Intelligence cyber : intégrer les hackers dans une stratégie de sécurité numérique globale, le modèle de l’intelligence économique – Interview du Docteur Yannick Pech
Entretien publié le 13 février 2024
Centre Algérien de Diplomatie Economique (CADE) : Bonjour Yannick Pech, pourriez-vous vous présenter auprès de nos lecteurs?
.
YP : Bonjour, docteur en sciences de l’information et de la communication, spécialiste du renseignement et des questions de défense et (cyber)sécurité, je suis chargé de cours en géopolitique, intelligence économique, sécurité numérique et OSINT dans une dizaine d’écoles du supérieur privé et public (journalisme, commerce, informatique, instituts de science politique, universités). J’ai un parcours un peu atypique, entre cursus universitaire et autodidactisme, théorie et pratique. Historien contemporanéiste de formation, j’ai poursuivi en Relations internationales puis appris l’intelligence économique par la pratique comme veilleur-analyste dans un cabinet de conseil dans le domaine, pratique consolidée par une formation en sécurité économique auprès de l’ANSSI, la DGSI, la gendarmerie et l’IHEMI. Par ailleurs, sans être un pur informaticien, je me suis formé à la sécurité numérique notamment offensive dans le pentesting (méthodologie et techniques d’intrusion dans les systèmes d’information). Donc un parcours tant académique que technique. Les sciences de l’information et de la communication, dans lesquelles j’ai inscrit ma thèse de doctorat, m’ont permis d’allier ces deux versants de la montagne – pour paraphraser un aphorisme chinois –, avec l’idée de combiner un savoir et un savoir-faire. Enfin, j’ai été réserviste-spécialiste opérationnel au MINARM-OTAN (CRR-FR) pendant trois ans, et suis actuellement officier de la Réserve citoyenne de cyberdéfense (région Occitanie).
.
CADE : Dans votre premier chapitre, vous discutez des enjeux de la sécurité numérique et des politiques de sécurité du numérique. Pouvez-vous développer sur les principaux défis actuels en matière de cybersécurité nationale et sur la manière dont les politiques françaises actuelles répondent à ces défis?
.
YP : Face à la cybercriminalité et la cyberguerre, qui précisément s’hybrident de plus en plus, la France compte parmi les pays les plus ciblés. L’Etat a initié et déployé des politiques de sécurité numérique en se concentrant sur les aspects techniques de l’information et sur la cyberdéfense. La création de l’ANSSI en 2009 a permis de rationnaliser la réponse institutionnelle à la cybermenace, et en 2017 le COMCYBER est venu officialiser une approche offensive au sein du ministère des Armées (MINARM). Si ces organismes sont très compétents, leurs attributions sont parfois entremêlées, ce qui peut créer une certaine ambiguïté fonctionnelle. Surtout, l’hypertrophie bureaucratique et le cloisonnement traditionnel entre les ministères ou les différents organismes (on compte quatre dérivés ou assimilés du COMCYBER dans autant de ministères) ne permettent pas d’établir une véritable stratégie nationale de cybersécurité. Des passerelles sont bien jetées, mais l’ensemble peine à constituer un système homogène cohérent dans une dynamique réticulaire. Du point de vue de l’intelligence économique, on parlerait de l’absence d’un dispositif intelligent au cœur duquel la communication-interaction est le fluide qui permet d’assurer le partage de l’information à travers une stratégie-réseau(x).
.
CADE : Dans le deuxième chapitre, vous explorez la figure du hacker, entre idéalisation et incompréhension. Comment percevez-vous le rôle des hackers dans le contexte de la cybersécurité nationale, et quelles sont les principales idées fausses à leur sujet que vous souhaitez clarifier?
.
YP : Les hackers français ou à l’international forment des communautés plutôt qu’une seule entité homogène, avec parfois des visions très opposées. Être hacker, c’est surtout un état d’esprit, et il est de bon ton de ne pas s’auto-désigner comme tel dans le milieu. Bien sûr, beaucoup de clichés circulent sur eux, que les médias contribuent largement à alimenter. Dans mes travaux, j’ai pu constater que les traditionnelles catégories (hackers blancs/gris/noirs) ne reflétaient pas fidèlement la réalité. Précisément, les premiers, qu’on appelle hackers « éthiques », sont souvent plus des spécialistes de sécurité informatique de formation plutôt classique axée sur la défense. Ils peuvent développer des compétences dans la cybersécurité offensive, mais ils n’auront pas le même niveau technique que des hackers gris et surtout noirs, qui eux sont constamment dans une logique d’attaque jamais bridée par des considérations légales, contrairement aux « blancs » donc, qui n’agissent que dans un cadre contractuel. Bien sûr, les hacktivistes (hackers « gris ») revendiquent la légitimité de leur action militante et le caractère noble de la cause qu’ils défendent (souvent, la recherche de la vérité, le lancement d’alerte, etc.). Pour conclure, on peut dire que certaines caractéristiques dont je fais l’inventaire dans ma thèse réunissent les hackers de manière générale : esprit libertaire, valeur de partage, goût du défi, du jeu et de l’interdit, philosophie de la « débrouille » et du dépassement, etc.
