Mercredi 11 Décembre 2019  
 

N°123 - Troisième trimestre 2018

La lettre diplometque
  Éditorial
Côte d'Ivoire
Suède
Coopération Internationale
Politique Étrangère
Europe
Défense & Sécurité
Société
Enjeux Économiques
 
La lettre diplometque
La lettre diplomatique Haut
     Défense & Sécurité
 
 

Comment l’OTAN relève les défis de sécurité émergents ?

Par Dr. Jamie SHEA,
Ancien Secrétaire général adjoint délégué pour les Défis de sécurité émergents à l’OTAN

De nos jours, lorsque l’on entend parler de l’OTAN on pense, en général, immédiatement à des opérations militaires. Rien d’étonnant à cela puisque depuis près d’un quart de siècle, les activités de stabilisation et de reconstruction dans des pays étrangers constituent les principales contributions de l’Alliance à la sécurité internationale. Cet engagement a commencé immédiatement après la guerre froide et l’effondrement de l’ancienne Yougoslavie, par des interventions en Bosnie, au Kosovo et en Macédoine. Dès lors, ayant brisé le vieux tabou de toute intervention « hors zone », l’OTAN a élargi son champ d’action à l’Afghanistan, à la Libye et à l’Océan Indien. Une nouvelle mission incluant l’entrainement des forces irakiennes a encore récemment débuté à Bagdad.

Après la guerre froide, l’émergence de nouvelles menaces
En agissant « hors zone » pour la première fois dans les années 1990, l’OTAN a acquis de nouveaux rôles au-delà de la défense et de la dissuasion collectives. Elle est devenue une organisation plus élargie de défense, dont les aspirations ne se limitent plus à la défense de ses populations contre les conséquences de conflits interétatiques, mais également à la lutte contre un ensemble de nouveaux types de menaces modernes. 
De telles menaces ne sont sans doute pas aussi destructrices que des explosions nucléaires ou que la confrontation de gigantesques armées en Europe centrale, mais elles pourraient néanmoins infliger des dommages physiques conséquents à nos économies et à nos infrastructures, déstabiliser nos sociétés, polariser des communautés entières et rendre nos existences quotidiennes plus dysfonctionnelles. De plus, ces menaces peuvent être générées tout autant à l’intérieur qu’à l’extérieur de nos frontières. Aujourd’hui, grâce à la facilité d’accès aux technologies modernes telles que les logiciels malveillants, les drones, la robotique et la bio-ingénierie, les individus malveillants disposent d’une sorte de pouvoir disruptif qui auparavant était l’apanage des États. Nous pouvons imaginer un futur dans lequel toute personne pourrait être ciblée, n’importe où et à tout moment. 
Les nouvelles menaces sont faciles à identifier : le terrorisme, les cyber-attaques, la prolifération d’armes de destruction massive (ADM), les vulnérabilités énergétiques et le changement environnemental conduisant à des conditions climatiques extrêmes et à des catastrophes naturelles. À ces menaces clairement identifiées, nous pouvons ajouter la guerre hybride. Certains États et leurs comparses s’évertuent de plus en plus à saper l’intégrité d’autres États par le biais de campagnes de fausses nouvelles, de propagande et de désinformation, par des provocations mises en scène telle l’interférence avec les élections présidentielles américaines de 2016 ou les attaques par armes chimiques menées contre la population civile de Salisbury, en Grande-Bretagne, en mai 2018. Nous semblons vivre dans un monde où chaque espace (la terre, les mers, l’espace, le cyberespace) est de plus en plus contesté sous diverses formes. Pour être honnête, ces menaces sont à l’agenda des acteurs internationaux depuis déjà quelques années, mais cela ne signifie pas que nous soyons proches d’obtenir des réponses convaincantes pour les traiter.
Cette situation s’explique notamment par le fait qu’à ces menaces non-conventionnelles il est impossible de répondre par la dissuasion liée à une menace de représailles militaires comme cela fut le cas avec les armes nucléaires qui permirent de préserver un équilibre de la puissance et une paix fragile pendant toute la Guerre Froide. Des cyber-attaques se produisent quotidiennement pratiquement partout, compte tenu du fait que la plupart de ces attaques peuvent être menées dans une relative impunité. En termes d’espionnage, de crimes financiers, de manipulation ou d’influence, les bénéfices l’emportent largement sur le risque d’être pris ou même de subir les sanctions pénales en vigueur. De ce fait, les agresseurs n’ont pas grand-chose à craindre si ce n’est le risque paradoxal d’endommager ou de détériorer les infrastructures d’information et de communication dont ils dépendent pour leurs activités, et ce serait une bonne chose qu’une « dissuasion par l’interdépendance » puisse prendre forme éventuellement. 
De la même manière, une attaque terroriste par des fanatiques suicidaires est difficile à anticiper ou à stopper, car nous ne disposons pas des moyens pour défendre en permanence tous les atouts ou éléments de vulnérabilité importants pour nos économies et nos sociétés. Un terroriste qui accepte la mort comme fin inéluctable de sa mission se prête peu à la dissuasion, seulement à la prévention. Cela signifie que sont désormais inefficaces les systèmes d’alerte précoce et les méthodologies sur lesquelles nous nous reposons traditionnellement pour permettre à la dissuasion de faire son effet ou encore pour mobiliser nos propres ressources dans l’anticipation d’une attaque. 

