Le risque numérique: en prendre conscience pour mieux le maîtriser

OFFICE PARLEMENTAIRE D'ÉVALUATION

DES CHOIX SCIENTIFIQUES ET TECHNOLOGIQUES

RAPPORT

sur

LE RISQUE NUMÉRIQUE : EN PRENDRE CONSCIENCE
POUR MIEUX LE MAÎTRISER ?

Compte rendu de l'audition publique du 21 février 2013
et de la présentation des conclusions le 26 juin 2013

Par MM. Bruno SIDO, sénateur, et Jean-Yves LE DÉAUT, député

Composition de l'Office parlementaire d'évaluation des choix scientifiques et technologiques

Président

M. Bruno SIDO, sénateur

Premier Vice-président

M. Jean-Yves LE DÉAUT, député

Vice-présidents

M. Christian BATAILLE, député M. Roland COURTEAU, sénateur

Mme Anne-Yvonne LE DAIN, députée M. Marcel DENEUX, sénateur

M. Jean-Sébastien VIALATTE, député Mme Virginie KLÈS, sénatrice

PREMIÈRE PARTIE :
LA PLACE DU NUMÉRIQUE DANS LA GESTION DE LA MENACE STRATÉGIQUE

I. PREMIÈRE TABLE RONDE : ÉTAT DES LIEUX EN MATIÈRE DE CYBERSÉCURITÉ

Présidence de M. Jean-Louis Carrère, président de la Commission des affaires étrangères, de la défense et des forces armées du Sénat

Introduction par M. Bruno Sido, sénateur, président de l'OPECST

M. Bruno Sido, sénateur, président de l'OPECST . Je me réjouis que le Parlement puisse tenir une telle audition publique, à l'initiative de l'Office parlementaire d'évaluation des choix scientifiques et technologiques.

Regrouper notre délégation et les commissions de la défense et des forces armées de l'Assemblée nationale et des affaires étrangères, de la défense et des forces armées du Sénat est, au demeurant, une métaphore des travaux que nous menons en commun à l'Office, entre députés et sénateurs.

Actuellement, nous sommes ainsi chargés de quatre études, qui sont chacune portées par deux rapporteurs - un sénateur et un député.

Mais le sujet que nous allons aborder est tellement central pour notre pays que nous aurions aussi bien pu y associer des membres des commissions des affaires économiques, tant la pénétration diffuse de la numérisation est devenue décisive pour notre compétitivité, ou des affaires culturelles, puisqu'on ne peut aujourd'hui pratiquement plus faire de recherche de haut niveau sans avoir recours à des modélisations de plus en plus sophistiquées.

Mais Chamfort se rappelle à moi, qui disait « pour le superflu, il faut s'en tenir au nécessaire ». C'est pourquoi je termine ici mon propos introductif. Je m'exprimerai sur le fond du sujet lors de la première table ronde de cet après-midi.

M. Jean-Louis Carrère, président de la commission des affaires étrangères, de la défense et des forces armées du Sénat, président. Permettez-moi tout d'abord de féliciter notre collègue Bruno Sido pour son initiative, mais aussi de remercier l'Assemblée nationale, en particulier Mme Patricia Adam et M. Jean-Yves Le Déaut pour la qualité de leur accueil.

La menace représentée par les attaques contre les systèmes d'information n'est pas un sujet nouveau pour la commission des affaires étrangères et de la défense du Sénat. Dès 2007, après les attaques massives subies par l'Estonie, elle avait commencé à s'intéresser à ce sujet et avait publié un premier rapport d'information sur la cyberdéfense, présenté par notre ancien collègue Roger Romani.

Beaucoup de choses se sont passées depuis cinq ans. On peut notamment citer le cas de Stuxnet, ce virus informatique qui aurait contribué à retarder l'avancement du programme nucléaire militaire de l'Iran, en s'attaquant à des centrifugeuses d'enrichissement de l'uranium.

C'est la raison pour laquelle nous avons jugé utile de réactualiser ce rapport, notamment dans l'optique de l'élaboration du nouveau Livre blanc sur la défense et la sécurité nationale. Notre collègue Jean-Marie Bockel s'est donc vu confier la mission de rédiger un nouveau rapport sur la cyberdéfense, qu'il a présenté devant notre commission en juillet dernier et dont les conclusions ont été adoptées à l'unanimité.

Pour avoir été membre - avec Mme Patricia Adam et plusieurs de nos collègues députés et sénateurs - de la commission chargée d'élaborer le nouveau Livre blanc, et même si sa version définitive n'a pas encore été publiée, je pense pouvoir dire ici que la cyberdéfense devrait être l'une de ses priorités, et qu'il devrait se traduire par une nouvelle impulsion dans ce domaine.

Ces dernières années, les attaques contre les systèmes d'information se sont en effet multipliées, qu'il s'agisse de cybercriminalité, de tentatives de déstabilisation, d'affaires d'espionnage, ou de sabotage à des fins de destruction. Je pense notamment à l'attaque informatique qui a visé l'été dernier l'un des premiers producteurs de pétrole, Saudi Aramco.

Notre pays n'est pas à l'abri de ce fléau, comme en témoignent les affaires d'espionnage de Bercy - survenues à la veille de la présidence française du G8 et du G20 - ou d'AREVA.

C'est l'objet de cette première table ronde que d'essayer de cerner l'étendue effective de la menace que représentent les atteintes à la sécurité des systèmes numériques stratégiques.

Nous allons tenter d'évaluer la portée de cette menace grâce à nos trois premiers intervenants. M. Pascal Chauve, du Secrétariat général de la défense et de la sécurité nationale, va s'efforcer d'en rendre compte sous l'angle global de son intensité et de son acuité. M. Stéphane Grumbach, directeur de recherche à l'INRIA, analysera dans quelle mesure l'importance de cette menace peut s'interpréter comme le résultat d'une véritable géopolitique des données numériques gérée à l'échelle des grands pays. Enfin, M. Frédéric Hannoyer, de
ST Microelectronics, évoquera les multiples canaux techniques qu'elle peut emprunter pour prendre forme.

Afin de laisser place au débat, j'invite les différents intervenants à limiter leur temps de parole à dix minutes.

M. Pascal Chauve, Secrétariat général de la défense et de la sécurité nationale (SGDSN). Ma tâche est à la fois facile et difficile. Parler de la menace est certes toujours plus facile que d'évoquer les réponses qui peuvent lui être apportées, mais je dois aussi, dans un contexte particulièrement inquiétant, me garder de faire trop peur et veiller à donner la juste mesure de cette menace. Mon point de vue est celui du SGDSN : il s'attache à des problématiques et à des enjeux de sécurité nationale.

Lorsqu'on évoque la menace informatique, on pense d'emblée à ce qui nous affecte dans notre vie quotidienne, par exemple les virus qui viennent « écraser » les photos des enfants sur le disque dur de l'ordinateur, ou encore la cybercriminalité qui touche les individus - vol de données bancaires, utilisation frauduleuse des moyens de paiement, accès à nos comptes en ligne - et qui appelle des réponses de nature policière.

Mais la menace informatique ne vise pas que les individus, et n'a pas pour seul objectif l'appât du gain. Elle peut revêtir une tout autre dimension, qui dépasse la cybercriminalité, et viser des activités critiques pour le fonctionnement d'une nation, qui relèvent pleinement d'une problématique de sécurité nationale. Des exemples viennent d'en être donnés.

