Dans un classement des puissances cyber mondiales publié par le Belfer Center (Harvard), dominé par les Etats-Unis et la Chine, la France termine sixième, et même deuxième sur le défensif. Surprise: Israël est hors du top 10. Que vaut ce palmarès inédit?
C’est un rapport qui va faire jaser dans le Landerneau cyber. Dans une étude de 85 pages publiée mi-septembre, le Belfer Center, centre de recherche de la prestigieuse université de Harvard, a osé ce que personne n’avait vraiment tenté: établir un classement des puissances cyber mondiales, à la fois sur l’aspect défensif et offensif. Le verdict? Un subtil mélange de résultats très attendus et de classements bien plus surprenants. Sans surprise, les Etats-Unis et la Chine dominent le classement général, devant le Royaume-Uni et la Russie. Washington termine premier sur l’aspect offensif, et Pékin première puissance mondiale sur le défensif. La France termine à une honorable sixième place, atteignant même le second rang mondial sur le cyberdéfense. Sur la lutte informatique offensive (LIO), en clair les capacités de destruction de systèmes informatiques étrangers, Paris termine 10ème.
D’autres résultats sont plus inattendus, voire carrément étonnants. Israël, unanimement reconnu dans le milieu de la tech comme une grande puissance cyber, termine en dehors du top-10. « Très étonnant vu le niveau de leurs industriels et de leur armée dans le domaine cyber », relève Nicolas Arpagian, directeur de la stratégie d’Orange Cyberdéfense et auteur de La Cybersécurité (PUF). « Ils devraient être à la deuxième ou troisième place », estime même Bernard Barbier, fondateur du cabinet BBCyber et ancien directeur technique de la DGSE. A l’inverse, des acteurs de second plan, ou en tout cas souvent définis comme tels, terminent très haut dans le classement. C’est notamment le cas des Pays-Bas, à la 5ème place du classement général, et même à la 3ème sur l’aspect offensif. « C’est très curieux, pointe un expert du cyber. Les Néerlandais ne sont pas mauvais, mais ils sont quand même largement sous perfusion américaine. »
D’où viennent ces résultats incompréhensibles?
Même les bons résultats de la France laissent les experts circonspects. Certes, l’équipe d’experts cyber associant l’ANSSI, l’agence de cyberdéfense française, et le ComCyber (Commandement de la cyberdéfense) a remporté en 2019 l’exercice Locked Shields de l’OTAN, le plus grand exercice international de cyberdéfense. « En cyberdéfense, nous sommes parmi les toutes meilleures nations », assurait même le général Didier Tisseyre, patron du ComCyber, dans une interview à Challenges en novembre dernier. Mais la deuxième place de la France au niveau mondial sur l’aspect défensif est jugée peu crédible, surtout quand on constate que les Etats-Unis, surpuissants dans le domaine, ne sont que quatrièmes. Quant à la Russie et Israël, deux autres poids lourds, ils sont carrément absents du top 10 du défensif… « La France a un bon niveau, mais on a encore beaucoup de retard sur un pays comme le Royaume-Uni, estime Bernard Barbier. Il suffit de regarder les industriels: nous n’avons aucune entreprise cyber française de premier rang mondial. Les Britanniques ont su créer une boîte comme Darktrace, qui allie cyber et machine learning, et s’attaque désormais ouvertement au marché français. »
Selon l’ancien directeur technique de la DGSE, industriels et services de renseignement français doivent, pour progresser, travailler de façon plus imbriquée, comme le GCHQ, l’agence de renseignement électronique britannique, le fait avec l’écosystème cyber outre-Manche. Dans une tribune au Monde co-signée avec l’ancien chef d’état-major des armées Edouard Guillaud et l’ex-DG d’EADS Jean-Louis Gergorin, Bernard Barbier appelait aussi à muscler encore les capacités de lutte informatique offensive françaises, jusqu’à mettre en place une véritable dissuasion cyber, appelée « cybercoercition ». « L’excellente doctrine française de lutte informatique offensive, rendue publique en janvier 2019 par la ministre des armées, devrait être explicitement élargie à la protection d’objectifs civils critiques en permettant d’engager aussi une riposte proportionnée à toutes poses d’implants [sortes d’agents dormants cyber, NDLR] ou attaques », écrivaient ainsi les trois auteurs.
Le classement établi par le Belfer Center apparaît ainsi, au mieux contestable, au pire un peu à côté de la plaque. Comment le centre de recherches d’Harvard a-t-il a pu aboutir à de tels résultats ? « Le classement repose uniquement sur des sources ouvertes, souligne Nicolas Arpagian. Or ceux qui parlent le plus fort ne sont pas forcément les meilleurs. Le cyber est un secteur sous-terrain, secret, où il n’y a pas d’alliés. Chacun joue pour soi, personne ne dévoile totalement son jeu. Etablir un tel classement est donc très difficile. » Le Belfer Center lui-même reconnaît l’existence de biais, qui aboutissent à sous-estimer le poids d’Israël. « Nous convenons qu’il s’agit d’une anomalie dans ce classement », écrivent les auteurs. Ceux-ci évoquent une double cause: le fait que le « classement utilise uniquement des données en source ouverte, alors qu’une grande partie du programme informatique d’Israël est coordonnée et dirigée secrètement« ; et l’écart entre les intentions affichées par Israël et une « capacité industrielle militaro-cyber » jugée plus faible. De fait, une bonne partie des pépites cyber israéliennes (comme CyberArk ou Cybereason) migrent aux Etats-Unis pour lever des fonds et poursuivre leur développement.
Que vaut finalement ce Top 10?
Autre limite du rapport: côté offensif, le classement ne prend pas en compte les supplétifs (mercenaires cybers, groupes de hackers) utilisés par les gouvernements pour brouiller les pistes. Or une bonne partie des attaques passe par ces groupes, ce qui rend d’autant plus difficile leur attribution à tel ou tel pays. Le poids de certains Etats « parias » semble aussi sous-estimé: l’Iran et la Corée du Nord, acteurs majeurs de la guerre cyber, ne figurent pas dans le top-10 général. Un rapport de l’ONU soulignait pourtant en 2019 que Pyongyang avait réussi à « récolter » 2 milliards de dollars en attaquant des banques et des plateformes de cryptomonnaie. Quant à l’Iran, il est accusé par le Department of Justice américain d’avoir piraté des secrets industriels de fabricants américains de satellites.
Faut-il pour autant jeter aux oubliettes ce classement inédit? Les experts saluent quand même l’exercice. « Ce palmarès a le mérite d’exister, et il fournit une base intéressante pour de futures éditions, estime Nicolas Arpagian. Mais ce classement s’imposera-t-il comme une référence, comme le guide Parker pour le vin ou le classement de Shanghai pour les universités ? On peut en douter. » Une chose est sûre : la prochaine édition sera regardée avec attention à Tel-Aviv, Téhéran ou au siège de la DGSE boulevard Mortier.
Par Vincent Lamigeon