Une adaptation nécessaire face à des défis plus complexes
Ce que nous pouvons faire de mieux est d’acquérir autant de résilience que possible, de répondre rapidement, d’évaluer les moyens de limiter au mieux les dégâts et de récupérer le plus rapidement possible. Car, même lorsque nous avons presque la certitude de l’imminence d’un événement, comme l’arrivée d’une forte tempête – ce qui d’ailleurs se produit de plus en plus souvent en raison du changement climatique, nous n'avons pas beaucoup d’alternatives si ce n’est prévenir les dégâts et les disruptions les plus conséquents au-delà des mesures de précaution limitées telles que le renforcement des bâtiments et des infrastructures, et l’évacuation des populations des zones les plus vulnérables. Absorber le choc et revenir à la normale dans les plus courts délais constitue la nouvelle maxime de la planification de la sécurité.
La désignation d’un coupable représente un autre problème. Il est possible que nous ne connaissions pas l’agresseur, en particulier dans le cas de cyber-attaques ou d’attaques terroristes. Établir la preuve de la culpabilité peut prendre beaucoup de temps. De ce fait, les représailles peuvent se révéler difficiles à mettre en œuvre si plusieurs mois, voire plusieurs années, se sont écoulés entre l’attaque et l’établissement de la preuve de l’identité du coupable. 
De plus, quelle pression pouvons-nous exercer sur des États afin qu’ils coopèrent par le biais de contre-mesures ou d’enquêtes si nous ne pouvons pas prouver que ces États sont les commanditaires de ces attaques ou ont apporté une forme de soutien aux agresseurs ? Ils peuvent se cacher derrière un vernis d’innocence comme la Russie continue à le faire au sujet de son interférence dans les élections américaines. Lorsque l’on est démasqué, il est toujours facile de blâmer un élément incontrôlé de substitution comme par exemple un pirate informatique patriote et de nier toute implication. 
Suffit-il de déclarer que l’attaque a ses origines sur leurs territoires pour que cet acte leur soit imputable et qu’ils soient tenus pour responsables en finalité ? 
Nous pouvons également être amenés à répondre très rapidement. Ainsi, en cas de cyber-attaques une réponse doit intervenir en quelques secondes pour empêcher une trop forte pénétration dans un réseau et des dégâts durables ; à tel point que les cyber-experts considèrent aujourd’hui, qu’avec l’arrivée de l’intelligence artificielle, les machines seront chargées de leur propre détection et défense contre les logiciels malveillants, excluant de ce fait l’être humain du processus. 
La défense anti-missile nécessite également une évaluation et des contre-mesures rapides. Cette rapidité de réponse n’est pas toujours adéquate pour des organisations telles que l’OTAN, qui ont souvent besoin de longues consultations pour obtenir un consensus et pour définir des plans et des règles d’engagement opérationnels détaillés avant d’agir. En outre, une réponse militaire n’est pas nécessairement la bonne démarche, comme par exemple après une coupure d’énergie ou une attaque terroriste. Ceci peut compliquer le fonctionnement d’organisations telles que l’OTAN qui excellent dans la mise en œuvre de réponses militaires. Si nous disposons de preuves avérées sur la responsabilité d’un État ou d’un seul dirigeant (comme ce fut le cas de Kadhafi, Milosevic ou Saddam Hussein), alors une opération militaire est concevable et même appropriée. Mais comment agir lorsque nos populations souffrent ou lorsque nous devons neutraliser une cyber-attaque sans pouvoir concentrer nos efforts sur un agresseur identifiable contre lequel nous pourrions exercer des représailles ?
Une autre question vient du fait que certaines de ces menaces ne sont pas existentielles comme pouvaient l’être, pour les Alliés pendant la guerre froide, une percée de chars soviétiques dans la Trouée de Fulda ou un tir de missiles. Lors de la cyber-attaque dévastatrice de onze jours contre l’Estonie en 2007, la situation des 25 autres États membres de l’OTAN est demeurée normale. Comment pouvons-nous alors générer de la solidarité et mettre en œuvre des réponses collectives lorsque des Alliés subissent ce genre  d'attaques et perçoivent les menaces différemment ? Où se situe le seuil pour une réponse collective ? 
Certains Alliés considèrent qu’une réponse doit être collective et multinationale dès le début. D’autres pensent que la responsabilité revient en premier lieu à la nation concernée, par exemple pour la protection d’informations critiques ou d’infrastructures d’énergie. Depuis sa création, l’OTAN a favorisé l’approche collective de la sécurité et a recommandé la primauté des réponses collectives sur les approches individuelles. D’où la question suivante : comment l’Alliance peut-elle maintenir le principe de solidarité face à ces menaces plus diverses et moins existentielles mais néanmoins très fortes ? 
