensée doit prendre en compte la dimension cyber. L’un des éléments les plus importants est la reconnaissance que les propriétaires et les opérateurs de nos infrastructures critiques sont désormais sur la ligne de front de notre effort de sécurité. Et cette vulnérabilité met en péril notre sécurité nationale »[8].
Ainsi, le cyber vient transformer la manière dont les Etats (ici l’Amérique) viennent créer et développer leurs politiques de sécurité et de défense. En l’espèce, ce « changement » décrit par le PCCIP fait donc passer en « première ligne » des opérateurs civils, privés, là où au préalable il s’agissait de militaires ou d’organisations publiques dans le cadre d’une confrontation inter-étatiques. L’Etat fédéral Américain se retrouve alors à devoir conjuguer l’existence d’une menace pour la Nation, mais dont les maillons faibles (les infrastructures critiques) sont aux mains des entreprises privées.
Mais au-delà de ce que le cyber vient changer aux politiques de défense des USA, il est intéressant de noter également ici que les conclusions mêmes du PCCIP vont avoir un impact profond sur l’ensemble des politiques cyber américaines qui vont suivre. En effet, le rapport va produire les bases d’un « cadrage idéologique » de ce « nouveau problème public » qui sera visible dans la suite des mesures prises par les autorités, comme nous allons désormais le voir.
II – De l’impact du Cyber sur les politiques, à l’impact de la politique sur le Cyber
S’il est incontestable, comme nous venons de le voir, que le cyber impacte la manière de concevoir les politiques de défense outre atlantique, il est également intéressant de relever à l’inverse l’impact que les logiques politiques ont pu avoir sur la manière dont le « sujet cyber » a été traité. Ainsi, en étudiant la mise à l’agenda du « problème cyber » aux Etats-Unis, l’on se rend compte combien des logiques « classiques », et observables sur d’autres sujets d’études que celui-ci, ont pu impacter et modeler ce « nouveau » problème. Nous observerons donc ici combien le poids des logiques politiques, des choix idéologiques propres, ainsi que le cadrage opéré par certains acteurs sur ce problème cyber viendra impacter la forme des mesures prises par le gouvernement en la matière.
Nous évoquions plus haut que le PCCIP marquait un tournant dans la manière de penser les politiques visant à sécuriser le territoire américain. Pour mettre en œuvre cette « nouvelle pensée » en prenant en compte la dimension cyber, et intégrer ainsi les opérateurs privés dans les politiques de sécurité et de défense américaines, la Maison Blanche nommera alors rapidement (à la suite du rapport) un coordinateur national à la cybersécurité en la personne de Richard Clarke. Ce dernier devenant ainsi le premier « Cyber Tsar », poste qui sera désormais quasi systématiquement reconduit au sein du staff de la Maison Blanche, et ce dès l’administration Clinton.
Cependant, si l’instauration de cette nouvelle position semble être un acte fort, le document à l’origine de sa nomination reste clair, le Tsar n’était en réalité qu’un coordinateur sans réel pouvoir, aucune autorité, capacité décisionnelle, ni compétence en matière de régulation par exemple[9] . D’ailleurs, malgré les conclusions du rapport du PCCIP, et l’instauration d’un conseiller aux questions cyber national, aucune politique de cyberdéfense ou cybersécurité ne verra le jour, malgré l’insistance du nouveau conseiller personnel du Président. Richard Clarke décrira plus tard à ce sujet que la question de la mise en place de politiques Cyber deviendra l’un des points de crispation entre lui et certains conseillers du Président. Le cœur des discussions portant principalement sur l’opportunité (ou non) de mettre en place des politiques de régulations fédérales sur les acteurs privés disposant des infrastructures critiques. L’absence de mesures de sécurité représentant un risque pour l’Etat en cas d’attaque. Bill Clinton finira par trancher la question, en indiquant officiellement dans le National Plan for Information Systems Protection (NPISP) son refus de l’idée de toute régulation et imposition de standards de sécurité aux entreprises :
« Nous ne pouvons pas imposer nos objectifs par la réglementation gouvernementale. Chaque secteur doit décider lui-même de quelles pratiques, procédures et normes sont nécessaires pour se protéger. En tant que membre de ce partenariat, le gouvernement fédéral est prêt à aider » [10].
Ainsi l’Etat fait le choix de se placer simplement en tant qu’aide potentielle à disposition des entreprises qui souhaiteraient, sur la base du simple volontariat, protéger leurs réseaux informatiques en vue de se prémunir (et par la même, prémunir l’Amérique) contre les actions cyber offensives. Le Président précisera ainsi la mise en place de « partenariats » publics / privés (qui constituent les nouveaux outils conseillés par le PCCIP) et qui seront matérialisés principalement par la tenue de « forums » de discussions entre acteurs, « d’échanges d’informations » (information sharing) et de « bons procédés ». D’ailleurs notons à cette occasion que le sous-titre du NPSIP sera « une invitation au dialogue », emportant ainsi la mise en place de simples mesures douces, basées principalement sur le volontariat.
Ce choix du refus de mettre en place des politiques coercitives en matière cyber va alors venir se répéter à de multiples reprises au cours des deux décennies qui vont suivre.
Dans une énième tentative, le Cyber Tsar Richard Clarke tentera à nouveau sous l’administration Clinton d’intégrer l’idée d’une politique fédérale venant réglementer les entreprises et infrastructures face à la menace Cyber, comme en témoigne une version préliminaire (mais finalement non adoptée) de la PDD-63[11] qui disposait en ce sens que : « le gouvernement fédéral devra servir de modèle au secteur privé sur comment sécuriser au mieux les infrastructures »[12]. Ce projet de régulation voulu par Clarke finira par fuiter dans la presse, provoquant alors « un vent de panique dans le monde de l’entreprise et une levée de boucliers de la part de certains membres du congrès »[13]. Face à l’évocation de ce projet, certains membres du Congrès parleront de mesures venant remettre en cause les libertés civiles, pendant que les acteurs économiques influents parleront de la politique gouvernementale de régulation comme « l’incarnation de leur pires cauchemars » [14].
Suite à cette levée de boucliers, et face au refus catégorique du Président Clinton, les partisans de « l’approche par la régulation » en matière de sécurité cyber (Clarke en tête) devront attendre la prochaine administration pour qu’une nouvelle fenêtre d’opportunité se profile.