S'il fallait dresser une typologie des menaces auxquelles une Nation peut être exposée, je distinguerais trois domaines. Le premier est celui de la simple revendication, dans lequel les attaquants vont afficher des messages sur des sites officiels ou gouvernementaux en réponse à une politique à laquelle ils sont opposés - c'est ce que l'on appelle la défiguration de site. Ils utilisent les vulnérabilités habituelles des serveurs web pour s'y introduire. Récemment, lors de l'opération Serval au Mali, des groupes d'activistes se sont ainsi attaqués à des sites web plus ou moins officiels, sans toutefois causer de dommages particuliers, pour afficher leurs revendications.

La deuxième forme de menace informatique qui peut revêtir des enjeux nationaux est bien sûr le cyber-espionnage. Je ne parle pas du vol d'informations personnelles à des individus, mais du cyber-espionnage à grande échelle, qui peut toucher des entreprises, notamment celles qui travaillent dans les secteurs sensibles, ou des opérateurs relevant de ce que nous appelons les secteurs d'activité d'importance vitale, parmi lesquels figurent la banque, l'énergie, les transports ou la défense. Il y a là des acteurs économiques et des opérateurs qui détiennent des secrets de fabrication ou des secrets de fonctionnement d'une autre société. L'espionnage dont a été victime la société AREVA figure dans le rapport sur la cyberdéfense du sénateur Bockel, ainsi que celui qui a touché Bercy. Si vous avez lu la presse des derniers jours, vous avez appris que la société américaine Mandiant aurait trouvé l'origine d'une campagne d'espionnage informatique systématique conduite chez des industriels américains - 141 cas ont été rapportés. Ce pillage de secrets industriels aurait une origine étatique - je vous laisse découvrir laquelle.

S'agissant de cyber espionnage, la presse ne révèle cependant que la partie émergée de l'iceberg. Le SGDSN, avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI), traite de très nombreux cas qui sont couverts par le secret, les opérateurs ne souhaitant pas que l'on fasse état des atteintes qu'ils subissent. Je vous confirme que cette menace n'est pas potentielle, mais quasi systématique.

La nouvelle forme de menace informatique qui touche les intérêts souverains est le cyber-sabotage. La transition entre le cyber-espionnage et le cyber-sabotage est désormais consommée. Vous vous souvenez sans doute du ver Slammer, qui avait semé « la pagaille » dans le système informatique de distribution d'électricité de l'Ohio et entraîné un blackout touchant 50 millions d'abonnés américains en 2003. Telle n'était peut-être pas l'intention de départ, mais toujours est-il qu'il est possible de toucher, par des moyens informatiques, des secteurs d'activité d'importance vitale dans leur fonctionnement, mettant ainsi en péril des fonctions vitales de la nation.

Comment a-t-on pu passer d'une menace potentielle, qui n'occupait que les esprits des spécialistes, à une menace réelle ? La technologie et les usages nous exposent de plus en plus à ces menaces. D'une part nous faisons face à un empilement de technologies de plus en plus chancelant ; il faut rétablir la chaîne de la confiance entre des systèmes d'exploitation du matériel, des applications, des middleware, qui vivent chacun sur une couche d'abstraction de la couche qui est en dessous, interprètent les commandes, et laissent finalement autant d'interstices à l'attaquant pour s'infiltrer dans les systèmes. D'autre part, c'est le problème de la confiance dans la chaîne d'approvisionnement de nos systèmes informatiques et de la maîtrise technologique qui est posé. Je vous rappellerai à cet égard le bon mot fait par Ken Thompson, gourou de la sécurité informatique, en 1984 : « Vous ne pouvez pas faire confiance à un code dont vous n'êtes pas totalement l'auteur, surtout si vous faites appel à des sociétés qui emploient des gens comme moi ». La confiance dans la chaîne d'approvisionnement est vitale. Asseoir cette confiance mérite donc la mise en oeuvre d'une politique industrielle à l'échelle nationale.

L'usage moderne des technologies de l'information est désormais de tout interconnecter avec tout, et donc d'offrir autant de voies d'attaque à des agents menaçants. Il est aussi caractérisé par la mobilité, qui fait circuler les technologies, les informations et les virus d'un système à l'autre, et par l'introduction de systèmes informatiques à vocation personnelle dans des applications professionnelles. Je pense au bring your own device (BYOD), qui fait que certains d'entre nous travaillent avec leurs terminaux personnels, qui sont autant de vecteurs d'infection, infection à l'échelle de l'individu mais qui peut ensuite se propager à l'échelle nationale.

M. Stéphane Grumbach, INRIA, directeur de recherche . J'évoquerai pour ma part les données et leur répartition sur la planète.

La société de l'information offre des services comme les moteurs de recherche, les réseaux sociaux ou les systèmes de vente en ligne, qui sont devenus incontournables - peu différents, en définitive, de nos utilities - comme disent les Anglais - telles que l'eau ou l'électricité. Pour leurs utilisateurs, ces services sont essentiellement gratuits. Les sociétés qui les proposent assurent le stockage et le traitement des données, avec en général une très grande qualité de service. D'un point de vue économique, on ne peut cependant pas exactement considérer ces services comme gratuits. Les utilisateurs échangent avec les entreprises leurs données privées contre des services. Ces données, qui peuvent sembler bien anodines, s'avèrent parfois d'une grande valeur. C'est par exemple le cas des requêtes sur un moteur de recherche, utilisées pour établir des profils utilisateurs qui permettent de cibler efficacement la publicité. Elles peuvent aussi l'être pour extraire des connaissances bien plus riches que les profils personnels - j'y reviendrai cet
après-midi.

Certains systèmes stockent des données dont le caractère personnel est plus immédiat. C'est le cas des réseaux sociaux, au premier rang desquels Facebook, grâce auxquels les utilisateurs mettent à disposition toutes sortes d'informations personnelles. Les réseaux sociaux conservent également la structuration des relations sociales entre leurs utilisateurs, leurs échanges et, au-delà, leurs interactions avec d'autres services. Mais Facebook est bien plus qu'un réseau social : c'est le système numérique du futur, celui dans lequel nous stockerons nos données, et au moyen duquel nous interagirons avec le monde. C'est le système qu'utiliseront de nombreuses entreprises pour développer des services qui exploiteront l'interface et les fonctionnalités de Facebook. Facebook peut disparaître, mais ce type de système perdurera pour devenir universel.

Deux évolutions majeures dans la technologie induisent des changements fondamentaux dans la gestion des données. Tout d'abord, la disparition annoncée de nos ordinateurs conduira, tant pour les individus que pour les organisations, à une gestion des données et des services dans le nuage, données et services qui seront accessibles de n'importe où, au moyen de n'importe quelle tablette. Ensuite, le développement massif des réseaux sans fil qui forment l'infrastructure des services mobiles introduit une rupture dans la société de l'information, en assurant des services au plus près des individus.

Les données personnelles sont devenues la ressource essentielle de cette nouvelle industrie. Assez similaire aux matières premières pour l'industrie traditionnelle, cette ressource sera un jour plus importante pour l'économie globale que le pétrole. Être capable de la récolter et de la transformer pour en faire des produits est donc d'une importance capitale. Au-delà de la ressource, ces données sont aussi une monnaie avec laquelle les utilisateurs payent leurs services. Cette monnaie, potentiellement dé-corrélée des banques centrales, sera conduite à jouer un rôle croissant.

