Si la cybersécurité constitue depuis une vingtaine d’années un enjeu de tout premier ordre, la capacité offensive est en revanche longtemps demeurée un sujet tabou.
Il est difficile de fournir une liste définitive des nations les plus avancées en termes de capacités offensives en cybersécurité, car ces informations sont souvent classifiées et difficiles à obtenir. Cependant, certaines nations sont réputées pour avoir des capacités avancées dans le domaine de la cyberguerre. Voici quelques-unes d’entre elles, bien que cela puisse évoluer avec le temps :
- États-Unis: Les États-Unis sont largement considérés comme ayant certaines des capacités offensives les plus avancées en matière de cyber. Ils ont des agences gouvernementales dédiées, telles que la NSA (Agence de sécurité nationale) et le Cyber Command, qui sont impliquées dans la cybersécurité et la cyberguerre.
- Russie: La Russie est également connue pour avoir des capacités offensives avancées en cybersécurité. Des groupes de cybercriminels russes sont souvent associés à des activités de piratage et d’espionnage.
- Chine: La Chine a investi massivement dans ses capacités cybernétiques et est considérée comme un acteur majeur dans le cyberespace. Les rapports suggèrent que la Chine est impliquée dans des activités de cyberespionnage et de cybercriminalité.
- Israël: Israël est réputé pour ses compétences en matière de cybersécurité, en partie grâce à des investissements importants dans la recherche et le développement.
- Royaume-Uni: Le Royaume-Uni dispose également de capacités avancées en cybersécurité, avec le GCHQ (Government Communications Headquarters) jouant un rôle clé dans la défense et l’exploitation des capacités offensives.
De nombreux autres pays développent également activement leurs capacités en matière de cybersécurité. Les frontières entre les acteurs étatiques et non étatiques peuvent parfois être floues, car des groupes de pirates informatiques indépendants peuvent agir au nom d’un État ou être tolérés par celui-ci. En outre, le paysage de la cybersécurité évolue constamment, avec de nouvelles menaces et des développements technologiques qui influent sur les capacités offensives. L’arrivée de Pegasus a permis d’introduire des attaques « as a service ». C’est cette capacité nouvelle qui incite à la mise en place d’une régulation car soudainement la capacité offensive est à la portée d’un beaucoup plus grand nombre de nations dès lors qu’elle disposent de ressources financières.
L’Arrangement de Wassenaar
L’Arrangement de Wassenaar semble dépassé tant la situation a évolué depuis son adoption en 1996. Pour mémoire, il s’agit d’un accord international visant à réglementer le commerce des biens à double usage, qui peuvent avoir des applications civiles et militaires. Il tire son nom de la ville de Wassenaar aux Pays-Bas, où il a été initialement négocié en 1995 et est entré en vigueur en 1996. L’objectif principal de cet arrangement est de promouvoir la transparence et de prévenir la prolifération des technologies sensibles. Cet arrangement est un outil essentiel pour prévenir la diffusion non autorisée de technologies qui pourraient être utilisées à des fins militaires, y compris dans le domaine de la cybersécurité. Cependant, son efficacité dépend de la volonté des États signataires de mettre en œuvre et d’appliquer ces contrôles de manière cohérente.
Cette situation explique pourquoi la France prend l’initiative de consulter sur un nouveau texte concernant la « prolifération » des logiciels commerciaux « offensifs » lors du Forum de Paris pour la paix. En partenariat avec le Royaume-Uni, ce texte vise à élargir la portée d’un appel précédent, lancé par les États-Unis en mars, qui visait à contrer les usages néfastes des logiciels espions commerciaux tels que Predator ou Pegasus. Le nouvel accord cherche à inclure d’autres programmes ou services « offensifs » utilisés pour des cyberattaques. C’est ce qu’indique l’article « Cybersécurité : la France à l’initiative d’un nouveau texte sur les logiciels commerciaux « offensifs » » publié le 10 novembre 2023 par le journal Le Monde.
A l’instar de l’arrangement de Wassenaar, le projet ressemble à un code de bonne conduite non contraignant, visant à encourager la signature de nombreux États démocratiques et à stimuler les discussions. Cependant, des défis potentiels peuvent surgir en raison de positions ambivalentes de la France, comme révélé par les « Predator files ». Des entreprises françaises ont contribué à la prolifération de logiciels espions, contournant les règles d’exportation, ce qui pourrait compliquer la persuasion d’autres États. Actuellement, les ventes de logiciels espions sont régies par l’arrangement de Wassenaar, mais son application est inégale, et certains grands exportateurs comme Israël ne l’ont pas signé. Des tentatives d’introduire des dispositions plus strictes au niveau européen ont rencontré une résistance, y compris de la part de la France.