Richard Clarke, alors reconduit dans ses fonctions de Cyber Tsar par le Président Bush en 2001, reprendra avec ses équipes le NPSIP en tentant d’introduire les mesures refusées précédemment[15]. En résultera ainsi le National Strategy to Secure Cyberspace, qui sera signé par le Président Bush en février 2003[16]. Cependant, les questions relatives aux politiques de régulations seront, une fois de plus, l’objet d’une forte résistance des conseillers de la Maison Blanche, comme du Président fraichement élu. Richard Clarke indiquera plus tard à ce sujet :
« Au final il y avait assez peu de différences entre les approches de Clinton et de Bush. Cependant, outre le fait que l’administration des républicains continuait d’éviter la régulation, ils détestaient carrément l’idée que le gouvernement fédéral promulgue de nouveaux règlements sur quoi que ce soit. » [17].
L’argument principalement évoqué par les conseillers de la Maison Blanche pour justifier le « refus de règlementer » semble résider principalement sur la crainte de voir l’innovation des grandes entreprises informatiques américaines drastiquement freinée, mais également sur le fait que cela impacte fortement l’économie du pays, d’ores et déjà malmenée par la survenance des attentats du 11 septembre[18]. Certaines grandes compagnies de la Silicon Valley, n’ont d’ailleurs pas hésité à mobiliser leurs ressources politiques afin d’éviter l’apparition de telles mesures dans la politique fédérale selon Richard Clarke, qui indiquera en ce sens :
« L’intérêt et le degré de compréhension du Président Bush pour le Cyber est très bien représenté par une question qu’il m’a posée en 2002. J’étais alors convoqué au bureau ovale au sujet d’un défaut de conception dans un programme informatique, qui aurait pu être exploité par des hackers si on ne pouvait pas discrètement convaincre les grandes entreprises de régler ce problème. La seule réaction de Bush fut : ‘’qu’est-ce que John en pense ? ‘’. John était PDG d’une des plus grandes compagnies informatiques, et un des principaux donateurs durant la campagne électorale de Bush »[19]
L’on voit donc ici combien certaines logiques, que l’on peut régulièrement observer sur d’autres sujets, viennent ici impacter les premières initiatives cyber américaines. Ce choix des locataires de la Maison Blanche de refuser toute initiative visant à la production de politiques de régulation semble être commun à toutes les administrations (transcendant au passage les alternances politiques et partisanes) finira rapidement par être véritablement caractéristique de la politique cyber américaine, comme nous allons le voir.
Face à ces multiples refus, Richard Clarke finira alors par déposer sa démission début 2003, en considérant ne pas avoir réussi à convaincre les membres du staff de l’importance que représentait l’idée d’une politique de régulation du Cyber pour la sécurité future[20].
En 2007, après être tombée en quasi-désuétude au sein des préoccupations du gouvernement, la question de la défense Cyber des Etats-Unis refera surface lors d’un Conseil National de Sécurité tenu par George W. Bush en présence de Mike McConnell, alors directeur des services de renseignements, et qui saura capter l’attention du Président sur l’importance de la menace [21]. Après avoir brièvement briefer (de manière totalement opportune) le locataire de la Maison Blanche sur la menace Cyber notamment du point de vue économique, ce dernier demandera alors des actions « fortes » en la matière :
« Bush a dit ‘’je veux que ça soit arrangé. Je veux un plan, rapidement, très rapidement.’’ Le résultat a été le Comprehensive National Cybersecurity Initiative (CNCI) et le National Security Presidential Decision 54. Aucun des deux n’a été rendu public »[22].
Le CNCI est intéressant car il revêt une large ambition pour la Maison Blanche, celle de mettre en place une « politique globale » incluant à la fois les acteurs privés et publics, en vue de sécuriser l’ensemble du territoire national[23]. L’on voit donc ici se formaliser la volonté, sous tendue par le PCCIP une décennie auparavant, de devoir repenser les politiques de sécurité et de défense, en incluant le risque cyber. Mais si le sujet cyber sera alors remis sur le devant de la scène par les services de renseignements américains[24], la question de la mise en place de politiques de régulations en vue de protéger les entreprises restera, là encore, teintée d’un certain tabou politique. En effet, l’objectif premier du Comprehensive National Cybersecurity Initiative (CNCI) était justement de revêtir un caractère « comprehensive » (global, complet), et donc de non seulement renforcer la résilience des réseaux militaires, de l’administration, mais aussi des entreprises et infrastructures privées. Or il ressort que ces dernières ne seront finalement, une fois de plus, pas intégrées dans le dispositif prévu à cette époque. Le caractère « global » de la politique ne sera finalement qu’un effet d’annonce, puisque les mesures se limiteront au strict périmètre des infrastructures publiques. Un conseiller cyber de la Maison Blanche durant l’administration Obama nous indiquera à ce sujet :
« En 2008 avec le CNCI ils ont essayé de créer un genre de politique de cybersécurité ‘’Globale’’ (comprehensive). Et en parlant aux personnes qui avaient travaillé dans l’administration Bush et que je connaissais, je leur ai demandé :’’pourquoi avez-vous appelé ça « global », parce que ce n’est pas vraiment global’’. Et ils ont répondu qu’ils n’avaient pas appelé ça ‘’global’’, mais que c’était le département de presse (de la Maison Blanche, ndla) qui a rajouté le terme global devant, parce que cela ‘’sonnait mieux’’. […] Cela dit c’était un premier effort pour parvenir à une stratégie nationale en tenant compte des contraintes... Des contraintes idéologiques auxquelles faisait face l’administration Bush »[25].
Notons d’ailleurs ici que la question de l’exclusion des mesures visant les entreprises semble relever, là encore, bien plus du choix politique que d’une question de moyens financiers ou techniques, puisque la présidence affirmera vouloir engager dans le CNCI des moyens considérables :
« Dans les semaines qui ont précédé la directive, McConnell avait souligné que le plan serait couteux. Bush a écarté l’avertissement, en disant qu’il était prêt à dépenser autant d’argent que Franklin Roosevelt avait dépensé sur le projet Manhattan »[26].
Une fois de plus, le secteur privé sera donc exclu des politiques cyber américaines. Le CNCI rejettera l’idée de la régulation, sujet tabou depuis plus de 10 ans, ce qui provoquera l’étonnement de l’ancien Cyber Tsar du Président G.W. Bush, devenu alors le conseiller spécial cyber du candidat démocrate Barack Obama alors en pleine campagne présidentielle :
« Les deux documents (CNCI et NSPD 54) traitaient d’un plan en 12 étapes. Ils se concentraient sur comment sécuriser les réseaux du gouvernement. Ce qui est assez étrange c’est que le plan ne traitait absolument pas du problème qui avait initié la discussion dans le bureau ovale (par McConnell, ndla), à savoir la vulnérabilité du secteur financier face à la cyberguerre […] Le CNCI n’aborde pas les vulnérabilités au sein du secteur privé, y compris les infrastructures critiques. Ce problème bien plus gros fut laissé à l’administration suivante »[27].
