4. Les mesures prises par les différents ministères : l'exemple du ministère de la défense
La création de l'ANSSI a modifié sensiblement le paysage institutionnel français de la sécurité des systèmes d'information.
Si le Secrétaire général de la défense et de la sécurité nationale reste chargé, au nom du Premier ministre, du pilotage de la politique nationale en matière de sécurité des systèmes d'information, il s'appuie désormais sur l'Agence nationale de la sécurité des systèmes d'information. Afin de préparer la stratégie nationale, un comité stratégique de la SSI a également été institué par le décret portant création de l'ANSSI.
Enfin, conformément aux recommandations du Livre blanc de 2008, il a été décidé, en complément de la création de l'ANSSI, la mise en place au niveau de chaque zone de défense et de sécurité, d'un observatoire zonal de la sécurité des systèmes d'information (OzSSI). Ces observatoires, créés par le ministère de l'Intérieur, ont pour mission de relayer, sur l'ensemble du territoire national, les mesures prises pour améliorer la sécurité des systèmes d'information.
Outre le SGDSN et l'ANSSI, plusieurs ministères disposent de compétences spécifiques intéressant la sécurité des systèmes d'information : le ministère de la défense , avec la direction générale de l'armement, au travers de son expertise technique, et les services de renseignement (Direction générale de la sécurité extérieure - DGSE - et Direction de la protection et de la sécurité de la défense - DPSD) ; le ministère de l'intérieur , avec la Direction centrale du renseignement intérieur (DCRI), l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) et les services spécialisés de la gendarmerie nationale, en particulier le département « cybercriminalité » du service technique de recherche judiciaire et de documentation (STRJD) et le département informatique et électronique de l'Institut de recherche criminelle de la gendarmerie nationale (IRCGN), ou encore les ministères de l'économie, des finances et du budget.
Enfin, chaque ministère reste responsable de la sécurité de ses propres systèmes d'information . L'organisation repose sur les hauts fonctionnaires de défense et de sécurité (HFDS), placés auprès de chaque ministre, éventuellement assistés d'un fonctionnaire de sécurité des systèmes d'information (FSSI), qui est chargé d'animer la politique de sécurité des systèmes d'information. Chaque ministre désigne en outre des autorités qualifiées en sécurité des systèmes d'information (AQSSI), qui sont responsables de la sécurité des systèmes d'information au sein de leur périmètre. Aux différents échelons des administrations centrales et des services déconcentrés sont généralement désignés des responsables de la sécurité des systèmes d'information (RSSI).
A la suite des préconisations du Livre blanc, des outils informatiques spécialisés ont été déployés dans plusieurs ministères afin de permettre de déceler les signes d'attaques informatiques.
Votre rapporteur a souhaité consacrer une place particulière au ministère de la défense et aux armées. Le ministère de la défense a, en effet, réformé récemment son organisation afin de l'adapter à une stratégie de « cyberdéfense en profondeur ».
Par ailleurs, si l'ANSSI est autorité nationale de défense, le ministère de la défense et les forces armées conservent un rôle particulier dans ce domaine, notamment en raison des opérations et des missions à caractère militaire conduites sous l'autorité du chef des armées et dont le cadre d'action ne se limite pas aux zones sous souveraineté nationale.
L'organisation au sein du ministère de la défense et des armées, qui a été réformée récemment par une instruction ministérielle de janvier 2012, repose sur une distinction entre la protection et la défense des systèmes d'information . En effet, même si la protection et la défense des systèmes d'information sont complémentaires et mettent en oeuvre plusieurs concepts et moyens communs, elles font intervenir des cycles temporels bien différents, la première planifiant ses actions à moyen et long terme, là où la seconde agit en temps réel. Elles peuvent par conséquent être traitées par des chaînes distinctes.
C'est le cas au ministère de la défense, où la partie « protection » est animée par le fonctionnaire de sécurité des systèmes d'information (FSSI) et la partie « défense » est commandée par un officier général à la cyberdéfense (OG CYBER).
La protection des systèmes d'information recouvre l'ensemble des moyens et des méthodes mis en place pour protéger l'information, les systèmes informatiques et les réseaux de communication par des moyens techniques (cryptographie, analyse et filtrage de flux, anti-virus, etc.) et organisationnels (sensibilisation, formation, surveillance). Elle aboutit, via un processus d'homologation, à la délivrance d'une aptitude à opérer en sécurité, aptitude qu'il convient ensuite d'entretenir par un processus de maintien en condition de sécurité tout au long de la vie du système. Elle repose sur une chaîne mise en place par cinq autorités qualifiées (AQSSI) et animée par un fonctionnaire de sécurité des systèmes d'information (FSSI), rendant compte au haut fonctionnaire correspondant de défense et de sécurité (HFCDS), qui est le chef du cabinet militaire du ministre de la défense
Les cinq autorités qualifiées (AQSSI) sont le chef d'état major des armées, le directeur général de la sécurité extérieure, le directeur de la protection et de la sécurité de la défense, le secrétaire général de l'administration et le délégué général pour l'armement. Ces cinq autorités qualifiées rendent compte au ministre et désignent un représentant qui travaille en étroite concertation avec le fonctionnaire de la sécurité des systèmes d'information (FSSI), placé au sein de la direction générale des systèmes d'information et de communication du ministère de la défense (DGSIC). Créée en 2006 et placée directement auprès du ministre de la défense, la DGSIC joue un rôle d'animation, d'expertise et de conseil en matière de systèmes d'information et de communication. Elle dispose d'une sous-direction de la sécurité des systèmes d'information. La direction interarmées des réseaux d'infrastructure et des systèmes d'information (DIRISI) est, pour sa part, l'opérateur principal des systèmes d'information et de communication du ministère de la défense.
