Le sujet des attaques et de la protection des infrastructures critiques avait fait irruption dans le débat et la pratique dans les années qui ont suivi les attentats du 11 septembre 2001. Il surgit à nouveau dans le contexte cette fois de la guerre en Ukraine.
Toutefois, avant d’aborder ces deux points, il paraît intéressant de revenir plusieurs années en arrière pour éclairer l’évolution de cette problématique. Elle fait l’objet d’une excellente étude de MM. Stephen J. Collier (anthropologue) et Andrew Lakoff (sociologue) intitulée : « The Vulnerability of Vital Systems. How Critical Infrastructure Became a Security Problem » publiée dans l’ouvrage Securing the Homeland (Routledge, 2008).

Les auteurs mettent d’abord l’accent sur l’exploitation possible en temps de guerre de la vulnérabilité des infrastructures, puis sur la défense civile et la gestion de crise dans le cadre de ce type d’attaque et montrent comment ces sujets sont devenus une question de sécurité nationale aux États-Unis.

La notion de « System-Vulnerability Thinking »

Les développements technologiques et politiques au XXe siècle (les deux guerres mondiales notamment) avaient rendu inadéquate la manière de raisonner sur les vulnérabilités qui avaient pris en ampleur. Les experts ont alors introduit la notion de « System-Vulnerability Thinking ».

Ce furent d’abord les théoriciens du « Air Power » qui, constatant les relations entre l’effort de guerre, l’industrialisation d’un pays et la mobilisation de la nation, développèrent une théorie de la guerre aérienne et du bombardement stratégique dans lequel les nœuds vitaux (« vital nodes ») d’un pays constituaient des cibles vitales (« vital targets ») qu’il était efficace de bombarder pour mettre un pays à genoux.

Le théoricien italien Giulio Douhet développa cette théorie, mais ce sont surtout les Américains qui l’approfondirent entre les deux guerres (Air Corps Tactical School). Ils constatèrent que les économies modernes étaient composées d’éléments interreliés et entièrement dépendants les uns des autres (« interrelated and entirely dependent elements »). En attaquant ces artères essentielles (« essential arteries ») ou encore ces éléments organiques essentiels (« organic essentials ») d’une structure industrielle moderne, on pouvait paralyser l’ennemi. Cependant, il fallait pour cela analyser d’abord les systèmes industriels de ce dernier pour en repérer les points faibles. Tout cela inspira les attaques américaines sur l’Allemagne pendant la Seconde Guerre mondiale.

Protection des infrastructures et stratégie de défense civile

Les Américains se sont aussi interrogés sur ce qui se passerait si, au lieu d’attaquer des territoires ennemis, le leur était directement visé. Il y a donc eu à ce sujet un double mouvement après 1945. Ce fut tout d’abord un effort, le premier probablement, pour cataloguer les infrastructures critiques du pays – 11 842 dont la moitié localisée à New York, en Pennsylvanie et dans le Massachussetts –, mais tout ceci est resté au niveau de la réflexion, rien de concret n’ayant été engagé. Par ailleurs, les fondements d’une stratégie de défense civile et de plusieurs aspects de gestion des urgences ont été posés (« Emergency Management ») dans le document United Civil Defence (1950). L’hypothèse était que la guerre viserait les infrastructures, les populations, les concentrations industrielles et les sites militaires.

Deux importants concepts ont alors émergé que l’on retrouvera par la suite : celui de « Distributed Preparedness » (avec délégations de pouvoirs également au privé) et celui de « Vulnerability Mapping » (on identifie les éléments-clés dans une « Target Zone »), puis on évalue leur vulnérabilité et on développe ensuite des « Contingency Plans » pour réduire ces vulnérabilités. On pensait bien entendu à une attaque nucléaire.

