La cyberguerre ou guerre hybride redéfinit les règles et les dimensions des conflits internationaux. Ses acteurs et ses conséquences sont multiples. Quels sont les impacts sur la sécurité des Etats et des organisations ?
Définition
La cyberguerre désigne communément un ensemble d’opérations offensives et défensives qui ont lieu dans le cyberespace, en exploitant l’interconnectivité et la vulnérabilité d’infrastructures numériques.
Ces opérations à l’échelle mondiale prennent aujourd’hui de multiples formes et visent différents buts (sabotage informatique, subversion, cyberespionnage…) tout en mobilisant parfois des ressources militaires dédiées.
La particularité de la cyberguerre réside à la fois dans la difficulté d’attribution des attaques et dans la rapidité d’évolution des méthodes utilisées.
La dimension stratégique de la cyberguerre
Mener des opérations dans le cyberespace représente également une dimension stratégique forte pour la puissance des États. En effet, les nations peuvent exercer leur influence et agir sans utiliser la force militaire conventionnelle.
De plus, l’un des critères d’évaluation de la puissance cyber ou « cyber power » d’une nation correspond à sa capacité à utiliser les technologies numériques pour atteindre ses objectifs nationaux et internationaux, notamment sur le plan défensif et offensif.
Exemple : la cyberguerre Russie – Ukraine
Depuis l’invasion de l’Ukraine par la Russie en février 2022, la guerre entre les deux pays s’est renforcée dans le cyberespace. Récemment, le Conseil de sécurité économique de l’Ukraine a publié une étude intitulée « Cyber, artillery and propaganda » qui analyse les modes opératoires russes.
Le constat est sans appel : le conflit russo-ukrainien est la première cyberguerre à grande échelle du monde. Celle-ci impacte directement l’Ukraine, avec des cyberattaques russes systématiques vers des bureaux de l’État, des infrastructures essentielles ou encore des médias.
Mais la « cyberwar » touche également les nations alliées de l’Ukraine. En Europe, de nombreuses attaques d’espionnage et de désinformation, d’origine russe, sont identifiées depuis plusieurs mois.
Les différents moyens employés
Cyberespionnage
Le cyberespionnage constitue l’un des premiers impacts des bouleversements géopolitiques et de la cyberguerre. Il implique le vol de données confidentielles et stratégiques, parfois classifiées, auprès d’une nation ou d’organisations.
Des cybercriminels peuvent intercepter des informations communiquées en visioconférence ou par messagerie, par exemple dans le cadre d’une élection ou d’un conflit, afin d’obtenir des informations sensibles.
L’espionnage peut également avoir pour but de nuire à l’avantage concurrentiel d’une entreprise en interceptant des documents ou données partagées en ligne. Leur compromission affecte la propriété intellectuelle d’une entreprise mais aussi le potentiel scientifique et technique de la nation.
Lire l’article : Quelles sont les informations cibles d’espionnage industriel ?
Sabotage
Autre méthode employée en pleine cyberguerre : le sabotage informatique. Ce type d’attaques cible généralement d’infrastructures ou d’installations critiques. Leurs systèmes informatiques et de communications, réseaux ou encore bases de données sont visées afin de compromettre leur fonctionnement. Les objectifs peuvent être de nuire à la sécurité et à l’économie d’une nation.
Le sabotage informatique prend de multiples formes :
• attaques par déni de service (DDoS) pour saturer des serveurs,
• malwares pour infecter et endommager un système ou un réseau,
• ou encore phishing pour amener un utilisateur à exécuter des actions compromettantes pour la sécurité.
La chaîne d’approvisionnement (sous-traitants, partenaires, fournisseurs…) de grandes entreprises constituent également une cible privilégiée pour le sabotage informatique. Les cyberattaquants tendent à bouleverser indirectement des organisations critiques, en touchant à leur écosystème.
Désinformation
Particulièrement utilisée durant les périodes électorales, les opérations de subversion consistent à influencer l’opinion publique sur une personnalité, un parti politique ou une institution. Les campagnes de désinformation, notamment sur les réseaux sociaux ou via les médias, en sont la partie la plus visible. À l’échelle d’une nation, la désinformation entraîne une instabilité politique. Dans les entreprises, cela peut conduire à une perturbation de la gouvernance.
En 2024, année particulièrement chargée sur le plan politique, les risques de désinformation sont élevés. Selon le rapport « Global Risks 2024 » publié par le World Economic Forum, la mésinformation et la désinformation représentent les deux principaux risques à court terme.
Par ailleurs, une enquête de la société de conseil néerlandaise Trollrensics, commandée par la délégation néerlandaise du groupe Socialistes et Démocrates au Parlement européen, a récemment démontré « qu’un vaste réseau coordonné de comptes influençait le discours public sur les réseaux sociaux en Allemagne et en France à l’approche des élections européennes [de juin 2024].» en diffusant des propos anti-vax, anti-LGBT et pro-russes. Selon le rapport, certains de ces comptes ont été créés suite à l’invasion de l’Ukraine par la Russie, voire même avant, indiquant une activité plus large et ancienne.
