Et si je vous disais qu’une composante majeure du Département de la Défense américain, à qui il incombait de développer une capacité cruciale de guerre, a négligé cette mission, menant finalement cette capacité à un échec patent ? C’est précisément ce qui est arrivé au Cyber Command des États-Unis.
En 2017, une vive controverse agitait la sphère de la défense : fallait-il créer un service cyber dédié au sein du Département de la Défense pour former des forces cyber, ou attribuer formellement cette mission au Cyber Command américain ? Cette dernière option fut retenue. Le Cyber Command fut alors investi des responsabilités de génération de forces, c’est-à-dire d’organiser, d’équiper, de former et de fournir les unités destinées à être engagées par le commandement ou par d’autres commandements unifiés. Depuis cette délégation, qui comprend la préparation opérationnelle continue des unités, la gestion par le Cyber Command de la mission de génération des forces cyber est devenue contre-productive, avec un modèle qui s’est dégradé au point de devenir irréparable.
L’effort de génération des forces cyber du Département de la Défense a échoué. Le commandant par intérim du Cyber Command a récemment admis qu’une reprise serait possible en s’inspirant du modèle de génération des forces du Special Operations Command (SOCOM). Cette déclaration reconnaît implicitement l’échec du modèle actuel. Cependant, il est trompeur de penser que le modèle de SOCOM pourrait être transposé tel quel au Cyber Command.
Le SOCOM est considéré comme un modèle en matière de génération des forces car, en tant que commandement unifié, il remplit depuis près de 40 ans des fonctions comparables à celles d’un service militaire, un standard d’efficacité que le Cyber Command aurait dû viser dès ses débuts. Pourtant, à une exception près, ce modèle ne s’applique pas aux spécificités de la Cyber Mission Force. De plus, laisser penser que le Cyber Command pourrait simplement adopter un nouveau modèle revient à lui confier à nouveau ses responsabilités actuelles, lui donnant ainsi une chance de « recommencer » après au moins sept ans d’échecs.
Le débat sur la création d’un service cyber à part entière est toujours d’actualité, avec notamment la création récente d’une commission dédiée au sujet par un important think tank. L’analyse du parcours de ces treize dernières années de génération de forces cyber fournit des preuves solides en faveur de l’établissement d’un service cyber indépendant.
Origine des responsabilités de génération des forces du Cyber Command
Les opérations militaires peuvent être divisées en trois phases : génération des forces, projection des forces, et emploi des forces. Selon la loi de réorganisation du département de la Défense appelée Goldwater-Nichols en 1986, les services militaires sont responsables de la génération des forces, les commandements unifiés de l’emploi des forces, la projection étant une responsabilité partagée. Jusqu’à la création du Cyber Command, la seule exception à ce modèle était la mise en place du Special Operations Command en 1987.
Le Cyber Command a été établi en 2009 comme commandement subordonné au Strategic Command. En 2017, il devient un commandement unifié. Durant cette période, un débat animé opposait les partisans d’un service cyber autonome à ceux favorisant le transfert des responsabilités de génération des forces au Cyber Command, qui jusqu’alors supervisait approximativement la mise en place des Cyber Mission Force par les services. Cette supervision semblait efficace, ce qui conduisit à croire qu’une fois la capacité opérationnelle totale atteinte, la capacité à maintenir ces forces serait également au rendez-vous. Étant donné que déléguer la génération des forces à un commandement unifié n’était pas inédit, et que cela revenait à choisir la solution la plus simple par rapport à la création d’un service, la décision fut prise de confier ces responsabilités au Cyber Command. Cependant, plusieurs facteurs divergents allaient démontrer plus tard que ce choix était une erreur.