Ainsi, au-delà du caractère « global » décrit par le CNCI, qui se voulait être une politique « forte » venant intégrer les entreprises et acteurs privés dans la politique de défense face aux agressions virtuelles visant le territoire national, il ressort d’une étude plus approfondie qu’il s’agit en réalité plus d’un effet d’annonce que de véritables mesures concrètes imposées par l’Etat. La question de la régulation a, de nouveau, était repoussée par la présidence, et la sécurité des infrastructures critiques face aux menaces cyber se sont une fois de plus retrouvées à la merci du volontariat des acteurs privés. Les logiques existantes depuis l’ère Clinton se sont donc maintenues au cours des deux mandats du Président Bush.
A partir de 2008, l’on voit le sujet cyber s’emparer de la campagne présidentielle américaine, du moins dans le camp démocrate. Le futur 44e président indiquera dans son discours de Purdue :
« En tant que Président, je ferai de la Cyber Sécurité la priorité absolue comme elle devrait l’être au 21eme siècle. Je déclarerai que notre infrastructure cyber est un atout stratégique, et nommerai un Conseiller National Cyber qui me rendra directement des comptes. Nous coordonnerons les efforts à travers tout le gouvernement fédéral, mettrons en œuvre une véritable politique nationale de cyber sécurité, et resserrerons les normes en matière de sécurisation des informations – en partant des réseaux qui alimentent le gouvernement fédéral, jusqu’aux réseaux que vous utilisez dans vos vies personnelles »[28].
La question de la sécurité des infrastructures vitales face aux attaques cyber, mise en avant par le PCCIP de 1996 refait surface. La lecture du discours laisse très clairement penser que le futur locataire de la Maison Blanche souhaite à nouveau remettre en poste un conseiller cyber (Cyber Tsar) dédié dans ses équipes, reprenant ainsi la main sur les politiques de sécurité et de défense en la matière. Il souligne également une volonté d’intégrer les infrastructures critiques (et donc, les entreprises qui en sont propriétaires) au sein même du dispositif. Le discours de Purdue semble, en ce sens, vouloir innover dans la manière dont les Etats-Unis devraient agir en la matière. Un conseiller cyber du Président des Etats-Unis nous dira à ce sujet :
« Pour plusieurs raisons, Obama a toujours été intéressé par la Cybersécurité, donc il a pris ça très au sérieux dès le début, bien avant qu’il soit président. Et je pense que ça explique pourquoi lorsqu’il est arrivé en poste, il voulait avoir une meilleure approche que ce que les gens de Bush avaient pu faire jusqu’ici. […] Ce qu’avait fait Bush (l’enquêté parle du CNCI en l’espèce) était plutôt insuffisant, donc Obama voulait faire quelque chose de plus ‘’global’’ (comprehensive), plus organisé »[29].
Cet intérêt si marqué du candidat démocrate pour la sécurité des entreprises et infrastructures s’explique, notamment, par la composition de ses équipes de campagne. Puisqu’en effet c’est Richard Clarke, ancien conseiller cyber de Bill Clinton, puis George W. Bush, qui assure le poste de conseiller à la sécurité nationale et à la cybersécurité durant toute la campagne. Ce dernier indiquera à ce sujet :
« Même si j’avais rejoint la campagne en tant que conseiller en matière de terrorisme, j’ai utilisé cet accès pour harceler le candidat et ses conseillers au sujet de la cyber guerre. Je n’étais pas étonné qu’Obama ‘’saisisse’’ le problème (cyber), étant donné qu’il dirigeait la campagne présidentielle la plus ‘’cyberdépendante’’ de l’histoire »[30].
Compte tenu de l’attachement de l’ancien Cyber Tsar envers l’idée d’une politique de régulation cyber s’imposant aux entreprises privées, et dont chacune des tentatives pour convaincre les présidents en exercice se sont soldées par un échec, l’on comprend cette orientation affichée par Barack Obama juste avant sa victoire aux élections. Cependant, là encore, les promoteurs des politiques de régulation cyber (Clarke en tête) ne parviendront pas à imposer leurs idées une fois le candidat élu. Richard Clarke se souviendra :
« Quelques temps avant la cérémonie de passation de pouvoir, Paul Kurtz et moi-même avions produit pour la nouvelle équipe de la Maison Blanche un draft qui formalisait les propositions faites par Obama lors de son discours de Purdue. Nous pensions que si Obama attendait, des gens sortiraient des bois et mettraient un frein à tout ça. Même si le plus proche de ses conseillers comprenait le problème et voulait une décision rapide, ce n’était, de manière compréhensive, pas une top priorité pour eux. Au lieu de ça, la Maison Blanche d’Obama fraichement en place a annoncé le ‘’Sixty Days Review’’ en demandant au rédacteur du CNCI de Bush de diriger les travaux »[31].
Le rapport qui en découlera viendra, une fois de plus, enterrer toute volonté de mettre en place une véritable « politique cyber globale » venant s’imposer aux acteurs privés. Ce résultat ne semble guère étonnant compte tenu du fait que ce sont justement les équipes ayant travaillé sur le CNCI lors de la mandature précédente qui ont eu à charge de travailler sur la future vision cyber de l’ère Obama. L’on verra alors ici encore s’imposer l’idéologie en place depuis l’administration Clinton, laissant ainsi les entreprises mettre en place des mesures sur la simple base du volontariat, avec le cas échéant un soutien (notamment technique) du gouvernement, sans que cela soit pour autant imposé. Un conseiller cyber du Pentagone indiquera d’ailleurs à ce sujet :
« L’un dans l’autre, tout ce travail de développement d’une stratégie pour le cyberespace (l’enquêté parle du 60 days review annoncé par Obama une fois en poste) était le recyclage des clichés de ces 12 dernières années »[32].
Au terme du 60 days review le Président Obama, qui avait pourtant déclaré son intérêt envers la protection des infrastructures critiques privées lors du discours de Purdue et sa volonté de renouveler la vision américaine en la matière, affichera finalement très clairement son opposition à l’idée de créer une politique cyber globale. De la même manière, aucune politique de régulation s’imposant aux entreprises ne sera au programme (malgré le lobbying de Richard Clarke auprès du Candidat démocrate lors de la campagne), puisque le Président fraichement élu indiquera en ces termes : « laissez-moi être très clair : mon administration ne dictera aucun standard de sécurité pour les compagnies privées »[33]. Il préfèrera alors « renforcer le partenariat public / privé qui est essentiel à cet mission »[34], à l’image des méthodes déjà développées et employées depuis l’ère Clinton. La nouvelle administration motivera sa décision de ne pas réguler pour éviter de pénaliser l’économie américaine, qui venait d’être frappée de plein fouet par la crise économique des subprimes[35].
