Les forces armées américaines perdent progressivement leurs talents en matière de cyberdéfense, un phénomène qui alerte les experts en sécurité nationale. Selon eux, cette fuite des compétences pourrait amener les États-Unis à être dépassés, tant en puissance qu’en stratégie, face à des adversaires comme la Chine, la Russie ou l’Iran, capables d’utiliser des cyberarmes pour causer des dommages majeurs aux infrastructures militaires et civiles américaines.
La solution envisagée serait la création d’un septième branche militaire : une Force Cyber.
Actuellement, environ 225 000 militaires, civils et sous-traitants travaillent dans des secteurs liés au cyber au sein du département de la Défense. Leur mission principale consiste à construire, exploiter, sécuriser et maintenir 4 millions d’ordinateurs et 34 milliards d’adresses IP qui composent le réseau d’information du Département de la Défense.
Chaque force armée gère ses propres réseaux et assure leur défense contre les menaces cyber courantes. Elles recrutent et forment aussi des unités cyber, qui opèrent sous l’égide du Cyber Command américain (CYBERCOM), commandement chargé de soutenir les forces engagées sur le terrain par des opérations dans le cyberespace.
Il existe cependant un certain chevauchement entre les responsabilités de CYBERCOM et celles des forces armées. Généralement, lorsque les opérations sont offensives ou que la menace est particulièrement intense, c’est CYBERCOM qui prend la main.
Le problème majeur vient de l’absence de coordination dans la formation des cybercombattants entre les différentes armées. Chaque soldat cyber arrive à CYBERCOM avec une formation différente, utilisant des terminologies propres à son service et appliquant des méthodes spécifiques au sein du cyberespace.
Aden Magee, ancien officier cyber de l’Armée, souligne que cela pose problème car la Cyber Mission Force de CYBERCOM – composée d’environ 6 000 opérateurs – est conçue pour être modulaire, permettant à des équipes issues de différentes armées d’intervenir indifféremment sur les mêmes missions.
CYBERCOM est souvent comparé au Commandement des opérations spéciales (SOCOM), responsable des opérations spéciales classiques. Ce dernier est également un commandement unifié chargé, entre autres, d’orienter la formation des unités spéciales across les différentes armées.
Dans le cas des forces spéciales, la diversité des environnements opérationnels justifie des entraînements différenciés, selon que les unités opèrent en mer, dans les airs ou sur terre. Par contre, le cyberespace étant un domaine unique, un cyber-soldat devrait posséder les mêmes compétences qu’un cyber-marine, soulignent les experts.
Par ailleurs, SOCOM s’est montré plus proactif que CYBERCOM en matière de directives à destination des services, ce qui lui permet d’avoir les effectifs et compétences nécessaires pour remplir ses missions.
Personnel du U.S. Cyber Command travaillant au Centre Intégré Cyber dans le Joint Operations Center à Fort George G. Meade, Maryland, en avril 2021. (Crédit : U.S. Army / Josef Cole)
Plusieurs think tanks s’accordent à dire que la situation actuelle est inefficace. En août, la RAND Corporation a publié un rapport indiquant que le département de la Défense peine à recruter et retenir des profils adaptés aux métiers du cyber, et que nombre de cybermilitaires ne sont pas totalement formés ou qualifiés avant d’intégrer les unités opérationnelles.
Le Center for Strategic and International Studies (CSIS) a également souligné que la planification opérationnelle est fragmentée entre les cinq services, chacun adoptant sa propre approche, ce qui engendre une stratégie peu cohérente. Cette fragmentation est préoccupante, notamment à la lumière des actions de hackers chinois qui ont dérobé des secrets sensibles comme les plans du F-35 ainsi que les données personnelles de plus de 22 millions d’Américains. Par ailleurs, l’Iran et la Russie ont ciblé des secteurs stratégiques, allant de la pharmacie aux pipelines pétroliers et aux stations de traitement d’eau.
La création d’une force cyber spécialisée pourrait être une réponse adaptée. CSIS propose que les autres services continuent de sécuriser leurs propres systèmes, tandis que la nouvelle Force Cyber se concentrerait sur l’organisation, la formation et l’équipement des troupes dédiées aux compétences spécifiques requises par CYBERCOM et les autres commandements pour mener des actions offensives, collecter du renseignement ou développer des capacités défensives stratégiques.
Ce positionnement permettrait à cette force cyber d’être relativement compacte. La Foundation for the Defense of Democracies estime que la force débuterait autour de 10 000 membres et croîtrait avec le temps. À titre de comparaison, la Space Force, plus petite branche actuelle, compte environ 14 000 membres.
Établir une telle force implique toutefois des coûts, notamment liés aux contraintes juridiques et administratives pour sa mise en place, la répartition des unités transférées, ainsi qu’un redéploiement des ressources depuis les autres armées. Une certaine duplication des efforts pourrait aussi subsister entre la Force Cyber nouvellement créée et les services existants.
RAND préconise une solution intermédiaire : confier à CYBERCOM le contrôle des formations avancées en cyberespace. Cette option pourrait corriger certains dysfonctionnements tout en conservant ouverte la possibilité de créer une force distincte.
En revanche, CSIS et la Foundation for the Defense of Democracies plaident pour une branche indépendante. Selon eux, le coût d’une Force Cyber est bien inférieur à celui d’une défaite dans une guerre cybernétique. Concernant les doublons, ils rappellent que chaque service possède ses aéronefs pour ses besoins propres, mais cela ne remet pas en cause l’existence d’une Air Force dédiée à la maîtrise du ciel.