La concentration est une caractéristique importante des industries de la société de l'information. Facebook a dépassé le milliard d'utilisateurs ; Google agrège de nombreuses activités - moteur de recherche, messagerie, réseau social, mobilité. Dans la société de l'information, la taille des entreprises est déterminante. La quantité de données et le nombre d'utilisateurs qu'elles gèrent contribuent exponentiellement à leur puissance.

Dans ce nouvel écosystème, les données circulent et passent les frontières. Certaines régions les accumulent, les traitent et les contrôlent, d'autres non. Comme pour les échanges commerciaux, on peut distinguer les exportations et les importations. Mais contrairement au commerce, les mouvements de données se font surtout gratuitement, c'est-à-dire sans paiement de l'exportateur par l'importateur. Les données ne font à ce jour pas l'objet d'un marché au niveau mondial : il n'y a pas de bourse de la donnée comme il en existe pour les matières premières.

Les États-Unis ont un véritable leadership dans la capacité à récolter et à traiter la donnée mondiale. Ils ont toujours fait preuve d'un véritable génie dans le développement des services de la société de l'information. Ils inventent des services extraordinaires, comme le démontre la rapidité de leur adoption, assurent une qualité de service inégalée - tout le monde utilise Gmail - et savent construire des modèles économiques efficaces.

Une cartographie des flux de données au niveau planétaire, sur le modèle des cartographies des flux de matières premières, serait extrêmement utile. Elle n'est aujourd'hui pas facile à établir. On peut toutefois étudier les services qui sont utilisés dans les différentes régions, qui constituent un premier indicateur assez significatif. Aux États-Unis, les 25 premiers sites de la toile sont tous américains. En France, comme dans un certain nombre de pays européens, seulement le tiers des 25 premiers sites sont français ; les autres sont américains. En outre, les premiers sites français ne sont pas les plus gros accumulateurs de données.

La situation est plus contrastée en Asie. En Chine, l'industrie nationale domine la toile, avec des systèmes très puissants et diversifiés dans tous les secteurs. Au Japon et en Corée, de nombreux systèmes, aussi fondamentaux que les réseaux sociaux, sont des systèmes locaux.

Si l'on considère les moteurs de recherche, qui jouent un rôle si essentiel dans notre accès à l'information, la situation de l'Europe, région de la diversité culturelle, est surprenante. Google y détient plus de 90 % de parts de marché. Ce n'est pourtant pas le cas aux États-Unis, où Bing et Yahoo ont chacun près de 15 % de parts de marché. La Chine et la Russie ont quant à elles développé deux des plus grands moteurs mondiaux : Baidu, qui détient 78 % du marché chinois, et Yandex, qui détient 60 % du marché russe.

Ces chiffres sont corroborés par l'analyse globale des premiers systèmes mondiaux, c'est-à-dire ceux ayant le plus grand nombre d'utilisateurs dans le monde. Parmi les cinquante premiers, on trouve 72 % d'Américains, 16 % de Chinois, 6 % de Russes, mais seulement 4 % d'Européens.

Les études que nous avons faites sur la partie invisible de la toile, celle des trackers qui permettent de suivre l'activité des utilisateurs au moyen de systèmes tiers, confirment cette tendance. Là encore, les Américains dominent largement ces systèmes invisibles, subtils accumulateurs de données.

Certaines régions envisagent la révolution numérique avec enthousiasme, d'autres avec crainte. Le programme de cette journée, centré sur la menace stratégique et le risque de dépendance, révèle le positionnement plutôt sur la défensive de la France. La situation de l'Europe est paradoxale : si le taux de pénétration est fort et les infrastructures importantes, aucun des grands systèmes de la toile n'est développé sur notre continent. Les données personnelles, pétrole de la nouvelle économie, sont la pierre d'achoppement des Européens, qui restent focalisés sur les dangers de leurs utilisations potentielles, en particulier pour la vie privée. La société de l'information se développe donc hors de l'Europe. On peut dire sans exagération que celle-ci est entrée dans une forme de sous-développement en dépendant, pour des services dont l'importance ne fait que croître, d'une industrie étrangère.

L'Europe exporte donc ses données aux États-Unis. Mais il y a autre chose : elle n'en importe pas. Or la capacité à récolter des données à l'étranger est également stratégique : elle permet de créer de la valeur à partir de ressources qui arrivent gratuitement, et de dégager des connaissances dans tous les domaines sur les régions dont viennent les données.

Les Américains ont une stratégie très élaborée en la matière, comme le montre leur succès international. Permettez-moi de l'illustrer par un exemple encore peu visible. À l'heure où la possibilité d'ouverture de la Corée du Nord fait frémir les chancelleries et où les Chinois construisent des infrastructures à la frontière, Google cartographie le territoire. Les cartes Google deviendront probablement incontournables lors du développement du pays. Et comme leur intérêt est avant tout l'hébergement des applications des entreprises, Google héritera d'une capacité d'analyse de la Corée, grâce aux flux de données qui transitent par ses machines. Le marché en Corée du Nord est de surcroît loin d'être facile pour les Américains, tant les Coréens du Sud et les Chinois sont de puissants concurrents.

Les exemples asiatiques pourraient être intéressants pour les Européens. Ces pays ont bien compris les enjeux de la société de l'information ; ils préservent une certaine souveraineté en offrant tous les services de l'Internet made in Asia. En même temps ; ils ont une forte connexion avec la recherche américaine. En Chine, les laboratoires d'Alibaba ou de Baidu sont peuplés de chercheurs de la Silicon Valley - les mêmes que chez Facebook ou Google : ils participent du même écosystème.

J'aborderai cet après-midi les nouveaux services de la société de l'information, qui reposent sur ces données et dont nous dépendrons à l'avenir.

M. Frédéric Hannoyer, ST Microelectronics, directeur de recherche . Je vous remercie de m'offrir l'occasion de témoigner au nom de
ST Microelectronics.

Vous m'assignez une tâche difficile. Je vais me livrer à une présentation rapide, qui ne pourra être exhaustive, en m'efforçant de ne pas être trop technique. J'essaierai de couvrir les grandes familles d'attaques à partir d'exemples récents. Dans la mesure où les attaques stratégiques ont été traitées par M. Chauve, je me concentrerai davantage sur des exemples d'attaques contre les particuliers et les entreprises.

Une attaque peut être définie comme une intrusion sur un système de sécurité qui génère un dommage ou un préjudice. Une intrusion élémentaire peut être décomposée en trois composantes : au moins une vulnérabilité dans le logiciel ou le système ; un vecteur - qui est souvent un programme - qui utilise et exploite cette vulnérabilité, qui arrive à passer à travers les mesures de sécurité mises en oeuvre, et qui installe un composant actif, un programme malware, qui est la partie maligne de l'attaque. Soit ce programme lance une autre attaque de l'intérieur du système, soit il effectue sa mission - récolte des mots de passe, analyse du réseau ou du système, écoute des communications - et reporte à l'attaquant. Le composant actif peut soit être autonome, soit être commandé de l'extérieur. Il peut remplir ses missions tout de suite, ou rester silencieux pendant très longtemps - jusqu'à des années. Le rapport de Mandiant ^{1 ( * )} cite ainsi des attaques où les composants actifs sont restés inactifs pendant plusieurs années, mais étaient fréquemment questionnés.

