ASIE CENTRALE ET CYBERSECURITE : UN ESPACE SOUS CONTROLE RUSSE ?
Selon Nodar Kharshiladze, fondateur du Centre d’analyse stratégique géorgien : « La cyber-guerre et la guerre de l’information sont les principales tactiques russes » . Alors que les soupçons de cyberattaques russes se sont multipliés ces dernières années, que l’Union européenne vient de créer une liste noire permettant de sanctionner les responsables de cyberattaques menées depuis l’extérieur de l’UE1, et que sous la présidence française, le G7 organise pour la première fois début juin une simulation d’une cyberattaque financière transfrontalière, quelles lignes de force se dessinent en Asie centrale en matière de cybersécurité ?
Par Sarah Pineau
La cybersécurité en Asie centrale, nouvelle chasse gardée de la Russie
En passe de devenir un espace géopolitique à part entière, le cyberespace voit jouer en son sein des rapports de force traditionnels – stratégiques – mais également de nouveaux, cette fois-ci techniques. Or, sur ces deux plans, la supériorité russe dans la région est indéniable. Pour se limiter au sujet qui nous intéresse, le cyber, la connectivité est arrivée en Asie centrale dans les années 1990 par deux réseaux : d’un côté, Relcom, basé à Moscou, de l’autre, le câble Trans Asia Europe (TAE), qui partait de Francfort pour relier Shanghai. Cependant, faute de puissance ce TAE est quasi inopérant aujourd’hui. Aussi, a ouvert en 2005, le Trans Europe Asia (TEA), câble souterrain partant d’Europe pour relier la Chine en passant par la Russie, conduisant à « une situation qui place les pays d’Asie centrale à un niveau de dépendance gigantesque » par rapport à la Russie ainsi que le note Kevin Limonier, chercheur associé à la Chaire Castex de cyberstratégie (IHEDN) et directeur scientifique de l’observatoire du cyberespace russophone2. Cette dépendance des transmissions se poursuit en outre dans le domaine du stockage : la Sibérie fait désormais figure de « territoire disque dur » en Asie centrale, la plupart des pays de la région ayant recours à des plateformes d’intermédiation russes (Vkontakte, Odnoklassniki) « comparables dans leur fonctionnement aux GAFAM (Google, Apple, Facebook, Amazon, Microsoft) américains ou aux BATX chinois (Baidu, Alibaba, Tencent, Xiaomi) »3. C’est dire la puissance de ces plateformes russophones ! Sans compter que cette supériorité est facilitée par les tensions entre les régions voisines qui sont très loin de s’entendre : ainsi en 2017, suite à un différend politique, le Kazakhstan, très bien positionné par rapport au câble TEA, a menacé le Kirghizstan de doubler le prix de son Internet, l’entièreté du réseau kirghize passant par Astana.
Le Kazakhstan semble, aujourd’hui, être le seul Etat de la région en position de peser sur le sujet cyber face au grand frère russe… Ainsi, depuis plusieurs années, le pays investit fortement dans la cybersécurité : en 2017 a ainsi été annoncé un projet de « cyber-bouclier » et, en juin 2018, un accord de cybersécurité a été signé avec la Russie, dépassant en partie l’ère de la soumission pour entrer dans celle de la coopération. Cependant, cette signature est jugée « imprudente » par de nombreux analystes kazakhs qui affirment que ce texte « fait entrer le renard dans le poulailler »4, compte tenu des forts soupçons qui pèsent sur la Russie en matière de cyberattaques, au plan international mais également local. De fait, la région centrasiatique apparaît comme un véritable terrain de jeu pour les hackers russes, à tout le moins une « zone d’entraînement 5», selon Kevin Limonier.
En Asie centrale la cybersécurité est donc devenue l’objet d’une alliance régionale déséquilibrée, la Russie jouant de sa supériorité technique et stratégique en la matière. Mais la visée russe ne s’arrête pas aux frontières de son continent : prendre ou garder le contrôle sur la cybersécurité régionale est un moyen a priori efficace de revenir dans le jeu géopolitique mondial. En effet, qualifiée par les analyses internationales de « champ d’égalisation des puissances », contrairement aux armes conventionnelles ou nucléaires et souffrant d’un manque de coopération des puissances internationales post- seconde guerre mondiale, le cyber déplace les pièces de l’échiquier international.
Etats-Unis et UE : deux grandes puissances confrontées à la cyberdéfiance
La prise en compte du cyber comme espace possible d’alliances stratégiques impliquait tout d’abord que celui-ci soit identifié comme un champ de bataille officiel. Or, si les cyberattaques ne sont pas si récentes, leur reconnaissance officielle en tant qu’événements hostiles par les instances internationales ne comptant pas la Russie dans leurs rangs – OTAN, G7 -l’est beaucoup plus, avec, à la clé, une hétérogénéité dans l’appréciation du risque par les Etats membres. En effet, selon leur maturité stratégique et technique, ces derniers ont opté, soit pour une mise à l’écart du sujet soit pour une stratégie solide mais s’arrêtant à leurs frontières physiques, ce qui n’est guère efficace en matière de cyber du fait de l’essence même de la matière !
La mise en commun des problématiques doit d’ailleurs beaucoup à la France. Ainsi à l’OTAN, c’est notre pays qui a été à l’initiative de l’adoption par les 28 Nations d’un « Engagement pour la cyberdéfense » (« Cyberdefence Pledge ») lors du Sommet de Varsovie en juin 2016. Celui-ci a notamment permis d’inscrire le cyberespace comme un domaine d’opérations, engageant l’OTAN à s’y défendre comme elle le fait dans les domaines terrestre, aérien et maritime. La même année, la France s’est beaucoup impliquée au sein du G7, dans la création du groupe Ise-Shima dédié aux questions cyber. Ce groupe a abouti en 2017, à l’adoption d’une déclaration ambitieuse concernant les normes de comportement responsable des États dans le cyberespace. En mai 2018, c’est, assez logiquement, la France qui a été choisie pour organiser la toute première conférence dédiée au Cyberdefence Pledge. Enfin, 6 mois plus tard en novembre, par la voix de son président de la République, elle a lancé « L’Appel de Paris du 12 novembre 2018 pour la confiance et la sécurité dans le cyberespace ». Ce texte, qui entend promouvoir l’élaboration de principes communs de sécurisation du cyberespace, a déjà reçu l’appui de 552 soutiens, parmi lesquels 66 États, 347 entités du secteur privé et 139 organisations internationales et de la société civile6. Pour autant, ces initiatives d’apaisement du cyberespace relèvent davantage d’intentions que d’actions et de nombreux acteurs déplorent ce manque de coopération. Comme le général Marc Watin-Augouard, fondateur du Forum International de la Cybersécurité lors de l’édition 2019 : « Nous en sommes à une situation de tâtonnement au niveau de la coopération internationale. Il va pourtant bien falloir coopérer, même s’il est difficile de s’entendre avec certains pays sur une vision du cyberespace »7.
Chaque année, l’ONU, via son agence internationale des télécommunications (ITU : International Telecommunication Union), publie le « Global Cybersecurity Index » afin d’évaluer comment les Etats et les gouvernements protègent leurs infrastructures et leurs usagers. Cinq critères sont pris en compte pour établir ce classement : la présence d’un cadre légal, de compétences techniques, d’une organisation dédiée des services de cybersécurité, le potentiel de montée en gamme des pays sondés et l’implication au sein des structures de coopérations interétatiques.
Or, dans son édition 2018, l’ITU indique qu’en Asie centrale, la Fédération de Russie obtient le meilleur score dans presque tous les piliers sauf en matière de… Coopération !