Dans sa présentation officielle en langue anglaise, l’agence gouvernementale numérique e-Estonia joue avec le code du pays, EST : honest, coolest, highest, fastest, modest… Si le plus septentrional des pays baltes a 1,3 million d’habitants pour une superficie de 45 339 km2, il compte aussi parmi les géants mondiaux. En quelques décennies, une politique gouvernementale volontariste a conduit l’Estonie vers des sommets planétaires dans plusieurs domaines du numérique, en particulier la cybersécurité. C’est ce qui a poussé l’IHEDN à y envoyer en mission les auditeurs de la majeure Souveraineté numérique et cybersécurité de la session nationale, la semaine dernière.
À Tallinn, la capitale, on croise des robots de livraison sur les trottoirs, attendant sagement que le feu piétons passe au vert pour traverser. Le tropisme digital du pays ne vient pas de nulle part. Pendant la période soviétique (1940-1991), l’URSS avait choisi l’Estonie pour implanter son Institut Cybernétique, dès les années 1950. Après l’indépendance en 1991, le gouvernement poursuit dans cette direction. Aujourd’hui, 99,6% des transactions bancaires et 99% des démarches administratives se font en ligne – comme les impôts depuis 2000, le mariage depuis 2022, et même le divorce d’ici à la fin de cette année.
Le pays natal de Skype et de Bolt compte aujourd’hui 1500 startups, dont 10 licornes (évaluées à plus d’1 milliard de dollars) et une décacorne (à plus de 10 milliards). Les services numériques et les nouvelles technologies comptent donc parmi les principales ressources économiques de la « Silicon Forrest », avec le bois. Et si l’Estonie excelle en matière de cybersécurité, c’est sans doute aussi dû à une action de Moscou.
DES CYBERATTAQUES MASSIVES EN 2007
Le pays conserve une importante minorité russophone (21,6% en 2024), principalement à l’est, le long de la frontière avec son gigantesque voisin eurasiatique. Début 2007, le gouvernement décide de déplacer une statue monumentale d’un soldat soviétique depuis un lieu central de Tallinn vers un cimetière militaire. Cette décision provoque des émeutes chez les russophones, mais aussi une série de cyberattaques qui marque fortement le pays.
À compter du 27 avril, des dizaines de sites estoniens « tombent », la plupart victimes d’attaques par déni de service distribuées (DDoS en anglais) : les portails des ministères, du Parlement, des banques, des journaux et chaînes de télévision… L’Internet estonien est à terre, mais la petite taille du pays et la familiarité entre les dirigeants des entités attaquées permettent une réponse rapide et coordonnée.
Jamais la Russie n’a reconnu son implication dans cette affaire, et personne n’a pu la certifier. Seul un Estonien russophone a été condamné. Mais cette série de cyberattaques a été abondamment étudiée par des spécialistes du monde entier, chez qui le consensus règne aujourd’hui : elle aurait été « tolérée par le Kremlin, si ce n’est activement coordonnée par ses dirigeants », résume le magazine américain Wired, référence dans le domaine du numérique.
LE MANUEL DE TALLINN ÉCRIT LE DROIT INTERNATIONAL DE LA CYBERGUERRE
En réponse, le gouvernement balte renforce la cybersécurité nationale : ainsi, la vénérable Ligue de défense estonienne, organisation paramilitaire créée en 1918, se dote d’une branche cyberdéfense. Les serveurs gouvernementaux se trouvent aujourd’hui tous en Estonie, avec des sauvegardes au Luxembourg. Et le pays va plus loin : il propose à l’OTAN, que l’Estonie a rejointe en 2004 (la même année que l’Union européenne), d’accueillir un centre d’excellence dédié à la cyberdéfense.
