Allez au contenu, Allez à la navigation

Proposition de résolution sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union

10 avril 2013 : Cyber espace européen ( rapport )

N° 491

SÉNAT

SESSION ORDINAIRE DE 2012-2013

Enregistré à la Présidence du Sénat le 10 avril 2013

RAPPORT

FAIT

au nom de la commission des affaires étrangères, de la défense et des forces armées (1) sur la proposition de résolution européenne de MM. Jacques BERTHOU et Jean-Marie BOCKEL, présentée en application de l'article 73 quinquies du règlement, sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union (E 8076), et sur la stratégie européenne de cybersécurité : un cyberespace ouvert, sûr et sécurisé (référence : JOIN(2013) 1 final),

Par MM. Jacques BERTHOU et Jean-Marie BOCKEL,

Sénateurs

et TEXTE DE LA COMMISSION

(1) Cette commission est composée de : M. Jean-Louis Carrère, président ; MM. Christian Cambon, Jean-Pierre Chevènement, Robert del Picchia, Mme Josette Durrieu, MM. Jacques Gautier, Robert Hue, Jean-Claude Peyronnet, Xavier Pintat, Yves Pozzo di Borgo, Daniel Reiner, vice-présidents ; Mmes Leila Aïchi, Joëlle Garriaud-Maylam, MM. Gilbert Roger, André Trillard, secrétaires ; M. Pierre André, Mme Kalliopi Ango Ela, MM. Bertrand Auban, Jean-Michel Baylet, René Beaumont, Pierre Bernard-Reymond, Jacques Berthou, Jean Besson, Jean-Marie Bockel, Michel Boutant, Jean-Pierre Cantegrit, Luc Carvounas, Pierre Charon, Marcel-Pierre Cléach, Raymond Couderc, Jean-Pierre Demerliat, Mme Michelle Demessine, MM. André Dulait, Hubert Falco, Jean-Paul Fournier, Pierre Frogier, Jacques Gillot, Mme Nathalie Goulet, MM. Alain Gournac, Jean-Noël Guérini, Joël Guerriau, Gérard Larcher, Robert Laufoaulu, Jeanny Lorgeoux, Rachel Mazuir, Christian Namy, Alain Néri, Jean-Marc Pastor, Philippe Paul, Bernard Piras, Christian Poncelet, Roland Povinelli, Jean-Pierre Raffarin, Jean-Claude Requier, Richard Tuheiava, André Vallini, Paul Vergès.

Voir le(s) numéro(s) :

Sénat :

458 (2012-2013)

EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

Depuis déjà plusieurs années, la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat a consacré plusieurs travaux au thème de la cyberdéfense, qui regroupe « l'ensemble des mesures techniques et non techniques permettant à un Etat de défendre dans le cyberespace les systèmes d'information jugés essentiels »1(*).

Après un premier rapport présenté en 2008 par notre ancien collègue M. Roger Romani2(*), un deuxième rapport d'information sur la cyberdéfense, présenté par M. Jean-Marie Bockel, a été adopté à l'unanimité en juillet dernier par votre commission3(*).

Parmi les 10 priorités et les 50 recommandations contenues dans ce rapport, une partie d'entre elles était consacrée au rôle de l'Union européenne.

En effet, même si la cyberdéfense doit demeurer une compétence première des Etats, car elle touche à la souveraineté nationale, il semble toutefois indispensable, s'agissant d'une menace qui s'affranchit des frontières, de renforcer la coopération internationale et européenne.

Or, l'Union européenne a un grand rôle à jouer dans ce domaine puisque la plupart des normes applicables aux opérateurs de télécommunications relèvent de sa compétence.

Notre commission regrettait toutefois dans ce rapport l'absence de réelle stratégie européenne et la dispersion des acteurs européens et, parmi ses principales recommandations, figurait l'élaboration d'une véritable stratégie européenne dans ce domaine.

La communication conjointe de la Commission européenne et de la Haute représentante pour les affaires étrangères et la politique de sécurité, du 7 février dernier, répond directement à ce souhait puisqu'elle propose une stratégie européenne de cybersécurité. C'est la raison pour laquelle votre commission a souhaité s'en saisir directement, au titre de l'article 73 quinquies du Règlement du Sénat, de même que de la proposition de directive sur la sécurité des réseaux et des systèmes d'information de la Commission européenne, qui a été présentée le même jour.

QUEL RÔLE POUR L'UNION EUROPÉENNE EN MATIÈRE DE PROTECTION ET DE DÉFENSE DES SYSTÈMES D'INFORMATION ?

LA MULTIPLICATION DES ATTAQUES CONTRE LES SYSTÈMES D'INFORMATION ET DE COMMUNICATION

Avec le développement de l'Internet et de l'informatique dans tous les secteurs, les moyens d'information et de communication sont devenus de véritables « centres nerveux » de nos sociétés, sans lesquels elles ne pourraient plus fonctionner.