Mise en commun des moyens et gestion de crise « tous azimuts »

L’idée s’est fait jour que l’organisation pour une attaque nucléaire ou pour faire front à des désastres naturels étaient des activités complémentaires qui partageaient les mêmes pratiques d’analyse de risques et de gestion de crise. Cette approche est institutionnalisée en 1976 (amendement au Civil Defence Act) puis intégrée dans la Civil Defence Preparedness Agency, sous la présidence Carter (1977- 1981) avec la possibilité d’utiliser des fonds de défense civile pour la préparation aux désastres naturels dans le cadre d’un concept de « Total Preparedness » en temps de guerre et en temps de paix.

La même évolution s’observe dans le domaine de la mobilisation des ressources en cas de guerre, domaine où de nombreuses agences avaient été créées après 1950. Là aussi on évolue vers une   « Total Preparedness Approach » (« prise en compte des incendies, des accidents et des risques nucléaires »).

Sur le plan technique, on passe parallèlement d’une analyse centrée sur l’impact d’événements spécifiques à des modèles analysant « la vulnérabilité intrinsèque des systèmes » en face de disruptions de toute nature.

Nouvelles menaces et adaptation des concepts.

Un nouveau tournant est pris au milieu des années 1970 où l’on s’aperçoit que les paradigmes de la guerre froide ne s’appliquent pas à de nouvelles situations telles que les attaques terroristes de Munich de 1972, la crise pétrolière de 1974, le black-out de juillet 1977 à New York (un orage ayant provoqué une coupure de courant de 24 heures accompagnée d’émeutes et de pillages). L’idée des nœuds de production (« nodes ») refait surface dans un contexte différent : terrorisme, défaillances technologiques, désastres naturels.

Du coup, le Congrès s’empare du sujet et l’on aboutit en 1984 à un système pleinement articulé mais qui reste marginal au plan gouvernemental. Le Center for Strategic and International Studies (CSIS) publie la même année un rapport : America’s Hidden Vulnerabilities: Crisis Management In a Society of Networks. Ce document synthétise toute la réflexion sur les vulnérabilités des systèmes identifiés jusque-là.

Les infrastructures critiques, un problème de sécurité nationale

Il faudra attendre Bill Clinton pour voir émerger la protection des infrastructures comme problème de sécurité nationale. (La Federal Emergency Management Agency (FEMA) avait de son côté été créée en 1979). Le tournant en a été le rapport de la Commission sur la protection des infrastructures critiques, Critical Foundation, de 1997 qui souligne que la prospérité économique, la force militaire et la vitalité des États-Unis dans leur ensemble dépendent du fonctionnement continu des infrastructures critiques de la Nation. « Des infrastructures secures sont, ajoute le rapport, la base pour créer les richesses de notre nation et la qualité de vie de la population. » En outre, « certaines infrastructures sont si vitales que leur neutralisation ou leur destruction auraient un impact négatif sur notre défense ou notre sécurité économique ».
En même temps, la définition de ce qu’il faut entendre par infrastructure critique est précisée dans un sens limitatif. Il y a là une évolution salutaire car la tentation était de tout protéger (George Bush : « Every terrorist attack has a national impact »), ce qui est évidemment impossible. Il y avait, dans les années 1990, indiquent les auteurs de l’étude, 4 millions de miles de routes pavées aux États-Unis, 600 000 ponts, 300 000 miles de chemins de fer, 500 aéroports commerciaux.
Il convenait aussi de trouver un équilibre entre la sécurité et le marché, entre l’État et la société dans un pays où 85 % des infrastructures sont entre les mains du secteur privé. Cet équilibre renvoie ainsi à la notion de « risque » (qu’est-ce qu’un risque ?), de « gestion du risque » (qui doit en être responsable ?), mais aussi à la notion d’analyse du « rapport coût-bénéfice » où une approche commune entre l’État et le secteur privé ne se fait pas naturellement.