Plusieurs enseignements doivent retenir ici notre attention. Tout d’abord l’on voit nettement l’importance de certains acteurs clefs dans la promotion du « sujet cyber » auprès de la présidence, en la personne notamment de Richard Clarke, mais également de Mike McConnell, qui ont tout deux sus attirer chaque fois les yeux de la Maison Blanche sur cette « nouvelle » menace. Ces derniers agiront comme de véritables promoteurs du problème cyber, en essayant de mettre en avant leurs visions et défendant leurs approches, comme ce fut le cas pour les questions de régulations. Cependant certains acteurs, et choix idéologiques, viendront stopper toute volonté de mettre en place des politiques cyber « globales » intégrant la sphère privée, renvoyant ainsi à une vision plus neutre et déjà dessinée dans le rapport du PCCIP.
III – De la politique cyber « globale » (Comprehensive) à « l’approche sectorielle » : le succès d’une politique de régulation qui ne dit pas son nom.
Comme nous venons de le voir, les Etats-Unis sont marqués par une longue tradition politique de refus de l’idée de voir apparaitre une politique de régulation cyber « globale » venant s’imposer à la fois aux acteurs publics et privés. L’Amérique, pourtant considérée comme l’une des plus grandes (cyber) puissances militaires serait-elle un colosse au pied d’argile, puisque disposant de fortes capacités offensives, mais incapable d’imposer une quelconque mesure défensive aux acteurs privés présents sur son territoire ? La question se pose d’autant plus lorsque l’on met en comparaison le cas américain avec celui de la France, qui via le travail de l’ANSSI semble parvenir à imposer d’importantes mesures de réglementation en matière cyber à ses « OIV »[36]. Si la résistance face à la régulation aux USA semble être une situation inextricable, il convient cependant de dépasser le simple effet d’annonce du Président Obama indiquant vouloir refuser de « dicter » aux compagnies privées un quelconque « standard de sécurité », et d’analyser la réalité de la pratique des acteurs.
En effet, pour contourner une levée de boucliers telle que le gouvernement fédéral a pu connaitre lorsque le projet de Richard Clarke a fuité dans la presse quelques années auparavant, la Maison Blanche d’Obama développera une stratégie basée sur la « régulation sectorielle », qui viendra suppléer aux projets de « politiques globales » ayant échoué précédemment. L’outil principal de cette approche passera par le National Institute of Standards and Technology (NIST), organe dépendant du Département du Commerce, qui a notamment pour mission la création de « standards » afin de promouvoir et sécuriser l’économie américaine dans tous ses domaines (autres que cyber). Les standards édictés par le NIST visent notamment à prendre des mesures permettant d’assurer la sécurité des installations (comme les atteintes physiques), la continuité de certains services et infrastructures, ou encore la sécurité des transactions financières. Les dits standards sont ensuite imposés par le Département concerné aux organismes de santé, industriels, compagnies privées, ou encore certains secteurs entiers tel que celui de la finance par exemple. Dès lors, le NIST deviendra une ressource véritablement centrale pour l’Etat en matière de cybersécurité, en incluant de manière implicite les risques informatiques. Si aucune initiative gouvernementale portant le « label » de « politique cyber » ne sera véritablement édictée par l’administration Obama, « l’approche sectorielle » permettra cependant à chaque Département d’adapter au cas par cas les standards et mesures préventives à ce nouveau risque. Par suite, contrairement à une politique cyber « globale » qui aurait été spécifiquement créée et chapeauté par le Department of Homeland Security[37] (comme il en était question dans les nombreux projets précédents), les acteurs étatiques mobiliseront finalement un maillage complet de standards existant (parfois même préalablement à l’apparition de cette nouvelle menace cyber). Par le biais de l’approche sectorielle, plus d’une vingtaine de Départements sont impliqués dans l’application de standards en lien (indirect) avec la cybersécurité[38]. Chacun d’entre eux appliquant les mesures définies à l’origine par le NIST pour une toute autre raison, mais ayant in fine une application en matière de cybersécurité. Un conseiller cyber du Président Barack Obama nous indiquera à ce sujet :
« Le NIST produit des standards cadres que chaque entreprise peut suivre. Elles ne sont pas obligées légalement de les appliquer, sauf dans le cas où il s’agit d’un secteur régulé par une agence. C’est le cas par exemple du secteur bancaire, de l’aviation, etc. Dans le cas d’un secteur régulé, l’agence régulatrice dira ‘’vous devez appliquer tel standard’’ et à ce moment-là ça n’est plus du volontariat »[39].
Dès lors, une politique de cyberdéfense à double niveau se dessine aux Etats-Unis. Si certains secteurs échappent au contrôle de l’Etat du fait de l’absence d’une « politique globale » de cyberdéfense (et le simple recours aux mesures basées sur le volontariat), d’autres secteurs qui se trouvent déjà régulés dans d’autres domaines se voient appliqués de nouveaux standards (cyber) venant se rajouter à ceux préexistants. Plus encore, les différents Départements américains développent ou réemploient régulièrement des standards non pensés à l’origine pour faire face aux cyberattaques, mais ayant in fine un usage en tant que tel. Ainsi dans le cas du secteur de la finance par exemple, qui s’avère être profondément régulé en dehors de toute mesure cyber[40], certaines obligations comme la multiplication des sauvegardes et des supports d’accès en vue de la sécurisation des transactions financières se révèle être utile en cas de cyberattaque visant à supprimer ou modifier certaines données présentes sur un serveur[41]. Le secteur bancaire illustre en ce sens parfaitement la stratégie de réemploi développée par le Département du Trésor. Un conseiller cyber du Pentagone nous dira :
« Vous ne pouvez pas arriver et dire à une banque ‘’vous devez utiliser tel type de système informatique’’, c’est impensable aux Etats-Unis. Mais il y a d’autres moyens par lesquels passer pour agir. Par exemple, les banques sont supervisées et contrôlées par le Trésor. Si une banque, venait à perdre de l’argent à cause d’une cyberattaque, elle devrait informer de la perte. Pourquoi ? Parce qu’en théorie toute perte ou incident susceptible d’affecter le cours en bourse doit être reporté auprès de la Commission de Sécurité des Echanges »[42].
