Évolution de la « Cyberguerre » : de la fiction à la réalité stratégique

Par Bertrand Boyer

Je viens de terminer la lecture de l’excellent ouvrage de Martin Untersinger Espionner, mentir, détruire et me suis replongé dans des notes que j’avais jeté dans le cadre d’une réflexion sur une “petite histoire de la cyber conflictualité”. Je vous propose ci-dessous un voyage dans le temps, trente ans de cyberguerre en 5 minutes de lecture.

Grimpez dans la Dolorean et attachez vos ceintures.

ADP

L’Évolution de la « Cyberguerre » : De la Fiction à la Réalité Stratégique

La technologie transforme profondément la nature des conflits contemporains, ce truisme sert en général de chapeau à tout article qui traite de la « cyberguerre » depuis, au moins, 1993. Intelligence artificielle, drones, robots tueurs et cyberattaques font désormais partie du lexique militaire quotidien. Ajoutons « guerre hybride » et la panoplie est complète. Mais au-delà des effets d’annonce et des concepts du « prêt à porter stratégique », quelles sont les véritables implications de cette approche techno-centrée pour les institutions et sur nos armées ? Le 9 juin 2023, lors de la conférence de clôture du SSTIC, Mathieu Feuillet revenait sur 15 ans d’opérations à l’ANSSI. Dans sa présentation, il évoquait 2011 et l’attaque contre Bercy comme « la mère de toutes les batailles » pour la sous-direction des opérations de l’ANSSI. À l’époque, des exfiltrations massives de données étaient détectées sur les serveurs du Ministère de l’Économie et des Finances dans le cadre de la présidence française du G20. L’attaquant, présent dans le système d’information depuis au moins deux ans, s’est révélé assez professionnel bien que peu discret. Toujours présent lors de l’intervention de l’agence, les équipes ont ainsi pu observer en « temps réel » les actions de ce groupe et interagir avec lui.

Cette première opération sur un grand compte a servi de matrice au COSSI et alimenté un retex (retour d’expérience) complet pour l’Agence. Qu’en est-il pour les Armées ? Comment la pensée stratégique a-t-elle intégré le « fait numérique » ? Quand est donc né le concept de cyberguerre ? Avons-nous eu notre « mère de toutes les batailles » ?

L’intégration de l’informatique dans l’organisation et les équipements militaires remonte à une quarantaine d’années, mais son évolution peut être divisée en deux grandes périodes :

  1. Une gestation assez longue (1983–2006) avec ses expérimentations et le tâtonnement conceptuel.
  2. Une professionnalisation croissante (2007–2023), où l’usage du cyber devient un outil stratégique à part entière.

La cyberguerre en gestation (1983–2006) : Les prémices conceptuels

C’est avec le film WarGames en 1983 que la pensée militaire de la Guerre froide rencontre véritablement l’informatique. Ce film met en scène un adolescent surdoué qui pirate un ordinateur de la défense, illustrant trois principes fondamentaux :

  1. Les ordinateurs peuvent aider à la prise de décision grâce à leur puissance de calcul.
  2. La mise en réseau des ordinateurs facilite la transmission des ordres.
  3. Ces systèmes ne sont pas infaillibles et doivent être sécurisés, surveillés et défendus.

Exemple concret : Le cas du ver Morris (1988) Première cyber-attaque d’envergure, Robert Tappan Morris, étudiant à Cornell, crée involontairement un programme qui se propage sur ARPAnet, >paralysant près de 10% des ordinateurs connectés à l’époque. Ce cas démontre la vulnérabilité réelle des systèmes informatiques et conduit à la >création du CERT (Computer Emergency Response Team).

Au-delà de la fiction, les armées considèrent d’abord la numérisation comme un levier amplificateur d’énergie qui accélère la boucle OODA (Orient, Observe, Decide, Act) théorisée par John Boyd. L’informatique connectée permet ainsi de :

  • Raccourcir les délais entre le capteur et l’effecteur (“sensor to shooter loop”) ;
  • Capitaliser et stocker des informations ;
  • Traiter ces informations plus efficacement ;
  • Assurer une meilleure communication entre les différentes branches des armées.

Ce concept “Air Land Battle” est brillamment mis en œuvre lors de la première guerre du Golfe en 1991, où la coalition atteint ses objectifs en moins de 100 jours. Cette victoire façonne le mythe d’une guerre technologique, chirurgicale et sans pertes humaines significatives.