Pour en venir à la première question, et ce sont les conclusions de mon travail, en dépit du rapprochement indéniable opéré dans leur direction par les autorités publiques et certaines entreprises depuis notamment 2016 (début de reconnaissance du « statut » de hacker), les hackers français ne sont pas véritablement intégrés dans le dispositif national, lequel souffre déjà on l’a dit d’un manque de cohérence. Il faut noter que tous n’ont pas une fibre patriotique et que d’une manière générale, les hackers chérissent leur indépendance. Par ailleurs, les hackers gris sont l’objet d’énormément de méfiance, ce qui peut certes se concevoir ; mais le regard porté sur les « blancs » commence à peine à être bienveillant et le statut de ces derniers tout juste normalisé (au regard du droit, ils sont toujours considérés comme des « lanceurs d’alerte de sécurité », s’appuyant sur le statut de lanceur d’alerte traditionnel lui-même déjà très flou). Toutefois, parmi les hackers blancs, beaucoup sont patriotes et déplorent le manque de cohésion avec les autorités, réclamant plus de marge de manœuvre au profit de « l’intérêt numérique commun ». Plus généralement, il faut considérer comme le dit Guillaume Poupard (ancien directeur de l’ANSSI) que la « couleur » d’un hacker, même éthique, n’est jamais « pure ». De ce fait, si les forces de sécurité sont plus pragmatiques et enclines à prendre en compte et exploiter leurs compétences, le monde judiciaire et la classe politique en général a bien du mal à comprendre l’intérêt et la « légitimité » de ces profils atypiques voire anticonformistes. Le qualificatif d’« éthique » est d’ailleurs contestable ; on devrait plutôt parler de « hackers légaux ».
.
CADE : Votre troisième chapitre traite du postulat d’une guerre économique et de l’intelligence économique. Quelle est, selon vous, l’importance de l’intelligence économique dans la compréhension et l’action stratégique face à la guerre économique?
.
YP : La guerre économique est le contexte d’affirmation et de poursuite de la puissance par les Etats et de l’influence chez certaines firmes transnationales. Contrairement aux idées propagées par une vision idéaliste du capitalisme libéral consacrée par la thèse de « la fin de l’Histoire » de Francis Fukuyama, la mondialisation n’est pas « heureuse » et, surtout, se déroule dans un cadre paradoxalement juridique qui n’assure pourtant pas une concurrence loyale entre acteurs économiques, ce malgré la légifération normative globale entamée dans les années 1950 et aujourd’hui hypertrophiée. La globalisation n’est pas une compétition équitable où une pseudo « loi du marché » assure la méritocratie économique. Les garde-fous supposés du droit volent en effet en éclat face au poids des pratiques anti-concurrentielles, du protectionnisme plus ou moins déguisé et des pratiques d’espionnage notamment technologique opérées par les Etats au profit de leurs économie et entreprises nationales. Quand le droit ne constitue tout bonnement pas une arme en soi. Ainsi, son instrumentalisation à des fins d’avantages comparatifs et compétitifs (lawfare) montre bien par l’exemple (affaires Alstom, Alcatel, Airbus…) qu’on peut proprement légitimer des manœuvres de prédation économique et de soumission à la puissance, sur fond de moralisation des relations politico-économiques internationales (lutte contre la corruption, etc.). Bien entendu, je veux parler ici en particulier des Etats-Unis d’Amérique, qui font sans complexes un usage extraterritorial de leurs lois nationales.