Or, ces dernières années, les attaques contre les systèmes d'information et de communication se sont multipliées, si bien qu'elles représentent aujourd'hui l'une des principales menaces qui pèsent sur notre sécurité nationale.

En effet, il ne se passe pratiquement pas une semaine sans que l'on signale, quelque part dans le monde, des attaques ciblées contre les réseaux de grands organismes publics ou privés.

Récemment, le Président Barack Obama a indiqué qu'il considérait les cyberattaques comme une menace prioritaire pour la sécurité nationale des Etats-Unis, au même rang que le terrorisme ou le programme nucléaire militaire iranien et nord-coréen.

Lors d'une audition devant le Sénat américain, le 12 mars dernier, les directeurs des services de renseignement américains ont multiplié les mises en garde au sujet des cyberattaques et du cyberespionnage, la Chine étant particulièrement montrée du doigt.

Les responsables américains disent aussi craindre un « cyber Pearl Harbor », c'est-à-dire une attaque informatique massive, visant par exemple la fourniture d'électricité, d'énergie ou de transport, qui aboutirait à une paralysie complète du pays, à l'image de l'attaque informatique subie par l'Estonie en 2007, et dont la Russie pourrait être à l'origine.

Notre pays n'est pas épargné par ce phénomène, comme en témoignent les attaques informatiques dont ont fait l'objet le ministère de l'économie et des finances, à la veille de la présidence française du G8 et du G20, fin 2010, ou encore AREVA, pour ne citer que les attaques qui ont été révélées par la presse.

De manière schématique, on peut distinguer quatre types d'attaques informatiques :

- tout d'abord, tout ce qui relève de la cybercriminalité, qui regroupe par exemple l'escroquerie via Internet ou la pédopornographie sur Internet, et qui est en plein essor. Selon la Commission européenne la cybercriminalité ferait plus d'un million de victimes chaque jour dans le monde ;

- Ensuite, les attaques visant à perturber le fonctionnement des systèmes, par une saturation de service : c'est par exemple le cas des attaques du groupe Anonymous visant des sites Internet d'institutions publiques ou privées ;

- troisième type d'attaque, le cyberespionnage, qui se développe considérablement ;

- et, enfin, ce qui est assez nouveau, les attaques informatiques visant à détruire les systèmes.

On connaissait déjà, depuis juin 2010, le cas de STUXNET, ce programme informatique qui aurait été développé par les Etats-Unis et Israël et qui aurait détruit un millier de centrifugeuses de la centrale nucléaire iranienne de Natanz. Mais, en août dernier, deux attaques informatiques d'ampleur ont visé des sociétés du secteur de l'énergie au Moyen Orient, dont le premier producteur mondial de pétrole Saudi Aramco. 30 000 ordinateurs ont été rendus inutilisables lors d'une attaque revendiquée par un groupe terroriste.

D'une manière générale, ces attaques peuvent être menées par des pirates informatiques, des groupes d'activistes, des organisations criminelles, mais aussi par des entreprises concurrentes, voire par d'autres Etats.

Les soupçons se portent souvent vers la Chine ou la Russie, mais ils ne sont vraisemblablement pas les seuls et il est très difficile d'identifier précisément les auteurs de ces attaques.

À l'avenir, on doit s'attendre à une croissance du nombre d'attaques informatiques, en raison du développement du rôle de l'Internet et de l'informatique dans tous les secteurs.

D'ores et déjà, nous connaissons les téléphones portables, les ordinateurs, les tablettes, etc. Mais, demain, la plupart des objets de la vie quotidienne - de la voiture au pacemaker, seront également reliés à l'Internet et donc vulnérables aux attaques informatiques. Selon Cisco, plus de 50 milliards d'objets devraient être connectés à Internet l'horizon 2020 !

Par ailleurs, les risques ne pourront que s'accroître à l'avenir avec des pratiques comme le BYOD (« Bring Your Own Device » consistant à utiliser son ordinateur personnel pour un usage professionnel) ou encore l'informatique en nuage (« cloud computing »), qui consiste à utiliser des serveurs à distance, accessibles par Internet, pour traiter ou stocker de l'information.

Dans son rapport d'information, votre commission considérait donc que la cyberdéfense devrait faire l'objet d'une véritable priorité nationale, portée au plus haut niveau de l'Etat, et elle formulait dix priorités4(*), assorties de 50 recommandations concrètes, dont une partie était consacrée au rôle de l'Union européenne.


* 1 Selon la définition donnée par l'Agence nationale de la sécurité des systèmes d'information.

* 2 Rapport d'information n° 449 (2007-2008) sur la cyberdéfense, présenté par M. Roger Romani, au nom de la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, le 8 juillet 2008.

* 3 Rapport d'information n° 681 (2011-2012) sur la cyberdéfense, présenté par M. Jean-Marie Bockel, au nom de la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, le 18 juillet 2012.

* 4 Voir la liste des dix priorités qui figure en annexe 1 au présent rapport