Parmi les préjudices subis figure le vol d'argent aux particuliers ou aux entreprises, par exemple avec des malwares tels que Zeus ou Citadel grâce à la récupération des mots de passe temporaires envoyés par les banques, type
3D secure, le vol de propriété artistique, auquel nous avons été sensibilisés par la loi HADOPI, l'espionnage de données ou vol de propriété intellectuelle - secrets d'affaires ou de production. Un exemple en a récemment été fourni par une intrusion sur le site du New York Times2 ( * ) visant à connaître la teneur des articles en préparation sur le Premier ministre chinois. Les communications téléphoniques sont exposées maintenant aux mêmes attaques que les données pures.

De nouvelles attaques apparaissent : le chantage aux données personnelles des particuliers ^{3 ( * )} , assorti d'une demande de rançon ; le sabotage de services, qui empêche l'activité économique, et offre la possibilité de détruire une infrastructure de production, ce qui peut avoir un coût considérable pour une entreprise ; les attaques à la réputation. Nous voyons également se développer la désinformation par le piratage des médias sociaux, comme Twitter. Nous en avons constaté l'impact en ce qui concerne la population en Inde ^{4 ( * )} , mais aussi les marchés économiques, comme le marché du pétrole - le piratage du compte Twitter d'un diplomate Russe ^{5 ( * )} annonçant la mort du Président syrien Bashar Al-Assad a par exemple créé des remous sur les marchés du pétrole.

Parmi les futures attaques à redouter, on peut penser à la santé. La démonstration que l'on peut envoyer une décharge par le piratage de pacemakers à une dizaine de mètres doit nous faire réfléchir, de même que le fait que tous les équipements médicaux soient connectés à Internet pour pouvoir récupérer des mises à jour de logiciels. Je pense également à la domotique. Comment réagirait une caserne de pompiers si toutes les alarmes incendie d'une ville se déclenchaient en même temps ?

Les attaques peuvent être distinguées selon le point d'attaque. Celui-ci peut être situé dans le terminal, qu'il s'agisse d'un ordinateur, d'un compteur électrique, d'un téléphone, ou de tout navigateur web. Il peut être situé dans le centre de données lui-même, où les mots de passe ou les informations dans le nuage sont stockées, ou enfin dans le réseau - d'où on peut facilement rediriger les communications d'une victime vers le PC d'un attaquant ou écouter les messages en clair.

La sécurité se doit de couvrir les trois maillons de cette chaîne, le terminal, le centre de données, et le réseau. Les vulnérabilités utilisées peuvent être scindées en deux catégories : celles qui peuvent être traitées par une mise à jour des logiciels, et celles pour lesquelles cette mise à jour s'avère délicate ou ne suffit pas.

Pour ce qui est des premières, l'accumulation actuelle de couches logicielles de fournisseurs différents, et de plus en plus complexes, rend la tâche de sortir un produit sans vulnérabilité logicielle impossible. Une vulnérabilité du logiciel est juste un bug non fonctionnel, qui ne crée donc pas de problème dans l'utilisation de l'application, mais est exploité par le pirate pour prendre le contrôle et compromettre l'équipement - car il a alors tous les pouvoirs. On a parlé dernièrement de la vulnérabilité de la technologie Java dans le navigateur web, et des attaques de Facebook et d'Apple ^{6 ( * )} .

Ces vulnérabilités logicielles sont très nombreuses. Elles peuvent être traitées. Mais avant cela, elles créent des exploits « zero day », qui peuvent se définir comme l'exploitation d'une faille qui n'est pas publique, indétectable donc par les équipements de sécurité, et qui concerne même les plateformes bénéficiant des dernières mises à jour. Les exploits « zero day » sont devenus un phénomène courant, qui bénéficie même d'une chaîne de valeur et d'un marché pour les développer et les revendre ^{7 ( * )} . Ils doivent être traités sérieusement. C'est pourquoi il est essentiel de pouvoir mettre à jour les plateformes de manière très réactive et à distance.

Parmi les autres vulnérabilités à traiter, je citerai les vulnérabilités sur la chaîne de production chez les sous-traitants, et les équipements qui pourraient être piégés ^{8 ( * )} . C'est pourquoi il faut garder une maîtrise industrielle dans les produits. Lorsque l'ensemble de notre coeur de réseau sera chinois ou américain, quelle confiance pourrons-nous réellement lui accorder ? Il nous faut au moins arriver à construire cette confiance.

Je pense aussi aux attaques de cryptographie et aux attaques sur les certificats ^{9 ( * )} , qui sont les bases de la confiance sur les échanges numériques, ou encore aux attaques sur la vulnérabilité humaine - mots de passe devinables, complicités internes...

Le critère majeur est à mon sens la grande furtivité des attaques. Les malware peuvent s'attraper en surfant nos sites préférés ^{10 ( * )} ou en ouvrant un attachement ou un lien dynamique dans un email, ils peuvent se mettre en dessous du système d'opération et des systèmes de sécurité. Ils s'interfacent entre vous et le matériel, par exemple lorsque vous tapez votre code confidentiel sur votre téléphone ou sur un terminal de paiement, ou lorsque votre logiciel vous donne des informations confidentielles, ou lorsque vous communiquez au niveau du réseau. Ils sont aussi capables de dissimuler toutes leurs actions des mécanismes de surveillance du terminal.

M. le président Jean-Louis Carrère . Je vous remercie de vos interventions. Après avoir identifié les menaces, nous allons tenter d'identifier les stratégies de réponse. Pour cela, je donnerai successivement la parole à M. Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui est l'autorité nationale chargée de la protection et de la défense des systèmes d'information, à M. Jean-Marie Bockel, sénateur, à M. Eduardo Rihan Cypel, député, et enfin au capitaine de vaisseau Alexis Latty, de l'état-major des armées.

M. Patrick Pailloux, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Il n'est pas aisé d'expliquer comment il convient de réagir face au tableau cataclysmique qui vient de nous être présenté. Si quelqu'un, où qu'il se trouve, pense avoir la bonne réponse, je l'invite à contacter l'ANSSI au plus vite : nous avons un poste à lui proposer ! ( Sourires .)

La stratégie de réponse de l'État a cependant évolué de manière significative depuis quelques années. La problématique de la sécurité de nos données n'est certes pas nouvelle, puisque des systèmes de chiffrement sont apparus dès l'Antiquité, mais le sujet a littéralement explosé depuis quelques années. La stratégie nationale de la France a véritablement commencé à évoluer à partir de 2008 et du dernier Livre blanc sur la défense et la sécurité nationale, qui a identifié le risque d'attaque majeure contre les systèmes d'information comme une menace stratégique, et estimé que le degré de probabilité d'occurrence dans les quinze années à venir était extrêmement fort. Il était dès lors nécessaire de se doter d'une stratégie et de capacités de cyberdéfense.

La stratégie, définie dans la foulée du Livre blanc sur la défense et la sécurité nationale de 2008, repose sur quatre points. En premier lieu, la France souhaite être une puissance mondiale en matière de cyberdéfense. Il ne s'agit pas de montrer notre force pour le plaisir. Simplement, les frontières n'existent pas dans ce domaine. On ne peut donc se contenter d'être un joueur local.

En deuxième lieu, il s'agit de conserver la capacité - que la France avait par le passé - de protéger ses informations essentielles de manière autonome. On touche ici au coeur du coeur du fonctionnement de l'État dans les domaines de la défense et de la sécurité nationale. Pour prendre un exemple, nous devons être capables de produire des chiffreurs en toute autonomie, afin d'être sûrs de ne pas dépendre de tiers auxquels nous ne faisons pas nécessairement confiance.