La chaîne fonctionnelle de sécurité des systèmes d'information du ministère de la défense a été réformée récemment, avec le regroupement, sous l'autorité du chef d'Etat major des armées, des chaînes d'armées, de façon à suivre la mise en place des bases de défense. L'organisation distingue mieux désormais le rôle des responsables de la sécurité des systèmes d'information (RSSI) dévolus à des projets ou des programmes de systèmes d'information et de communication, et les fonctions d'officier de la sécurité des systèmes d'information (OSSI), qui ont en charge le volet organisationnel de la cyberprotection. Au total, il existe environ un millier d'agents de la sécurité des systèmes d'information au sein du ministère de la défense et le coût total de la cybersécurité est évalué à environ 44 millions d'euros par an.
La défense des systèmes d'information, qui vise à garantir en temps réel la sécurité et la disponibilité des systèmes d'information contre les attaques informatiques, en complétant les moyens de protection par des mesures réactives et une capacité de gestion de crise, traitant à la fois de la reconfiguration du système d'information et des missions ou priorités des organismes attaqués, relève du chef d'état-major des armées.
Une structure particulière, intégrée à la chaîne de planification et de conduite des opérations, a été mise en place en juillet 2011 sous le commandement d'un officier général, l'officier général à la cyberdéfense . Il ne s'agit pas d'une nouvelle division, mais d'une cellule légère de commandement, de coordination et d'animation, qui ne comporte que quelques militaires, mais qui est à la tête d'un ensemble de correspondants et qui entretient des relations étroites, tant avec la chaîne chargée de la sécurité des systèmes d'information, qu'avec l'ANSSI 49 ( * ) .
Le centre d'analyse en lutte informatique défensive (CALID), placé sous l'autorité de l'officier général à la cyberdéfense, est chargé de contribuer à la préparation et de la conduite des opérations de cyberdéfense sur les réseaux et systèmes du ministère de la défense. Il dispose d'outils centralisés de surveillance des réseaux et intervient en cas d'incident ou d'attaque informatique. Le CALID compte actuellement une vingtaine de militaires, ce qui ne lui permet pas encore d'être opérationnel 24 heures sur 24, 7 jours sur 7. A titre de comparaisons, la structure équivalente au Royaume-Uni dispose de plus de 80 agents, soit quatre fois plus.
Le CALID travaille en collaboration avec le centre opérationnel de la sécurité des systèmes d'information (COSSI) de l'ANSSI. Les deux centres devraient être colocalisés au second semestre 2013, ce qui permettra de renforcer la coopération et les synergies entre les deux entités.
Le ministère de la défense et les armées se sont dotés d' un concept et d'une doctrine interarmées de cyberdéfense , documents adoptés respectivement en juillet 2011 et en janvier 2012, mais qui n'ont pas été rendus publics.
A l'image de ce qui existe dans les armées pour les différents milieux (air, terre, mer), il existe donc au sein du ministère de la défense et des armées une chaîne qui prépare et une autre chaîne qui est chargée de l'opérationnel.
La direction générale de l'armement (DGA) joue également un rôle important. Elle est chargée de la maîtrise d'ouvrage des systèmes d'armes, des systèmes d'information à usage militaire, mais aussi de produits de haut niveau de sécurité pour les besoins militaires et les besoins interministériels, à l'image du téléphone cellulaire chiffrant Teorem ou du chiffreur Echinops, qui permet de sécuriser les flux des réseaux les plus sensibles, comme les communications du porte-avions Charles de Gaulle. Le centre maîtrise de l'information de la DGA, situé à Bruz, à proximité de Rennes, dispose d'environ 150 experts de haut niveau.
En définitive , le ministère de la défense a su adapter son organisation en matière de sécurité et de défense des systèmes d'information , de manière à ce que cette dimension soit pleinement prise en compte dans la chaîne opérationnelle.
Toutefois, il n'en va pas de même dans tous les autres ministères.
* 49 Un protocole de coopération a d'ailleurs été signé entre l'ANSSI et l'état-major des armées