L’attaque physique d’un État consiste généralement à en franchir les frontières physiques, à s’octroyer ou détruire ses biens. À l’inverse, l’attaque de ses Systèmes d’information (SI) revient à attaquer « l’existence même » de cet État dans son environnement virtuel. Ce type d’attaque peut revêtir diverses formes comme l’usurpation de son identité, de celle de ses citoyens, le vol ou la falsification des informations (appelées aussi données électroniques) sensibles ou confidentielles, l’imitation, l’indisponibilité ou le détournement à des fins criminelles ou terroristes des applications dématérialisées de l’État ou d’entreprises délivrant des services vitaux.

L’Estonie a montré assez récemment qu’un État peut être vulnérable à une attaque globalisée sur ses systèmes d’information ouverts. D’autres attaques d’États, plus pernicieuses, sont réalisables, comme défigurer un site Internet ou obtenir des informations illégalement ou illégitimement. Ces attaques ont eu au moins le mérite de montrer la rapidité de diffusion et le caractère contradictoire de l’information, les acteurs étant sans cesse tiraillés entre la nécessité d’identification rapide de la source de l’attaque et les précautions (hors norme) dans la communication autour de l’identification de celles-ci. Ce n’est pas ici l’existence de vulnérabilités susceptibles d’être utilisées par des attaquants qui pose problème, mais bien la difficulté de l’identification et de l’incrimination des attaquants. Mener une enquête dans le cyberespace peut s’apparenter à l’observation astronomique. Ce que l’on observe et que l’on croit vrai à un instant ne l’est peut-être plus depuis longtemps. L’emploi, par exemple, de machines dites « zombies », infectées et contenant des codes malveillants en est la parfaite illustration. Comment arrêter un ensemble de machines mises en réseau à des fins d’attaques (botnet) si elles ne peuvent être correctement identifiées et authentifiées, ou si leurs identités, et celles des victimes, peuvent aisément être usurpées ? Comment neutraliser un nombre fini de machines infectées sans potentiellement devoir interrompre l’ensemble des machines présentes sur le réseau Internet ?

La présente réflexion se propose de donner une liste (non exhaustive) de risques logiques liés à une attaque menée de l’extérieur de la cible et formule certaines mesures complémentaires à d’autres dispositions de protection des SI. Les attaques physiques qui consistent à détruire le support (temporaire) de l’information ne seront pas traitées.