Créé dès mai 2008 à Tallinn, le NATO Cooperative Cyber Defence Centre of Excellence (CCDCoE) rassemble aujourd’hui 39 États, dont 7 ne font pas partie de l’Alliance atlantique (l’Autriche, l’Australie, l’Irlande, le Japon, la Corée du sud, la Suisse et l’Ukraine, candidate en 2021 et accueillie en mars 2022). Parmi les 28 centres d’excellence de l’OTAN, le CCDCoE est celui qui compte le plus de membres.
Progressivement, le CCDCoE réalise pour le droit numérique ce que le Comité international de la Croix-Rouge a initié au XIXème siècle pour le droit international humanitaire avec les Conventions de Genève. Le « Manuel de Tallinn relatif à l’applicabilité du droit international aux cyberopérations » ambitionne ainsi de transposer aux armes cybernétiques les règles de droit international applicables à l’utilisation des armes conventionnelles en période de conflits.
Rédigé, à l’invitation du CCDCoE, par des équipes de juristes volontaires du monde entier, le Manuel de Tallinn devrait publier en 2026 sa troisième révision.
LE « LOCKED SHIELDS », PLUS GRAND EXERCICE DE CYBERDÉFENSE AU MONDE
Depuis 2010, le CCDCoE organise chaque année le Locked Shields (« boucliers verrouillés »), le plus grand exercice de cyberdéfense dans le monde. Une équipe, les Rouges, monte une cyberattaque, mêlant process manuels et automatisés, que des équipes bleues doivent déjouer. La 14ème édition, qui s’est déroulée à Tallinn les 24 et 25 avril, a rassemblé plus de 4000 experts venus de 41 pays.
« L’objectif de l’exercice est d’aider nos nations à développer, en coalition, leurs capacités à faire face aux menaces cyber », explique le directeur du CCDCoE depuis 2022, l’universitaire Mart Noorma, docteur en sciences et technologies et par ailleurs volontaire dans la Ligue de défense estonienne.
Lors de cette dernière édition, les trois équipes ayant marqué le plus de points étaient une composée de Lettons alliés à des agents d’organismes otaniens, une équipe finlando-polonaise, et une franco-estonienne. Un exemple de l’étroite collaboration de nos deux pays, liés depuis mai 2016 par un accord de coopération dans le domaine de la cybersécurité.
LE MÉCANISME DE TALLINN : UN SOUTIEN CYBER À L’UKRAINE
Le 20 décembre 2023, dix pays ont lancé une initiative de soutien à l’Ukraine baptisée Mécanisme de Tallinn : l’Allemagne, le Canada, le Danemark, l’Estonie, les États-Unis, la France, les Pays-Bas, la Pologne, le Royaume-Uni et la Suède.
Là où chaque pays agissait jusque-là au coup par coup de son côté, il s’agit désormais de coordonner et de faciliter « le renforcement des capacités civiles en matière de cybersécurité, afin d’aider l’Ukraine à faire respecter son droit fondamental à la légitime défense dans le cyberespace et de répondre à ses besoins en matière de cyberrésilience à plus long terme », selon le Quai d’Orsay.
Aboutissement d’une réflexion lancée en mai 2023 dans la capitale estonienne, le Mécanisme de Tallinn n’est donc pas une coopération militaire : « Les domaines d’action du Mécanisme se veulent distincts mais complémentaires des efforts visant à renforcer les capacités militaires en matière de cybersécurité et des efforts déployés dans le civil en matière de développement numérique », précise le ministère de l’Europe et des Affaires étrangères français. La dimension militaire, portée depuis avril 2022 par les 54 États membres du groupe de contact sur la défense de l’Ukraine (ou « groupe de Ramstein »), inclut déjà un sous-groupe dédié aux technologies de l’information. L’Estonie le co-pilote avec le Luxembourg.
Outre les dix pays participants au Mécanisme de Tallinn, l’OTAN et l’UE y sont associées en tant qu’observatrices. Un bureau estonien est déjà actif à Kiev, en plus d’un bureau arrière basé à Varsovie. Des entreprises du secteur de la technologie et des ONG du domaine numérique y contribuent aussi.