Trois orientations à prendre en compte se dégagent ainsi pour les auteurs de cette étude : une préoccupation concernant les systèmes critiques sur lesquels repose une société moderne ; la nécessaire identification des vulnérabilités de ces systèmes et des menaces ; un effort pour développer des techniques destinées à réduire les vulnérabilités des systèmes. Infrastructures critiques et terrorisme

Les attentats de septembre 2001 aux États-Unis ont incité les États à protéger leurs infrastructures contre la menace terroriste. Cette protection s’est progressivement élargie pour prendre en compte les menaces et risques « tous azimuts ». Elle couvre désormais les infrastructures physiques, les réseaux (comme les réseaux électriques), les infrastructures numériques ainsi que des monuments et bâtiments « symboliques », comme la Tour Eiffel. Les manipulations concernant les élections et la réputation d’un pays sont désormais considérées comme des infrastructures critiques depuis les interférences confirmées des Russes dans les élections américaines, allemandes et françaises. Les listes d’infrastructures critiques peuvent cependant varier en fonction des besoins des États et sont appelées à évoluer (menaces contre les satellites, etc.).

Une infrastructure critique peut être un sujet de préoccupation sur le plan régional ou même international. Ainsi en est-il d’une installation nucléaire se trouvant près de la frontière d’un autre pays ou un réseau d’électricité transnational qui couvre les besoins de plusieurs pays.

La protection de certaines infrastructures critiques (comme les réseaux électriques) peut être problématique car nous ne savons pas comment gérer les interdépendances et les effets de cascade.

Le Conseil de sécurité, après tant d’autres prises de position sur le sujet dans des instances régionales (UE, OSCE) ou spécialisées (Otan), se saisira du sujet dans sa Résolution n° 2341/17 (1) après les attentats perpétrés dans les aéroports de Bruxelles (2) et d’Istanbul (3) en 2016. contre les attaques terroristes »,

Celle-ci demande aux États-membres d’élaborer des stratégies de réduction des risques posés par les attaques contre les infrastructures critiques et de renforcer leur coopération pour lutter contre de nouvelles attaques.

Au-delà de la notion d’infrastructure critique, la protection de ce que l’on appelle les « Soft Targets » (écoles, boîtes de nuit, restaurants, centres commerciaux, etc.), est aussi un sujet de préoccupation en raison de leur vulnérabilité à des attaques terroristes.

Concernant la France, la politique dans le domaine de la protection des infrastructures critiques est définie et gérée par le Secrétariat général de la défense et de la sécurité nationale (SGDSN). La liste des secteurs considérés comme vitaux a été définie le 2 juin 2006 et modifiée le 3 juillet 2008. Ceux-ci sont au nombre de 12 : santé, transport, gestion de l’eau, industrie, énergie, finances, communications, activité militaire, activité civile de l’État, activité judiciaire, alimentation, et espace et recherche.

En outre, depuis la loi de programmation militaire votée en 2013 (article 22), les Opérateurs d’importance vitale (OIV) ont l’obligation de renforcer la sécurité des systèmes d’information qu’ils exploitent.

Infrastructures critiques et guerre en Ukraine

Dans la guerre en Ukraine, les Russes s’attaquent très fortement aux infrastructures critiques. Ils ont visé ou visent des lignes de chemins de fer, des gares, des centrales de production électrique pour empêcher la population de s’éclairer, de vaquer à ses activités domestiques ou de se chauffer, prennent le contrôle decentrales nucléaires (Tchernobyl – au nord de Kiev –, Zaporijia – sur le Dniepr) et projetteraient de détruire le barrage hydroélectrique de Khakhovka (au nord de la Crimée) ou encore d’attaquer des satellites d’observation occidentaux.

Les Ukrainiens sont soupçonnés, de leur côté, d’avoir saboté le pont de Kertch reliant la Crimée à la Russie tandis que les fuites constatées sur les gazoducs Nord Stream 1 et 2, et les coupures de câbles de fibres optiques intervenues dans la nuit du 17 au 18 octobre dans les Bouches-du-Rhône qui ont perturbé le trafic mondial Internet, ces deux événements n’ayant pas été revendiqués, portent les risques au-delà des territoires des deux belligérants.