Les mesures de protection prévues pour pallier certains risques, y compris financiers, se voient ici réemployés par le gouvernement fédéral pour sécuriser les marchés en cas de cyberattaque. De la même manière, d’autres secteurs considérés comme « à risque » font l’objet d’un encadrement profond, notamment en ce qui concerne les risques pouvant résulter d’accidents ou d’atteintes physiques. Tel est le cas du secteur de l’industrie chimique, qui est devenu la cible de nombreux standards de sécurité notamment à la suite des attentats new-yorkais de 2001[43]. Le gouvernement américain mobilisera par exemple dans ce cadre une multitude de textes tels que le Chemical Facility Anti-terrorism Standards (CFATS) ou encore le Ammonium Nitrate Security Program (ANSP), tous deux ayant une visée (à l’origine) antiterroriste mais semblant être potentiellement réemployés dans le cadre de la protection cyber[44]. Le recours à ce type de standards permettrait ainsi au Département du Commerce en 2013 de sécuriser en matière cyber près de 10 000 entreprises de l’industrie chimique[45]. Enfin, le réemploi des standards préexistants et définis par le NIST permet également d’appliquer une politique de cybersécurité dans des secteurs qui, de prime abord, ne semblent avoir peu si ce n’est aucun lien avec le risque cyber. Ainsi l’on trouve des standards en lien avec la cybersécurité visant des secteurs parfois inattendus, tels que ceux de l’industrie de l’agroalimentaire mais aussi de l’agriculture américaine[46].
En résulte que si certes les Etats-Unis n’ont pas été en mesure de développer une politique de régulation « globale » dédiée au cyber, le réemploi de textes ou standards préexistants et développés à d’autres fins permet non seulement au gouvernement d’agir dans ce domaine. Plus encore, le recours à l’approche sectorielle revêt même un certain intérêt en matière cyber, puisqu’elle permet aussi d’aller parfois bien au-delà de ce qui aurait pu être envisagé dans le cadre d’une politique cyber globale propre. Un conseiller cyber sous l’administration Obama nous dira à ce sujet :
« Si vous prenez l’exemple de la cyberattaque qui a visé à l’époque Sony. Sony n’est pas une infrastructure critique, donc il n’y aurait aucune possibilité de dire ‘’vous devez prendre les mesures suivantes pour vous protéger’’. Maintenant vous pouvez mettre ceci sous des termes comme ‘’les bonnes pratiques’’, ou des ‘’lignes de conduite’’, peu importe, personne ne finira par les appliquer »[47].
En effet, l’Executive Order 13636 de 2013 appelle les entreprises à la sécurisation cyber « d’infrastructures critiques ». Mais cette dernière définition tend à ne recouvrir qu’une partie des compagnies à risque, au travers d’un découpage en 18 secteurs[48]. Le terme « infrastructure critique », ayant été à l’origine conçu et défini par le Department of Homeland Security pour faire face par exemple à la menace d’une explosion de bombe physique, et non d’une bombe logique introduite dans un système informatique par le biais d’un virus[49].
Ainsi la politique sectorielle américaine permet non seulement de dépasser les simples mesures basées sur le « volontariat » de certains secteurs, mais également d’étendre la politique cyber américaine sur des entités privées auxquelles elle n’aurait pas eu accès autrement. Plutôt que de tenter de réguler des entreprises labellisées en tant « qu’infrastructures critiques » (et ne recouvrant pas toujours la réalité nécessaire), l’usage de l’approche sectorielle, et le réemploi de standards non développés à des fins cyber permet in fine à l’Etat de pallier l’absence de politique de régulation en matière cyber. Contournant ainsi l’opposition face à toute tentative de politique globale de la Maison Blanche confrontée à la résistance du Congrès et des lobbystes dont nous faisions état plus haut.
Cependant, un tel système emporte également quelques écueils, notamment en ce qui concerne la capacité de certains Départements plus que d’autres à faire appliquer les standards dont ils ont la responsabilité. Un conseiller cyber du Président Barack Obama nous indiquera à ce sujet :
« L’application des lois varie de secteur à secteur. Les agences qui régulent les banques par exemple disposent de beaucoup d’autorité et peuvent donc les contraindre à faire certaines choses. En revanche les agences régulant les compagnies électriques n’ont pas beaucoup d’autorité, donc ils ne peuvent pas les contraindre à grand-chose. Pourtant le secteur électrique est bien plus vulnérable que ce que les gens imaginent. Et le manque d’influence de ces agences est souvent historique. Par exemple l’OCC qui contrôle les échanges monétaires a été créé après la grande dépression donc on a voulu leur fournir de forts pouvoirs car les décideurs étaient soucieux de la stabilité financière. Donc c’est un mélange d’agences tantôt fortes tantôt faibles »[50].
Ainsi il semble que là où le Département du Trésor parviendra à appliquer des standards forts en matière de cybersécurité, du fait de son pouvoir de régulation important, d’autres Départements comme celui de l’Energie se confronteront à leur manque d’autorité globale, rendant difficile la régulation du secteur dont il a la charge. L’absence de politique globale et « l’approche sectorielle » produisent une disparité dans la capacité de l’Etat à imposer sa politique de cybersécurité à la sphère privée. Notre enquêté nous indiquant :
« L’approche actuelle c’est de dire ‘’ok, on a les executive order’’ mais ils ne peuvent pas créer une autorité légale que l’on donnerait à une entité, mais cela permet au Président d’étendre l’autorité actuelle sous une nouvelle forme. Donc le Président ne peut pas annoncer vouloir ‘’créer ce que le Congrès ne m’autorise pas à faire’’ mais il peut, et c’est ce qu’il a fait, aller voir les agences de ces secteurs spécifiques et dire ‘’désormais lorsque vous régulez les entreprises, assurez-vous qu’ils considèrent leur cyber sécurité. Et utilisez tels cadres du NIST de manière à vérifier si le niveau de sécurité convient. Certes ce n’est pas parfait car l’autorité de chaque agence varie grandement, notamment pour certaines comme l’énergie »[51].
En résumé, si l’idée d’une politique cyber globale centrée vers la régulation n’a pas pu voir le jour pour les raisons que nous évoquions plus haut, elle a fini par déboucher sur une adaptation des acteurs, qui développeront alors l’approche sectorielle. Le réemploi de textes et standards de sécurité préexistants permet alors de mettre en place une politique de régulation cyber « qui ne dit pas son nom ». Si certes cela permet de contourner certaines difficultés et oppositions systématiques, cela emporte également quelques conséquences, comme une certaine disparité dans l’efficacité du dispositif, puisque certains secteurs se retrouvent mieux protégés que d’autres. Et cette disparité n’est pas fonction de l’importance de la menace ou du caractère critique du secteur, mais plutôt de logiques institutionnelles.
