Corps de l’article

Depuis la fin de l’année 2013 et les révélations d’Edward Snowden[1], la problématique de la souveraineté numérique est devenue un enjeu majeur en Russie. La découverte de la surveillance massive exercée sur le réseau Internet mondial par les services de renseignement des Five Eyes (États-Unis, Royaume-Uni, Canada, Australie et Nouvelle-Zélande) a en effet incité les autorités publiques à adopter différentes mesures afin d’assurer la sécurité des données et des infrastructures informatiques sur leur territoire.

De nombreux acteurs publics et privés du numérique en Russie se sont ainsi emparés de la question[2], qui a été largement discutée lors de différents forums et rencontres, mais aussi lors de débats portant sur l’adoption de textes de lois : comme en 2014, lors du vote à la Douma d’État[3] d’un texte sur la relocalisation (ou le « rapatriement ») des données des citoyens russes sur des serveurs exclusivement hébergés en Russie. Le texte avait suscité de fortes oppositions de la part des acteurs privés, en raison des difficultés techniques et logistiques posées par son application[4].

Malgré les difficultés politiques et techniques posées par l’adoption de ces nouvelles mesures, les différents acteurs semblent avoir atteint un certain consensus, avec l’idée que l’assurance d’une souveraineté numérique (ou cyber-souveraineté) russe ne pourrait se faire qu’à travers l’emploi de solutions informatiques produites en Russie. Et ce, afin de minimiser les risques liés à l’importation de logiciels étrangers possiblement porteurs de backdoors[5].

Ce nouvel enjeu de sécurité des infrastructures informatiques de l’État a ainsi ouvert un marché intérieur providentiel pour un secteur dont le développement avait été négligé en Russie par les politiques publiques jusqu’en 2010 (Vercueil 2013 : 10). Depuis 2010 en effet, les acteurs privés peuvent profiter de l’ouverture d’appels d’offres pour la gestion ou la sécurisation des infrastructures publiques, selon un fonctionnement qui repose sur la proximité historique entre les centres de recherche, les entreprises du numérique, le secteur industriel et l’État.

La multiplication de ce type de contrats s’accompagne d’une nouvelle dynamique d’externalisation de la gestion des infrastructures informatiques publiques en Russie. Cette externalisation se fait principalement selon les conditions (im)posées par les institutions étatiques, puisque les contrats signés dans ce cadre doivent nécessairement répondre aux normes Gost édictées par le RosStandart[6] : l’organe officiel de normalisation des biens et des équipements techniques et industriels importés ou destinés à l’export[7].

Parallèlement, le développement de médias et de plateformes numériques russes tels que RT, Sputnik et VK[8], tournés non plus seulement vers la Russie, mais aussi vers l’étranger, a permis à différents acteurs russes (étatiques et privés) de profiter des possibilités de rayonnement international offertes par l’Internet, afin de proposer des alternatives. Alternatives, d’abord, à la mise en réseau des individus par le biais d’applications produites et hébergées sur des serveurs situés aux États-Unis ; alternatives, ensuite, aux discours et aux perceptions des médias des pays dits occidentaux[9] sur l’actualité internationale, et sur le rôle joué par les autorités russes dans cette actualité[10].

Le passage du numérique[11] à une position majeure, à valeur stratégique en Russie, dans le but d’assurer à la fois les intérêts de l’État et des entreprises russes sur le territoire[12] et en-dehors[13], peut ainsi amener à se demander si la Russie compte désormais parmi les puissances internationales du numérique : la Russie est-elle devenue une cyber-puissance ?

I – Le domaine cyber[14] comme enjeu stratégique en Russie

A – Le domaine cyber comme enjeu stratégique : une préoccupation dès la fin des années 1990 en Russie

La perception de l’informatique et du numérique comme nouveaux outils stratégiques dans un monde de plus en plus connecté en réseaux est apparu très tôt dans les préoccupations des autorités russes (Tchernenko 2013). Dès 1998, elles en ont fait un thème majeur des nouvelles règles à établir en matière de sécurité dans les relations internationales et de gestion du conflit, en proposant la première résolution sur les « Développements dans le domaine de l’information et des télécommunications dans le contexte de la sécurité internationale » (Assemblée générale des Nations Unies 1999).

Le texte appelait à empêcher l’usage des nouvelles technologies et moyens de dissémination de l’information « à des fins criminelles ou terroristes » pouvant porter atteinte à la « sécurité des États ». Il avait été complété par le ministre russe des Affaires étrangères d’alors, Igor Ivanov, dans un discours à l’Assemblée générale des Nations Unies dans lequel il évoquait la menace d’une « militarisation du cyberespace, soulignant les effets potentiellement dévastateurs d’armes cyber[nétiques] » (Tchernenko 2016).

Si l’on admet que le statut de cyber-puissance ne peut être accordé à un pays qu’en fonction de l’importance qu’il confère aux domaines dits cyber (de l’informatique et du numérique) comme enjeux stratégiques de tous les points de vue (économique et commercial, mais aussi sécuritaire et militaire), et des moyens qu’il met par conséquent en oeuvre pour les développer, force est de constater que la perception précoce des risques liés à l’information dans un contexte de numérisation des échanges[15], a conféré un avantage (temporel) stratégique aux autorités russes dès la fin des années 1990.