Une partie de la réponse réside dans de meilleurs renseignements et une meilleure conscience situationnelle permettant à l’Alliance de disposer d’alertes précoces sur des comportements hostiles et de disposer de davantage de temps pour organiser des consultations afin que tous les Alliés soient sur la même longueur d’onde. Ceci a donné lieu, il y a deux ans, à la création au sein de l’OTAN d’une toute nouvelle division destinée à améliorer la collecte et l’évaluation de renseignements. Plus les Alliés s’accordent sur la compréhension des nouvelles menaces, plus il est probable qu’ils conviendront qu’une attaque chimique par des agences de renseignements russes à Salisbury en Grande-Bretagne, pourrait tout aussi bien se produire à Milan, à Lyon ou à Munich. Donc la solidarité n’est pas juste un acte de générosité mais également un principe d’auto-défense fondamentale. 
Un deuxième élément est la désignation d’un coupable. Les informations collectées par un Allié victime d’une attaque doivent être suffisamment robustes et convaincantes pour persuader d’autres Alliés qu’il existe une base légale et politique solide pour engager une action collective. Ce fut le cas avec les expulsions en masse de diplomates russes après l’affaire de Salisbury, ou dans la déclaration de l’article 5 du traité de l’OTAN (qui est une clause de défense collective) après les attentats du 11 septembre 2001 contre les États Unis. 
Le troisième et dernier élément consiste à disposer d’un ensemble élargi d’options de réponses, évolutives en fonction de la gravité de l’attaque, et pouvant être mises en œuvre rapidement et collectivement. Cela peut inclure des réponses politiques, diplomatiques, économiques, juridiques ou même militaires. Ces options de réponses doivent imposer un coût à l’agresseur, amplifier la dissuasion, mais être proportionnées et éviter toute escalade indésirable. 
Un dernier défi réside dans le fait que la plupart de ces menaces nécessitent des réponses impliquant plusieurs acteurs et dans ce cas, souvent pour ne pas dire toujours, l’OTAN n’est pas systématiquement le leader. Cette situation représente un changement de culture significatif pour l’Alliance qui a été utilisée comme leader dans son domaine depuis 70 ans, depuis l’endiguement de l’Union soviétique jusqu’au commandement d’opérations de la Force de stabilisation (SFOR) en Bosnie, de la Force pour le Kosovo (KFOR) et de la Force internationale d’assistance et de sécurité (FIAS) en Afghanistan. 
L’OTAN n’est pas habitué à partager son leadership, ni les rôles et responsabilités de prises de décision avec une palette de différents acteurs civils extérieurs à la chaîne de commandement militaire conventionnelle. La résilience aux cyber-attaques nécessite des liens avec des ministères de l’Intérieur, des services de renseignement, la police et les cabinets ministériels qui ne sont pas les interlocuteurs habituels de l’OTAN et n’entretiennent pas des liens bureaucratiques permanents avec le quartier général de l’OTAN, ce que font depuis longtemps les ministères de la Défense et des Affaires étrangères. 
Par ailleurs, sachant que plus de 90% des réseaux d’informations appartiennent à des entreprises privées, il est essentiel de faire entrer ces dernières dans la gestion quotidienne de la cyber-défense pour garantir le succès d’une représaille ; mais ceci représente également une culture très différente de celle qui prévalait lorsque l’OTAN disposait de la plupart des atouts dont il avait besoin pour sa défense intérieure et sous son contrôle direct. 
Le fait de dépendre du secteur industriel et d’autres institutions, telle que l’Union européenne (UE), pour bénéficier d’aide dans la prévention, le traitement de crises et le rétablissement de la sécurité signifie qu’ils doivent être convaincus du bien-fondé de la mise à disposition de leurs atouts et de leur expertise. Cela se traduit par une voie à deux directions grâce à laquelle la coopération doit être mutuellement bénéfique. L’OTAN doit donc entrer dans un nouvel ensemble d’accords bilatéraux avec des partenaires extérieurs. Ainsi, l’OTAN est signataire de 15 partenariats OTAN-industrie spécifiques, d’un dispositif technique avec l’UE pour le partage d’informations, et d’une plate-forme d’échange d’informations sur les logiciels malveillants. L’OTAN a signé un mémorandum d’entente sur la cyber-défense avec la Finlande et conduit des cyber-dialogues, des actions de formation et d’entrainement avec un grand nombre d’autres pays partenaires, en Europe, au Moyen-Orient et en Asie-Pacifique. 
Dans le même temps, l’OTAN doit être prête à reconnaître qu’elle ne dispose pas de « solution miracle ». Son rôle sera plus significatif dans certains domaines que dans d’autres (ainsi, plus dans la cyberdéfense et la défense anti-missile que dans le terrorisme et la sécurité énergétique), et elle doit définir soigneusement les domaines dans lesquels elle va apporter de la valeur ajoutée aux efforts internationaux pour confiner et contrer ces nouvelles menaces. 

