Et le facteur qui menace le plus l’économie globale selon le Conseil des conseillers économiques de la Maison Blanche n’est (probablement) pas celui auquel vous pensez

Franck DeCloquement : Curieusement pour les observateurs que nous sommes, cet avertissement n’émane pas d’un groupuscule de chercheurs défiants ou d’universitaires partisans au service d’un obscur think tank à vocation politique, mais en droite ligne du très officiel « Annual Report of the Council of Economic Advisers » lui-même. Un épais document de 568 pages, comptant huit chapitres au total, et qui consacre l’entièreté de sa 7ème partie aux dangers patents que fait peser l’Internet – et ses nombreuses menaces sous-jacentes – sur la croissance économique américaine elle-même. Le tout, résumé sous le titre très annonciateur : « Fighting Cybersecurity Threats to the Growing Economy ». Le document rédigé par des conseillers économiques rattachés à la Maison-Blanche cherche à quantifier « une cyber-activité malveillante dirigée contre des entités privées et publiques », comme les vols en lien avec la propriété intellectuelle et les informations de nature financière, les fuites de données économiques ou stratégiques sensibles. Le ton est immédiatement donné, puisque l'une des préoccupations majeures de ce document remis aux autorités compétentes et diffusé mi-février, concerne les cyberattaques contre des infrastructures d’importance vitale du pays, à l’image de ses réseaux électriques ou de ses infrastructures routières. Ou encore l’impact de ces attaques digitales sur la gestion globale des barrages de retenues d’eau, la gestion des réseaux électriques ou des systèmes de paiements bancaires. Mais également celle des systèmes de communication à travers tout le pays. Et pour cela, il s’appuie en outre sur une très sérieuse étude estimant les dommages qui pourraient être potentiellement causés, à plus d’un billion de dollars US, dès lors qu’adviendrait une attaque majeure sur une infrastructure critique notable.

Le scénario-catastrophe par excellence – et de très mauvais augures au demeurant – est parfaitement résumé par ce constat extrait du document lui-même, que beaucoup de commentateurs ont d’ores et déjà relayé dans la presse internationale : « Si une entreprise détient une partie essentielle des infrastructures, une attaque contre cette firme pourrait causer une perturbation majeure à travers toute l'économie ». Avec en toile de fond, le risque systémique et la crainte non dissimulée de son corollaire : les répercussions exponentielles et délétères d’une possible contagion pouvant se propager de proche en proche, par « effet dominos » en quelque sorte...  La panique. Autrement dit, l’un des fléaux les plus contagieux dans les affaires humaines, quand il se généralise bien au-delà de la sphère économique initialement impactée par l’action malveillante initiale. Les rédacteurs de l’épais document font également mention de leur inquiétude notable, concernant les registres de l'énergie et de la finance internationale : « ces secteurs sont, en interne, interconnectés et interdépendants avec d'autres secteurs mais aussi solidement reliés à internet et, par conséquent, [représenteraient] un risque plus élevé d'une répercussion possible sur toute l'économie en cas de cyberattaque désastreuse ». La messe est dite.

En l’occurrence, et comme ont pu le faire remarquer de très nombreux observateurs et spécialistes des questions internationales, n’oublions pas que ce document a été rendu public au lendemain des menaces proférées par Washington, à l’encontre de Moscou. Un avertissement à mettre en rapport direct avec la responsabilité attribuée aux Russes par les Américains, dans la cyberattaque d’envergure mondiale « NotPetya », survenue en juin 2017. Une action offensive notoire qui a été catégoriquement réfutée par le Kremlin.