Il a néanmoins fallu attendre février 2013 et la publication du texte « La valeur de la connaissance se situe dans la prévision. Les nouveaux enjeux exigent que l’on repense les formes et les méthodes employées lors des opérations de combat » (Gerasimov 2013) sur la guerre hybride (ou guerre non linéaire ou asymétrique)[16], pour avoir une idée des implications concrètes de cette prise en compte du domaine cybernétique par les autorités russes comme un enjeu majeur ; vecteur, à la fois, de menaces informatiques (attaques informatiques) et informationnelles (diffusion de fausses informations), et d’opportunités tactiques dans ces domaines.

Le texte du Général Valerij Gerasimov a en effet permis d’observer l’actualisation et l’enrichissement d’un travail de définition de l’espace informationnel (informacionnoe prostranstvo) amorcé dès 2010 dans le texte officiel de la doctrine militaire russe (Conseil de sécurité de la Fédération de Russie 2010 : paragr. 41c, d, etc.) : ainsi passé du statut d’espace à défendre à celui d’espace à investir.

Surtout, en élargissant la portée de cette définition du domaine militaire à l’espace civil[17], elle a permis d’associer activement les acteurs privés au développement des capacités informatiques du pays : favorisant la participation d’entreprises appartenant à différents secteurs[18], et finalisant ainsi le passage d’une informatique militaro-industrielle au domaine cyber (de l’informatique et du numérique appliqués à tous les domaines). L’entreprise Kaspersky Lab a, par exemple, développé en conséquence le système d’exploitation (en anglais OS, Operating System) Kaspersky OS, destiné à être employé sur les équipements réseaux de systèmes automatisés de contrôle des processus industriels, mais aussi de structures hospitalières.

Cette mobilisation des créateurs/développeurs russes de systèmes d’exploitation et de logiciels a donc un objectif principal : celui d’assurer l’indépendance des systèmes informatiques du pays vis-à-vis des solutions développées par des entreprises étrangères, situées en particulier en Chine pour la construction matérielle, et aux États-Unis pour le développement logiciel.

Kaspersky OS est ainsi un parfait exemple de cette volonté de reprise en main du domaine informatique par les acteurs russes à tous les niveaux, logiciel et matériel, puisque son système d’exploitation devait être installé en particulier sur des commutateurs de niveau 3 (routeurs) Kraftway, de facture russe.

B – Interdépendance des enjeux informatiques et informationnels dans la perception stratégique russe

Le développement de ces doctrines, mais aussi d’un « Plan pour le développement d’une société de l’information en Russie 2011-2020 », puis « 2017-2030 » (Présidence de la Fédération de Russie 2010 ; 2017) dans le but de former la population russe aux enjeux cyber, montre que le domaine cybernétique reste corrélé à l’idée générale d’information en Russie, et des différentes problématiques auxquelles elle renvoie (désinformation, influence, propagande, etc.).

La perception russe du cyber lie en effet étroitement les domaines de l’information en ligne, de l’informatique, et de la sécurité informatique et informationnelle, selon une logique holistique où ces différents domaines doivent s’entre-répondre (Zorina 2017). En ce sens, elle est fondamentalement différente de celle qui s’est développée à l’Ouest[19].

La littérature grise (militaire et stratégique) russe n’a, par exemple, jamais tout à fait distingué les volets informatique et informationnel. Au contraire, elle les évoque toujours comme des éléments interdépendants, comme l’explique Keir Giles :

One fundamental distinction between Russian and Western approaches to information activities is the categorisation of computer network operations (cno) and other activities in cyberspace. “Cyber” as a separate function or domain is not a Russian concept. The delineation of activities in the cyber domain from other activities processing, attacking, disrupting or stealing information is seen as artificial in Russian thinking. In this context, “Distributed Denial of Services attacks” (ddos), advanced [cyber] exploitation techniques and Russia Today television are all related tools of information warfare.

Giles 2016 : 7-8

Les textes de stratégie russes n’emploient d’ailleurs pas le terme de « cyber » pour désigner les attaques informatiques menées dans le cadre des conflits dans le cyberespace autrement que pour désigner les théories développées en Occident (Giles 2016 : 8).

Loin de renvoyer à un domaine à part entière, les moyens informatiques employés dans le cadre des tactiques et opérations militaires sont en effet considérés comme faisant partie intégrante de manoeuvres stratégiques plus large. Les attaques informatiques et informationnelles ne sont ainsi que la version technologique et numérique, ou numérisée, de pratiques telles que les opérations psychologiques (PsyOps), les opérations d’influence, de désinformation, de renseignement/contre-renseignement, de maskirovka[20], etc. qui peuvent être menées par d’autres moyens (notamment humains).

On peut d’ailleurs considérer que la pratique de la maskirovka rencontre un renouveau sensible dans le domaine des attaques informatiques et informationnelles, notamment à travers les tactiques de spoofing (usurpation) qui peuvent être menées à différents niveaux[21].

II – Deržavnostʹ, souveraineté informationnelle et miagkaja sila[22] : conceptualisation de la volonté de puissance russe appliquée au cyberespace

A – Sécurité de l’information, souveraineté informationnelle et miagkaja sila

Du point de vue des concepts stratégiques, la problématique de la propagation de l’information dans un monde de plus en plus connecté par le biais de réseaux informatisés a donc conduit, en Russie, à cette mise en relation étroite de l’industrie du numérique et de la question informationnelle par les autorités. Il en a résulté le développement de nouvelles stratégies de puissance sur le territoire de la Fédération et en-dehors (Zorina 2017).