En troisième lieu, nous devons renforcer très significativement la sécurité de nos infrastructures vitales. J'aime à dire que les systèmes d'information et de télécoms sont nos systèmes nerveux : rien ne fonctionne dans notre vie courante sans informatique. Si nous ne sommes pas capables de protéger les infrastructures vitales que sont la distribution d'énergie, les moyens de télécommunication, nos finances, nos systèmes médicaux et nos systèmes industriels, notre Nation s'effondrera.

Enfin, il nous faut promouvoir la sécurité dans le cyberespace. Nous sommes là dans l'usage du citoyen, et de la confiance qu'il peut avoir dans l'e-administration et les transactions sur Internet.

Pour mettre en oeuvre cette stratégie, nous avons établi - comme toujours en France, mais à raison me semble-t-il - une capacité centralisée. Nos grands homologues internationaux ont souvent davantage d'effectifs que nous, mais ils sont généralement moins centralisés.

Créée en 2009, l'ANSSI est à la fois l'autorité de sécurité et l'autorité de défense. Elle a donc deux missions, une mission de prévention et une mission de réaction.

La mission de prévention consiste à veiller à ce que nos infrastructures vitales, qu'elles soient gouvernementales ou privées, soient suffisamment résilientes et capables de résister à des attaques informatiques. Cela repose sur un ensemble d'actions, dont la principale est le conseil, c'est-à-dire la capacité de l'État à édicter de bonnes pratiques en matière de règles de sécurité et à délivrer des labels à des produits de sécurité ou à des prestataires. Un grand nombre de prestataires coexistent en effet dans le domaine de la cybersécurité, un peu moins dans celui de la cyberdéfense ; il faut pouvoir s'y retrouver. La capacité à aller vérifier participe aussi de la prévention - c'est ce que l'on appelle l'audit. Concrètement, il s'agit de tests de pénétration consistant à vérifier si nos systèmes étatiques ou les systèmes critiques privés sont capables de résister à des attaques informatiques. Je ne détaillerai pas les résultats - qui ne sont pas vraiment brillants. Il y a enfin notre capacité à doter le coeur de l'État de moyens de haute sécurité, pour qu'en cas de problème, nos autorités puissent continuer à communiquer et à échanger de l'information en toute sécurité.

Malheureusement, cette mission de prévention, qui représenterait 90 % de notre activité dans un monde stable, est largement supplantée par l'autre activité de l'ANSSI : l'activité de réaction, à savoir la responsabilité, sous l'autorité du Premier ministre et du secrétaire général de la défense et de la sécurité nationale, de coordonner et de piloter la réponse lorsque les infrastructures critiques ou les grandes entreprises françaises sont touchées. Cette activité repose sur un centre opérationnel localisé aux Invalides, actif vingt-quatre heures sur vingt-quatre. Notre capacité de réaction et de défense est hélas « enfoncée » par le volume des attaques informatiques, si bien que nous devons en permanence arbitrer entre les différentes attaques pour décider de celles sur lesquelles nous devons nous mobiliser. Notre action est ici facile à comprendre. Elle peut être comparée à celle des pompiers : des groupes d'intervention sont chargés d'intervenir auprès des administrations ou des grandes entreprises victimes d'attaques, pour les aider à gérer la situation. Cela nécessite d'abord de comprendre ce qui se passe, en sachant que le pirate peut être présent dans l'entreprise depuis très longtemps - jusqu'à quatre ans, selon le rapport de Mandiant. Il faut ensuite comprendre ce qu'il fait et où il a déposé les virus informatiques. Une fois ceux-ci identifiés, il faut nettoyer le réseau. Dans le cas des très grandes entreprises, ce sont plusieurs centaines de milliers d'ordinateurs qui peuvent être potentiellement infectés. La dernière mission consiste à remettre en état et à re-sécuriser le réseau. Si vous réinstallez le réseau tel qu'il était après une attaque informatique, ce que vous avez fait ne servira en effet pas à grand-chose : les attaquants - qui travaillent souvent en toute impunité - recommenceront immédiatement à exploiter vos vulnérabilités.

M. Jean-Marie Bockel, sénateur . Je n'insisterai pas sur le constat - cela a été fait, et fort bien, par les intervenants précédents - mais sur les avancées que je tiens à saluer et sur les progrès qui restent à accomplir.

Nous sommes dans un contexte particulier. Cette rencontre est la bienvenue à la veille de la publication du Livre blanc sur la défense et la sécurité nationale. Dans le rapport d'information sur la cyberdéfense que j'ai présenté au nom de la commission des affaires étrangères et de la défense du Sénat, j'ai abordé le sujet du risque numérique sous l'angle de la défense, mais c'est un sujet transversal, qui touche à nos intérêts vitaux, mais aussi à l'économie, à la vie quotidienne de nos concitoyens et aux services publics. Le Livre blanc sera donc une étape importante, et ce que nous disons dans cette dernière ligne droite revêt par conséquent un sens particulier.

S'agissant de notre stratégie de réponse, nous observons un certain nombre d'avancées. J'avais appelé, à l'image de ce que font les Britanniques ou les Allemands, à ériger la cyberdéfense en une priorité nationale portée au plus haut niveau de l'État. Nous avons progressé sur ce point : le président de la République François Hollande a explicitement évoqué cet enjeu dans la lettre de mission adressée à M. Jean-Marie Guéhenno - président de la commission chargée de rédiger le Livre blanc - comme dans ses voeux aux armées.

La question des moyens de l'ANSSI est évidemment centrale. Les États qui réduisent aujourd'hui leurs dépenses de défense, notamment en Europe, n'en augmentent pas moins les budgets dédiés aux outils en matière de cyberdéfense et de cybersécurité. Sans parler des États-Unis, on peut citer le cas du Royaume-Uni. Dans un tel contexte, les moyens de l'ANSSI ont vocation à se renforcer pour être portés au niveau de ceux de nos partenaires britannique ou allemand. La qualité de notre outil est reconnue, y compris à l'international, mais ses moyens sont encore insuffisants. Je me félicite donc de la création de 65 postes supplémentaires à l'ANSSI en 2013 ; ses effectifs devraient atteindre 500 agents à l'horizon 2015. Nous serons bientôt au même niveau que nos voisins non plus sur le seul plan qualitatif, mais aussi sur le plan quantitatif. Le ministre de la défense, M. Jean-Yves Le Drian, a également annoncé un renforcement des effectifs des armées dans le domaine de la cyberdéfense.

Mon rapport proposait aussi de créer une « cyber réserve » citoyenne, qui rassemble des spécialistes et des ingénieurs mobilisés sur ces questions. Cette proposition peut sembler anecdotique de prime abord, mais je crois savoir que l'état-major la prend très au sérieux.

J'en viens aux évolutions législatives ou réglementaires qui permettraient à ces outils publics de mieux exercer leurs missions. Lors de la réunion du Forum international de la cybersécurité (FIC) à Lille, le ministre de l'intérieur, M. Manuel Valls, a annoncé la création d'un groupe interministériel chargé d'étudier l'adaptation de notre droit aux nouvelles menaces liées au cyber. D'autres progrès pourront être envisagés dans le cadre de la future loi de programmation militaire.

