Cette stratégie sur la cyber-guerre du Pentagone, qui doit être rendue publique le mois prochain a été dévoilée par le Wall Street Journal et promet une réponse militaire en cas d'attaque informatique ou diffusion de vers. D'autres pays comme l'Angleterre ou la France se sont dotés de force d'intervention contre les cyber-attaques. Les experts pointent du doigt le problème de l'attribution de l'attaque, comment définir et identifier un Etat derrière ces actes malveillants. « L'armée américaine avoue elle-même son échec en la matière car il est facile d'usurper une identité et de mettre ainsi en cause à tort un groupe ou un gouvernement», explique Jay Bavisi, président du EC-Conseil, un organisme d'enseignement sur la cyber sécurité internationale. « Une riposte militaire peut être mal adaptée, mais en même temps ne pas répondre peut être considéré comme un signe de faiblesse » souligne l'analyste.

Trouver la source des attaques peut se révéler difficile. Une intrusion peut être attribuée à des ordinateurs issus d'un pays donné, sans que cela signifie pour autant que le gouvernement de ce pays soit impliqué, précise Jay Bavisi. L'assaut peut être réalisé depuis des machines zombies contrôlées par quelqu'un d'autre. Par ailleurs, il soulève la question d'attaques réalisées par des groupes (patriotiques, clans, tribus, etc.), mais qui ne représentent pas les nations qui les hébergent. Stuxnet a montré également que la sophistication de certaines attaques ne peuvent être le fruit d'un groupe soutenu par des Etats, mais il est très difficile d'en identifier la source.

Adopter des mesures de dissuasion

Pourtant, en indiquant clairement quelles seront les conséquences, elles représentent un moyen de dissuasion efficace. « Si nous sommes capables d'identifier une attaque, nous pouvons prendre les mesures appropriées», a déclaré John Pironti, président d'IP Architects, cabinet de consultant en matière de sécurité et d'ajouter « cela devrait créer une échelle d'intervention qui pourrait aller dans certains cas jusqu'à un bombardement ciblé ».

« Quelques actions très visibles contre les pays soupçonnés de ces attaques empêcheraient d'autres pays de vouloir faire la même chose », dit Andy Purdy, responsable en chef de la cybersécurité pour Computer Sciences Corporation (CSC) et ancien directeur de la division sécurité informatique au Department Homeland Security. « Ce projet est approprié et positif » conclut-il et d'ajouter « il est clair qu'il faut davantage de clarté entre les cyber-attaques et le droit de la guerre. » Les réponses doivent être appropriées et conformes aux règles de droit international. Elles peuvent aussi servir de réflexion pour les organisations internationales à définir et à adopter des codes de conduite international pour la cyber-guerre. « Ce qu'il faut, c'est reconnaître que les nations ont un droit de réponse en la matière » indique le spécialiste.

Les attaques sur les réseaux électriques, par exemple, pourraient être considérées comme des actes de guerre car il s'agit d'une menace contre les personnes ou peut entraîner la destruction physique, par exemple, du réseau lui-même ou les capacités de production industrielle. Dans un tel cas, explique Andy Purdy, la réponse militaire serait appropriée car elle constitue une réplique similaire. Reste à savoir si les Etats-Unis, à titre prophylactique, serait capable de bombarder la Chine ... A suivre.