Ces stratégies de puissance, destinées d’abord à être mises en oeuvre par – et pour – l’État, peuvent être analysées selon deux volets : celui de la mise en place d’une souveraineté informationnelle sur le territoire, complétée par le déploiement d’une forme de soft-power informationnel et culturel en-dehors, désigné en russe par l’idée de miagkaja sila (Audinet 2016 : 150-173).

Sur un territoire en effet, la « souveraineté informationnelle » (informacionnyj suverenitet) peut s’appliquer de deux manières selon la théorie de Joseph Nye (Nye 1990), souvent reprise. D’abord, par le biais d’une « souveraineté informationnelle ferme », ou « souveraineté dure de l’information » (žestkij informacionnyj suverenitet), qui renvoie au fait d’imposer un certain contenu informationnel par force de loi, par la force administrative et par le droit sur la répartition des ressources ou moyens de communication (Wenxiang 2005 : 127).

Puis, à travers une « souveraineté informationnelle souple », ou « souveraineté douce de l’information » (mjagkij informacionnyj suverenitet), qui renvoie à un certain contrôle de l’information politique, culturelle et sociale (ou sociétale) par l’État au sein de ses frontières ; qui peut se traduire en-dehors par une forme de pénétration, voire de domination culturelle (kulʹturnoe proniknovenie ou kulʹturnoe dominirovanie) (Wenxiang 2005 : 127).

Dans le cas russe, les éléments de pénétration/domination culturelle renvoient ainsi à l’idée de mjagkaja sila, « force souple », qui a été institutionnalisée le 12 février 2013 dans le nouveau Concept de politique étrangère du Mid. (ministère des Affaires étrangères, Ministerstvo Inostrannyh Del Rossijskoj Federacii) (Audinet 2016 : 156).

Plus complexe que l’idée étatsunienne de soft power (« manière douce » ou « pouvoir de convaincre »), la miagkaja sila est une véritable méthode de « diplomatie publique (obŝestvennaja diplomatija), qui désigne une forme de diplomatie indirecte court-circuitant les canaux traditionnels, afin de conditionner l’opinion publique d’un État étranger de façon à avoir un impact détourné sur l’agenda politique de son gouvernement » (Audinet 2016 : 155).

Pour ce faire, elle comprend un volet culturel et humanitaire[23], mais aussi religieux (Laruelle 2018). La diffusion culturelle est notamment assurée à l’étranger par l’association Russkij Mir (Monde russe) et par un organisme de coopération humanitaire : l’Agence fédérale chargée de la cei (Communauté des États indépendants), des compatriotes de l’étranger et de la coopération humanitaire internationale (Rossotrudničestvo), toutes deux dépendantes du Mid (Audinet 2016).

C’est dans le cadre de la mise en place de cette stratégie de « force souple » que doit être considérée la création des médias d’État RT (anciennement Russia Today) et Sputnik, réunis sous le patronage de l’agence de presse étatique Rossija Segodnja. Créés respectivement les 6 avril 2005 et 10 novembre 2014, ces deux médias doivent en effet répondre aux nouveaux enjeux informationnels posés par les nouvelles pratiques des individus et internautes, qui se servent de plus en plus d’Internet comme source principale d’information.

Au vu de ces nouvelles pratiques, le cyberespace (kiberprostranstvo en russe) devient progressivement l’espace informationnel par excellence, à partir duquel il est possible pour tout acteur de diffuser le discours et les perceptions qu’il souhaite. Les risques posés par ce nouveau rôle du cyberespace, mais aussi les opportunités qu’il offre pour diffuser un point de vue, ont rapidement été considérés par les autorités russes comme des éléments stratégiques à ne pas négliger. Dans son discours au Conseil de Sécurité du 1er octobre 2014, le président Vladimir Poutine déclarait ainsi :

C’est à juste titre que l’on appelle l’époque moderne « l’ère de l’information ». Nous constatons que chaque pays tente d’utiliser sa position dominante dans l’espace informationnel mondial pour atteindre des objectifs non seulement économiques, mais aussi politico-militaires. [Ces pays] utilis[ent] activement les systèmes d’information comme des outils de soft power pour servir leurs intérêts.

Présidence de la Fédération de Russie 2014

En accord avec cette tendance, la diffusion des médias rt et Sputnik est donc orientée vers l’ensemble de la Fédération de Russie et vers l’étranger : rt couvre cinq langues (l’allemand, l’anglais, l’espagnol, le français et le russe), et Sputnik trente-et-une. Les deux médias (re)présentent ainsi, et diffusent, le point de vue officiel de l’État russe sur les questions d’actualité (Audinet 2016 : 168-172), notamment dans le domaine des relations internationales. On peut d’ailleurs noter que Sputnik ne diffuse ni en Russie, ni en russe : élément révélateur d’une volonté de rayonnement dirigée en priorité vers l’extérieur, et en-dehors de la zone des pays russophones de l’ex-urss.

B – La miagkaja sila appliquée au cyberespace : exemple de mise en pratique de l’idée de deržavnostʹ à l’espace cyber[24] ?