Les étapes de l’adéquation de l’OTAN face aux nouvelles menaces
Le défi global est d’éviter un double piège pour l’ambition de l’OTAN : elle ne doit pas promettre plus qu’elle ne peut assurer ; mais, elle ne doit pas également se restreindre ou minimiser ses actions au point de laisser ses États membres vulnérables dans des domaines où elle est parfaitement en mesure de les protéger. Comment cela se traduit-il dans la pratique ? 
La première étape a consisté à établir un mandat clair pour l’Alliance afin de traiter ces défis. Ce fut fait dans le nouveau Concept stratégique de l’OTAN et dans la déclaration du sommet de Lisbonne de 2010 qui a porté ces nouvelles menaces au même niveau d’urgence que les menaces les plus traditionnelles telles que l’attaque d’un État ou la défaillance d’un État. Bien entendu, l’élégance langagière de ces déclarations politiques de haut niveau ne garantit en rien un consensus total immédiat entre les Alliés quant au cadre du mandat, ni leur mise en œuvre détaillée. Mais il s’agissait d’un début nécessaire. Le reste procède d’un apprentissage par la pratique et d’un ajustement vers le haut au fur et à mesure que les menaces deviennent plus grandes et plus concrètes. 
La seconde étape a consisté à donner à ses nouveaux défis une forte traduction administrative au sein de l’organisation de l’OTAN. Ceci est important non seulement pour l’efficience bureaucratique et la coordination de la politique, mais également pour montrer au monde extérieur que l’OTAN prend la situation au sérieux et entend être un acteur dans ces domaines. 
La division Défis de sécurité émergents (DES) regroupe sous une même structure faîtière les domaines suivants : la cyber-défense, le contre-terrorisme, la politique nucléaire, l’analyse stratégique et la coopération scientifique et technologique avec les 42 pays partenaires de l’OTAN. De plus, ce regroupement sous une structure de tutelle facilite l’étude de la nature transverse de ces défis. En effet, ces situations sont fréquemment plus menaçantes lorsqu’elles se combinent sous une forme ou une autre pour atteindre une masse critique destructrice ou disruptive : des attaques terroristes contre une infrastructure critique, des cyber-attaques contre les systèmes d’acquisition et de contrôle de données (SCADA) qui contrôlent les réseaux d’oléoducs/gazoducs et les réseaux électriques, ou bien encore l’accès de terroristes à des armes de destruction massive et des technologies de missiles associées. 
Compte tenu des plus récentes préoccupations de l’OTAN nourries par le retour à la défense collective et l’orientation vers de nouveaux déploiements militaires en Europe de l’Est après l’annexion de la Crimée par la Russie en 2014, cette division DSE unique permet de maintenir ces questions plus larges au sein de l’agenda de coopération de l’OTAN. Généralement, toutes les organisations tendent à se regrouper autour d’une ou deux grandes questions et donc la DSE permet de maintenir une perspective aussi large que possible pour l’OTAN, comme l’exige la nature de l’environnement de sécurité mondialisé. Ainsi, le travail récent sur l’intelligence artificielle, sur la robotisation, sur le rôle du Bitcoin dans le financement du terrorisme, sur la défense CBRN (arme nucléaire, radiologique, bactériologique et chimique) post-Salisbury, sur la biométrique et sur l’utilisation de nouvelles technologies telles que les drones par les groupes terroristes, contribue à maintenir le leadership de l’OTAN focalisé sur le besoin d’être prêt au combat non seulement aujourd’hui mais également demain.
La troisième étape est le développement de politiques cohérentes dans tous ces domaines afin que les Alliés partagent au moins le sens du dénominateur commun auquel ils sont prêts à adhérer et qui, sur cette base, conviendront plus aisément d’actions concrètes dans les futurs plans de mise en œuvre. 