Référence : Dans son ouvrage « Science, Strategy and War: The Strategic Theory of John Boyd », Frans P.B. Osinga (2007) analyse les apports théoriques de Boyd dont le concept de la boucle OODA et son impact sur la pensée militaire moderne.” Le général H.R. McMaster, dans son ouvrage “Dereliction of Duty” (1997), analyse pour sa part comment la technologie a transformé la doctrine militaire américaine, créant parfois l’illusion d’une “guerre propre” qui s’est heurtée aux réalités du terrain. Enfin sur la doctrine AirLand Battle on pourra utilement voir: John L. Romjue (1984). “From Active Defense to AirLand Battle: The Development of Army Doctrine 1973–1982.” Center of Military History, United States Army.

L’émergence théorique (1993)

La réflexion stratégique sur le cyber prend véritablement forme en 1993 avec le rapport de la RAND “Cyber War is Coming” par John Arquilla et David Ronfeldt. Les auteurs y envisagent une mutation profonde des organisations militaires, s’inspirant davantage de la Horde Mongole de Gengis Khan que des armées européennes conventionnelles. Pour eux, la “cyberguerre” sera au XXIème siècle ce que le Blitzkrieg a été au XXème une rupture conceptuelle majeure.

Cette approche “info-centrée” vise à perturber ou détruire l’information, les systèmes d’information et les outils de connaissance de l’adversaire, suivant le principe “tout savoir sur l’autre en l’empêchant de tout savoir sur soi”. Le volet renseignement y occupe déjà une place prépondérante.

“La guerre de l’information représente un nouveau paradigme stratégique, qui transformera radicalement la façon dont les États projettent leur puissance” — John Arquilla, 1993.

En 1999, deux colonels chinois, Qiao Liang et Wang Xiangsui, publient “La Guerre hors limites”, ouvrage dans lequel ils esquissent les contours des conflits du XXIème siècle. S’appuyant sur les enseignements de la guerre du Golfe (1991), ils présentent l’informatique comme un élément central de domination, tout en évoquant le terrorisme et la guerre économique. Ils soulignent également un aspect crucial : les États ne sont plus les seuls acteurs capables de générer le chaos.

“La première règle de la guerre sans restriction est qu’il n’y a pas de règles, rien n’est interdit” — Qiao Liang et Wang Xiangsui, “La Guerre hors limites”.

Un contexte en transformation

Durant cette période, la réflexion reste largement prospective, avec peu d’exemples concrets d’attaques informatiques significatives. Le monde, encore faiblement connecté, demeure bipolaire. Internet se développe rapidement, porté par la bulle spéculative qui éclatera en 2000, mais la priorité est donnée au développement du marché plutôt qu’à la sécurisation des infrastructures.

Données chiffrées : Entre 1997 et 2000, le nombre d’utilisateurs d’Internet est passé de 70 millions à plus de 360 millions, tandis que le nombre de sites web est passé de 1 million à plus de 17 millions, créant un environnement propice aux vulnérabilités.

Le bug de l’an 2000 conduit à la création du CERT-fr en France, mais on craint encore davantage la panne technique que l’attaque délibérée. Les incidents se limitent principalement à des défacements de sites ou à des dénis de service, motivés par le défi technique plus que par des visées stratégiques.

Exemple historique : En 1999, le ver “Melissa” a infecté plus de 100 000 ordinateurs en quelques jours, causant des dommages estimés à plus de 80 millions de dollars. Bien que créé par un programmeur isolé (David L. Smith), ce cas illustre la vulnérabilité croissante des systèmes.

Le début du XXIème siècle est marqué par deux bouleversements majeurs:

  • Le délitement du bloc soviétique, manifesté par les “révolutions de couleur” (Serbie en 2000, Géorgie en 2003, Ukraine en 2004, Kirghizistan en 2005) ;
  • L’entrée dans l’ère de l’hyperterrorisme avec les attentats du 11 septembre 2001.

Face aux révolutions de couleur, les stratèges russes, persuadés de l’implication occidentale, développent des mesures de contrôle de l’information et de souveraineté technologique pour prévenir la contagion.

Parallèlement, la Chine connaît une croissance économique remarquable et cherche à combler son retard technologique, notamment par l’espionnage économique. L’opération “Titan Rain”, débutée en 2003, en est un exemple marquant, bien que l’attribution n’ait jamais été formellement établie.

Cas d’étude : Titan Rain a ciblé des systèmes américains sensibles, notamment ceux de Lockheed Martin, Sandia National Laboratories et NASA. Selon l’analyste Shawn Carpenter, les attaquants suivaient une méthodologie précise : compromission initiale en moins de 30 minutes, puis exfiltration systématique des données.

