2. Donner plus de force à la protection et à la défense des systèmes d'information au sein de chaque ministère
Si la France dispose avec l'ANSSI et la stratégie nationale d'outils importants en matière de cyberdéfense, il n'en demeure pas moins que les ministères restent encore diversement sensibilisés à la menace que représentent les attaques informatiques.
Il existe certes au sein de chaque ministère un fonctionnaire de la sécurité des systèmes d'information. Mais on constate souvent que celui-ci n'occupe qu'une faible place hiérarchique au sein de l'organigramme du ministère et surtout qu'il ne parvient pas à imposer aux différentes directions sectorielles et aux directeurs des systèmes d'information une prise en compte suffisante des préoccupations liées à la sécurité des systèmes d'information. Pour sa part, le haut fonctionnaire de défense et de sécurité, fonction souvent cumulée par le secrétaire général du ministère, ne peut se consacrer entièrement à cette tâche.
Pour votre Rapporteur, la protection des systèmes d'information doit devenir une véritable priorité prise en compte dans l'action de chaque ministère. Chaque ministère devrait disposer d'une politique en matière de sécurité des systèmes d'information . Celle-ci devra décliner et s'appuyer sur la politique de sécurité des systèmes d'information de l'Etat, à vocation interministérielle, actuellement en cours d'élaboration par l'ANSSI.
De la même manière qu'au niveau interministériel il a été décidé de créer une autorité nationale, l'ANSSI, avec des prérogatives étendues, il paraît nécessaire de rehausser le statut des fonctionnaires de la sécurité des systèmes d'information et de renforcer leurs prérogatives par rapport aux responsables des différentes directions et notamment par rapport au directeur des systèmes informatiques, afin qu'ils deviennent de véritables directeurs, voire même des secrétaires généraux, chargés de la sécurité et de la défense des systèmes d'information, auxquels devront être soumis pour avis les projets informatiques des administrations.
Ainsi, dans le cas du ministère de la défense, une instruction ministérielle permet au fonctionnaire de la sécurité des systèmes d'information de solliciter ponctuellement l'avis de la direction générale de l'armement pour analyser la sécurité d'un système d'information d'un projet en cours d'élaboration. Il semblerait utile de s'en inspirer afin que les fonctionnaires de la sécurité des systèmes d'information puissent solliciter une expertise, en interne ou auprès de l'ANSSI, concernant la sécurité des systèmes d'information des projets informatiques de leur administration.
Il pourrait également être utile de renforcer, sous l'égide du ministère de l'intérieur, au niveau de chaque zone de défense et de sécurité, la mission et les moyens des observatoires zonaux de la sécurité des systèmes d'information (OzSSi), qui jouent un rôle important de relais vers l'administration territoriale et hospitalière, les collectivités locales, les opérateurs d'importance vitale au niveau local, ainsi que les acteurs industriels.
La direction interministérielle des systèmes d'information et de communication de l'Etat (DISIC), qui est saisie par les différentes administrations de tout projet informatique dont le coût dépasse un certain montant, ne compte actuellement que 3 spécialistes en matière de sécurité des systèmes d'information sur un effectif total d'une vingtaine d'agents. Elle devrait voir ses effectifs et ses moyens renforcés, et développer ses échanges avec l'ANSSI afin d'assurer la prise en compte, le plus en amont possible, de la sécurité des systèmes d'information dans les projets informatiques des ministères. Ainsi, on peut se demander s'il ne serait pas opportun que la DISIC donne un avis négatif à tout projet informatique important ne disposant pas d'une stratégie d'homologation en matière de sécurité informatique.
C'est notamment ce qui a été prévu récemment au ministère de la défense et pour les armées, où, pour éviter une pratique courante de l'administration consistant à minimiser a priori les besoins de sécurité des projets pour éviter d'avoir à appliquer la réglementation relative la sécurité des systèmes d'informations et de communication, il a été décidé que tout système informatique du ministère devrait dorénavant faire l'objet d'une homologation. Pourquoi ne pas réserver aussi un pourcentage significatif du montant des projets informatiques (de l'ordre de 10% du budget informatique pour un projet standard, hors anti-virus, par exemple) à la sécurité des systèmes d'information ?
Par ailleurs, il conviendrait de rendre obligatoire pour chaque ministère la tenue d'une cartographie à jour de son propre réseau informatique. Cette cartographie devrait relever du fonctionnaire de la sécurité des systèmes d'information, ce qui lui permettrait d'avoir une vision d'ensemble.
Enfin, dans l'attente de l'édification du Réseau Interministériel de l'Etat (RIE), il paraît indispensable de contraindre les différents ministères à réduire le nombre de passerelles entre leurs réseaux et l'Internet et de développer les systèmes de surveillance de ces passerelles permettant de détecter les attaques.