La DSE a été créée il y a huit ans. À cette époque, elle a actualisé les documents de politique de l’OTAN dans tous les domaines clefs. Nous en sommes à notre troisième plan de cyber-politique et d’action depuis 2002. Dans le cadre d’une nouvelle politique de contre-terrorisme, l’OTAN s’est jointe à la coalition anti-Daesh (État islamique en Irak et au Levant) en Irak et a augmenté ses efforts d’entrainement en Jordanie, en Irak, en Tunisie et en Mauritanie. Elle a ouvert également un centre d’entrainement régional au Koweït. Après quelques débats ardus, les Alliés disposent maintenant d’une vue plus claire sur la manière dont ils peuvent contribuer à la sécurité énergétique, particulièrement pour la protection d’infrastructures critiques et pour le partage de bonnes pratiques entre experts gouvernementaux et industriels. 
Par ailleurs, l’OTAN a révisé ses politiques de contrôle des armes de destruction massives et nucléaires, et élaboré une nouvelle doctrine de défense contre les dispositifs chimiques, radiologiques, biologiques et nucléaires. La coopération civilo-militaire est favorisée. Désormais son programme scientifique se focalise davantage sur des priorités clefs qui lient la science et la technologie aux activités centrales de l’OTAN afin que ce programme soit pertinent pour les Alliés et ne soit pas seulement un moyen de promouvoir les partenariats. Une Capacité d’analyse stratégique facilite les discussions et les décisions informées en ce qui concerne les futurs domaines de crises, le glissement de la géopolitique et du pouvoir économique vers la zone Asie-Pacifique ou encore l’impact de la technologie sur la posture militaire de l’OTAN. 
Au-delà de ces éléments de nature politique, l’enjeu est maintenant le développement de capacités. L’OTAN a toujours été une organisation basée sur les capacités physiques, dont les structures de commandement intégré, des mécanismes conjoints de communication et de planification, et même des forces communes telles que les aéronefs AWACS ou la force de réaction de l’OTAN. Les nouveaux défis seront ainsi plus effectivement ancrés dans l’Alliance s’ils présentent en plus une dimension de capacité dure. 
Dans le domaine de la cyber-sécurité, cela signifie aujourd’hui que le cyber-espace doit être considéré comme un domaine d’opérations militaires dans lequel l’OTAN doit être en mesure d’opérer avec la même efficacité que pour des opérations terrestres, maritimes ou aériennes. Un Centre de cyber-opérations est en développement pour intégrer le cyber dans la planification opérationnelle, la formation et l’entrainement de l’OTAN. Ce Centre gèrera également les capacités cyber-nationales qui sont proposées aux commandements de l’OTAN sur une base volontaire pour mieux défendre l’Alliance ou obtenir un cyber-effet dans une crise ou un conflit. Un Engagement de cyber-défense est maintenant entré dans son deuxième cycle pour encourager tous les Alliés à investir plus de ressources dans la résilience de leurs réseaux nationaux et leur capacité de réponse, particulièrement ces systèmes nationaux dont l’OTAN dépend pour ses communications, son commandement, son contrôle et sa logistique. 
Dans le secteur de la sécurité énergétique, l’OTAN a développé de bonnes pratiques concernant la protection d’infrastructures critiques et a développé un projet visant à une utilisation plus efficiente de l’énergie dans le domaine militaire, compte tenu de notre récente expérience de transport de carburant en Afghanistan à un coût très élevé. 
Enfin, nous travaillons à l’amélioration des capacités de protection CBRN et à garantir que les premières unités engagées telles la Force de réaction de l’OTAN comprennent un bataillon CBRN ainsi qu’une équipe d’évaluation disposant de tous les équipements pour gérer des environnements CBRN. Une capacité de soutien dans la Tchéquie aide l’OTAN à analyser rapidement des substances CBRN et à partager des renseignements et des informations médico-légales. 