L’idée de deržavnostʹ a

fait son apparition dans la littérature politique et philosophique à partir de la toute fin des années 1990 […]. Intraduisible en français, il est cependant possible d’expliciter [son] sens par l’« aspiration d’un pays à devenir une grande puissance ». Au-delà de cette définition que donne le dictionnaire, de nombreux politistes, philosophes se sont attachés dans la première moitié des années 2000 à théoriser cette aspiration à la grandeur et à la puissance en accord avec les héritages profonds de la Russie. Les définitions variaient alors de l’alliance poétique avec le sobornostʹ (« communauté des croyants ») et l’obŝinnostʹ (« génie social russe »)[25] ? (Bolʹshakov et Ermačkov, 1999) à « l’indépendance de l’État, motivée par une politique [d’influence] sur les affaires internationales ».

Limonier 2012 : paragr.15

Définir la notion de deržavnostʹ est complexe. On voit néanmoins qu’elle correspond à une pensée de l’application, ou de la mise en action concrète de la volonté de puissance d’un État, qui trouve sa traduction dans différents domaines : principalement culturels et sociaux (ou sociétaux), à travers lesquels devraient (selon certains politistes et philosophes) se déployer les traits caractéristiques, ou saillants, de ce qui constituerait une identité russe (sobornostʹ, obŝinnostʹ, etc.).

On peut envisager en cela la notion de miagkaja sila comme une mise en application de l’idée de deržavnostʹ au domaine informationnel : comme mode de puissance et d’influence culturelles et sociales, destiné à faire connaître et à exprimer une identité officielle russe en-dehors du territoire de la Fédération de Russie (Makarov 2015 : 233).

Or, le développement d’un cyberespace, c’est-à-dire d’un espace numérique d’échange d’informations et de contenus politiques et culturels, représente une opportunité considérable pour l’application d’une miagkaja sila. L’espace cyber est en effet particulièrement adapté à la réalisation des objectifs que recouvre cette notion, puisqu’il permet d’atteindre des interlocuteurs inatteignables par les « canaux [diplomatiques] traditionnels », et facilite considérablement la mise en oeuvre d’une « diplomatie publique »[26]. Il est donc un outil et un véhicule idéal pour la mise en pratique de l’idée de deržavnostʹ en-dehors du territoire de la Fédération de Russie, par l’usage de la miagkaja sila.

III – La recherche d’une cyber-souveraineté russe

L’idée de cyber-souveraineté (souveraineté numérique en russe : cifrovoj suverenitet) a rapidement trouvé un terrain favorable dans la perception stratégique russe[27].

Elle renvoie en effet à des enjeux qui ne sont pas tout à fait nouveaux en Russie. Le développement des réseaux numériques, en particulier d’Internet, permet à différents acteurs d’attaquer à distance des infrastructures (énergétiques, de communication, etc.) qui ont une valeur stratégique pour les États, et implique une diffusion rapide de l’information qui se joue de leurs frontières nationales. Il entre ainsi en conflit avec l’application incontestée de la gouvernance des États sur leur territoire (Douzet et Desforges 2018 : paragr. 1 et 2), et remet en cause leur maîtrise de ce dernier.

Or, la volonté de maîtriser et d’unifier un espace difficile à aménager, en connectant et en mettant en réseau les différents sous-espaces qui le composent[28], est liée à un besoin historique des autorités étatiques en Russie. Elle est omniprésente dans l’histoire de la constitution spatiale, administrative et politique de la Fédération russe. Dans ce cadre, la diffusion non maîtrisée de l’information et l’accroissement de la vulnérabilité des réseaux à travers le développement d’Internet sont perçus comme une menace fondamentale pour la souveraineté et la stabilité de l’État. L’émergence de la question de la cyber-souveraineté à la fin du 20e siècle, et sa réactualisation lors des révélations d’Edward Snowden en 2013, n’ont donc pas manqué d’y provoquer une résurgence des problématiques de contrôle des réseaux et des communications.

D’un point de vue stratégique, cette notion de cyber-souveraineté s’est donc traduite en Russie de la façon suivante : la sécurité et le contrôle des infrastructures informatiques de l’ensemble de la Fédération russe doit permettre d’assurer ceux de l’information qui circule sur le territoire, et inversement (Artamonov 2017 in Belenkov et al. 2018 : paragr. 12).

Pour ce faire, les plans de développement lancés par l’État fédéral comprennent plusieurs volets, destinés à la fois au développement des industries de l’informatique et du numérique (Vercueil 2013 : 10), et à l’éducation des populations à l’ensemble des problématiques de sécurité informationnelle auxquels elles renvoient : depuis le risque de propagation de fausses informations à la nécessité de sécuriser ses données personnelles.

Cette seconde problématique revêt par ailleurs une importance particulière aux yeux des autorités étatiques russes, qui ont pris en compte la possibilité qu’il existe des liens ou des collaborations de circonstance entre les Gafam (Google, Apple, Facebook, Amazon, Microsoft) et les organes gouvernementaux et de renseignements des États-Unis.

Ces entreprises relèvent en effet du droit étatsunien, et peuvent ainsi être sollicitées par les autorités dans le cadre de certaines enquêtes : comme l’ont confirmé Google, Facebook, Yahoo et Microsoft lorsqu’elles ont révélé le nombre de mandats émis par la nsa auxquels elles avaient dû répondre entre 2012 et 2013[29]. Surtout, il n’a pas échappé aux autorités russes que – selon le témoignage de Snowden – la nsa possédait un accès direct à des données stockées sur les serveurs de huit entreprises via son outil de surveillance prism, à savoir Apple, Facebook, Google, Microsoft, Skype, aol, YouTube et PalTalk, tandis qu’un accès direct à la plateforme d’hébergement de fichiers Dropbox devait y être ajouté.

