Les papiers arrivent les uns après les autres. Pas des rapports interminables, mais des bulletins courts, des flashes d’alerte, des fragments de réalité qui se contredisent. Une information venue d’un média. Une autre d’un réseau social. Une note institutionnelle qui dit presque l’inverse. Dans une salle institutionnelle à Bruxelles, une trentaine de participants tentent de comprendre ce qui se joue. Ils n’ont pas d’ordinateur. Ils peuvent parler, s’isoler quelques minutes dans des bureaux attenants, convoquer des réunions… mais ils ne sortiront pas de cette pièce. Et à chaque nouvelle information, le scénario change de visage. Pendant une journée, de 9h à 18h, les participants ont été plongés dans une simulation de crise cyber européenne.
Ce qui ressemblait d’abord à une attaque informatique contre des hôpitaux devient peut-être une opération terroriste. Ou une manœuvre d’un État hostile. Ou une attaque économique destinée à fragiliser des entreprises européennes. Ou tout cela à la fois. Et c’est précisément l’objectif de l’exercice : faire vivre, presque physiquement, le brouillard de la crise hybride. Laurent Duperray, diplômé de l’Institut des hautes études de défense nationale (IHEDN), est dans la pièce. Invité dans le cadre d’un exercice avancé de cyberdiplomatie organisé à Bruxelles, à la Commission européenne, il participe au scénario Tracks of Influence, inscrit dans le programme Cyber Diplomacy Advanced du European Security and Defence College, avec l’IHEDN côté français et l’Instituto da Defesa Nacional côté portugais. Sur le papier, tout est fictif. Dans la salle, beaucoup moins. “On nous met dans une situation où on ne sait pas du tout ce qu’il se passe. Nous sommes observés avec l’idée d’analyser nos réactions, notre façon de réfléchir, ce qui pousse aux prises de décision”, raconte-t-il.
Des hôpitaux pour première cible
Le scénario commence par les hôpitaux. Plusieurs établissements, dans trois pays européens, sont touchés simultanément par une attaque informatique. Pas de petits centres isolés, mais de grands hôpitaux, capables d’absorber des crises lourdes. Le signal est volontairement inquiétant. Une cyberattaque contre un hôpital, ce n’est déjà plus seulement un problème de serveurs. C’est une question de soins, de vies humaines, de continuité de l’action publique, de confiance. “Cela a été une première surprise, on s’attendait que ce soit l’énergie qui soit touchée en premier, pas les hôpitaux. C’était déconcertant… et c’est exactement ce qui était souhaité.”
D’abord, les participants identifient une attaque informatique de type déni de service. Puis les informations se compliquent. Les infrastructures des hôpitaux semblent plus largement visées. Des communiqués arrivent par vagues. Médias, radio, télévision, réseaux sociaux : tout le paysage informationnel se met à parler en même temps. Toutes les deux heures environ, une nouvelle annonce tombe sur la table. Et ces communiqués ne racontent jamais tout à fait la même histoire.
Une tension croissante et la question critique de la confiance
“À chaque fois, ça montait un peu plus dans les tours”, se souvient Laurent Duperray. Une fois, la piste terroriste est évoquée. Une autre fois, les signaux pointent vers un pays proche de la Russie. Plus tard, une hypothèse de guerre économique entre acteurs industriels surgit. Puis la rumeur se transforme encore. L’enjeu n’est pas seulement de savoir qui attaque, mais de tenir dans l’espace instable qui précède toute certitude.
Dans une crise cyber, le premier réflexe serait de chercher l’origine de l’attaque. Qui ? Pourquoi ? Comment ? Mais l’exercice montre autre chose : avant même d’attribuer, il faut survivre à la confusion. C’est là que tout se joue. Le premier service touché n’est jamais seulement l’hôpital, l’eau ou l’énergie, c’est la confiance. Confiance dans les informations qui arrivent. Confiance dans les institutions qui les vérifient. Confiance dans les alliés. Confiance dans les médias qui relaient. Confiance enfin dans les industriels qui ont conçu les systèmes attaqués. “C’est ce que l’adversaire cherche à briser. Pas seulement les réseaux, mais la capacité collective à comprendre.”
