Une récente visite dans les institutions de l’Union européenne a soulevé la question de l’existence d’une stratégie sans moyens de coercition l’accompagnant. Dit autrement, peut-on définir une stratégie en se privant volontairement d’une volonté offensive ?

source

Étymologiquement, stratégie vient du grec strategos (Στρατηγός) chef d’armées, soit le général qui mène ses armées au combat. Cela signifie donc que la stratégie implique l’existence de moyens militaires et l’acceptation de les engager au combat.

Si l’on suit l’étymologie, la stratégie présuppose l’acceptation de l’affrontement, voire de la lutte ou même du combat.

Stratégie et guerre sont donc intimement liées, comme le soulignait Coutau-Bégarie dans son traité de stratégie.

Si l’on transpose cette réflexion dans le monde de l’entreprise (en amoindrissant la signification du terme stratégie comme le regrettait Coutau-Bégarie), rédiger une stratégie numérique présuppose l’acceptation d’une confrontation dans le cyberespace (en l’espèce celle avec les cybercriminels) et, partant, la mise en œuvre de moyens de protection et de défense. Ce qui implique alors la préparation d’un budget suffisant ainsi que la mise en place d’une équipe dont les rôles sont définis.

À défaut d’accepter l’affrontement ou le combat, la stratégie devient simplement déclaratoire, et les militaires déployés, quelle que soit leur valeur individuelle ou collective, n’agissent pas comme une armée dans la mesure où ils ne portent pas le fer et le feu dans les rangs de leur ennemi.

L’entreprise est confrontée aux mêmes questions, au bémol des modalités de la lutte près (la lutte contre la cybercriminalité ne saurait être une guerre) et en conservant à l’esprit le fait que la légitime défense informatique ne saurait exister, un précédent billet l’explique. L’entreprise n’est pas pour autant désarmée, car elle peut engager une action judiciaire contre ses adversaires, c’est le sens du chapitre réagir à l’attaque dans l’ouvrage L’entreprise, nouveaux défis cyber. Si l’entreprise doit, de son côté, développer ses moyens de protection, de défense et de réaction cyber, l’État qui se veut stratège ou tout simplement dans son rôle, doit développer les capacités d’enquête cyber ainsi que le régime de la preuve cyber qui souffre actuellement de nombreuses faiblesses.

Nous le voyons, la stratégie ne peut être passive, elle se doit d’être et demeurer active. L’Histoire montre d’ailleurs que les stratégies purement défensives ont pu donner l’illusion de l’efficacité à court terme, mais elles ont rarement été efficaces dans le temps long. Toute stratégie doit donc se doter de moyens de coercition, adaptés bien sûr au type d’affrontement envisagé.

La stratégie traduit une volonté, et la volonté ne peut être purement passive.