Je m'étais montré assez critique en ce qui concerne le niveau européen, mais je me félicite aujourd'hui de la publication, le 7 février, de la nouvelle stratégie de l'Union européenne en matière de cybersécurité, qui s'accompagne d'une proposition de directive. Le président M. Jean-Louis Carrère m'a d'ailleurs désigné pour suivre ce sujet pour la commission des affaires étrangères, de la défense et des forces armées du Sénat avec notre collègue Jacques Berthou. Compte tenu des compétences de l'Union en matière de normes, de réglementation et de communication, il était important qu'elle se positionne sur ce sujet. Il y a d'ailleurs un lien entre législation nationale et européenne sur un point que j'avais mis en exergue, l'obligation de déclaration d'incident, notamment pour les entreprises et les opérateurs d'importance vitale. Lorsque ceux-ci sont attaqués, ils ont tendance à taire ce qu'ils considèrent comme un signe de faiblesse, qui pourrait leur faire perdre des marchés. Or c'est le contraire : plus ils ont de valeur, plus ils seront attaqués. Ils doivent donc l'assumer et accepter de se faire aider. L'obligation de déclaration d'incident les y aidera.

Après ces motifs de satisfaction, j'en viens aux aspects de mon rapport qui mériteraient d'être mieux pris en compte.

Tout d'abord, d'importants efforts restent à faire en matière de sensibilisation des administrations, du monde de l'entreprise, notamment des PME, et des opérateurs d'importance vitale. Je pense à l'organisation à l'intérieur des entreprises ou à la place donnée aux responsables des systèmes de sécurité. Ce n'est pas un enjeu technique, mais bien un enjeu économique ; nous sommes en guerre économique, et c'est notre chaîne de valeur qui est concernée. Les exemples qui ont été cités montrent que nous sommes confrontés à un véritable pillage. C'est donc un enjeu majeur pour notre économie et pour la préservation de nos emplois.

Il y a un lien entre cet aspect défensif et les opportunités de développement industriel et de création d'emplois qualifiés. Puisque nous avons parlé de l'actualité, permettez-moi d'évoquer l'entreprise chinoise ZTE, qui hésite toujours à s'implanter à Poitiers. Hier, notre collègue l'ancien Premier ministre Jean-Pierre Raffarin a estimé dans un quotidien local que mon rapport tenait des propos de café du Commerce sur ces sujets. L'actualité d'aujourd'hui - je pense au rapport de Mandiant, qui affirme sans ambiguïté l'existence d'un immeuble abritant des escouades entières de hackers à Shanghai - me donne raison. Je suis un ami de la Chine et je souhaite que l'on commerce avec elle ; ZTE est une belle entreprise. Pour autant, il ne faut pas être naïf : nous devons mettre en place un certain nombre de règles du jeu.

Un point a fait polémique dans mon rapport : la proposition d'interdire sur le territoire national et à l'échelle européenne le déploiement et l'utilisation des routeurs et autres équipements de coeur de réseau d'origine chinoise qui présentent un risque pour la sécurité nationale dans le contexte actuel. L'aspect positif dans tout cela, c'est que nous devons conforter notre outil industriel, tant au niveau français qu'au niveau européen. Nous avons de beaux fleurons - Thales, Cassidian, Bull, Sogeti ou Alcatel-Lucent - et de nombreuses PME innovantes. Sachons exploiter ces atouts.

Il y a là un enjeu de souveraineté nationale, voire de souveraineté européenne partagée. Nous avons déjà une Europe de l'aéronautique et une Europe spatiale. Pourquoi pas une Europe des industries de la cyber demain ? Le potentiel de développement et de création d'emplois est considérable. Il reste que notre capacité de formation n'est pas à la hauteur en termes quantitatifs, comme en témoigne la difficulté de l'ANSSI à recruter. Or les perspectives sont réelles dans des domaines comme la cryptologie, l'architecture matérielle et logicielle et la production de certains équipements de sécurité ou de détection. Nous sommes performants, et les échanges avec les Chinois, les Américains ou les Russes existent pour certains produits. Mais sur les routeurs et les équipements de coeur de réseau, nous devons construire pour demain, à partir de nos fleurons, une capacité française et européenne.

Nous avons aujourd'hui une base industrielle et technologique de défense (BITD). Pourquoi ne pas avoir demain une base industrielle et technologique en matière de cyber (BITC) ? Le séminaire gouvernemental du 28 février et la feuille de route pour le numérique devraient nous permettre d'avancer sur ce sujet. Vous recevrez d'ailleurs tout à l'heure la ministre chargée de l'économie numérique, Mme Fleur Pellerin, qui est sensibilisée à cette question ; des progrès importants sont possibles.

Il me paraît également nécessaire de renforcer la sensibilisation des utilisateurs au respect des règles élémentaires de sécurité, que Patrick Pailloux appelle à juste titre des règles d'hygiène élémentaires.

Il nous faut enfin poser la question - sensible - de nos capacités offensives. La France dispose de capacités offensives. Si nous n'avons pas à mettre sur la place publique le dispositif opérationnel qui est le nôtre, qui est un vrai dispositif de dissuasion, nous pourrions néanmoins avoir une doctrine d'emploi. Devant la grande vulnérabilité de nos sociétés, et la possibilité d'une déstabilisation qui confinerait quasiment à une cyber-guerre, les efforts de sensibilisation que nous poursuivons à travers une réunion comme celle-ci ont toute leur importance.

M. le président Jean-Louis Carrère . Je vais maintenant passer la parole à M. Eduardo Rihan Cypel, député de la Seine-et-Marne et membre de la commission chargée d'élaborer le Livre blanc sur la défense et la sécurité. Lors de la réunion de cette commission le 24 septembre dernier, M. Rihan Cypel a rappelé l'urgence d'une réaction nationale face aux menaces d'attaques stratégiques dans le domaine numérique.

M. Eduardo Rihan Cypel, député . Peut-être serai-je amené à répéter certains aspects des interventions précédentes : c'est le signe que nous sommes d'accord sur les problématiques et les enjeux fondamentaux en matière de cybersécurité.

Depuis que je travaille à ces sujets, c'est-à-dire depuis mon élection en juin dernier, j'ai pu mesurer leur importance dans l'organisation de l'ensemble de la société. L'accélération de la révolution amorcée il y a une trentaine d'années a provoqué des bouleversements sociaux considérables. Tout est intégré aujourd'hui, ce qui pose avec force la question de la sécurité des réseaux et de l'acheminement de l'information, mais aussi celle de la sécurité de l'information elle-même.

De la protection du simple citoyen à la sécurité nationale et internationale, les enjeux sont multiples. Les spécialistes en ont une conscience claire : pour eux, ces enjeux ne sont pas seulement virtuels, ils sont aussi d'ordre physique et matériel. Les attaques contre nos systèmes d'information peuvent mettre à bas les circuits numériques pour nous empêcher de communiquer, pour récolter des informations dans le cadre de l'intelligence économique, pour déstabiliser les réseaux ; mais il est également possible, par exemple, d'ouvrir les vannes d'un barrage après avoir pris le contrôle de son système informatique, ou de s'emparer d'un système de contrôle de transports ferroviaires pour provoquer des accidents.

On se souvient du virus Stuxnet, qui a provoqué la désynchronisation des centrifugeuses iraniennes destinées à l'enrichissement de l'uranium et la destruction de 20 à 30 % de ces équipements. La dernière attaque de grande ampleur est celle qui a été menée l'été dernier contre la compagnie pétrolière saoudienne Aramco, infectant 30 000 ordinateurs de l'entreprise. On le voit, les cyberattaques peuvent quasiment provoquer un choc pétrolier.