En 2017, le Département de la Défense confondit les attributions du Cyber Command, définies dans le Code des États-Unis Titre 10, section 167b, avec celles du SOCOM, fixées dans la section 167 du même titre. De façon presque caricaturale, des parties entières du texte dédié au SOCOM furent simplement reprises, en remplaçant le terme « spécial » par « cyber ». Ce projet présenté au Congrès omettait de refléter les importantes différences entre les deux commandements, notamment la maturité du SOCOM après 30 ans et les particularités propres à la génération des forces cyber. Le Cyber Command fut ainsi investi de responsabilités pour lesquelles il n’était ni préparé ni positionné, donnant ainsi le coup d’envoi à une longue période de déclin et de négligence.
Cette décision intervint à la fin d’un processus de six ans pendant lequel les services devaient constituer 133 unités Cyber Mission Force. Ce chantier faisait l’objet d’une forte attention à Washington, avec un impératif de rapidité. En mai 2018, juste après que le Cyber Command fut officiellement chargé de la génération des forces, les unités Cyber Mission Force atteignirent leur pleine capacité opérationnelle. Curieusement, cette montée en puissance coïncida avec l’élévation officielle du Cyber Command en commandement unifié. Ce fut un tournant où le Cyber Command se méprit gravement dans ses priorités.
Après avoir formé les individus et constitué les unités, celles-ci furent placées sous l’autorité du Cyber Command, qui devait garantir leur préparation continue. Même si les services restaient responsables de fournir des personnels entraînés, c’est au Cyber Command qu’incombait la responsabilité de maintenir la préparation collective et individuelle. La génération des forces est un processus permanent ; néanmoins, à la suite de la déclaration de pleine capacité opérationnelle en mai 2018, le Cyber Command a cru à tort que cette phase était terminée et que la phase d’emploi avait commencé. Il a supposé que les services et leurs composantes cyber assureraient seuls la pérennité de la force aussi efficacement que sa création. Le commandement s’est donc recentré sur sa mission d’emploi des forces, négligeant sa responsabilité de génération, ce qui constitue sans doute une des pires négligences jamais enregistrées dans un composant du Département de la Défense.
Une absence de politique cohérente pour la génération des forces cyber
Les directives du Département de la Défense précisent que le Cyber Command est un commandement unifié avec des fonctions, responsabilités et autorités uniques, comparables à celles des départements militaires. En coordination avec les chefs d’état-major des services, il doit organiser, former, équiper et fournir les forces cyber. Or, il semble qu’aucune analyse approfondie de la mission n’ait été menée pour en comprendre toutes les implications.
Les services, ainsi que le SOCOM, disposent de politiques et procédures complètes pour guider la génération des forces répondant à leurs besoins spécifiques. En revanche, le Cyber Command n’a jamais élaboré de processus unifié ni constitué d’état-major dédié pour gérer centralement un programme rigoureux. Un modèle efficace ne peut fonctionner s’il dépend de partenaires externes (les services) sans qu’une politique supérieure les contraigne à respecter les règles communes. Faute d’un tel cadre, la génération des forces cyber a évolué sans véritable boussole ni leviers coercitifs.
Une confusion fréquente réside dans la confusion récurrente entre les services et leurs composantes cyber, dont les liens sont devenus imbriqués au fil des ans. Le Cyber Command n’a pas su se positionner comme l’interface directe avec les services sur les questions clés, ce qui rend difficile d’identifier si une composante cyber agit au nom du Cyber Command ou comme simple extension du service. Cela donne lieu à une tendance à attribuer à un service une responsabilité alors qu’en réalité, sous autorité unifiée, elle relève du Cyber Command. Une politique clairement articulée aurait permis de clarifier ces rôles et responsabilités.
Au lieu de prendre des mesures décisives pour assumer ses responsabilités, le Cyber Command s’est concentré sur sa mission d’emploi des forces en acceptant de fait des risques inhérents à la génération des forces, négligeant la supervision des méthodes non standardisées et déséquilibrées employées par les services et leurs composantes cyber. Cette approche s’est reflétée dans la culture même du commandement.
Une culture de commandement inadaptée à la génération des forces
Au moment où le Cyber Command se vit attribuer la génération des forces, une culture commandement orientée vers l’emploi opérationnel au détriment du développement et du maintien des forces était solidement installée.