L’intelligence économique (IE) constitue donc une stratégie-outil pour mener cette guerre économique. Or, les dirigeants français ne veulent pas entendre parler de cette réalité, très éloignée de leurs politiques somnambulistes qui ont conduit à des erreurs très préjudiciables à l’économie nationale, laquelle n’est en définitive guidée par aucune vision stratégique de long-terme. C’est le « vide stratégique » diagnostiqué notamment en 2012 par Philippe Baumard dans son ouvrage éponyme remarqué. L’IE est donc une culture du renseignement, de l’influence et de la sécurité (analyse et appréhension du contexte de guerre systémique) et une pratique opérationnelle (application de mesures géoéconomiques et proactives face à l’adversité, ennemie comme alliée. En somme, se doter d’une sécurité offensive). C’est d’ailleurs ce que je mets en exergue dans mes travaux où je me suis employé à caractériser l’essence même de la discipline. J’y décris et analyse notamment les logiques combinées de disposition mentale et de dispositif opérationnel qui découlent de la posture théorico-pratique de l’intelligence économique.
.
CADE : Dans le chapitre quatre, vous abordez la guerre cyber comme une guerre cognitive, informationnelle, et informatique. Pouvez-vous expliquer en quoi le hacking est considéré comme une opération spéciale permanente dans ce type de guerre?
.
YP : Pour paraphraser Clausewitz, la cyberguerre n’est que la continuation de la guerre économique – que j’élargis au concept de « guerre systémique » –, elle-même poursuite de la politique – de puissance – par d’autres moyens. Le cyberespace ouvre un terrain nouveau fondé sur le champ informationnel (langage/sémantique) et un domaine informatique (langage/code), où l’information se fait plus technique mais constitue le revers d’une même pièce de la guerre cognitive : hacker les cerveaux et hacker les machines. Les offensives informationnelles au sens classique sont aujourd’hui quasi-systématiquement associées à des attaques informatiques : subvertir par l’information, générer le doute et la perte de repères face à ses valeurs, voire appliquer l’agnotologie (ou comment cultiver l’ignorance de vos cibles) d’un côté ; déstabiliser, espionner voire détruire par l’informatique/le numérique de l’autre. Selon moi, le hacking au sens informationnel comme informatique s’assimile à une opération spéciale (au sens littéral de promotion commerciale/communicationnelle et au sens militaire), et les hackers (illégaux surtout) peuvent s’apparenter – valeurs éthiques en moins – à des « forces spéciales » du fait de leur technicité, leurs objectifs opérationnels chirurgicaux, entrainement et expérience, cohérence et structuration, et leur opiniâtreté. Or, ces opérations de subversion et d’espionnage, ces coups fomentés et assauts opérés sont permanents et itératifs car le domaine cyber est systémique et réticulaire, très poreux, pervasif, accessible et exploitable par le fort comme le faible. A ce même titre, ces manœuvres demandent des moyens techniques, infrastructurels et financiers. Voilà qui permet de tordre le cou à un autre cliché, celui du hacker à capuche seul dans sa chambre qui déstabilise un Etat. Plus vraisemblablement, ce sont des groupes très structurés et le plus souvent soutenus par des entités politiques qui œuvrent ou plutôt sévissent. Pensons au cas des Advanced Persistent Threats ou APT qui désignent à la fois des groupes de corsaires informatiques et l’appellation de leurs tactiques, techniques & procédures (TTPs) d’attaque. Citons notamment les hackers-corsaires russes APT-28, alias Fancy Bear.
.
CADE : Au chapitre cinq, vous examinez quatre cas à travers le prisme de l’intelligence économique du cyber. Pourriez-vous partager vos principales conclusions sur les liens entre les hackers et les institutions, à partir de ces études de cas?
.
YP : J’ai sondé les liens qui associaient les hackers français aux institutions publiques et privées à travers quatre cas : liens hackers–Justice ; hackers–classe politique ; hackers–services publics (hôpitaux) ; et hackers–forces de sécurité.
Le premier concernait « l’affaire Bluetouff », du pseudonyme utilisé par un hacktiviste français, co-fondateur du site reflets.info, qui a été poursuivi en justice par l’ANSES (Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail). Point de jugement ici sur la personne ou le militantisme d’Olivier Laurelli, de son vrai nom (il a d’ailleurs été auditionné dans le cadre de commissions d’enquêtes parlementaires en qualité de conseiller), mais la volonté de comprendre les rapports que les autorités entretiennent avec des profils atypiques comme le sien et engagés dans une quête de vérité. Le cas nous a permis de comprendre que les codes des hackers sont difficiles à appréhender pour les institutions judiciaires, ce qui engendre des situations où la communication entre des acteurs aux référentiels très différents est rendue difficile. A notre connaissance et à ce jour, on compte seulement trois magistrats spécialisés dans le numérique en France.
