C. UNE AMORCE DE COOPÉRATION INTERNATIONALE
Les attaques informatiques s'affranchissent des frontières et peuvent être dirigées simultanément contre plusieurs Etats. La surveillance des réseaux et la mise au point des réactions en cas d'incident justifie une coopération et une assistance internationales. De manière plus générale, la protection des systèmes d'information face aux activités illégales constitue aujourd'hui une préoccupation commune à de nombreux Etats.
Plusieurs organisations multilatérales ont mis la sécurité des systèmes d'information à l'ordre du jour de leurs travaux.
L'ONU a adopté plusieurs documents concernant les technologies de l'information et de la communication et leurs aspects relatifs à la sécurité.
L'Union internationale des télécommunications (UIT) a organisé, en liaison avec l'Assemblée générale des Nations unies et sur deux sessions qui se sont déroulées en 2003 et 2005, le sommet mondial sur la société de l'information, au cours duquel a été abordée la question de la gouvernance de l'internet. L'UIT travaille à l'établissement d'un cadre international pour la promotion de la cybersécurité (Programme mondial cybersécurité ) et vient de créer un groupe d'experts de haut niveau chargé de proposer une stratégie à long terme englobant les mesures légales, les mesures techniques visant à remédier aux failles des produits logiciels, ainsi que la prévention et la détection des attaques informatiques et la gestion de crise,
L'OCDE et le G8 mènent également des travaux sur le sujet.
Votre rapporteur évoquera plus précisément les coopérations opérationnelles entre structures d'alerte et d'assistance, ainsi que les actions menées dans le cadre de l'OTAN et de l'Union européenne.
1. La coopération opérationnelle des structures d'alerte et d'assistance (CERT)
Comme on l'a précédemment indiqué, un très grand nombre de pays ont mis en place des CERT ( Computer emergency response team ), structures permanentes d'alerte et d'assistance chargées d'assurer, pour le compte des organismes qui s'y sont rattachés (administrations, centres de recherche, entreprises), une double mission d'information sur les vulnérabilités, les menaces en cours et les moyens d'y parer, et d'assistance en vue de résoudre les incidents.
Dès 1990, l'utilité de procéder à des échanges entre les différents CERT a été reconnue, avec la création d'une enceinte internationale , le Forum of incident response and security teams ( FIRST ).
Le FIRST a pour buts de favoriser la coopération entre les équipes pour prévenir, détecter et rétablir un fonctionnement nominal en cas d'incident de sécurité informatique, de fournir un moyen de communication commun pour la diffusion de bulletins et d'alertes sur des failles potentielles et les incidents en cours, d'aider au développement des activités de ses membres en matière de recherche et d'activités opérationnelles, et de faciliter le partage des informations relatives à la sécurité, des outils, des méthodes et des techniques. Il organise une conférence annuelle internationale consacrée au traitement des incidents de sécurité et aux échanges d'expérience et d'expertise dans ces domaines.
Aujourd'hui, le FIRST fédère près de 200 CERT répartis de par le monde .
Une enceinte spécifique, l' EGC ( European Government Computer Security Incident Response Teams ), a été créée par certains pays européens pour regrouper leurs structures gouvernementales. Le CERTA, CERT gouvernemental français, y participe avec ses homologues allemand, britannique, néerlandais, suisse, suédois, finlandais et norvégien.
L'EGC a pour but d'encourager le développement conjoint des mesures pour résoudre des incidents de sécurité de grande ampleur et de faciliter le partage d'informations et les échanges technologiques concernant les incidents de sécurité informatique, les menaces liées à des codes malveillants ainsi que les vulnérabilités des systèmes d'informations. L'EGC s'efforce également d'identifier des domaines de compétences spécialisés et d'expertise qui peuvent être partagées au sein du groupe, ainsi que des projets de coopération en matière de recherche et développement.
D'après les indications de l'Agence européenne de la sécurité des réseaux et de l'information (ENISA), seuls huit pays membres de l'Union européenne disposaient d'un CERT gouvernemental en 2005. Leur nombre s'élève à 14 actuellement et la quasi-totalité des pays membres devraient être dotés d'un CERT gouvernemental d'ici un à deux ans.
2. Une nouvelle priorité de l'OTAN
Le thème de la cyberdéfense a retenu l'attention de l'OTAN dès le sommet de Prague, en 2002, dont la déclaration finale préconisait un renforcement des capacités de l'Alliance contre les attaques informatiques.
L'OTAN s'est préoccupée dans un premier temps de la protection de ses propres systèmes d'information et de communication, et elle a mis en place à cet effet une structure spécifique ( Nato computer incident response capability - NCIRC ).
Les évènements survenus en Estonie au printemps 2007 ont amené l'OTAN à s'interroger sur son rôle, en tant qu'alliance défensive, en cas d'attaque contre l'un de ses membres.
Les réflexions menées depuis lors ont abouti à l'élaboration d'un concept de cyberdéfense de l'OTAN qui a été approuvé en début d'année 2008. Lors du sommet de Bucarest, au mois d'avril dernier, les chefs d'Etat et de gouvernement de l'Alliance ont souligné « la nécessité pour l'OTAN et pour les pays de protéger les systèmes d'information clés conformément à leurs responsabilités respectives, de mettre en commun les meilleures pratiques, et de mettre en place une capacité visant à aider, sur demande, les pays de l'Alliance à contrer les cyberattaques ».
Cette politique de cyberdéfense vise tout d'abord à renforcer la sécurité des systèmes d'information de l'Alliance , grâce à l'amélioration des normes et des procédures de sécurité, et à une gestion plus centralisée.