CONCLUSION
L’objet Cyber, quoi que récent, reste aujourd’hui principalement étudié par le prisme des Relations Internationales, des réflexions centrées sur la géopolitique, ou encore sur son impact sur la conduite stratégique de la guerre. Comme nous l’avons vu, si certes le Cyber opère des changements sur la façon dont les Etats conçoivent et produisent leurs politiques de sécurité et de défense, il nous semblait également intéressant de nous interroger sur le(s) changement(s) que les variables politiques internes et propres à chaque Etat peuvent avoir, en retour, sur l’objet cyber. En l’espèce, en essayant de synthétiser dans cet article une partie de la démarche que nous avons tenté de tenir lors de notre travail de thèse, nous souhaitions montrer pourquoi les politiques de régulation aux Etats-Unis ont (contrairement à la France) systématiquement échoué ces 25 dernières années.
De plus, ce fut l’occasion également pour nous de montrer qu’outre l’apport que peut revêtir le cyber sur nos outils d’analyses classiques issus de la science politique[52], les outils d’analyses de la science politique (tels que ceux mobilisés pour l’analyse des politiques publiques) peuvent, en retour, venir modifier notre compréhension du phénomène cyber. Dans cette optique, cet article fut l’occasion pour nous de montrer que si certes en apparence les politiques coercitives n’ont jamais officiellement été appliquées sur le secteur privé américain, l’on se rend compte que le développement de l’approche sectorielle aux Etats-Unis semble être en soi une politique de régulation qui ne porte pas son nom. Dès lors, nous considérons que face aux politiques cyber, il convient donc de dépasser les apparences et les effets d’annonces, en s’intéressant notamment au processus d’apparition de la « menace cyber » au sein de l’Etat, de construction du problème par ses promoteurs, de l’apparition de fenêtres d’opportunités, du poids de certains acteurs, et de la capacité des institutions à imposer leurs décisions. Ainsi, si l’on analyse les politiques de cyberdéfense comme des politiques publiques « classiques », on s’aperçoit qu’il est possible d’expliquer la forme des différentes politiques cyber au sein de chaque Etat, et de comprendre les spécificités des différents « modèles » de politiques cyber.
Auteur de la publication:
Adrien MANNIEZ
Docteur en Science Politique
Chercheur politiques publiques, analyse de l'Etat, relations internationales et des politiques de défense.
Consultant et conférencier, il est également fondateur de l'institut InSight.
Arquilla, John and David Ronfeldt, Cyberwar is Coming!. Santa Monica, CA: RAND Corporation, 1993.
CLARKE Richard A., Knake Ribert K., Cyberwar : the next threat to national security and what to do about it, New York, Ecco Harper Collins Publisher, 2010.
COOPER Christina, « Cybersecurity and food and agriculture », dans : LECLAIR Jane, RAMSAY Sherri, Protecting our future : educating a cybersecurity workforce - volume 2, Hudson Whitman excelsior college press, 2013
Critical Foundations : Protecting America’s infrastructures, the Report of the Presiden’ts Commission on Critical Infrastructure Protection, Octobre 1997.
DEMCHAK Chris C., Wars of Disruption and Resilience : Cyber conflict, Power and National Security, University of Georgia Press, 2011.
Discours de Barack Obama à l’Université de Purdue, 16 juillet 2008.
Homeland Security Act, 2002, Pub. L. N° 107-296, 116 Stat. 2135 (2002).
KAPLAN Fred, Dark Territory : the secret history of Cyber War, Simon & Schuster Paperbacks, 2016.
KELLO Lucas, RICHARD thomas (traduc.), « Les Cyberarmes : dilemmes et futurs possibles », Institut Français des Relations Internationales (IFRI) | politique étrangère, 2014.
LECLAIR Jane, RAMSAY Sherri, Protecting our future : educating a cybersecurity workforce - volume 2, Hudson Whitman excelsior college press, 2013.
LECLAIR Jane, RUMSFELD Donald, Protecting our future : educating a cybersecurity workforce, Hudson Whitman excelsior college press, 2013.
Lettre d’ouverture du Président Bill Clinton -Defending America’s Cyberspace, National Plan for Information Systems Protection Version 1.0 – an invitation to a dialogue, the White House, 2000.
LIBICKI Martin, Cyberspace in Peace and War, Naval Institute Press, 2016.
National Security Decision Directive Number 145 – « National Policy on Telecommunications and Automated Information Systems Security », 17 septembre 1984.
New York Times, Text : Obama’s Remarks on Cyber-Security, 29 mai 2009. Accessible en ligne : https://www.nytimes.com/2009/05/29/us/politics/29obama.text.html
Presidential Decision Directive 62 (PDD-62) : combating terrorism – May 22, 1998.
Presidential Decision Directives 63 (PDD-63) on Critical Infrastructure Protection, May 22, 1998.
Presidential Decision Directive 39 (PDD-39) : U.S. Policy on Counterterrorism – June 21, 1995.
/
[1] National Security Decision Directive Number 145 – « National Policy on Telecommunications and Automated Information Systems Security », 17 septembre 1984.
[2] Le Président du comité du PCCIP dira dans son message d’introduction du rapport rendu : « we found all our infrastructures increasingly dependent on information and communications systems that criss-cross the nation and span the globe. That dependence is the source of rising vulnerabilities and, therefore, it is where we concentrated our effort. We found no evidence of an impending cyber attack which could have a debilitating effect on the nation’s critical infrastructures. While we see no electronic disaster around the corner, this is no basis for complacency. We did find widespread capability to exploit infrastructure vulnerabilities. The capability to do harm—particularly through information networks—is real; it is growing at an alarming rate; and we have little defense against it. » - source : Critical Foundations : Protecting America’s infrastructures, the Report of the Presiden’ts Commission on Critical Infrastructure Protection, Octobre 1997. – page 5.
[3] Pour illustration de son importance, précisons ici que le terme Cyber y est cité 162 fois dans les 192 pages du rapport.
[4] KAPLAN Fred, Dark Territory : the secret history of Cyber War, Simon & Schuster Paperbacks, 2016 – page 39 - page 40.
[5] Critical Foundations : Protecting America’s infrastructures, the Report of the Presiden’ts Commission on Critical Infrastructure Protection, Octobre 1997.
[6] Voir en ce sens : Ibid.