Voir : Marieke Lomans « Investigating Titan Rain (Cyber Espionage) » (2017)

Cette première phase s’achève donc dans un monde en pleine mutation, tant géopolitique que sociale, avec la naissance de Facebook (2004), Twitter (2006), et l’avènement de ce que Shoshana Zuboff appellera le « capitalisme de surveillance ». Pourtant, la cyberguerre proprement dite n’a pas encore eu lieu.

La militarisation du cyberespace (2007–2023) :

L’ère du sabotage

L’année 2007 marque un tournant décisif avec « la crise du soldat de bronze » en Estonie. Faisant suite à la décision du gouvernement estonien de déplacer une statue de soldat soviétique, provoquant le mécontentement de Moscou, une série de cyberattaques paralyse temporairement les services de ce pays balte fortement numérisé. Bien que les modes opératoires (DDoS et défacement) ne soient pas très sophistiqués, cet épisode conduit à la création du Centre d’excellence de cyberdéfense de l’OTAN à Tallinn en 2008.

Merle Maigre, ancienne directrice du Centre d’excellence de cyberdéfense de l’OTAN, a alors déclaré: “L’attaque contre l’Estonie a été un moment décisif qui a montré que le cyberespace était devenu un domaine de confrontation comme les autres”.

Données d’impact de l’attaque : Les attaques DDoS ont atteint jusqu’à 100 Mbps, ciblant simultanément les sites gouvernementaux, bancaires et médiatiques estoniens pendant près de trois semaines, entraînant des pertes estimées à 10 millions d’euros.

Les événements s’enchaînent rapidement :

  • En 2008, l’intervention militaire russe en Géorgie s’accompagne d’une série d’attaques informatiques ;
  • Au Levant, l’armée israélienne aurait potentiellement utilisé un piège informatique pour neutraliser la défense anti-aérienne syrienne lors de l’opération ORCHARD ;
  • En 2010, l’opération Stuxnet cible et neutralise une partie du système d’enrichissement de l’uranium iranien, démontrant toutefois les risques de prolifération et d’escalade ;
  • En 2012, la riposte iranienne Shamoon vise la compagnie pétrolière saoudienne Aramco, neutralisant près de 30 000 postes clients.

Le cas Stuxnet: Ce ver de 500 Ko exploitait quatre failles zero-day, utilisait deux certificats numériques volés et ciblait spécifiquement les automates Siemens S7–315 utilisés dans les centrifugeuses iraniennes. Sa sophistication (modification subtile des vitesses de rotation pour endommager progressivement l’équipement) portait la signature d’une opération d’État, plus tard attribuée à “Olympic Games” menée conjointement par les États-Unis et Israël.

En 2022, lors de l’invasion de l’Ukraine, la Russie cible l’opérateur satellite Ka-Sat, neutralisant une partie des communications opérationnelles ukrainiennes mais affectant également d’autres pays européens. Cette action coordonnée avec l’offensive terrestre conduit à la première attribution publique par des États membres de l’UE.

Selon CERT-EU, l’attaque contre Viasat (opérateur de Ka-Sat) a affecté près de 30 000 terminaux en Europe, dont des éoliennes en Allemagne et des services d’urgence en France, démontrant les effets collatéraux d’une cyberattaque ciblée.

Hors contexte des opérations militaires, l’attaque contre TV5 Monde en avril 2015 reste le seul cas bien documenté de neutralisation complète d’un système d’information, affectant tant la diffusion que la messagerie interne. Yves Bigot, directeur général de TV5 Monde, a révélé que “la chaîne est passée à 40 minutes de la disparition totale”. La reconstruction a coûté plus de 5 millions d’euros et a nécessité près d’un an pour revenir à la normale.

Ces attaques destructrices soulèvent une question fondamentale : à partir de quel seuil une cyberattaque peut-elle être considérée comme un acte de guerre ? Le manuel de Tallinn, publié par l’OTAN en 2013, tente d’établir un cadre juridique en appliquant le droit des conflits armés au cyberespace, mais demeure non contraignant et ne couvre pas les opérations d’espionnage.

“Une cyberattaque constitue un recours à la force lorsque son ampleur et ses effets sont comparables à ceux d’une attaque armée conventionnelle” — Manuel de Tallinn, Règle 69.