Le deuxième cas propose une étude longitudinale sur le regard porté par la classe politique et en particulier les parlementaires vis-à-vis des hackers à travers les textes de loi traitant du hacking légal. Nous sommes parti de la Loi pour une République numérique promulguée en 2016, qui rend juridiquement possible l’activité du hacking éthique en France. L’étude vient conforter les leçons tirées de l’affaire relative au premier cas, puisque des aménagements législatifs corrigent l’étroitesse de la loi en la matière. Tout en laissant, cependant, encore un flou règlementaire dû à la difficulté pour la classe politique à comprendre réellement l’utilité de considérer les hackers comme des piliers de la cybersécurité.
Le troisième cas porte sur les cyberattaques visant les hôpitaux et la réponse qu’ils y apportent, notamment en termes de prévention future. Deux principaux enseignements peuvent être tirés : d’abord, que les établissements de santé manquent de ressources financières et qu’à l’image des autres institutions publiques et dans une certaine mesure privées, la part de leur budget allouée aux systèmes d’informations et plus encore à leur sécurité était négligeable ; ensuite, que pour des raisons compréhensibles mais dans le même temps synonymes de grande vulnérabilité, les personnels soignants manquent d’une culture de sécurité, ce qui induit une surface d’attaque élargie ouverte à la cybermenace. Le paradoxe étant en premier lieu que des RSSI sont pourtant en poste dans ces centres de santé, mais ne parviennent pas à correctement sensibiliser les équipes soignantes et surtout manquent cruellement de budget pour couvrir efficacement le spectre de la cybermenace ; en second lieu et corrélativement, que les personnels hospitaliers demandent plus d’accompagnement de la part d’acteurs externes, ce qui se prêterait implicitement à l’emploi de hackers, spécialistes s’il en est des approches offensives.
Enfin, le quatrième cas s’est appuyé sur l’expérience vécue et narrée sous la forme des Mémoires d’un jeune hacker noir repenti qui a créé sa propre entreprise de conseil en cybersécurité. Ouvrage que nous avons croisé avec l’entretien qu’il nous avait accordé deux ans plus tôt. Florent Curtet, puisqu’il s’agit de lui, est aussi cofondateur de l’ONG Hackers sans frontières. Ce cas nous enseigne qu’en dépit de son profil rare de haut niveau, les services de sécurité français (police, DGSI) ont certes essayé de le recruter et d’utiliser ses réseaux et ses compétences, mais sans véritablement établir une relation pérenne et constructive : incorporation formelle à un service ou une unité, projet commun dans le cadre de missions planifiées, échanges de pratiques et de connaissances…
Au bilan, on note un manque flagrant de synergie et l’absence de dispositif intelligent à même de structurer une réponse efficace et pourtant des plus pertinente en faveur d’une stratégie nationale de cybersécurité cohérente. Il est donc difficile de parler d’intégration des hackers dans l’architecture française de sécurité numérique.
.
CADE : Enfin, dans le chapitre six, vous proposez une vision pour intégrer une intelligence cyber dans une stratégie de cybersécurité offensive. Comment envisagez-vous concrètement cette intégration et quels en seraient les bénéfices pour la sécurité nationale?
.
YP : Pour faire suite à votre précédente question, après avoir dressé ce constat assez défavorable, j’ai esquissé quelques préconisations pour structurer les liens hackers–institutions. Plutôt que d’abonder dans le sens de l’appel qui avait été lancé en 2020 par une cinquantaine d’experts en cybersécurité pour la création d’un ministère du numérique – que nous ne jugeons pas adéquat –, tout comme les spécialistes de la discipline plaident pour une stratégie d’intelligence économique, j’appelle de mes vœux une véritable stratégie nationale de cybersécurité appuyée sur un état-major cyber (inséré dans un état-major IE qu’a proposé en outre Nicolas Moinet) et plusieurs mesures qui nous semblent opportunes :
- intégrer les hackers patriotes dans un dispositif national cohérent et cohésif susceptible de générer des synergies avec les autorités ;
- créer une instance de dialogue hackers–autorités ;
- diffuser et infuser une culture du renseignement (OSINT), de l’influence et de la cybersécurité dans la société française par une acculturation précoce à ces thématiques désormais fondamentales.
Je vous remercie pour cet entretien, ainsi que vos lecteurs pour leur intérêt.
.
Entretien réalisé par l’équipe du Centre Algérien de Diplomatie Economique.