En 2013, il est donc devenu évident que les données fournies par les citoyens d’un pays à des entreprises étrangères représentaient un véritable enjeu géopolitique et stratégique. Les réseaux sociaux et les applications conçus aux États-Unis et employés par les citoyens russes devenaient des moyens d’accès à leurs données personnelles. Ils représentaient donc un risque de fuites de données stratégiques, puisqu’il était dès lors possible de se servir de leur profil Facebook, leurs publications en ligne, ou des renseignements bancaires qu’ils confiaient aux systèmes de paiement comme de sources potentielles d’information sur Internet.

Les conclusions tirées par les autorités russes à partir de ce nouvel état de fait étaient les suivantes : les logiciels et applications étrangers représentaient autant de portes d’entrée et de sortie permettant à d’autres États de conduire des attaques informatiques et informationnelles sur le territoire de la Fédération de Russie. Ils offraient à ces États un accès direct, à la fois aux machines des citoyens russes (à leurs ordinateurs, leurs téléphones portables, etc.), et à leurs consciences.

C’est en ce sens que devait être compris les mots du président Vladimir Poutine lors du premier « Forum des médias », qui s’est tenu le 24 avril 2014 à Saint-Pétersbourg[30] : « Utilisez Yandex ». Il  alors d’un véritable appel, incitant les citoyens russes utilisateurs d’Internet à en saisir eux-mêmes l’aspect stratégique. L’utilisation d’applications russophones hébergées en Russie, telle qu’elle était préconisée par la Présidence, devait leur permettre de se protéger des outils de collecte de données et de renseignements mis en place par les plateformes étrangères (Facebook, Google, etc.), et d’éviter les fuites de données hors du pays.

A – Mise en place d’une stratégie d’autonomie des systèmes d’exploitation russes : assurer l’indépendance des systèmes informatiques à des fins stratégiques

Depuis l’affaire Snowden, l’idée de cyber-souveraineté est donc devenue un enjeu central en Russie à travers la problématique suivante : comment assurer la sécurité de l’ensemble des infrastructures informatiques sur le territoire, nécessaire à la mise en place et à la défense de la puissance numérique du pays ?

La cyber-puissance d’un pays ou d’un État dépend en effet nécessairement de deux volets complémentaires : le développement de ses capacités de projection informatiques/numériques sur Internet au niveau mondial, et le développement parallèle des capacités de défense et de résilience de ses infrastructures informatiques sur son territoire (Zorina 2017).

Ce second volet passe par la création de programmes informatiques considérés comme souverains. L’emploi de logiciels étrangers sur des infrastructures publiques à valeur stratégique fait en effet courir le risque d’une dépendance à des acteurs extérieurs, dont les intérêts diffèrent de ceux des institutions publiques et de l’État qui ont recours à leurs solutions.

Dans ce cadre, les acteurs privés russes du numérique jouent désormais un rôle majeur, puisque les logiciels qu’ils produisent sont destinés à réduire la dépendance (en particulier celle des institutions publiques) envers les logiciels importés depuis l’étranger, qui présentent le risque d’être backdoorés.

On observe donc depuis 2010 une dynamique de russification des outils informatiques, en particulier logiciels, en Russie. Elle a lieu à travers la mise en place de politiques de soutien aux industries de l’informatique et du numérique (notamment dans le cadre des plans « pour le développement d’une société de l’information en Russie ») par les institutions publiques.

Ces dernières sont d’ailleurs loin d’être les seules à avoir pris part à cette initiative. La communication des nouvelles entreprises et des startups du domaine informatique semble en effet avoir un rôle majeur dans les nouvelles orientations des politiques publiques en lien avec le secteur : certains représentants d’entreprises leaders du domaine (en particulier dans la sécurité informatique) ayant obtenu un rôle de conseil décisif auprès du gouvernement[31].

Une première stratégie globale destinée à assurer la souveraineté numérique russe a ainsi émergé autour de 2010, par le biais d’un décret émanant de l’exécutif qui visait à soutenir la création de systèmes d’exploitation russes et à assurer leur autonomie.

La mise en place du décret no 2299-r (ministère du Développement numérique, des Réseaux et des Communications de Masse de la Fédération de Russie 2010) le 17 octobre 2010 a en effet permis le lancement officiel d’un plan de transition vers l’emploi de logiciels libres et open source sur le parc informatique des institutions fédérales.

Le choix des logiciels dits libres et open source était motivé : le code des systèmes d’exploitation et des applications logicielles de ce type présente la particularité d’être libre d’accès sur Internet. Surtout, certaines licences libres et open source permettent de se resservir gratuitement de ce code et d’y apporter des modifications : ce qui peut représenter une réduction importante du temps et des coûts de recherche et développement (r&d), de conception et de production pour les entreprises qui s’en resservent.

Cette focalisation des autorités fédérales sur le logiciel libre et open source devait donc leur permettre de favoriser le développement rapide d’une industrie de production logicielle russe, mais surtout l’émergence d’une industrie de confiance, qui leur assurait un accès permanent au code source des logiciels qu’elle produisait, et ainsi la possibilité de suivre et de contrôler les évolutions de leur fonctionnement. En accord avec cette idée, le décret no 2299-r prévoyait la création d’un Centre fédéral de support et d’une Bibliothèque nationale des applications open source russes, afin de centraliser l’ensemble des logiciels produits dans un registre unique, et d’en faciliter le contrôle.