À sa création à Fort Meade, dans le Maryland, le Cyber Command manquait de spécialistes dédiés aux opérations dans le cyberespace. Son personnel initial fut donc principalement recruté parmi les spécialistes du renseignement électronique et des communications, présents en nombre à la NSA et à la Defense Information Security Agency, ce qui facilita leur transfert local. Ces compétences étaient certes compatibles avec les opérations offensives et défensives cyber, mais peu adaptées pour gérer la mission complexe et continue de génération des forces. Faute de compréhension et d’intérêt pour cette activité exigeante, ces spécialistes privilégièrent les opérations immédiates, façonnant une culture focalisée sur l’emploi des forces et reléguant la génération à une responsabilité déléguée aux composantes cyber sans processus unifiés ni supervision au niveau du commandement quatre étoiles.
Le prétendu modèle SOCOM est une fausse piste
L’idée que le Cyber Command puisse émuler le modèle de génération des forces du SOCOM méconnaît les différences fondamentales qui structurent le fonctionnement des deux entités.
La principale différence réside dans la relation entre commandements unifiés et services. Le SOCOM reçoit des capacités intrinsèquement liées aux services (terrestres, aériennes, navales), ensuite spécialisées par ses propres composantes pour créer des forces opérationnelles spécialisées et intégrées aux autres forces interarmées. À l’inverse, le Cyber Command doit générer une force modulaire dépourvue d’attributs propres à un service militaire traditionnel. Il reçoit des individus issus de chaque service, qui n’apportent pas de caractéristiques propres à un domaine de guerre traditionnel. Ces personnels sont formés spécifiquement aux compétences cyber, sans lien direct avec les fonctions ou structures de combat classiques. Une équipe cyber générée par l’armée sera identique en organisation et en fonctions à celle produite par l’aviation ou la marine. Ce fait invalide toute comparaison directe entre les deux modèles.
Le Cyber Command aurait dû tirer du SOCOM la leçon capitale de l’importance primordiale de la mission de génération des forces. L’autre enseignement utile est la stricte séparation entre génération et emploi des forces. En dépit de l’esprit de la loi Goldwater-Nichols, le Cyber Command gère simultanément ces deux missions depuis le même état-major, un schéma organisationnel dysfonctionnel propice à favoriser une culture privilégiant l’emploi au détriment du développement continu des forces. Par ailleurs, les forces générées par le Cyber Command sont presque exclusivement employées en opérations cyberspatiales sous son autorité, ce qui rend encore plus paradoxale sa défaillance dans la mission de génération.
En dehors de la séparation rigide des fonctions, les deux modèles n’ont pas grand-chose en commun. Le SOCOM possède des atouts liés à ses responsabilités quasi servicielle (pouvoirs d’acquisition avancés, institutions d’enseignement spécialisées), mais ces attributs ne sont pas exclusifs au SOCOM et pourraient s’appliquer à un Cyber Command performant.
Conséquences de l’absence de processus, de politique, de supervision et d’une culture adaptée
Si le Cyber Command a rencontré des conditions difficiles dès sa création, il a néanmoins refusé d’intégrer les mises en garde sur l’importance cruciale de la génération des forces. La seule voie possible pour réussir aurait été d’instaurer immédiatement un processus intégrant harmonieusement les ressources servies par les services, sans laisser ceux-ci imposer leurs propres intérêts au sein du commandement. Au contraire, le Cyber Command s’est focalisé sur l’emploi, tandis que les composantes cyber de chaque service privilégiaient leurs intérêts respectifs, contribuant à la fragmentation du commandement. Loin d’une force modulaire unifiée, les composantes cyber se sont transformées en entités séparées, devenues aujourd’hui difficiles à rationaliser et à coordonner.