Elle a également pour objectif de renforcer la capacité de l'OTAN à coordonner l'assistance aux alliés subissant une attaque informatique d'importance, le cas échéant à l'aide d'équipes projetables .
Le partage des responsabilités entre l'OTAN et les nations, qui conservent la charge de la protection de leurs propres systèmes d'information, a été défini de manière à bien délimiter le périmètre des systèmes à partager.
L'OTAN prévoit de créer une autorité chargée de la cyberdéfense ( NATO Cyber Defense Management Authority - CDMA ) qui constituera le point central pour la coordination de la politique de l'Alliance et l'analyse des besoins, en regroupant l'ensemble des compétences en la matière.
Par ailleurs, huit pays alliés 3 ( * ) ont décidé de contribuer à la création d'un centre d'excellence sur la cyberdéfense rattaché à l'OTAN. Constitué à partir d'une capacité estonienne déjà existante, ce centre situé à Tallin et inauguré à la fin du mois de mai dernier est constitué d'une trentaine d'experts provenant des pays impliqués. Ce centre n'a pas de vocation opérationnelle. Son objectif est de réunir au profit de l'Alliance l'expertise en matière de risques cybernétique, d'élaboration d'une doctrine, de retour d'expérience et de formation d'experts.
Il faut noter que la France a largement participé au processus de définition de la politique de cyberdéfense de l'OTAN qui, en moins d'un an, aura permis de définir un concept global et de le décliner en une organisation cohérente.
3. L'action encore lacunaire de l'Union européenne
Les instances européennes ont adopté de nombreux documents d'orientation et programmes intéressant directement ou indirectement la sécurité des systèmes d'information. Pour la période récente, on peut citer : la stratégie dite « i2010 » (« Une société de l'information pour la croissance et l'emploi ») exposée dans une communication de la Commission européenne du 1 er juin 2005, et qui confirme l'importance de la sécurité des réseaux ; la communication de la Commission du 31 mai 2006, intitulée « Une stratégie pour une société de l'information sûre - dialogue, partenariat et responsabilisation », qui propose notamment une évaluation comparative des politiques nationales relatives à la sécurité des réseaux et de l'information ; la communication de la Commission du 12 décembre 2006 sur un programme européen de protection des infrastructures critiques qui préconise une approche européenne commune de la sécurité de ces infrastructures et inclura nécessairement les préoccupations liées aux systèmes d'information.
On peut observer que ces documents fixent des objectifs très généraux, mais ne paraissent pas encore en mesure de se traduire rapidement par des initiatives concrètes.
L'Union européenne dispose cependant d'un instrument spécialisé à travers l'Agence européenne chargée de la sécurité des réseaux et de l'information, l' ENISA ( European Network and Information Security Agency ), créée en 2004 avec un mandat initial d'une durée de cinq ans.
Installée à Heraklion, en Crète, l'ENISA s'est vue assigner des missions très vastes : conseiller et assister la Commission et les États membres en matière de sécurité de l'information et les aider, en concertation avec le secteur, à faire face aux problèmes de sécurité matérielle et logicielle ; recueillir et analyser les données relatives aux incidents liés à la sécurité en Europe et aux risques émergents ; promouvoir des méthodes d'évaluation et de gestion des risques afin d'améliorer notre capacité de faire face aux menaces pesant sur la sécurité de l'information ; favoriser l'échange de bonnes pratiques en matière de sensibilisation et de coopération avec les différents acteurs du domaine de la sécurité de l'information, notamment en créant des partenariats entre le secteur public et le secteur privé avec des entreprises spécialisées; suivre l'élaboration des normes pour les produits et services en matière de sécurité des réseaux et de l'information.
L'ENISA a fait l'objet d'une évaluation externe demandée par la Commission qui en a publié le résultat en juin 2007. Le groupe d'experts externe a conclu que les activités de l'ENISA paraissaient « insuffisantes pour atteindre le niveau élevé d'impact et de valeur ajouté espéré » et que sa visibilité était en dessous des attentes. L'évaluation recense divers handicaps liés à son organisation, aux ambiguïtés du mandat originel, à sa localisation éloignée, à l'effectif et à la rotation importante du personnel, aux relations difficiles entre le conseil d'administration et la direction de l'agence. Elle souligne un risque d'affaiblissement rapide et de perte de réputation si l'efficacité n'était pas améliorée.
Une proposition de règlement prévoit la prolongation à l'identique du mandat de l'ENISA jusqu'en 2011, date à laquelle son avenir devrait être réexaminé.
Cette perspective de réorganisation témoigne des interrogations qui subsistent sur les missions et l'action de l'ENISA au service des objectifs poursuivis par l'Union européenne.
Le Livre blanc sur la défense et la sécurité nationale rendu public le 17 juin dernier souligne à cet égard que « l'efficacité de l'agence européenne ENISA devra également être très notablement accrue », notamment pour permettre à la Commission européenne de mettre en place un volet « sécurité des systèmes d'information » dans toutes les réalisations des institutions européennes.
Par ailleurs, le Livre blanc juge indispensable de renforcer la coopération opérationnelle au sein de l'Union européenne, afin qu'elle soit la plus réactive possible entre Etats membres face aux attaques contre les systèmes d'information.
La France proposera également que la Commission impose aux opérateurs des règles de durcissement des réseaux et des procédures destinées à en accroître très fortement la résilience.
* 3 Allemagne, Espagne, Estonie, Finlande, Italie, Lettonie, Lituanie et Slovaquie.