Cet investissement de l’État dans le développement logiciel par le biais de la législation a donc constitué un choix d’orientation majeur. Il a non seulement incité les différents acteurs russes du développement informatique à investir dans la création de nouveaux logiciels destinés aux institutions publiques, mais il a également permis – d’après Aleksej Smirnov (directeur général de l’entreprise Alt Linux) – d’accroître l’influence des acteurs russes à l’étranger et sur la scène internationale dans ce domaine. Selon lui en effet, plus le pays investirait le secteur de l’open source, plus il aurait de chances de l’influencer[32].

À la suite de l’adoption et de la mise en place du décret fédéral no 2299-r, les autorités russes ont procédé à l’abandon systématique des solutions logicielles conçues par des entreprises étatsuniennes qui étaient employées par les autorités publiques.

Afin de favoriser le contrôle et le suivi des logiciels employés par les institutions publiques, la loi fédérale no 764677-6 du 29 juin 2015 « sur les technologies et la protection de l’information », et sur le « système contractuel dans le domaine de l’attribution des marchés publics de biens et de services » (Douma 2015), a imposé, en outre, la création d’un Registre des logiciels domestiques : mise en oeuvre effective du projet de « Bibliothèque Nationale des Applications open source » décrété en 2010.

Depuis son entrée en vigueur le 1er janvier 2016, seules les sociétés dont les solutions appartiennent à ce registre peuvent prendre part à un marché public de fourniture de biens ou de services dans le domaine de l’informatique : la loi interdisant ainsi de facto l’usage, par les autorités fédérales, de logiciels étrangers lorsqu’il existe des alternatives russes pour ces derniers.

B – Recherche d’une cyber-souveraineté russe et privatisation de la gestion des infrastructures informatiques publiques en Russie : une externalisation au service de la puissance cybernétique ?

Dans la foulée des révélations d’Edward Snowden, les infrastructures informatiques publiques sont donc apparues comme un nouveau marché (intérieur) considérable pour les entreprises privées et startups du numérique russes, qui se trouvaient alors dans l’impossibilité de se positionner sur un marché international largement (et historiquement) dominé par des entreprises domiciliées aux États-Unis.

Ces dernières étaient plus au fait des pratiques publicitaires et commerciales les plus efficaces et les mieux adaptées à ce marché, dont elles avaient elles-mêmes contribué à créer les codes au cours des années 1980 ; notamment en favorisant l’émergence d’un marché des micro-processeurs destinés aux ordinateurs de faible puissance des particuliers, de plus en plus utilisateurs de Personal Computers (pc) et de MacIntosh.

Cette augmentation du nombre d’utilisateurs et de possesseurs de PC s’est par ailleurs accompagnée d’une augmentation du risque d’infections par des virus informatiques diffusés en ligne, dont la propagation, en plein développement, a provoqué l’émergence d’un marché de masse pour la sécurité informatique (avec la mise en vente de solutions antivirus).

Ainsi, tandis qu’aux États-Unis une entreprise telle que Symantec (Symantec Corporation), fondée en 1982 au moyen d’une bourse publique, se plaçait déjà sur le marché international en 1986[33], une entreprise d’ampleur internationale comme Kaspersky Lab n’a pu voir le jour qu’en 1997 en Russie, bien que son créateur, Eugène Kaspersky, eût développé un logiciel antivirus commercialisé dès 1992 (AntiViral Toolkit Pro, avp).

Conséquence de cette présence tardive (et restreinte) sur le marché international, les entreprises russes semblent avoir développé un tropisme national fort, qu’elles dépassent seulement depuis les années 2000 : à l’image de l’entreprise Dr.Web qui développe et commercialise ses produits en Russie depuis 1992, mais ne propose son logiciel antivirus « en tant que service » au niveau international que depuis 2007. Fait révélateur de la priorisation du marché intérieur (public) par cette entreprise à l’origine : les principaux arguments de vente de Dr.Web reposent sur l’utilisation de ses produits par les institutions et les autorités russes, qui en sont les premiers consommateurs[34].

Plus confiants en leurs opportunités sur le marché intérieur russe, certains acteurs privés se sont donc proposé de pallier les manques des autorités et de l’État, devenant ainsi des acteurs incontournables des nouvelles politiques publiques en matière de numérique et de sécurité informatique.

L’entreprise InfoWatch en est un bon exemple : en 2015, elle possédait – selon sa directrice générale Natalija Kasperskaja[35] – environ 50 % des marchés publics dits « dlp » (« Data Leak(age) Protection »[36]), destinés à la protection des données de l’État, et plus largement liés aux domaines de la protection informatique contre les menaces extérieures[37].

Les relations entre cet acteur privé et les institutions publiques sont par ailleurs plus complexes, puisque N. Kasperskaja fait partie des conseillers les plus sollicités par le gouvernement et la Présidence sur les questions numériques et a, à ce titre, activement participé à la mise en place du grand projet d’indépendance de l’Internet russe (RuNet) vis-à-vis des infrastructures internationales en 2019. Elle est, en outre, la compagne de l’oligarque Igor Ashmanov, principal détenteur du Groupe InfoWatch, qui est l’un des instigateurs de la mise en place d’une doctrine de « souveraineté numérique » (cifrovoj suverenitet) en Russie.

Une nouvelle doctrine sur la sécurité informationnelle a d’ailleurs été approuvée par la Présidence en décembre 2016, également avec le concours et les conseils de l’oligarque (Présidence de la Fédération de Russie 2016).