Le Cyber Command et ses éléments subordonnés ont été créés pour générer des forces, les commandement et les contrôler, et conduire des opérations cyberspatiales en tant que commandement unifié ou en appui à d’autres commandements. Mais au fil du temps, les composantes cyber des services ont évolué vers des centres d’excellence propres à chaque service, assumant le commandement ou le contrôle d’organisations conservées par les services pour remplir leurs propres missions. Cette double appartenance crée des relations complexes : bien que nominalement sous autorité du Cyber Command, ces éléments restent étroitement liés aux priorités des services, contribuant à un certain émiettement des responsabilités.
Le partage des éléments des forces cyber entre services et Cyber Command engendre un conflit d’intérêts. Par exemple, les services n’ont pas d’unités identiques aux Cyber Mission Force, mais ces dernières recrutent dans les mêmes spécialités à faible effectif. Les personnels formés au Cyber Mission Force restent sous contrôle administratif des services et peuvent être redéployés à leur gré vers des unités propres au service, dégradant ainsi la disponibilité opérationnelle de la Cyber Mission Force. Ceci est aggravé par l’absence d’une politique claire de l’Office of the Secretary of Defense contraignant les services à respecter une gestion unifiée, et par le manque d’exigence du Cyber Command de voir une telle politique adoptée.
Un exemple clair de ces relations dysfonctionnelles remonte à la phase de montée en puissance de la Cyber Mission Force, achevée en 2018. Pour respecter les objectifs, l’armée a eu recours à des rapports trompeurs sur l’état d’effectif des unités. Des enquêtes ultérieures ont révélé que celles-ci fonctionnaient à seulement 67–75 % de leur effectif prévu, très en-deçà du seuil requis. Le Cyber Command Army était complice de ces exagérations dans ses rapports, illustrant la prédominance des intérêts du service sur ceux du commandement unifié.
Le domaine de la formation, également en déclin, illustre les dysfonctionnements accumulés. Malgré la structure modulaire prévue pour la Cyber Mission Force, chaque service forme ses personnels selon des standards et parcours distincts. Cette hétérogénéité engendre des arrivées au Cyber Command de profils non conformes et insuffisants pour assumer les rôles cyber désignés.
Un service cyber, seule solution viable
En 2017 déjà, le Cyber Command avait été averti des conséquences de l’absence d’une politique forte pour maintenir la génération des forces après l’atteinte de la pleine capacité. L’incapacité du commandement à suivre et gérer de manière proactive la préparation des unités confirme ce diagnostic, tandis que son organisation, sa culture et ses équipes manquent des compétences nécessaires pour amorcer une redirection efficace. Les tensions entre services et composantes cyber, non traitées, ont aggravé le déclin.
La faiblesse du dispositif a relancé avec force le débat sur la création d’un service cyber dédié.
Même si un nouveau modèle viable existait à l’heure actuelle, le Cyber Command ne disposerait pas des moyens organisationnels et culturels pour le mettre en œuvre, tant ses failles sont profondes et structurelles.
En élevant le Cyber Command au rang de commandement unifié en lui confiant à la fois la génération et l’emploi des forces, le Département de la Défense a rompu avec le principe fondamental posé par la loi Goldwater-Nichols et toujours valide. La force d’un service réside dans son dévouement exclusif à une mission précise. Seul un service cyber pleinement autonome pourra corriger et pérenniser la génération des forces tout en permettant au Cyber Command de se concentrer à juste titre sur sa mission essentielle d’emploi opérationnel.
Aden Magee a exercé en tant que conseiller senior aux opérations interarmées auprès des plus hauts niveaux du Département de la Défense, notamment au Bureau du Secrétaire à la Défense, au Joint Staff et dans plusieurs commandements unifiés, dont le Cyber Command et le Special Operations Command. Officier retraité de l’Armée américaine et vétéran de conflits extérieurs, il précise que les opinions exprimées ici sont personnelles et ne reflètent pas la position officielle du Département de la Défense ou du gouvernement américain.
Crédit image : Skyler Wilson / U.S. Cyber Command