Quels sont les acteurs de la cyberguerre ?
Acteurs étatiques
Certains groupes de cybercriminels opèrent directement sous l’autorité d’un gouvernement.
Selon le site cfr.org : « depuis 2005, 34 pays sont soupçonnés de parrainer des opérations cybernétiques. La Chine, la Russie, l’Iran et la Corée du Nord seraient responsables de 77 % de toutes les opérations suspectées ». En pleine cyberguerre, le nombre d’Etats impliqués dans la cybermenace augmente, avec des acteurs étatiques connus comme APT33 en Iran, APT10 en Chine, Lazarus Group en Corée du Nord ou encore Sandworm en Russie.
Ces deux dernières nations sont d’ailleurs particulièrement actives dans le domaine. La base de données du European Repository of Cyber Incidents (EuRepoC) indique que, depuis le début du siècle, le quart des cyberattaques politiques détectées ont été déployées depuis la Chine (11,9 %) et la Russie (11,6 %).
Dans une fiche d’information (publiée sur le site de l’Internet Crime Complain Center), le CISA, la National Security Agency (NSA) et le FBI, alertent les organisations critiques sur « le risque urgent posé par les acteurs cybernétiques sponsorisés par l’État de la République populaire de Chine (RPC) ». Ces acteurs, sous le nom de “Volt Typhoon”, œuvrent pour la perturbation de services essentiels, en réaction à des tensions géopolitiques. Des actions qui peuvent également impacter les pays membres de l’OTAN. Comme l’alerte l’organisation sur son site, « les opérations hybrides ou cyber malveillantes de la Chine portent atteinte à la sécurité de l’OTAN ».
Groupes de cybercriminels para-étatiques
Les groupes de cybercriminels para-étatiques n’agissent pas directement sous les ordres d’un Etat mais agissent généralement en leur nom ou grâce à leur soutien.
C’est le cas du groupe UNC1151, lié au gouvernement biélorusse, qui mène depuis plusieurs années des opérations de désinformation en ligne, notamment pour discréditer l’OTAN dans les pays baltes. Depuis 2017, leur campagne de lutte informationnelle, baptisée Ghostwriter, diffuse des contenus hostiles à l’Alliance atlantique, notamment des fake news sur le déploiement d’armes nucléaires.
Exemple aussi en Iran où, suite au conflit au Proche-Orient, des hackeurs affiliés au gouvernement iranien ont interrompu plusieurs chaînes de télévision européennes, diffusées aux Emirats arabes unis, pour diffuser un faux journal télévisé généré par IA.
Hackers russes : acteurs majeurs
La Russie et ses acteurs du cybercrime font figures d’acteurs majeurs dans la cyberguerre. En effet, ces dernières années, plusieurs cyberattaques russes ont visé l’Ukraine mais aussi des pays membres ou partenaires de l’OTAN.
En 2017, une opération de sabotage russe contre l’Ukraine a paralysé des banques, l’aéroport et le métro de Kiev, les chemins de fer, des médias, la poste, des fournisseurs d’énergie et de gaz, des opérateurs de téléphonie mobile, ou encore des hôpitaux… Les hackers russes parviendront même à affecter l’économie française et américaine : des entreprises comme Saint-Gobain, la BNP, FedEx ou encore les usines Mondelez seront gravement touchées. En cause, le malware NotPetya, qui aura notamment mis 7 minutes pour paralyser 55 000 machines, soit plus de 130 par seconde, chez Maersk, géant du transport maritime.
Plus récemment, en décembre 2023, une cyberattaque via un logiciel malveillant a visé le premier opérateur telecom ukrainien. 24 millions de citoyens du pays se sont retrouvés sans connexion Internet.
Trois conséquences principales
Impacts sociaux et économiques
En touchant des organisations plus ou moins critiques, la cyberguerre entraîne des pertes financières directes, notamment via le vol de données confidentielles, les attaques par ransomware ou encore les actes de sabotage informatique. Ces cyberattaques entraînent généralement des coupures d’activité et peuvent nuire à la réputation d’une entreprise.
Dans des secteurs essentiels comme l’énergie, les telecoms ou les administrations publiques, les actes de cyberguerre ont également des conséquences importantes. Les coupures d’électricité, de connexion Internet ou l’inaccessibilité de services publics perturbent l’équilibre sociétal et économique d’une nation.
Déstabilisation politique
La cyberguerre est d’abord et avant tout politique et géopolitique. Les opérations de désinformation et de cyberespionnage visent souvent un but de déstabilisation politique. De tels actes, à l’image des campagnes de subversion sur les réseaux sociaux à l’approche des dernières élections européennes, peuvent influencer gravement le déroulé et les résultats d’un scrutin et ainsi perturber les processus démocratiques.