Voir également : PDD-39 de 1997. Notons ici que ce document est encore pour partie classifié, cependant son contenu est repris dans un résumé officiel du PDD-62 de 1998 et qui dispose que « Moreover, easier access to sophisticated technology means that the destructive power available to terrorists is greater than ever. Adversaries may thus be tempted to use unconventional tools, such as weapons of mass destruction, to target our cities and disrupt the operations of our government. They may try to attack our economy and critical infrastructure using advanced computer technology. », consultable en ligne sur le site de l’université de l’Air Force à cette adresse : http://www.au.af.mil/au/awc/awcgate/ciao/62factsheet.htm
NB : une version plus complète du PDD-39 et qui ne semble pas être amendée de cases noires est disponible depuis janvier 2019 à cette adresse : https://clinton.presidentiallibraries.us/items/show/12755
[7] Le Président du comité (Général Marsh) du rapport dira : « Because the infrastructures are mainly privately owned and operated, we concluded that critical infrastructure assurance is a shared responsibility of the public and private sectors Consequently, in addition to our recommendations about improving our government’s focus on infrastructure assurance in the Information Age, you will find some recommendations for collaborative public and private organizational arrangements that challenge our conventional way of thinking about government and private sector interaction ».- source : Critical Foundations : Protecting America’s infrastructures, the Report of the Presiden’ts Commission on Critical Infrastructure Protection, Octobre 1997. – page 5.
[8] Le Président du comité (le Général Marsh) PCCIP dira : « Our new thinking must accommodate the cyber dimension. One of the most important is recognizing that the owners and operators of our critical infrastructures are now on the front lines of our security effort. They are the ones most vulnerable to cyber attacks. And that vulnerability jeopardizes our national security, global economic competitiveness, and domestic well being.».- source : Ibid.
[9] Ibid, page 109.
[10] “We cannot mandate our goals through Government regulation. Each sector must decide for itself what practices, procedures, and standards are necessary for it to protect its key systems. As part of this partnership, the Federal Government stands ready to help. » - source : Lettre d’ouverture du Président Bill Clinton -Defending America’s Cyberspace, National Plan for Information Systems Protection Version 1.0 – an invitation to a dialogue, the White House, 2000.
[11] Presidential Decision Directives 63 on Critical Infrastructure Protection, 22 mai 1998.
[12] KAPLAN Fred, Dark Territory : the secret history of Cyber War, Simon & Schuster Paperbacks, 2016. – Page 99.
[13]Ibid, – Page 101
[14] Ibid.
[15] CLARKE Richard A., Knake Ribert K., Cyberwar : the next threat to national security and what to do about it, New York, Ecco Harper Collins Publisher, 2010 - page 113.
[16] Ibid.
[17] « Substantively, there was little difference between the Clinton and Bush approaches, except that the Republican administration not only continued to eschew regulation, they downright hated the idea of the federal governement issuing any new regulations on anything at all. » Ibid.
[18] Ibid.
[19] Richard Clarke dit : « Bush’s personal understanding and interest in Cyber Security early in his administration were best summed up by a question he asked me in 2002. I had gone to him in the oval office with news of a discovery of a pervasive flaw in software, a flaw that would allow hackers to run amok unless we could quietly persuade most major networks and corporations to fix the falw. Bush’s only reaction was : ‘’what does John think ? ‘’ John was the CEO of a large information-technology company and a major donor to the Bush election committee », source : Ibid – page 113.
[20] Ibid. – page 113.
[21] Si l’existence de cette réunion est confirmée par plusieurs sources, en attestant la survenue, la date exacte est parfois indiquée au 16 mai 2007 sous la définition « NSC 05/16/2007 – Cyber Terror », qui serait disponible auprès de la bibliothèque présidentielle de George W. Bush à la suite d’une demande sur la base du Freedom of Information Act, dont le contenu est disponible à l’adresse suivant : https://www.georgewbushlibrary.smu.edu/Research/Digital-Library
Pour plus de détails sur le contenu de cette réunion et les échanges ayant eu lieu, nous renvoyons le lecteur aux discours rapportés notamment dans l’ouvrage de Richard Clarke ainsi que de Fred Kaplan op. cités.
[22] «’’ I want it fiex. I want a plan, soon, real soon’’. The result was the comprehensive national cybersecurity initiative (CNCI) and the National Security Presidential Decision 54. Neither has ever become public. ». – source : CLARKE Richard A., Knake Ribert K., Cyberwar : the next threat to national security and what to do about it, New York, Ecco Harper Collins Publisher, 2010. – page 114.
[23] Notons ici que le contenu de ces deux documents étant encore largement classifié, il ne nous a pas été possible de les consulter. Seules les informations issues des entretiens effectués nous ont permis d’étudier les sujets traités. Cependant il ressort des discours recueillis que l’idée de départ, à savoir la création d’un programme de cyberdéfense large, incluant les réseaux de l’armée, de l’administration, mais également ceux du secteur privé, sera in fine restreint à la protection des deux premiers. Ce qui devait être une politique nationale et « comprehensive » sera donc bien plus étroite que prévu.
[24] Nous revenons plus en détails sur les raisons de cette reprise en main du sujet par les services de renseignement dans notre travail de thèse précédemment cité.
[25] «in 2008 they tried to create something like a ‘’comprehensive cyber security initiative’’. And in speaking to people who worked in the administration whom I knew, I asked ‘em « why did you call comprehensive » because it’s not really comprehensive. And they said they didn’t call it comprehensive but the press office had put comprehensive in front because it sounded better. […] That was the initial effort to come up with a « national startegy » within the constraints… the ideological constraints that the bush administration faced. » - source : entretien effectué au siege du CSIS à Washington D.C. en Décembre 2015.
[26] « In the weeks leading up to the directive, McConnell Stressed that the plan would be expensive ; Bush waved away the warning, saying that he was willing to spend as much money as Franklin Roosevelt had spent on the Manhattan Project ». KAPLAN Fred, Dark Territory : the secret history of Cyber War, Simon & Schuster Paperbacks, 2016. – Page 178.
[27] «Both documents call, appropriately enough, for a twelve-step plan. They focus, however, on securing the governement’s networks. Oddly, the plan did not adress the problem that had started the discussion in the oval office, the vulnerability of the financial sector to cyberwar […] the initiative does not adress vulnerabilities in the private sector, including in our critical infrastructures. That tougher problem was left to the next administration ». – source : CLARKE Richard A., Knake Ribert K., Cyberwar : the next threat to national security and what to do about it, New York, Ecco Harper Collins Publisher, 2010. – page 114.