L’espionnage omniprésent

L’année 2013 est marquée par les révélations d’Edward Snowden sur les pratiques de surveillance massive de la NSA. Les documents divulgués révèlent un système global de captation et de traitement de données, des câbles sous-marins aux routeurs compromis, illustrant la doctrine de Keith Alexander, alors directeur de la NSA: « Collect it all, store it all, process it all ».

Données chiffrées : Le nombre de documents auxquels les médias ont eu accès a été initialement estimé entre 15 000 et 20 000, mais ce chiffre a ensuite été réévalué à la hausse pour atteindre environ 1,7 million de documents en décembre 2013.

Le programme PRISM collectait quotidiennement plus de 200 millions de SMS et métadonnées d’appels, tandis que XKeyscore indexait près de 20 téraoctets de données par jour provenant de 150 sites de collecte dans le monde.

Le Programme MUSCULAR, en collaboration avec le GCHQ britannique, a récupéré des données directement depuis les fibres optiques utilisées par les géants de l’Internet. En janvier 2014, environ 181 millions d’éléments ont été collectés, incluant des métadonnées d’emails, des éléments de texte, et des documents audio ou vidéo.

Ce maillage technologique permet aux États-Unis de procéder aux premières attributions publiques, comme en 2014 avec le rapport Mandiant sur APT1, désignant clairement la Chine. Jusqu’alors, les attaquants opéraient de manière relativement directe, privilégiant l’efficacité à la discrétion : hameçonnage, prise de contrôle et exfiltration massive de données.

Extrait du rapport Mandiant : “APT1 a compromis au moins 141 entreprises couvrant 20 secteurs d’activité majeurs depuis 2006, volant des centaines de téraoctets de données sensibles. Notre analyse lie APT1 à l’Unité 61398 de l’Armée populaire de libération chinoise basée à Shanghai”.

La tactique d’attribution publique, héritée de la culture américaine du « name and shame », produit initialement son effet. Les attaquants marquent une pause et se reconfigurement. Le sujet est même abordé lors d’une rencontre entre Barack Obama et Xi Jinping.

Accord diplomatique : En septembre 2015, les présidents Obama et Xi signent un accord stipulant que « ni le gouvernement américain ni le gouvernement chinois ne se livreront à ou ne soutiendront sciemment le vol de propriété intellectuelle, y compris les secrets commerciaux ou autres informations commerciales confidentielles ».

Toutefois, après cette pause opérationnelle relative, les actions deviennent moins frontales, ciblant davantage les prestataires et développant des attaques par rebond. L’activité ne diminue pas malgré les efforts diplomatiques, et le déni plausible reste une stratégie efficace.

L’opération Cloud Hopper, découverte en 2016 et attribuée au groupe APT10 (lié à la Chine), ciblait ainsi les fournisseurs de services informatiques pour atteindre indirectement leurs clients. Cette approche visant la « supply chain » a touché plus de 14 fournisseurs majeurs et des centaines d’entreprises clientes dans 12 pays.

Cette période voit donc la structuration du domaine de la cybersécurité s’opérer :

  • Le MITRE développe sa matrice et le framework ATT&CK (2013) ;
  • Des chercheurs élaborent des concepts et des modèles (Kill Chain, Pyramid of Pain) ;
  • Émergence de la Cyber Threat Intelligence (CTI) ;
  • Mise en place de sondes et création de formats d’échange de marqueurs d’attaque ;
  • Professionnalisation des agences étatiques (ANSSI en 2009, ENISA en 2004, BSI en Allemagne).

Entre 2015 et 2020, les budgets de cybersécurité des États du G20 ont augmenté en moyenne de 15% par an, reflétant l’institutionnalisation de ce domaine. En France, les effectifs de l’ANSSI sont passés de 100 personnes en 2009 à plus de 600 en 2022.

Post-Snowden, c’est la prise de conscience d’un espionnage massif et permanent, dont le coût financier se mesure en pertes de marchés et d’investissements en R&D.

Étude d’impact économique : Selon le Center for Strategic and International Studies, le coût global de la cybercriminalité et de l’espionnage économique a atteint près de 600 milliards de dollars en 2018, soit 0,8% du PIB mondial.

Déstabilisation et guerre de l’information

C’est probablement ce segment de la menace qui a connu l’évolution la plus significative ces quinze dernières années. Si en 2007 les instruments de déstabilisation restaient basiques (défacement, DDoS), ils se sont rapidement sophistiqués avec l’explosion des réseaux sociaux et la multiplication des bases de données personnelles. La donnée personnelle, comme l’information (et la confiance qu’on peut lui accorder) sont dès lors les moteurs du développement de la cybercriminalité et de son corolaire : l’exploitation stratégique.