Un rôle encore à affiner pour rester pertinent
En capitalisant sur ces activités, nous prenons progressivement en compte les défis émergents dans les exercices de l’OTAN et à tous les niveaux, depuis les troupes sur le terrain jusqu’aux ambassadeurs au quartier général de l’OTAN. Une cyber-crise ne s’appréhende pas comme une attaque conventionnelle ou même une attaque avec ADM. Notre politique doit-elle consister à juste défendre nos systèmes et surtout à essayer de récupérer le plus rapidement possible, ou doit-elle consister à lancer des représailles contre des agresseurs présumés ? Quelles sont les règles d’engagement dans ce domaine ? Et que nous dit le droit international sur l’application du droit des conflits armés dans le cyber-espace ? À quel niveau de disruption (dans le cas où une cyber-attaque ne cause aucune victime humaine ni aucune destruction), décidons-nous que l’attaque est l’équivalent d’une attaque armée selon les termes de l’article 5 du traité de l’OTAN et doit donc faire l’objet d’une réponse équivalente ? L’Alliance a déjà ouvert cette possibilité lors de son Sommet qui s’est tenu au Pays de Galles en 2014. Dès lors, quelle doit être cette réponse si nous décidons qu’il nous est impossible d’arrêter une cyber-attaque avec seulement des cyber-moyens ? Et quel type d’assistance concrète l’OTAN peut-elle apporter à des Alliés touchés lorsque les dégâts affectent surtout des infrastructures civiles plutôt que des réseaux militaires ? Il s’agit là de questions compliquées. Les exercices constituent une bonne méthode pour identifier et reconnaître les différences d’interprétation ou les manquements dans les procédures bien avant le stress et les cycles de temps de décision courts d’une vraie crise. 
Pour résumer, la prise en compte de nouvelles menaces à notre sécurité s’avère être un formidable défi pour l’Alliance mais sa pertinence dans les prochaines décennies sera étroitement liée à sa capacité à s’adapter pour se relever. Comme nous l’explicitons dans cet article, certains des changements culturels et intellectuels nécessaires sont significatifs mais l’Alliance dispose également de nombreux ingrédients standard pour réussir : un historique d’adaptabilité, un large groupe de partenaires volontaires et capables, la légitimité venant des Nations unies et une relation avec l’UE beaucoup plus étroite qu’elle ne l’a jamais été. Ceci est démontré dans les deux déclarations communes sur la coopération que l’OTAN et l’UE ont signées en 2016 et, plus récemment, lors du sommet de l’OTAN en juillet à Bruxelles. Et enfin, les dernières mais pas les moindres, les structures éprouvées de planification militaires et de développement des capacités de l’OTAN. Certes, le défi est considérable, mais sa gestion est également entièrement faisable.

Retour en haut de page
 
 

 
La lettre diplomatique Bas
  Présentation - Derniers Numéros - Archives - Nos Liens - Contacts - Mentions Légales