INTRODUCTION
« (...) un beau matin les hommes découvriront avec surprise que des objets aimables et pacifiques ont acquis des propriétés offensives et meurtrières »
Qiao Liang et Wang Xiangsui
La guerre hors limites, Payot et Rivages, 1999, p.58 .
Mesdames, Messieurs,
Le Livre blanc sur la défense et la sécurité nationale de 2008 avait déjà identifié les attaques contre les systèmes d'information comme l'une des principales menaces qui pèsent sur notre défense et notre sécurité .
D'après les rédacteurs du Livre blanc : « Les moyens d'information et de communication sont devenus les systèmes nerveux de nos sociétés, sans lesquels elles ne peuvent plus fonctionner . Or, le « cyberespace », constitué par le maillage de l'ensemble des réseaux, est radicalement différent de l'espace physique : sans frontière, évolutif, anonyme, l'identification certaine d'un agresseur y est délicate.
La menace est multiforme : blocage malveillant, destruction matérielle (par exemple de satellites ou d'infrastructures de réseau névralgiques), neutralisation informatique, vol ou altération de données, voire prise de contrôle d'un dispositif à des fins hostiles.
Dans les quinze ans à venir, la multiplication des tentatives d'attaques menées par des acteurs non étatiques, pirates informatiques, activistes ou organisations criminelles, est une certitude . Certaines d'entre elles pourront être de grande ampleur » .
Aujourd'hui, le sentiment qui prédomine est que l'ampleur de la menace a été largement sous-estimée.
Comme le relève le document préparatoire à l'actualisation du Livre blanc, publié en février 2012, « depuis 2008, les risques et les menaces qui pèsent sur le cyberespace se sont nettement confirmés , à mesure que celui-ci devenait un champ de confrontation à part entière avec la montée en puissance rapide du cyber espionnage et la multiplication des attaques informatiques en direction des Etats, des institutions ou des entreprises. Les risques identifiés par le Livre blanc comme étant de long terme se sont donc en partie déjà concrétisés et la menace atteint désormais un niveau stratégique » .
Depuis les attaques informatiques massives qui ont frappé l'Estonie en 2007, il ne se passe pratiquement pas une semaine sans que l'on annonce, quelque part dans le monde, une attaque informatique importante contre de grandes institutions, publiques ou privées , qu'il s'agisse de cybercriminalité ou d'espionnage informatique.
La France n'est pas épargnée par ce phénomène , puisque notre pays a été victime de plusieurs attaques informatiques d'envergure, à l'image de l'attaque contre les systèmes d'information du ministère de l'économie et des finances , découverte fin 2010 à la veille de la présidence française du G8 et du G20, ou encore de l'affaire , révélée par la presse, d'espionnage via l'Internet du groupe AREVA .
Tout récemment, la presse a révélé que même la Présidence de la République aurait fait l'objet d'une ou de plusieurs attaque(s) informatique(s) de grande ampleur 1 ( * ) . Pour sa part, votre rapporteur considère que, si ces attaques sont avérées, la Présidence de la République devrait le reconnaître officiellement et communiquer publiquement sur ce sujet car il ne sert à rien de vouloir le cacher ou chercher à minimiser les faits. Au contraire, votre rapporteur considère qu'il serait souhaitable que les grandes institutions qui ont été victimes d'attaques informatiques communiquent publiquement sur le sujet , naturellement une fois que ces attaques ont été traitées. C'est d'ailleurs ce que font les autorités américaines ou britanniques. En effet, c'est à ses yeux le meilleur moyen de sensibiliser les administrations, les entreprises ou les utilisateurs à l'importance de ces enjeux.
Par ailleurs, les révélations du journaliste américain David E. Sanger sur l'origine du virus STUXNET , qui a gravement endommagé des centrifugeuses du site d'enrichissement d'uranium de Natanz, retardant ainsi de quelques mois ou quelques années la réalisation du programme nucléaire militaire de l'Iran, ou encore la découverte récente du virus FLAME , vingt fois plus puissant, laissent présager l'apparition de nouvelles « armes informatiques » aux potentialités encore largement ignorées.
Dans ce contexte, la France est-elle suffisamment préparée pour se protéger et se défendre face aux attaques informatiques ?
Dans un rapport de 2006 remis au Premier ministre, notre ancien collègue député M. Pierre Lasbordes dressait un constat sans complaisance des faiblesses de notre organisation et de nos moyens, notamment au regard de nos partenaires européens les plus proches.