[28] « As President, I’ll make cyber security the top priority that it should be in the 21st century. I’ll declare our cyber-infrastructure a strategic asset, and appoint a National Cyber Advisor who will report directly to me. We’ll coordinate efforts across the federal government, implement a truly national cyber-security policy, and tighten standards to secure information – from the networks that power the federal government, to the networks that you use in your personal lives » - Discours de Barack Obama à l’Université de Purdue, 16 juillet 2008.
[29] « For some reasons, obama was always interested in Cybersecurity, so he took it seriously from the start before he was president. And I think that means when he came in, he wanted to see somekind of better approach than the bush people have done. What bush had done was quite inadequat and so Obama wanted to do something a little bit more comprehensive, a little more organised, that what bush had done.
Entretien réalisé au siège du CSIS à Washington D.C. en Décembre 2015.
[30] « Although I had signed on to the campaign as a terrorism advisor, I used that access to pester the candidate and his advisors about cyber war. It was not surprising to me that Obama ‘’got’’ the issue, since he was running the most technologically advanced, cyber-dependent presidential campaign in history ». - CLARKE Richard A., Knake Ribert K., Cyberwar : the next threat to national security and what to do about it, New York, Ecco Harper Collins Publisher, 2010. – page 116.
[31] « shortly before the inauguration, Paul Kurt and I provided the new White House team with a draft decision document to formalize the proposals Obama had advocated in the Purdue Speed. We argued that if obama waited, people would come out of the woodwork to try to stop it. Although the most senior white house staff understood that problem and wanted a quick decision, it was, understandably, not a high priority for them. Instead the new Obama White House announced a Sixty Day Review and asked one of the drafters of Bush’s CNCI to run it » - source : Ibid – page 118.
[32] Entretien avec un conseiller spécial du pentagone en matière cyber, réalisé à Washington D.C. en Novembre 2015.
[33] Barack Obama dira : «so let me be very clear : my administration will not dictate security standards for private compagnies ». source : New York Times, Text : Obama’s Remarks on Cyber-Security, 29 mai 2009. Accessible en ligne : https://www.nytimes.com/2009/05/29/us/politics/29obama.text.html
[34] « we will strengthen the public/private partnerships that are critical to this endeavor. » - source : Ibid.
[35] Indiquant à ce sujet : « We're working to recover from a global recession while laying a new foundation for lasting prosperity. » - source : Ibid.
[36] Opérateur d’Importance Vitale.
[37] En conformité avec le Homeland Security Act qui dispose qu’il revient au Departement of Homeland Security de conduire la politique cyber américaine. La Cybersécurité est traitée dans la section 225 du Homeland Secutiy Act. – Voir en ce sens : Homeland Security Act, 2002, Pub. L. N° 107-296, 116 Stat. 2135 (2002).
[38] LECLAIR Jane, RUMSFELD Donald, Protecting our future : educating a cybersecurity workforce, Hudson Whitman excelsior college press, 2013. – page 5.
[39] « that comes from NIST, it produces a framework that any company can follow… they are not bind by law, it’s voluntary, with the following exception that if you’re a regulatory agency… if you are a regulated sector, and your regulatory agency says « you might have to do this », then it’s no longer volontary. » - source : Entretien réalisé au siège du CSIS à Washington D.C. en Décembre 2015.
[40] BRIS Arturo, « managing complexity in the financial services industry », vu dans managing complexity in global organizations edit by wolfgang amann and martha maznevski, 103-118, chichester, Englad, 2007.
[41] LECLAIR Jane, RUMSFELD Donald, Protecting our future : educating a cybersecurity workforce, Hudson Whitman excelsior college press, 2013. – page 115.
[42] « You can’t go the banks and say “you should have this iOs devices”. It’s just inthinkable here in the United States. So, the governors are on the outside looking in. But the United States Government has a lot of places to be on the outside, right ? So for instance, let consider the banking sector : Banks have oversight by States, Banks have oversighted with the control of the treasury. For instance, let us say Bank looses 20 000 dollars because of a hack, the bank must report it, by whose rules ? I think federal rules, okay ? But here is also a security exchange commission. In theory every time you have an incident that could affect our stock price you have to report it to our security exchange commission. » - source : Entretien avec un conseiller spécial du pentagone en matière cyber, réalisé à Washington D.C. en Novembre 2015.
[43] LECLAIR Jane, RAMSAY Sherri, Protecting our future : educating a cybersecurity workforce - volume 2, Hudson Whitman excelsior college press, 2013. – page 40 et 41.
[44] Ibid.
[45] Ibid – page 31.
[46] COOPER Christina, « Cybersecurity and food and agriculture », dans : LECLAIR Jane, RAMSAY Sherri, Protecting our future : educating a cybersecurity workforce - volume 2, Hudson Whitman excelsior college press, 2013. – page 141.
[47] « Sony ! Sony is not a critical infrastructure, so there is no hability to say to sony « you should take the following actions » to protect yourself. 3So you can put all this stuff under « best practicies », under « guidelines », you could put out… you know that’s all of nonsens and people aren’t gonna do it… » - source : Entretien réalisé au siège du CSIS à Washington D.C. en Décembre 2015.
[48] LIBICKI Martin, Cyberspace in Peace and War, Naval Institute Press, 2016. – page 77.
[49] Ibid.
[50] « the laws that… well that’s why it varies from sector to sector and that’s not the most efficient model.
The people, the agencies that regulate banks has alot of authority. And sot hey can compel banks to do things. The agencies that regulate electrical companies don’t have alot of authority. So they can’t compel electrical companies to do that much.it’s historic and it varies from agency to agency… The OCC , the office of controling the currency is created right after the great depression, and so people were very worried about financial stability and they made a very powerfull agency. so it’s this, « melange » of agencies, it’s both a strenght, but it’s also a weakness. » - source : Entretien réalisé au siège du CSIS à Washington D.C. en Décembre 2015.
[51] « well, now you could think of laws that could be usefull, but, the current approach is « okay, you have the executive order » but the executive order cannot create « new authorities », but it can allows president to extend actual authorities in a new way. So the president can’t announce you know « I want to do something that congress doesn’t authorise me to do » but he can use his existing authorities, and that is just what he did, to go to these sector specific agencies and say « now when you regulate companies, make sure that you considered their cyber security. And use this NIST framework as a way to measure how well they are doing. You could say it’s not perfect because differents agencies very widely in their authority… and so the electrical regulation agency is a very weak agency. ». - source : Entretien réalisé au siège du CSIS à Washington D.C. en Décembre 2015.
[52] Nous citions en introduction les changements parfois majeurs que le Cyber pouvait avoir, par exemple, sur les cadres analytiques classiques dans le domaine des relations internationales.