Le cyberterrorisme prendra très probablement de l'importance dans les années à venir. Nous devons nous préparer à y faire face en mobilisant tous les efforts de la nation. Le Livre blanc de 2008 avait identifié ces sujets comme majeurs, les plaçant presque au même niveau que la dissuasion nucléaire et les forces balistiques conventionnelles. Cela représentait une prise de conscience importante.

Aujourd'hui, nous devons tenir trois enjeux principaux.

D'abord la sécurité nationale. Si l'ANSSI est au coeur de ce combat pour ce qui est de la protection de l'appareil d'État et des grandes entreprises, il reste du travail à accomplir dans tous les segments de la société française : je pense par exemple aux PME exposées au risque d'espionnage économique mais aussi aux particuliers confrontés à la cybercriminalité - près 10 millions de Français ont été victimes de cyberescroqueries l'année dernière pour un coût total estimé à 2,5 milliards d'euros -, notamment par défaut de sécurisation de leurs données bancaires et personnelles. Même si des progrès existent, la prise de conscience est encore insuffisante pour permettre une mobilisation nationale. Je souscris à l'idée selon laquelle la sécurité numérique est un enjeu d'indépendance nationale. La France doit prendre cette question à bras-le-corps.

Les travaux préparatoires au prochain Livre blanc accordent une importance centrale à la cybersécurité. Si je suis confiant de ce point de vue, je pense aussi que la formation est insuffisante.

Le deuxième enjeu est donc celui de la formation. Nous devons créer des filières universitaires qui nous permettront d'accroître le nombre d'ingénieurs dans ce domaine.

Le troisième enjeu est économique. Les questions de sécurité représentent une opportunité formidable pour créer de nouvelles filières économiques et industrielles. Les entreprises qui évoluent dans le secteur présentent des taux de croissance à deux chiffres. Nous avons des atouts - Cassidian, Thales et beaucoup d'autres -, mais il faut encore nous mobiliser car le travail ne fait que commencer.

M. le président Jean-Louis Carrère . Cette mobilisation ne devra pas se relâcher après la remise du Livre blanc : il faut que la loi de programmation qui s'ensuivra corresponde à la volonté politique exprimée dans ce document.

Le capitaine de vaisseau Alexis Latty, de l'état-major des armées, va maintenant nous présenter le dispositif de cyberdéfense des armées, qui est dirigé par le contre-amiral Arnaud Coustillière, officier général à la cyberdéfense.

M. le capitaine de vaisseau Alexis Latty, état-major des armées . Comme l'ont montré les précédents intervenants, le cyberespace est devenu un nouveau lieu de confrontation.

Cette situation est appréhendée par le ministère de la défense selon une approche prioritairement opérationnelle.

Pour la sphère militaire, les enjeux relèvent de l'efficacité de notre outil de défense. Nous devons d'abord protéger les données classifiées ; ensuite être en mesure de continuer à opérer sous agression cybernétique afin de garantir notre autonomie d'appréciation de la situation et notre liberté d'action ; enfin, nous devons contribuer à assurer le bon fonctionnement de l'État en cas de crise cybernétique nationale majeure.

Les théâtres d'opérations cybernétiques - c'est là l'une de leur principale spécificité - englobent non seulement le théâtre classique d'une opération extérieure mais aussi le territoire national. L'exemple malien en est l'illustration la plus récente, avec des cyberattaques - d'ailleurs peu sophistiquées et d'ampleur limitée - contre des intérêts français en réaction à l'opération Serval.

Il faut reconnaître que l'état de cybersécurité du ministère de la défense, en dépit des efforts consentis depuis dix ans, n'est pas encore à la hauteur des risques et des menaces. Nous savons qu'un effort particulier doit être consenti sur les systèmes d'information embarqués, notamment concernant les systèmes d'armes et les automatismes des plateformes.

L'ambition du ministère, en totale adéquation avec les objectifs de la stratégie nationale, est de porter rapidement la cybersécurité au niveau adéquat puis de devenir un acteur majeur de la dimension « cyber » d'une coalition militaire internationale.

Pour y parvenir, nous avons retenu une approche globale. Un schéma directeur capacitaire oriente les actions à entreprendre sur un horizon de dix ans. Il appréhende l'ensemble des systèmes d'information du ministère, dans l'acception la plus extensive possible en raison non seulement du caractère centralisé de la chaîne opérationnelle de cyberdéfense, mais aussi de l'interdépendance des processus de cyberdéfense et de cyberprotection qui a été précédemment évoquée par le directeur de l'ANSSI.

Concernant les moyens, je soulignerai trois points.

Premièrement, notre organisation a été refondue en 2011. La chaîne opérationnelle de cyberdéfense est désormais centralisée sous l'autorité du chef d'état-major des armées. La chaîne fonctionnelle de cyberprotection est distribuée autour de cinq autorités qualifiées qui ont pour mission de mettre en état de cybersécurité les systèmes d'information dont elles sont responsables.

Deuxièmement, des investissements sont planifiés selon des modalités qui devront être confirmées par la loi de programmation militaire. Ils ménagent un équilibre entre, d'une part, l'acquisition des outils urgents ou indispensables, comme des chiffreurs de données, des sondes sur les systèmes et des logiciels d'analyse technique, et, d'autre part, des dépenses d'avenir visant à étudier la cyberdéfense spécifique des systèmes d'armes et à préparer les outils de demain.

Troisièmement, le renforcement de nos liens avec l'ANSSI s'illustre de manière exemplaire par la co-localisation en 2013 du centre d'analyse et de lutte informatique défensive du ministère avec le centre opérationnel de l'Agence, dans le cadre d'un partenariat de confiance inscrit dans la durée.

Cette politique ambitieuse passe par le développement de relations étroites avec des partenaires internationaux de confiance. Les exigences de souveraineté étant fortes - ce domaine fait partie du premier cercle de souveraineté, au même titre que la dissuasion -, l'orientation principale est de rechercher des convergences avec les partenaires qui ont le même niveau d'ambition, sans toutefois s'en rendre dépendant.

Dans les quelques minutes qui me restent, je voudrais rapidement développer un angle particulier, celui de l'adéquation des ressources humaines aux ambitions

Nous le savons, la cybersécurité repose pour une large part sur des hommes et des femmes. Aujourd'hui nous disposons d'environ 1 000 spécialistes à temps partiel, soit l'équivalent d'environ 300 postes à temps plein. Pour la période 2013-2020, un plan de renforcement de l'ordre de 400 spécialistes pour les armées a été engagé. Ce plan, qui devra également être confirmé par la loi de programmation militaire, vise à professionnaliser la fonction de cybersécurité au rythme d'environ 50 spécialistes additionnels à temps complet par an, qui est le rythme maximum de ce qu'il est possible de consentir.

Les facteurs de succès en manière de ressources humaines reposent sur plusieurs éléments.

En premier lieu, une gestion prévisionnelle performante des effectifs, des emplois et des compétences. Le modèle de ressources humaines des armées reposant sur la génération de compétences en interne, le plan de renforcement CYBER est une opportunité pour remodeler les parcours professionnels et la pyramide des emplois de nos spécialistes, ce qui constitue une priorité pour cette famille professionnelle composée de civils comme de militaires.