En février 2008, dans un rapport d'information présenté au nom de la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, notre ancien collègue sénateur M. Roger Romani estimait que « la France n'est ni bien préparée, ni bien organisée » face à cette menace .
Depuis 2008, les choses ont beaucoup évolué. Grâce à l'impulsion donnée par le Livre blanc de 2008 , une agence nationale de la sécurité des systèmes d'information a été instituée et notre pays s'est doté d'une stratégie nationale dans ce domaine.
Pour autant, la persistance, voire l'augmentation des attaques informatiques constatées ces dernières années en France semble montrer qu'il reste encore d'importants efforts à accomplir pour renforcer la protection des systèmes d'information des administrations, des entreprises ou des opérateurs d'importance vitale et pour sensibiliser l'ensemble des acteurs.
C'est la raison pour laquelle la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat a jugé utile, à la veille de l'élaboration du nouveau Livre blanc et de la future Loi de programmation militaire, de se pencher à nouveau sur ce sujet et a confié à votre rapporteur en octobre dernier la mission de rédiger un rapport sur la cyberdéfense.
Pour ce faire, votre rapporteur a eu de nombreux entretiens avec les principaux responsables chargés de la protection et de la défense des systèmes d'information au sein de l'Etat, des services de renseignement et des armées, avec des représentants des entreprises ou des experts 2 ( * ) .
Afin d'avoir une vue comparative, votre rapporteur s'est également rendu aux Etats-Unis, au Royaume-Uni, en Allemagne et en Estonie, ainsi qu'à Bruxelles au siège de l'OTAN et auprès des institutions européennes, pour mesurer le rôle de l'OTAN et de l'Union européenne sur ce dossier.
A cet égard, votre rapporteur tient à remercier l'ensemble des personnalités rencontrées en France ou à l'étranger, pour leur disponibilité et leur aide précieuse dans l'élaboration de ce rapport.
Votre rapporteur exprime aussi sa gratitude aux Ambassadeurs de France et à leurs collaborateurs de nos représentations diplomatiques à Washington, à Londres, à Berlin, à Tallin et à Bruxelles, auprès de l'OTAN et de l'Union européenne, pour leur soutien dans l'organisation et le bon déroulement de ses déplacements, ainsi qu'au German Marshall Fund , pour son aide dans l'organisation de sa visite aux Etats-Unis.
Après avoir présenté un rapport d'étape devant votre commission 3 ( * ) , votre rapporteur a souhaité donner dans ce rapport une vue aussi complète et objective que possible de l'état de la menace et des efforts réalisés par nos partenaires pour y faire face , afin de mesurer l'efficacité du dispositif mis en place par notre pays, ses lacunes éventuelles et les moyens d'y remédier .
Dans l'optique de l'élaboration du nouveau Livre blanc, votre rapporteur a également pensé utile de formuler des priorités et des recommandations concrètes pour renforcer notre dispositif.
En effet, comme l'indique la lettre de mission adressée par le Président de la République, le 13 juillet dernier, à M. Jean-Marie Guehenno, relative à la constitution de la commission chargée de rédiger le nouveau Livre blanc sur la défense et la sécurité nationale, parmi les principales menaces susceptibles de peser sur la sécurité nationale dans les quinze à vingt années à venir figurent les attaques contre les systèmes d'information, d'origine étatique ou non. Pour le Président de la République, il convient donc d'en tenir compte dans le cadre des réflexions qui devraient déboucher sur l'élaboration d'un nouveau Livre blanc au début de l'année 2013.
Mais, avant toute chose, que faut-il entendre par « cyberdéfense » ?
On entend souvent employer indistinctement les termes de « cybersécurité » , de « cybercriminalité » , voire de « cyberguerre » .
Aux yeux de votre rapporteur, la « cyberdéfense » est une notion complémentaire de la « cybersécurité » , qui englobe la protection des systèmes d'information, la lutte contre la cybercriminalité et la cyberdéfense.
Pour reprendre la définition de l'agence nationale de sécurité des systèmes d'information, elle désigne l' « ensemble des mesures techniques et non techniques permettant à un Etat de défendre dans le cyberespace les systèmes d'information jugés essentiels » .
Elle se distingue en particulier de la lutte contre la « cybercriminalité » , qui recouvre un champ très vaste et que votre rapporteur a volontairement choisi d'écarter de sa réflexion pour se concentrer sur les attaques informatiques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation et les moyens de s'en protéger.
