La Cyberdéfense aux Etats-Unis : entre enjeux stratégiques et compétitions institutionnelles Le Pentagone et le cyberespace : une place centrale, acquise difficilement La nouvelle stratégie du Pentagone dans le cyberespace : réaffirmer le rôle de des forces armées au sein de la Défense Le 23 avril 2015, le secrétaire à la Défense américain Ashton Carter a dévoilé la nouvelle stratégie du Pentagone pour le Cyberespace. Le dernier document officiel relatif à ce sujet datait de mai 2011, mais n’a été rendu public qu’en 2013. Aux Etats-Unis, les opérations dans le cyberspace 1 sont en principe assurées par un commandement interarmées : l’US Cyber Command (CYBERCOM). Il assure principalement trois grandes missions : la défense de l’intégralité du réseau informatique du Department of Defense (DoD), la défense du territoire national contre toute attaque cyber et, sous la direction du Président ou du Secrétaire d’Etat à la Défense, le soutien aux opérations cyber conduites par d’autres entités ou agences. Le document ne propose pas de nouvelle définition pour le cyberespace, qui reste donc celle établie par la version précédente : « [cyberspace is] a global domain within the information environment consisting of the interdependent network of information technology infrastructures, including the Internet, telecommunications networks, computer systems, and embedded processors and controllers 2 . » Le Pentagone considère le cyberespace comme un milieu au même titre que la terre, la mer l’air et l’espace. Contrairement à la version précédente, cette dernière a été publiée immédiatement après son annonce. Cette démarche répond à une volonté de clarifier les missions relatives au cyberespace, dont le périmètre s’avère généralement flou. Toutefois, ce document est en grande partie tourné vers l’extérieur, que ce soit vers les partenaires industriels et vers les alliés, mais également vers les adversaires. Le vocabulaire sur la dichotomie offensive/défensive a quasiment disparu pour être remplacé par un principe de dissuasion (Cyber Deterrence), une initiative faisant suite à l’attaque informatique massive subie par Sony en décembre 2014 et dont le document désigne la Corée du Nord comme responsable. Bien que les contours de ce principe de dissuasion restent flous, il s’agit surtout de « connecter » les actions dans le cyberespace avec des manœuvres plus classiques ; à une attaque cyber, les Etats-Unis s’autorisent ainsi à répondre par des mesures diplomatiques, militaires, économique, etc. De manière générale, le Pentagone adopte une stratégie déclaratoire spécifique au cyberespace en appelant d’un côté les alliés des Américains à une plus forte collaboration et de l’autre défini un ensemble de mesures de répression contre ses adversaires 3 . L’ouverture au monde civil constitue sans doute le volet le plus important et le plus concret de ce document. Le Pentagone met en place une vaste politique de partenariat avec les grands acteurs de l’informatique et du cyberespace. Le fait qu’Ashton Carter ait présenté cette nouvelle politique à la Silicon Valley, creuset de l’industrie numérique, symbolise cette volonté. Sa présentation s’insérait ainsi dans un ensemble de rencontres, notamment avec de hauts responsables de Facebook. Dans cette logique de partenariats, la politique de recrutement du CYBERCOM (et de ses structures subordonnées) s’appuie en grande partie sur une force de réservistes. L’objectif est de disposer d’une force de 6 000 personnes (militaires et réservistes) à l’horizon 2016. In fine, il s’agit de mettre en place une Cyber Mission Force, constituée de 133 équipes, réparties selon les missions du CYBERCOM. Au-delà, l’objectif est de disposer d’un vivier de spécialistes cyber déployable rapidement pour soutenir toute agence gouvernementale en 1 Le terme de « cyberdéfense » n’existe pas dans la documentation officielle américaine. 2 Joint Publication (JP) 1-02, Department of Defense Dictionary of Military and Associated Terms 3 A plusieurs reprises, le document désigne explicitement la Chine, la Russie, la Corée du Nord et l’Iran comme les principaux Etats susceptible de menacer les Etats-Unis d’une attaque cyber.