Évolution chiffrée : Entre 2008 et 2023, le nombre d’utilisateurs de réseaux sociaux est passé de 100 millions à plus de 4,9 milliards, créant un canal de diffusion massif pour les opérations d’influence et une source d’information inimaginable pour les services de renseignement.

La principale difficulté réside dans l’absence de modération cohérente des réseaux sociaux, souvent justifiée par la liberté d’expression. Combiné aux possibilités de manipulation d’images et de vidéos, cet environnement offre un puissant levier pour les opérations de désinformation.

Les deepfakes sont devenus de plus en plus sophistiqués — en 2018, créer un deepfake convaincant nécessitait des milliers d’images et des compétences techniques avancées. En 2025, quelques photos et des outils accessibles en ligne suffisent, rendant la manipulation d’identité numérique à la portée de nombreux acteurs.

Plusieurs cas emblématiques illustrent ces pratiques :

  • L’affaire Cambridge Analytica (2018) révélant des captations de données personnelles lors de la campagne électorale américaine dès 2014.
  • Les « Macron Leaks » en 2017, combinant piratage et divulgation (hack and leak), qui conduiront à la création de VIGINUM en France.

Les Macron Leaks: 9 gigaoctets de données issues des comptes de campagne ont été diffusés sur 4chan puis amplifiés par des réseaux coordonnés. Une étude de l’Atlantic Council a identifié que 47% des premiers relais de cette information provenaient de comptes liés à l’alt-right américaine et 29% de comptes automatisés.

Dans un contexte conflictuel, la manipulation de l’information connaît des développements majeurs avec :

  • L’explosion de la propagande de Daesh qui a conduit les armées occidentales, dont la France, à constituer des unités pour lutter contre cette dernière (2014–2015) ;
  • La guerre informationnelle dans le conflit ukrainien, qui offre un cas unique d’emploi par les deux parties de l’ensemble de la palette des effecteurs (propagande, désinformation, cyberattaques, guerre électronique).

Cas d’étude ukrainien: Avant l’invasion de février 2022, le groupe Ghostwriter a mené des campagnes ciblant les populations polonaises, lituaniennes et ukrainiennes avec de faux sites d’information et courriels usurpant l’identité de personnalités officielles. Selon l’entreprise Mandiant, ces opérations visaient à « créer une perception de menace de l’OTAN et d’abandon occidental ».

Cette dernière évolution marque un tournant majeur car elle remet en question la confiance dans l’information et les systèmes qui la traitent. En combinant attaques informatiques, captation de renseignement et manipulation de l’information, les adversaires créent un doute profond chez les citoyens, posant un défi fondamental pour nos démocraties.

Camille François, chercheuse à Columbia University: “La désinformation moderne ne vise plus seulement à faire croire à des mensonges, mais à éroder la confiance dans toutes les sources d’information, créant un environnement où le vrai et le faux deviennent indiscernables”.

Conclusion

Après une phase de gestation, l’usage des outils numériques dans les conflits est devenu une norme plus qu’une exception. Le cyber reste un formidable vecteur pour les opérations de renseignement, tandis que d’autres menaces s’y agrègent : cybercriminalité, rançongiciels, manipulation de l’information et déstabilisation.

Nous sommes passés du tâtonnement expérimental à l’industrialisation de la menace. Dans ce contexte, la relation entre administrations et secteur privé doit évoluer vers une forme de défense collective. Car « le cyber est un sport d’équipe ! »

Bibliographie complémentaire

Arquilla, J., & Ronfeldt, D. (1993). “Cyberwar is Coming!” RAND Corporation.
Betz, D. J., & Stevens, T. (2011). Cyberspace and the State: Toward a Strategy for Cyber-Power. Routledge.
Kaplan, F. (2016). Dark Territory: The Secret History of Cyber War. Simon & Schuster.
Qiao, L., & Wang, X. (1999). La Guerre hors limites. Rivages.
Rid, T. (2013). Cyber War Will Not Take Place. Oxford University Press.
Singer, P. W., & Friedman, A. (2014). Cybersecurity and Cyberwar: What Everyone Needs to Know. Oxford University Press.
Untersinger Martin (2024). Espionner, Mentir, Détruire. Grasset.
Zuboff, S. (2019). L’Âge du capitalisme de surveillance. Zulma.