Ainsi, les liens entre le secteur privé de l’informatique et les institutions publiques en Russie sont révélateurs des nouvelles logiques de défense numérique du pays, qui mobilisent tous les acteurs de ces domaines. Mais, ils sont également le signe de l’influence décisive d’acteurs privés qui ont su faire concorder leurs besoins avec ceux des autorités ; si ce n’est ceux des autorités avec les leurs.

En outre, si cette stratégie d’externalisation semble pouvoir contribuer à faire de la Russie un acteur moins dépendant des entreprises étrangères en favorisant, dans une certaine mesure, la diversification et l’enrichissement de l’écosystème de ses acteurs privés, elle pose d’autres problèmes majeurs. Force est de constater, en effet, que cette externalisation induit une décentralisation des infrastructures informatiques de l’État, qui pose de nouveaux problèmes de sécurité.

La multiplication des acteurs concernés par leur gestion induit en effet deux phénomènes : elle augmente d’une part le nombre des possibilités d’accès à ces infrastructures qui, bien qu’elles soient sécurisées, sont alors soumises à un plus grand nombre de connexions en provenance d’infrastructures ou de machines qui ne présentent pas le même degré de sécurisation (provoquant ainsi une augmentation du risque que ces infrastructures élargies subissent des erreurs techniques et humaines : erreurs ou absence de mise à jour, partage des mots de passe, etc.). D’autre part, elle expose les données stockées ou qui transitent par ces infrastructures à un risque accru de perte ou de fuite (perte des données après une erreur technique ou une attaque informatique, fuite des données par l’entremise d’un employé, d’un contractuel ou d’une attaque, etc.).

L’attaque du 13 juillet 2019[38] à l’encontre de l’entreprise russe SyTech, qui avait bénéficié entre autres d’un contrat d’externalisation pour des projets du fsb (Service Fédéral de Sécurité de la Fédération de Russie, Federalʹnaja Služba Bezopasnosti Rossijskoj Federacii), est particulièrement révélatrice de ces problèmes. Plus de sept téraoctets de données (7,5) ont en effet été dérobés à ce prestataire sous-traitant de plusieurs agences de sécurité publiques, dans ce qui semble être la plus grande fuite de données dont ont été victimes les services de renseignement russes jusqu’à aujourd’hui. L’attaque a été revendiquée par le groupe de pirates informatiques 0v1ru$[39], qui a cédé l’ensemble des données récupérées à un second groupe connu sous le nom de Digital Revolution[40]. Ce dernier avait lui-même piraté un prestataire du FSB en 2018 : l’entreprise Kvant (« Quantum »)[41].

IV – Des mesures à double tranchant : incitatives sur le territoire, défavorables à l’extérieur

A – Proximité des acteurs publics et privés en Russie, et réticence des marchés au niveau international

L’interventionnisme de l’État russe dans le marché des hautes technologies pour assurer sa cyber-souveraineté évoque la combinaison paradoxale de nouvelles dynamiques suivies par de nombreux pays, et de dynamiques historiques en Russie. En soutenant les nouveaux projets innovants tout en orientant leurs objectifs, l’État russe applique une politique de développement qui rappelle la pratique soviétique de la planification industrielle, mise en place par le biais du Plan d’État (GosPlan)[42].

Depuis l’adoption des « Plans pour le développement d’une société de l’information », il définit en effet lui-même les grandes orientations du marché des technologies numériques, en indiquant ses priorités en matière d’investissements dans la r&d pour environ dix ans. Dans le domaine cyber, ces plans sont donc destinés à assurer son autonomie face au marché mondial, selon une logique protectionniste qui prend d’abord en compte les besoins des institutions publiques, et fait passer au second plan les intérêts des entreprises qui voudraient exporter leurs solutions.

Car, si le tournant prôné par les politiques publiques en matière de numérique paraît constituer un avantage pour la production et la vente des produits numériques des acteurs privés russes sur le marché intérieur, il implique cependant une proximité accrue entre les institutions gouvernementales et les entreprises qui peut devenir un frein pour leur développement, en particulier à l’étranger, et cela alors que le processus de normalisation de l’image des entreprises russes depuis la fin de l’urss tarde à se faire sentir sur les marchés extérieurs (Ménascé et Zlotowski 2005 : 54).

En outre, dans le domaine du numérique, la sécurité des données traitées et stockées représente un enjeu décisif. La confiance des utilisateurs en les solutions qu’ils achètent constitue en effet une condition sine qua non pour leur vente. Or, dans le cadre actuel[43], une affaire telle que celle qui a concerné l’entreprise Kaspersky en 2017 pourrait avoir ouvert une nouvelle ère de défiance vis-à-vis des acteurs privés russes qui voudraient s’exporter hors de Russie (Fontaine 2018).

L’entreprise Kaspersky Lab a en effet été accusée d’avoir favorisé une fuite de données appartenant à la nsa par le biais de son logiciel antivirus, qui était installé sur la machine personnelle d’un contractuel de l’Agence, d’où semble être partie la fuite. Dans ce cas précis, c’est le fonctionnement même de l’antivirus qui a été mis en cause par le ministère de la Justice des États-Unis (Department of Justice, doj), puisque son exécution standard consistait en la récupération de parties de documents supposées contaminées par des éléments de codes malveillants, pour les transférer vers des serveurs de l’entreprise situés en Russie où elles étaient examinées (à des fins d’étude et d’élimination de ces éléments).