Compte tenu des risques soulevés par le « cloud computing » (ou « informatique en nuage ») au sein de l'administration, il semble également impératif de prévoir une obligation de localisation des données informatiques administratives sensibles ou celles appartenant au patrimoine informationnel de la Nation sur le territoire français. Certains acteurs pouvant être soumis à des législations autres que nationales, la solution s'appuyant sur un « cloud souverain » , disposant d'infrastructures et services propres à l'Etat semble la seule à présenter les garanties nécessaires.
S'agissant plus particulièrement du ministère de la défense et des armées , l'organisation actuelle mériterait d'être confortée tout en prévoyant, à l'instar des autres ministères, un rehaussement du statut du fonctionnaire de la sécurité des systèmes d'information. Le fonctionnaire de la sécurité des systèmes d'information devrait voir sa place renforcée au sein de la direction générale des systèmes d'information et de communication (DGSIC) et en particulier disposer d'une réelle autorité sur la sous-direction et les équipes chargées de la sécurité des systèmes d'information au sein de la DGSIC.
Surtout, et en dépit des mesures déjà prises ou annoncées 52 ( * ) , votre rapporteur ne peut que déplorer la faiblesse actuelle des effectifs et les moyens dédiés à la protection et à la défense des systèmes d'information au sein du ministère de la défense et des armées.
Ainsi, comme cela a été mentionné précédemment, le CALID ne compte actuellement qu'une vingtaine de militaires, alors que la structure équivalente au Royaume-Uni en compte 80, soit quatre fois plus. Ses effectifs devraient passer à une trentaine en septembre 2012 et à quarante en 2013. Mais, dans le même temps, le champ d'action du CALID doit s'étendre aux systèmes tactiques des armées et à l'ensemble de l'informatique embarquée dans les systèmes d'armes et les plates-formes de combat.
La colocalisation du CALID avec le centre opérationnel de l'ANSSI (COSSI) au second semestre 2013 devrait certes permettre de renforcer les synergies et la coopération entre les deux entités.
Mais il paraît indispensable d'augmenter sensiblement dans les prochaines années les ressources humaines et financières consacrées à la cyberdéfense au sein du ministère de la défense et des armées, comme d'ailleurs de la DGA et des services spécialisés.
Au demeurant, cette augmentation régulière des effectifs, de l'ordre de quelques dizaines par an, ce qui représenterait 180 postes supplémentaires d'ici 2016 et 100 postes supplémentaires à l'horizon 2018, soit une progression de 280 postes pour la période 2012-2018 et cela pour l'ensemble du volet défensif, devrait rester modeste au regard du total des effectifs et du budget global du ministère de la défense, mais aussi au regard des enjeux.
Pourquoi ne pas utiliser aussi les compétences de nos réservistes , tant au sein de la réserve opérationnelle que de la réserve citoyenne, pour former une sorte de « cyber réserve » ?
Il semblerait également utile d'encourager et de soutenir le rôle de la DGA en matière de conception et de certification de produits de haut niveau de sécurité pour les besoins militaires, ainsi que pour les produits civils ou interministériels.
Enfin, d'une manière plus générale, même si notre pays dispose d'une législation assez complète et efficace, il paraît nécessaire d'introduire, dans le code de la défense, des modifications législatives visant à donner les moyens à l'ANSSI, aux armées et aux services spécialisés d'exercer leurs missions.
Cela concerne notamment les domaines suivants :
- l'autorisation de la rétroconception , c'est-à-dire la possibilité de « démonter », pour des motifs de sécurité, un logiciel ou un système ayant servi à une attaque informatique ;
- la possibilité de procéder à l'analyse de comportement des codes malveillants , de façon à suivre leur évolution, détecter leurs cibles d'attaque et anticiper leur mutation ;
- la possibilité de mettre en place des dispositifs permettant de suivre les actions d'un attaquant ;
- l'identification et la collecte de vulnérabilités des outils utilisés par l'attaquant ;
- l'identification et les tests de vulnérabilités concernant les automates connectés à l'Internet .
Enfin, pour reprendre l'une des préconisations du rapport Lasbordes, il semblerait utile d'instituer un pôle juridictionnel spécialisé et centralisé pour réprimer les atteintes graves aux systèmes d'information .
Les pôles spécialisés ont fait la preuve de leur efficacité, qu'il s'agisse de la lutte contre le terrorisme ou de la lutte contre le blanchiment. Compte tenu de la complexité des atteintes graves aux systèmes d'information, qui nécessitent souvent de passer par l'entraide internationale, il semblerait utile de disposer de magistrats spécialisés, spécialement formés à ces questions, regroupés au sein d'un pôle centralisé, ce qui permettrait également de renforcer la coopération entre les services spécialisés de la police et de la gendarmerie et la Justice.
* 52 Voir le « plan de renforcement lutte informatique defensive/sécurité des systèmes d'information 2013-2016 » de 2011 et le « schéma directeur de la cybersécurité 2013-2018 » de juin 2012