P.I.L.O.T.E

4 min de lecture

09_Comparatif_International

La Loi de Programmation Militaire (LPM) 2024–2030 doit être analysée à la lumière des stratégies cyber d’autres grandes puissances. Les menaces, comme les modèles de régulation, s’internationalisent. Pour un RSSI, comprendre ces différences permet d’anticiper les influences normatives (NIST, CISA, OTAN) et les risques liés aux doctrines adverses (APT russes, chinoises).

États-Unis : doctrine intégrée et rôle central du privé

Les États-Unis disposent d’une stratégie cyber très intégrée, articulant le Department of Defense (DoD), la Cybersecurity and Infrastructure Security Agency (CISA) et la National Security Agency (NSA).

  • Le DoD assume une doctrine offensive : neutralisation d’APT adverses, campagnes de perturbation préventives.
  • La CISA pilote la protection des infrastructures critiques avec une approche partenariale public/privé.
  • Le NIST (National Institute of Standards and Technology) impose des standards (NIST CSF, NIST SP 800) largement utilisés comme références internationales.

Pour un RSSI européen, cela se traduit par une influence normative forte : les donneurs d’ordre multinationaux exigent souvent une conformité NIST en plus des cadres européens (ISO, NIS2, LPM).

Chine : souveraineté numérique et contrôle centralisé

La Chine applique une doctrine de souveraineté numérique totale, combinant contrôle des flux (Great Firewall), cybersurveillance et développement de capacités offensives.

  • Les grandes entreprises technologiques chinoises (Huawei, ZTE) sont intégrées dans la stratégie nationale.
  • Les campagnes d’APT chinoises (APT10, Hafnium) visent l’espionnage industriel et technologique à grande échelle.
  • Pékin privilégie la captation de données massives (Big Data, IA) comme levier stratégique.

Les RSSI européens doivent intégrer ce risque dans leur supply chain : dépendance aux équipements télécoms non européens, risque de backdoors ou de détournements.

Russie : guerre hybride et cyber comme arme stratégique

La Russie utilise la cyber comme un outil de guerre hybride :

  • Groupes affiliés (Sandworm, Fancy Bear) menant des attaques destructrices (NotPetya, attaques contre le réseau ukrainien).
  • Usage de la cyber pour la désinformation et la guerre informationnelle.
  • Coopération souple entre acteurs étatiques et cybercriminels, rendant l’attribution difficile.

Cas pratique : NotPetya (2017), initialement ciblé contre l’Ukraine, a provoqué 10 Md$ de pertes globales, dont 250 M€ pour Saint-Gobain.

OTAN, UE et alliances

L’OTAN reconnaît le cyber comme un domaine opérationnel depuis 2016. Les alliances comme le Five Eyes (USA, UK, Canada, Australie, Nouvelle-Zélande) dominent le renseignement cyber mondial.
L’UE (NIS2, Cyber Solidarity Act) privilégie la régulation, mais reste dépendante des capacités américaines en matière de Cloud et de renseignement.

Warning

Risque majeur pour l’Europe : une dépendance excessive aux standards extra-européens (NIST, Cloud Act américain).
Pour un RSSI, cela signifie la nécessité de gérer la double conformité (NIS2/LPM vs NIST/US) et de prévoir des clauses contractuelles pour limiter l’exposition aux juridictions non européennes.

Cas pratiques & retours d’expérience

  • Colonial Pipeline (USA, 2021) : attaque ransomware ayant paralysé une infrastructure énergétique stratégique, déclenchant une réponse fédérale massive.
  • SolarWinds (USA, 2020) : compromission supply chain affectant 18 000 clients, démontrant la puissance des campagnes APT russes.
  • Ukraine (2022) : coordination OTAN/UE pour contrer les cyberattaques russes.
  • Campagnes chinoises (APT10) : espionnage de longue durée ciblant des entreprises aéronautiques et pharmaceutiques.

Conseils opérationnels pour RSSI

  • Anticiper la double conformité : intégrer à la fois les cadres européens (LPM, NIS2, DORA) et les standards internationaux (NIST CSF, ISO 27001).
  • Cartographier les dépendances extra-européennes : Cloud US, équipements asiatiques, logiciels critiques non souverains.
  • Préparer des scénarios d’attaque hybride inspirés de NotPetya ou Colonial Pipeline.
  • Participer aux exercices multinationaux (Locked Shields OTAN, Cyber Europe ENISA).

Objectifs pédagogiques

À l’issue de ce chapitre, le lecteur doit être capable de :

  • Comparer la LPM française aux doctrines américaine, chinoise et russe.
  • Identifier les impacts concrets de la dépendance aux standards et technologies non européennes.
  • Intégrer ces comparatifs dans ses analyses de risque et sa feuille de route sécurité.

Checklist RSSI – Chapitre 09

  • Ai-je évalué mes dépendances aux technologies et standards non européens (Cloud US, équipements asiatiques) ?
  • Mon organisation est-elle préparée à une double conformité (NIS2/LPM vs NIST/US) ?
  • Ai-je intégré dans mes PCA/PRA des scénarios hybrides (attaque destructrice, supply chain, désinformation) ?
  • Mon organisation participe-t-elle à des exercices multinationaux (OTAN/UE) ?

Vue Graphique