I. LES ATTAQUES CONTRE LES SYSTÈMES D'INFORMATION : UNE MENACE STRATÉGIQUE QUI S'EST CONCRÉTISÉE ET ACCENTUÉE AU COURS DE CES DERNIÈRES ANNÉES
Avec le développement considérable de l'Internet et des nouvelles technologies, les systèmes d'information et de communication occupent désormais une place centrale dans le fonctionnement nos sociétés. Or, il apparaît aujourd'hui que le développement des systèmes d'information et de communication et leur interconnexion croissante, dans toutes les formes d'activités, ont souvent été réalisés au détriment des exigences de sécurité qui constituent en la matière une contrainte incontestable.
Comme le rappelle M. Roger Romani dans son excellent rapport, « la vulnérabilité des réseaux informatiques n'est pas une préoccupation récente. C'est en 1988 que le premier « ver » informatique est apparu sur l'Internet qui connaissait alors ses premiers développements. Depuis lors, particuliers, entreprises ou institutions se sont familiarisés avec le risque de propagation de « virus » altérant, parfois gravement, le fonctionnement des systèmes informatiques, ou encore la prolifération des courriers électroniques indésirables, les spams, dont certains visent à obtenir frauduleusement les identifiants de connexion ou les coordonnées bancaires de l'utilisateur »
Par rapport à d'autres modes d'action, comme l'espionnage ou la destruction physique, le recours à une attaque informatique présente de nombreux avantages, car il s'avère moins risqué , moins coûteux et beaucoup plus discret , l'identification de son auteur étant extrêmement difficile. Par ailleurs, il est complexe de se protéger contre les attaques informatiques, car les techniques évoluent sans cesse et il n'existe pas de parade absolue dans le « cyberespace ». Autre difficulté, la sécurité informatique est largement dépendante des comportements des utilisateurs des systèmes d'information, qui considèrent souvent les règles de sécurité comme autant de contraintes.
Si les risques soulevés par la « cybercriminalité » sur l'économie avaient déjà été identifiés depuis longtemps, la perception d'un risque pesant plus particulièrement sur la sécurité des Etats est plus récente.
Elle recouvre principalement deux types de préoccupations. La première porte sur les services essentiels au fonctionnement du pays ou à sa défense , tributaires de systèmes d'information qui pourraient être visés par des attaques tendant à les paralyser. La seconde concerne la protection des informations sensibles du point de vue politique, militaire ou économique, face à des techniques d'intrusion informatique de plus en plus sophistiquées.
Avant de tenter de dresser une typologie des attaques informatiques, des méthodes utilisées et des cibles potentielles, votre rapporteur a souhaité revenir brièvement sur plusieurs affaires, ailleurs dans le monde et en France, qui ont mis en lumière l'importance prise aujourd'hui par les attaques contre les systèmes d'information.
A. DE TALLIN À TÉHÉRAN : AUCUN PAYS N'EST AUJOURD'HUI À L'ABRI DES ATTAQUES INFORMATIQUES
Ces dernières années, un grand nombre d'organisations, d'Etats ou d'entreprises partout dans le monde ont été victimes d'attaques informatiques.
Votre rapporteur a souhaité illustrer ces attaques par trois exemples qui montrent bien la très grande diversité des cibles et des méthodes utilisées.
1. Le cas de l'Estonie : une perturbation massive de la vie courante d'un pays
Les attaques informatiques ont constitué l'une des manifestations de la crise survenue en Estonie à la fin du mois d'avril 2007 , à la suite de la décision des autorités de déplacer le monument érigé en souvenir des combattants de l'armée soviétique qui avaient mis fin à l'occupation allemande en 1944, du centre de la capitale vers un cimetière militaire. Cette décision fut vigoureusement contestée par le gouvernement russe, et en Estonie même, par la communauté russophone qui représente près de 30 % de la population.
Le 27 avril 2007, au lendemain du déplacement du monument, démarrait une vague d'attaques informatiques visant les sites Internet gouvernementaux et publics, ceux des opérateurs de téléphonie mobile, des banques commerciales et des organes d'information .
Ces attaques par « déni de service distribué » ( Distributed denial of service - DDoS ) visaient à saturer, par une multitude de demandes de connexions simultanées, les sites concernés . Ceux-ci se trouvaient de ce fait inaccessibles. Les perturbations se sont poursuivies pendant près d'un mois et demi, mais elles ont culminé le 9 mai, journée au cours de laquelle 58 sites furent rendus indisponibles, certains d'entre eux ayant fait l'objet de plus de 5 millions de tentatives de connexions par seconde.