Hausse des investissements en cybersécurité
L’augmentation des cybermenaces, comme l’espionnage et le sabotage, incite de plus en plus d’organisations à renforcer leur cybersécurité. En effet, les cyberattaques se diversifient et se perfectionnent et il devient difficile de les éviter. Au sein d’entités critiques, comme identifiées par la Directive NIS 2, la cyber-résilience devient ainsi fondamentale. Elle consiste pour ces organisations à mettre en place des stratégies :
- pour cartographier les risques cyber inhérents à leur secteur d’activité,
- anticiper les crises,
- et organiser la continuité d’activité.
Ces stratégies de cyber-résilience doivent être appuyées par des mesures organisationnelles (formations des collaborateurs, équipes dédiées à la gestion de crise…) et des mesures techniques (cloisonnement des réseaux, utilisation d’outils de communications de secours…)
Lire l’article : Les 3 usages de l’outil de communication de secours
Quels sont les exemples d’attaques célèbres dans l’histoire de la cyberguerre ?
1. Stuxnet (2010)
Stuxnet est sans doute l’une des cyberattaques les plus célèbres et sophistiquées de l’histoire. Ce ver informatique a été conçu pour cibler les centrifugeuses utilisées dans le programme nucléaire iranien. Stuxnet a été largement attribué aux États-Unis et à Israël et a réussi à endommager environ 1000 centrifugeuses, ralentissant ainsi les progrès du programme nucléaire de l’Iran.
En savoir plus : Stuxnet : un ingénieur néerlandais à l’origine de l’infection
2. Cyberattaque contre l’Estonie (2007)
L’Estonie, pays très avancé sur le plan du numérique et de la cybersécurité, a été la cible d’une vaste cyberattaque en 2007. Les sites web du gouvernement, des banques, des médias et d’autres infrastructures critiques ont été paralysés par des attaques par déni de service (DDoS). Cette attaque a été largement attribuée à des acteurs russes, bien que cela n’ait jamais été officiellement prouvé.
En savoir plus: Cyberguerre : retour sur la cyberattaque de l’Estonie en 2007
3. NotPetya (2017)
Lancée initialement contre des cibles en Ukraine, l’attaque NotPetya a rapidement échappé au contrôle et s’est propagée à travers le monde, causant des milliards de dollars de dégâts. NotPetya est un ransomware déguisé qui a paralysé les systèmes informatiques de nombreuses entreprises internationales, dont Maersk, FedEx, et Saint-Gobain. Cette attaque a été attribuée au groupe russe Sandworm.
En savoir plus : NotPetya : un jalon dans l’histoire de la cyberguerre
4. Sony Pictures Hack (2014)
En novembre 2014, Sony Pictures Entertainment a été la cible d’une cyberattaque massive, attribuée au groupe Lazarus, un collectif de hackers nord-coréen. Les attaquants ont volé des données sensibles et diffusé des informations embarrassantes. L’attaque aurait été une réponse à la sortie imminente du film “The Interview”, une comédie satirique sur la Corée du Nord.
En savoir plus: Hacking culturel : cas d’école du piratage de Sony Pictures
5. Opération Aurora (2009-2010)
Opération Aurora est le nom donné à une série de cyberattaques menées contre plusieurs grandes entreprises américaines, dont Google, Adobe, et Dow Chemical. Ces attaques, attribuées à des acteurs chinois, avaient pour objectif de voler des secrets industriels et des informations sensibles. L’attaque contre Google a conduit l’entreprise à menacer de se retirer du marché chinois.
En savoir plus : Opération Aurora (2009) : campagne de cyber contre-espionnage ?
Découvrir notre livre blanc sur la sécurité des visioconférences en pleine cyberguerre
FAQ :
La cyberguerre désigne un ensemble d’opérations offensives et défensives menées dans le cyberespace, exploitant les vulnérabilités des infrastructures numériques pour atteindre divers objectifs, tels que le sabotage ou le cyberespionnage.
Les principaux acteurs incluent des États (comme la Russie, la Chine, l’Iran) ainsi que des groupes de cybercriminels opérant sous l’autorité ou avec le soutien de ces gouvernements.
La difficulté d’attribution des attaques en cyberguerre réside dans l’anonymat du cyberespace et l’utilisation de méthodes complexes qui masquent les auteurs réels des attaques.
La cyberguerre peut entraîner des perturbations économiques, des coupures de services essentiels et une déstabilisation politique à travers des campagnes de désinformation et de sabotage.
Les nations investissent de plus en plus dans la cybersécurité en développant des stratégies de cyber-résilience, en formant des équipes dédiées, et en adoptant des mesures techniques avancées pour protéger leurs infrastructures critiques.