La condamnation officielle du doj a ainsi lancé un mouvement de défiance internationale à l’encontre des produits de l’entreprise, qui ont été supprimés des réseaux informatiques des gouvernements lituanien, hongrois et des Pays-Bas qui les employaient ; tandis qu’une résolution du Parlement Européen a exigé que l’Union européenne « proc[ède] à un examen complet des équipements logiciels, informatiques et de communication, ainsi que des infrastructures utilisées dans les institutions[,] afin d’exclure les programmes et appareils potentiellement dangereux et d’interdire ceux qui ont été confirmés comme malveillants, comme Kaspersky Lab [sic] » (Parlement Européen 2018 : 20, paragr. 76).

B – Conséquences des normes imposées par le RosStandart sur les produits logiciels russes

À ces obstacles rencontrés actuellement par les entreprises russes du numérique à l’étranger s’ajoutent, par ailleurs, des restrictions imposées par l’État à l’exportation de certains produits informatiques (matériels et logiciels), en particulier lorsqu’ils sont considérés comme stratégiques (Meyer 1993 : 212-213). Ces restrictions sont généralement imposées par le RosStandart, selon « un double niveau de contrôle avec : détermination des entreprises ayant le droit d’exporter et conditions posées à ces exportations » (Meyer 1993 : 212).

Fait notable, cette agence de contrôle des productions techniques et industrielles destinées à l’import et à l’export est une rémanence de la période soviétique. Elle est en effet l’héritière du GosStandart de Russie, un comité de normalisation créé en 1925 au sein du Conseil du Travail et de la Défense de l’urss. Le GosStandart était d’abord chargé d’inspecter les instruments de mesure utilisés dans la production industrielle et agricole, puis de développer, de mettre à jour et de diffuser les normes Gost. Il a été intégré en 2004 au ministère de l’Industrie et du Commerce (MinPromTorg)[44], avant de prendre le nom d’Agence fédérale de la réglementation technique et de la Métrologie (RosTehRegulirovanie), abrégé en RosStandart en juin 2010.

Les restrictions imposées par le RosStandart nuancent fortement les avantages offerts aux entreprises russes sur le marché intérieur par l’externalisation des systèmes informatiques de l’État, en réduisant leurs possibilités de positionnement sur les marchés extérieurs. Pour les acteurs privés, dont les intérêts ne sont pas tous corrélés à ceux des autorités publiques et du contrôle étatique (en particulier du point de vue fiscal)[45], elles apparaissent donc comme un élément particulièrement défavorable des politiques publiques en matière de numérique.

Les autorités paraissent néanmoins avoir pris conscience de ces difficultés, puisqu’un projet de suppression de dix mille normes héritées de la période soviétique, et considérées comme un frein au développement des entreprises actuelles a été adopté en juin 2019 (Regnum 2019).

Conclusion

L’informatique et le numérique sont apparus en Russie comme de nouveaux outils stratégiques dès la fin des années 1990, à travers une préoccupation déjà marquée pour les questions de sécurité (informatique et informationnelle) posées par ces nouveaux outils. L’interconnexion de plus en plus avancée des infrastructures Internet de différents pays a rapidement représenté pour les autorités russes une réalité à double tranchant, caractérisée par de nouveaux risques et de nouvelles opportunités dans l’espace cyber.

L’importance des technologies informatiques et informationnelles dans ce cadre a conduit à la mise en place de nouvelles orientations stratégiques à moyen et long termes, dans le but de développer et de maintenir la souveraineté numérique du pays. La promulgation de la loi n° 608767-7 sur la création d’un RuNet souverain le 1er mai 2019 par la Présidence, officiellement entrée en vigueur le 1er novembre, fait d’ailleurs directement partie du soutien à ces nouvelles orientations.

Le numérique est parallèlement devenu un élément central de la stratégie de puissance et d’influence (militaire, diplomatique, politique et culturelle) russe à l’étranger. Cette stratégie d’influence trouve sa traduction concrète dans l’application d’une miagkaja sila (« force souple »), comme mode de communication à l’extérieur du pays, grâce à la diffusion du point de vue officiel russe par le biais de différents médias en ligne.

On peut donc parler, dans le cas russe, d’une véritable reprise en main de l’ensemble des domaines cyber(nétiques) par les institutions publiques et étatiques, depuis l’industrie informatique à l’information qui circule en ligne, en passant par les pratiques en ligne des internautes et les logiciels et applications qu’ils emploient : dans le but de réguler, mais aussi d’assurer la maîtrise la plus large possible de ce nouveau domaine géopolitique[46] et stratégique, à l’intérieur du pays et à l’extérieur.

Si l’on peut, en ce sens, parler d’une puissance cybernétique russe, celle-ci doit néanmoins être considérée avec réserve. Les effets des nouvelles stratégies cyber mises en oeuvre par la Russie restent en effet à la mesure des possibilités informatiques et numériques du pays : encore limitées en termes de diversité des logiciels et applications développés sur le territoire, et du matériel informatique qui y est produit.

Sans compter que les entreprises russes du numérique bénéficient d’un rayonnement encore restreint (rare sur le marché international en-dehors des ex-Républiques Soviétiques russophones). Et d’autant que ce rayonnement risque de se trouver plus limité encore par les récents développements de l’affaire Kaspersky, qui semble avoir provoqué la défiance des gouvernements et institutions publiques étrangers vis-à-vis des solutions informatiques développées en Russie, de façon potentiellement durable.