Par ailleurs, il est manifeste que les menaces « classiques », au nombre desquels les déficits commerciaux et d’ordre budgétaire qui font croitre les taux d'intérêt, la rapide progression économique de la Chine sur le plan mondial en passe de détrôner prochainement les États-Unis – selon certains spécialistes – dans de très nombreuses industries de haute technologie, des formations inadéquates dispensées aux étudiants américains dans les universités qui augurent à terme d’une pénurie de travailleurs qualifiés, sont elles très concrètes... Et tous ces facteurs pourraient en effet ralentir notablement la croissance économique américaine et augmenter concomitamment le taux de chômage dans tout le pays. Cependant, l'Internet et les menaces numériques combinées dont il est le vecteur, pourraient théoriquement impacter gravement l'économie réelle d’une grande puissance telle que les Etats-Unis. Paraphrasant les termes du rapport : ceci pourrait en effet représenter une menace potentielle – mais d’augure très concrète – pour l’ensemble de la population qui utilise massivement les vertus du digitale au quotidien, ainsi que les nouvelles technologies de l'information et de la communication. Et ceci, dès lors que cette technologie avancée se retournerait contre l’économie du pays qui l’a vu naitre, à travers le piratage massif des données personnelles des utilisateurs, ou des cyberattaques visant des infrastructures d’importance vitale. C’est-à-dire, à peu près tout ce qui existe sur le plan économique et matériel dans le pays considéré. Au demeurant, les chiffres avancés semblent finalement très optimistes et sous-évalués en rapport au risque considéré, puisque pratiquement tout dépend de « la fée électricité » dans nos écosystèmes de vie contemporain : du signal qu’elle véhicule à la fiabilité des données qui y circulent : ordinateurs, réfrigérateurs, véhicules autonomes, GPS, objets connectés, ascenseurs, éclairages, téléphonie mobile, réseaux bancaires et ferroviaires, etc... Cette liste à la Prévert reste ouverte, puisque nous rendons de plus en plus d'appareils dépendant d'Internet dans leur fonctionnement. Et nous devenons donc corrélativement encore plus vulnérables. Mais pour l'heure, ces « grandes menaces terminales » que nous promet à terme l’avenir du web sont plus théoriques que réelles. Et l'impact collectif des pertes individuelles en matière de données personnelles n'a pas encore produit une rupture majeure de nature critique, ou un effondrement de l'économie au sens large.

Un réseau électrique paralysé perturberait très largement les activités quotidiennes et les routines de millions d’individus. Les dommages causés et les ordres de grandeur potentiels évoqués dans ce rapport pour l'économie américaine sont énormes. On le voit, la menace n’est donc pas uniquement « virtuelle » et pourrait très vite confiner au « réel », dans un avenir proche. Et ceci, en vertu d’une interconnexion généralisée et inexorable des secteurs d’activités pouvant être atteint, compte tenu de leur interdépendance globale avec d'autres secteurs économiques connexes. Ce risque est par nature exponentiel, et favorise les effets endémiques de la contagion et de la propagation en cas d’attaque majeure. Comme vous l’évoquiez dans votre question initiale, dans son rapport annuel, le CEA en a effet estimé le coût en 2016 entre 57 et 109 milliards de dollars. Soit une estimation se situant entre 0,3% et 0,6% du PIB.

Il faut raison garder et bien comprendre que la paternité et la provenance d’une cyberattaque, sont très difficilement attribuables à un acteur spécifique. Individus, groupes d’individus, ou Etats belligérants en possession de cybers-armes ? Cette « identification » reste très aléatoire, souvent partielle et permet d’envisager de multiples responsabilités en cas d’usage des cybers-armes. Des responsabilités concomitantes qui parfois ne s’excluent pas entre elles d’ailleurs. Une chaine d’acteurs très différenciés, pouvant toujours être envisagée par un commanditaire, pour mener à bien ce type d’opération guerrière. Tous les spécialistes en ont bien conscience. D’autant plus quand il est également possible d’user de la ruse pour « maquiller » ses actions cybernétiques offensives contre des infrastructures critiques – par crainte de représailles – de leurrer l’adversaire ou d’effacer ses traces, comme dans cadre d’un combat de terrain classique. Et finalement d’user des principes de la diversion, de l’intoxication, du mensonge et de la tromperie, au même titre que dans les affrontements guerriers ordinaires. L’écosystème numérique, par sa nature holistique, rend encore plus simple, plus accessible, plus efficace et donc plus probable encore, le recours à ce type d’action subversive par des belligérants en conflit sous-jacent ou ouvert. Des opérations clandestines très agressives qui impliquent bien souvent des attaques ciblées de nature hybride, en provenance « d'hacktivistes » rompus aux techniques de la guérilla numérique, d'organisations criminelles ou mafieuses, de services régaliens d’Etat belligérants ou encore d’entreprises concurrentes. Cette liste est non exhaustive… Comme il est donc très aléatoire d’identifier les véritables acteurs ou commanditaires d’une cyberattaque, la réplique immédiate sur un mode « automatique » ; à l’image des principes de la « dissuasion nucléaire » ; semble pour le moins oiseux, voire dangereux en l’état actuel de nos connaissances. La métaphore ne semble donc pas heureuse dans l’immédiat, et ne présagerait rien de bon en l’occurrence. Pour autant, chacun a désormais bien conscience que l'Internet recèle de très nombreuses potentialités guerrières, qui rendent envisageables les visées humaines les plus agressives, et les comportements les plus destructeurs, inimaginables il a une décennie à peine. Et ceci, malgré les bienfaits corrélatifs à l’introduction de cette technologie innovante, par ailleurs, dans nos écosystèmes de vie. Mais cela est-il durable ?