La crise change de visage
À mesure que les heures passent, la salle devient elle-même un champ de bataille. Les décisions ne dépendent plus seulement des données techniques. Elles dépendent des perceptions, des intérêts, des temporalités nationales, des réflexes de communication. Les industriels présents dans la simulation défendent leurs emplois, leurs brevets, leurs marchés. Les institutions européennes demandent des données vérifiées avant d’agir, appellent à temporiser pour y voir plus clair. Certains États veulent accélérer la riposte ; d’autres sont d’avantage attentistes. Les juristes rappellent les seuils du droit international. Les diplomates cherchent une formulation commune. Les techniciens veulent une attribution propre avant tout communiqué.
Très vite, un constat : “à plusieurs, ça devient vite une cacophonie mais il faut garder la discussion ouverte avec tout le monde”, résume Laurent Duperray. Cacophonie, le mot est juste. Parce que la crise hybride ne ressemble pas à une attaque linéaire avec un coupable évident. Elle ressemble à une superposition de pressions qui viennent brouiller les repères et fracturer les réponses. Après les hôpitaux, c’est autour de l’eau d’être touchée. Puis viennent les rumeurs d’attaque terroriste imminente. Des mouvements de troupes se masseraient aussi aux frontières à l’est de l’Europe, mais est-ce réel ? Des messages s’accumulent sur les réseaux. Les informations se succèdent avec assez de vraisemblance pour faire hésiter, assez d’incertitude pour faire paniquer.
Le but n’est pas d’additionner des catastrophes. Le but est de tester la résistance d’une décision collective à l’urgence brute. Qu’est-ce qu’on fait quand les signaux sont contradictoires ? Qu’est-ce qu’on dit publiquement ? Qui parle ? Qui attend ? Qui vérifie ? Qui temporise ? Et surtout : à partir de quel moment la prudence devient-elle de l’inaction, ou l’empressement une faute ?
Le cyber avant la diplomatie
Pour Laurent Duperray, c’est là que se situe le cœur de l’exercice : “la question, c’est quand le cyber vient avant la diplomatie. Autrement dit, que se passe-t-il lorsque des diplomates, des responsables institutionnels, des profils techniques, des industriels et des acteurs publics doivent répondre ensemble à une crise dont personne ne maîtrise encore tous les paramètres ?”
La réponse n’a rien d’évident. Les profils techniques veulent comprendre les mécanismes de l’attaque. Les institutions veulent respecter les protocoles. Les industriels regardent aussi les conséquences économiques : emplois, brevets, marchés, cours de Bourse, possibles rachats d’entreprises fragilisées. Les diplomates, eux, doivent maintenir les canaux de discussion, éviter l’emballement, chercher une lecture commune. Et plus la salle avance, plus on sent que la question n’est pas seulement d’avoir raison. C’est de garder une ligne commune assez longtemps pour que la crise n’échappe pas au cadre politique.
À cet instant, la diplomatie reprend du sens. Pas comme décor. Pas comme art du communiqué. Comme discipline de ralentissement. Ralentir l’envie d’agir avant d’avoir compris. Ralentir la prise de parole avant d’avoir vérifié. Ralentir l’escalade avant d’en avoir mesuré le prix. C’est ingrat, parce que ralentir, dans une époque qui valorise la réaction immédiate, donne souvent l’impression de ne rien faire. Mais c’est peut-être l’acte le plus stratégique de tous.
L’exercice le rend très concret : face à un adversaire qui mise tout sur l’accélération, le premier geste intelligent consiste à reprendre la main sur le tempo. Ce n’est pas une posture de passivité. C’est une manière de refuser d’être aspiré dans la séquence que l’autre a écrite à votre place.
Quand l’exercice bascule
Puis l’exercice bascule. Laurent Duperray et trois autres participants sont convoqués à part, dans un bureau. On leur annonce que leur rôle change. Ils ne doivent plus soutenir la réponse cyberdiplomatique européenne. Ils deviennent des acteurs étrangers, chargés de récupérer du renseignement, d’exploiter les failles, et surtout de pousser la crise vers l’escalade. Objectif : obtenir l’engagement de l’OTAN, en forçant le débat autour de l’article 5, celui où on active la défense collective.
Les quatre “traîtres” doivent agir de façon discète mais efficace. L’un parlera aux médias. Un autre aux acteurs industriels. Laurent Duperray, lui, doit analyser les forces et les faiblesses des pays représentés autour de la table. Qui peut être convaincu ? Qui peut être fragilisé ? Qui peut servir de relais ? “Ma tâche à moi, c’était d’analyser les forces et les faiblesses de tous les pays présents autour de la table, et de voir par qui on pouvait cibler des personnes, en complément des médias, pour arriver à faire plier”, raconte-t-il.