Il faut savoir que l'Estonie figure parmi les pays du monde dans lesquels l'usage de l'Internet est le plus répandu, beaucoup de services n'étant accessibles qu'en ligne, notamment les services bancaires (95 % des opérations bancaires s'effectuent par communication électronique).
Si ces attaques n'ont pas directement porté atteinte aux systèmes informatiques internes du gouvernement ni à ceux du secteur privé, et notamment des banques, elles ont perturbé de manière spectaculaire le fonctionnement de la vie courante du pays , en privant les usagers de l'accès à certains services en ligne essentiels.
Elles ont également surpris par leur soudaineté, leur ampleur et leur caractère coordonné, ce qui conduit à exclure la seule action d'individus isolés agissant par motivation politique et utilisant des moyens disponibles sur certains sites Internet.
La particularité de telles attaques est qu'il est très difficile d'en identifier les commanditaires . En effet, la technique utilisée pour ces attaques est celle des « réseaux de machines zombies » ( botnets ) constitués d'ordinateurs compromis à l'insu de leur propriétaire, et contrôlés par l'auteur de l'attaque. On ne peut donc en aucun cas se fier à la provenance apparente des envois, puisqu'ils émanent d'ordinateurs qui échappent au contrôle de leur utilisateur légitime.
Le contexte politique et le fait qu'un grand nombre de communications provenaient de Russie ont conduit les autorités estoniennes à évoquer une action menée par les services de renseignement russes, ce que Moscou a immédiatement démenti. L'Estonie a d'ailleurs sollicité l'aide de la Russie pour identifier la provenance de ces attaques mais elle s'est heurtée à une fin de non recevoir de la part de Moscou. Seul un jeune étudiant estonien russophone a été identifié comme ayant pris part aux attaques et condamné.
Le cas estonien illustre bien l'utilisation qui peut être faite de l'attaque par déni de service à titre d'intimidation ou de représailles dans un contexte de tensions politiques.
Votre rapporteur avait déjà eu l'occasion, en tant que Secrétaire d'Etat à la Défense, de rencontrer les membres du gouvernement estonien au printemps 2008, dans le cadre de la préparation de la présidence française de l'Union européenne, et il avait pu se rendre compte du profond traumatisme de la population à la suite de cette attaque.
Lors d'un déplacement à Tallin, le 28 mai 2012, à l'occasion de la session de printemps de l'assemblée parlementaire de l'OTAN, votre rapporteur a pu mesurer l'importance accordée à la cyberdéfense par les autorités estoniennes depuis cette affaire . Le Président de la République et le ministre estonien de la défense ont, en effet, consacré une part importante de leur intervention devant l'assemblée parlementaire de l'OTAN à cette question et notamment au rôle de l'OTAN en matière de cyberdéfense.
Votre rapporteur a pu également s'entretenir avec le secrétaire général du ministère de la défense estonien, ainsi qu'avec le directeur de l'agence estonienne pour la sécurité des systèmes d'information.
Dès 2008, l'Estonie s'est dotée d'une stratégie de cyberdéfense et a créé une agence nationale de la sécurité des systèmes d'information. Cette agence, qui dépendait auparavant du ministère de la défense, mais qui est aujourd'hui placée sous l'autorité du ministère de l'économie et des communications, et qui compte 80 personnes, exerce un rôle opérationnel, joue un rôle de planification et de supervision. Ses attributions ont été renforcées en juin 2011. 142 entreprises ou opérateurs d'importance stratégiques ont été identifiés et la législation estonienne prévoit l'obligation, sous peine d'amende, pour ces entreprises ou opérateurs, de notifier les incidents informatiques importants à l'agence. L'agence est également chargée d'aider les différentes administrations à renforcer la protection de leurs systèmes d'information et émet des recommandations et des conseils.
Les autorités estoniennes attachent aussi une grande importance à la coopération internationale. L'agence estonienne et l'agence nationale française de sécurité des systèmes d'information ont d'ailleurs signé en 2010 un accord de coopération.
* 1 Voir l'article de M. Jean Guisnel, « Cyber-attaques. L'appareil d'Etat visé », Le télégramme, 11 juillet 2012
* 2 La liste des personnalités rencontrées figure en annexe au présent rapport
* 3 Voir la communication de votre rapporteur devant la commission des affaires étrangères, de la défense et des forces armées du Sénat en date du 22 février 2012