Chercher à paralyser l’ennemi en attaquant ses infrastructures critiques, actions préconisées par les théoriciens de la guerre aérienne et du bombardement stratégique et mises notamment en œuvre pendant la Seconde Guerre mondiale, est dans l’ordre des choses en période de conflit.

Cependant le Protocole I (1977) aux conventions de Genève pose dans son chapitre III des limites aux actions militaires. Il interdit les attaques sans discrimination ainsi que les attaques ou actions dirigées à titre de représailles contre la population et les personnes civiles (articles 48 à 51), mais aussi contre les biens de caractère civil (article 52) et protège les biens indispensables à la population civile (article 54) interdisant notamment d’utiliser la famine comme méthode de guerre ainsi que l’environnement naturel (article 55). Cependant, le Protocole cherche également à protéger les ouvrages et installations (barrages, digues et centrales nucléaires de production d’énergie électrique) qui ne peuvent être l’objet d’attaques, même s’ils constituent des objectifs militaires, dès lors qu’ils peuvent provoquer la libération des forces dangereuses et, en conséquence, causer des pertes civiles dans la population. C’est à l’aune de ces dispositions qu’il convient de juger les agissements de l’armée russe en Ukraine, en particulier concernant ses attaques contre les infrastructures critiques et sa stratégie de terreur envers les populations, laquelle visiblement n’en tient absolument pas compte.

La Russie peut donc être accusée de crimes de guerre selon l’article 8 du Statut de Rome de la Cour pénale internationale (4) pour son comportement en Ukraine laquelle stipule qu’il est interdit de diriger intentionnellement des attaques contre des populations ou des biens de caractère civil (alinéas 2.b.i et ii) ; de lancer intentionnellement une attaque en sachant qu’elle causera incidemment des pertes en vies humaines et des dommages aux biens de caractère civil ou à l’environnement (alinéa iv) ; d’attaquer ou de bombarder villes, habitations ou bâtiments (alinéa v) ; d’affamer des civils (alinéa xxv).

Les agissements identiques condamnables au regard du droit international d’autres armées dans des conflits antérieurs ne saurait constituer une excuse pour le comportement actuel des forces armées russes qui s’inscrivent au demeurant dans la stratégie définie dans les guerres de Tchétchénie et de Syrie.

Ainsi la protection des infrastructures critiques, objet d’études théoriques très poussées qui ont directement inspiré la stratégie américaine, a été au premier plan de l’actualité pendant la Seconde Guerre mondiale, puis avec la menace terroriste après les attentats du 11 septembre 2001 et aujourd’hui à nouveau avec la guerre, cette fois en Ukraine.

Richard Narich
In Revue de la Défense Nationale novembre 2022

(1) Nations unies, « Le Conseil de sécurité adopte sa première résolution sur la protection des infrastructures essentielles
2. (2) « Attentats de Bruxelles », France info (https://www.francetvinfo.fr/monde/europe/attentats-de-bruxelles/). (3) « Attentat-suicide à l’aéroport d’Istanbul : au moins 36 morts et 147 blessés », France info, 28 juin 2016
3 février 2017 (https://press.un.org/fr/2017/cs12714.doc.htm).
4 Statut de Rome de la Cour pénale internationale (https://www.icc-cpi.int/)

 
Biographie de Richard Narich
Ancien ministre plénipotentiaire et ambassadeur, Richard Narich a été en poste notamment à l’Otan, Moscou, Londres, Athènes, aux États-Unis (Chicago), au Nicaragua (ambassadeur) et au Paraguay (ambassadeur). Il a ensuite travaillé dans plusieurs think tanks spécialisés dans les questions de sécurité (Centre de politique de sécurité de Genève, Institutnational pour les hautes études de sécurité, Haut comité français pour la défense civile). Ila été enseignant à Sciences Po (« Risques globaux et gestion de crise »). Il est actuellement secrétaire général de l’Association française pour les Nations unies.