Vu de l’extérieur, cela ressemble à un jeu. Vu de l’intérieur, les participants prennent vite la simulation au sérieux. Parce qu’une fois qu’on a tenu, le temps de quelques heures, le rôle de celui qui cherche à sauver l’Europe – ou à la faire trébucher –, on ne regarde plus jamais une crise diplomatique de la même façon. On comprend à quel point une délégation fatiguée, mal renseignée ou politiquement isolée peut être amenée, sans mauvaise intention, à pousser tout le monde vers la sortie de secours la plus dangereuse.
L’OTAN, ligne rouge ou levier ?
C’est là que la simulation touche au plus sensible. L’article 4 du Traité de l’Atlantique Nord permet à un allié de demander des consultations lorsqu’il estime sa sécurité menacée. L’article 5, c’est la défense collective : une attaque contre un, une attaque contre tous. Une cyberattaque combinée à des opérations d’influence, frappant des infrastructures critiques de plusieurs États membres, peut-elle franchir ce seuil ? L’exercice qui a été mené à Bruxelles ne cherche pas à donner une réponse ferme et définitive. Il cherche à faire vivre la question.
Pour Laurent Duperray, “il s’agit de comprendre comment une opération d’influence, combinée à une attaque cyber, peut forcer une prise de position politique, accélérer une dynamique d’escalade, diviser les Européens et transformer une crise cyber en crise politico-militaire”, résume-t-il.
Le mot est important : transformer. Personne, dans la salle, n’a vraiment décidé d’aller vers l’escalade. Mais à force d’informations contradictoires, de pression médiatique fabriquée, de divisions exploitées, l’escalade devient parfois l’option qui demande le moins d’effort. C’est précisément ce qu’un adversaire hybride cherche : non pas vous faire choisir la guerre, mais faire en sorte que tout vous y pousse, comme par défaut.
Une inertie qui a parfois du bon
À la fin du scénario, les rôles sont révélés. Les “traîtres”, ont fini par “retourner” deux États à leur avis. Mais, la bascule générale n’a pas eu lieu, l’article 5 n’a pas été voté. Pourquoi ? Parce qu’une institution, à un moment, a refusé d’avancer plus vite. Au nom du protocole. Au nom du droit. Au nom de la preuve. Cette inertie-là, dont on se moque souvent quand on parle des institutions européennes, s’est révélée être autre chose qu’une lourdeur administrative. Elle est apparue pour ce qu’elle est : une protection.
Dans une crise hybride, aller vite n’est pas toujours agir juste. C’est même souvent l’inverse. L’adversaire mise précisément sur la rapidité, sur l’émotion, sur la décision avant la vérification. L’institution qui ralentit, qui demande une preuve de plus, qui exige un vote, qui veut une déclaration commune avant un communiqué national, peut devenir un garde-fou décisif. C’est sans doute la leçon la moins glamour de l’exercice. Et probablement la plus précieuse.
Rester calme et cohérent
Quand la journée s’achève, les hôpitaux fictifs rallument leurs serveurs fictifs. Les médias inventés cessent de tweeter. Les troupes virtuelles rentrent dans leurs casernes inexistantes. Mais quelque chose, dans la salle, ne s’efface pas. La certitude que la prochaine grande crise européenne ne commencera pas forcément par un missile. Elle commencera peut-être exactement comme cet exercice. Par des hôpitaux stratégiques qui tombent. Par un flash radio. Par un message contradictoire. Par une délégation fatiguée. Par une opinion publique qui doute, stimulée par des réseaux sociaux en roue libre. Par une question simple, posée à un moment où plus personne n’a envie de la poser calmement : qu’est-ce qu’on fait maintenant ?
Ce que la salle a appris, ce jour-là, ce n’est pas à éviter la crise. C’est à ne pas paniquer dedans. Et, peut-être, à reconnaître à temps le moment où quelqu’un, autour de la table, est en train – méthodiquement, stratégiquement, parfois même sans cynisme apparent – de vous pousser vers la mauvaise porte.
Dans un continent où la guerre hybride n’est plus une hypothèse abstraite mais une grammaire politique, ce type d’exercice n’a rien d’un luxe institutionnel. Il sert à répéter l’essentiel : qualifier les faits, partager l’information, protéger les services essentiels, tenir ensemble malgré le brouillard. En somme, apprendre à rester cohérent quand tout pousse à l’escalade.