En deuxième lieu, l'émergence d'un écosystème national propice. La cybersécurité est un domaine qui a besoin d'innovation et d'échanges, notamment entre les acteurs opérationnels et les acteurs de la base industrielle et technologique de défense, voire au-delà. La défense nationale y contribue par plusieurs initiatives, avec en particulier l'émergence d'un pôle d'excellence en matière de formation de Brest à Rennes, la mise en place d'une chaire de cyberdéfense à Saint-Cyr Coëtquidan ou un projet de pôle « cyber » du monde maritime sur la place de Brest.

En troisième lieu, la promotion d'une hygiène cybernétique implacable Aujourd'hui, nous constatons que sommes loin du compte et que les maillons faibles se trouvent en réalité chez nos grands partenaires. Cette hygiène repose sur une sensibilisation régulière, notamment dans toutes les formations internes, sur une information régulière du niveau de menace, qui permet de rappeler les bonnes pratiques, et sur des contrôles a posteriori tels que l'analyse après incident.

Enfin, la sensibilisation de la société aux enjeux cybernétiques tout en y développant l'esprit de défense. C'est toute l'ambition de la création d'une réserve citoyenne de cyberdéfense, dont Luc-François Salvador a accepté d'être le coordonnateur national, dans le cadre d'un engagement éthique et citoyen. Cette réserve citoyenne agit tant au profit de l'ANSSI que des armées et pourrait devenir apte à contribuer au traitement d'une crise informatique majeure sur le territoire national.

En conclusion, le ministère de la défense s'attelle à relever les enjeux de la cybersécurité par la mise en oeuvre déterminée d'une vision directrice à dix ans. Les défis sont nombreux mais les acteurs civils ou militaires sont motivés et les relèveront.

Débat

M. le président Jean-Louis Carrère . J'invite maintenant les parlementaires et les personnalités présentes dans la salle à poser leurs questions.

M. Stanislas Bourdeaut (Alcatel-Lucent). Je remercie les intervenants d'avoir montré combien la cybersécurité est fondamentale pour la souveraineté nationale. Ce sujet est au coeur des préoccupations des équipes d'Alcatel-Lucent en France.

Quelle influence peut avoir l'ANSSI sur les opérateurs privés qui se sont développés dans notre pays ? Ses recommandations sont-elles écoutées ?

Si l'idée d'édicter des normes européennes est intéressante, ne risque-t-on pas toutefois d'assister à un alignement sur le moins-disant ?

Alors que le rapport de M. Bockel préconise à juste titre que l'on retranche des coeurs de réseau les équipements malveillants, notamment chinois, où en est la réflexion sur l'accès ? Le plan télécoms du Gouvernement vise à étendre le très haut débit à la fois aux fixes et aux mobiles. La norme de quatrième génération reposant essentiellement sur des protocoles Internet tout aussi exposés que les coeurs de réseau, ne conviendrait-il pas de réfléchir à des mesures de prévention ?

M. Patrick Pailloux . En matière de normes européennes, le risque d'alignement sur le moins-disant est clairement identifié. La France joue ici un rôle d'explication et d'influence - j'ai même eu des échanges un peu difficiles avec la Commission européenne à ce sujet. Cela étant, je ne m'inquiète pas plus que de raison. Le sujet est bien identifié à l'échelle européenne, où l'on privilégie une stratégie de capacity building . Tous les État ne connaissent pas la même avance technologique, et de surcroît pas dans les mêmes domaines. Aussi la politique européenne vise-t-elle à tirer vers le haut l'ensemble du dispositif afin qu'il ne reste pas de maillon faible. Il est en effet probable, du fait de notre forte interconnexion, que d'éventuels attaquants utiliseront ce maillon.

La France, me semble-t-il, a eu une influence positive sur différents aspects de la stratégie européenne de cybersécurité dévoilée la semaine dernière. Je pense que nous allons dans le bon sens.

L'influence de l'ANSSI sur les opérateurs passe d'abord par un travail de sensibilisation et d'explication. Après avoir été victime d'une attaque, un opérateur a généralement une vision sensiblement différente de la situation !

Notre influence passe aussi par une action de régulation. Le dispositif législatif et réglementaire issu du « paquet télécoms » nous donne désormais la capacité de mener des audits auprès des opérateurs de télécommunication et de leur imposer des règles de sécurité. La question se pose toutefois pour les autres types d'opérateur.

M. Jean-Marie Bockel, sénateur . Je redis ici mon soutien aux salariés et aux responsables d'Alcatel-Lucent France. Je les ai rencontrés à plusieurs reprises et ils savent que je suis à leurs côtés. J'ai longuement évoqué leur situation avec Mme Pellerin. Nous ne devons pas oublier le caractère mondial de cette très belle entreprise, certes, mais nous devons nous garder de toute naïveté et renforcer ses chances. M. Montebourg est sensible à cet aspect : il nous faut protéger nos fleurons tout préservant leur capacité à être présents à l'international.

M. Patrice Laya, rédacteur du site Sécurité commune info et membre du Haut comité français pour la défense civile . J'attire votre attention sur la pénurie de ressources humaines. Les jeunes ingénieurs préfèrent s'orienter vers les nouveaux développements des mobiles. Une fois la crainte du bogue de l'an 2000 dissipée et le passage à l'euro accompli, les entreprises et les organisations se sont séparées de leurs ingénieurs système et réseau ancienne architecture. À l'approche de la soixantaine, ils se retrouvent sur le carreau. Ne conviendrait-il pas de mettre ces personnes à contribution ? Écrire des codes et faire de l'assemblage, c'est comme la natation : cela ne s'oublie pas !

M. Patrick Pailloux . Il y a manifestement un déficit de formation. D'après une estimation menée avec les industriels qui recrutent dans ce domaine, il apparaît que la formation des experts de sécurité ne correspond qu'à un quart de ce qui serait nécessaire. Nous nous employons donc à développer des filières de sécurité, avec notamment l'ouverture d'une école spécialisée dans la région de Coëtquidan. Les cursus que nous mettons en place concernent bien entendu les jeunes, mais ils peuvent aussi permettre la reconversion de personnes ayant travaillé dans les systèmes et les réseaux.

M. le président Jean-Louis Carrère . En faisant appel à ces personnes, on pourrait mettre en place des formes de tutorat comparables à celles que le Président de la République préconise.

M. Jean-Marie Bockel, sénateur . La filière a un potentiel de création de centaines de milliers d'emplois qualifiés. Au moment du choix de leur formation, les jeunes sont sensibles à la conjonction d'un volontarisme industriel français et européen et à l'effet de mode dont peut bénéficier l'activité en question.

M. Claude Kirchner, délégué général à la recherche et à la technologie de l'institut national de recherche en informatique et en automatique (INRIA). Ma question, qui s'adresse à MM. Pascal Chauve et Stéphane Grumbach, concerne les données.

Naguère, lorsque l'on voulait acquérir de l'information, il fallait aller la chercher dans un endroit protégé par divers moyens, y compris cryptographiques. Aujourd'hui, on dispose également de données publiques, largement disponibles, dont l'agrégation et l'analyse permettront d'acquérir des informations que leurs détenteurs ne connaissent pas eux-mêmes. On peut imaginer que Google en sait beaucoup plus sur le ministère français de la défense que le ministère lui-même sur un certain nombre d'éléments.

Comment abordez-vous cette vulnérabilité et quels sont les moyens d'y répondre ?

M. Pascal Chauve . L'habitude de l'administration est de marquer d'un grand coup de tampon rouge ses informations classifiées. Elle s'attache à identifier précisément ce qui relève de la protection du secret de la défense nationale, de manière à ce que ces informations ne se retrouvent pas dans la nature : la compromission d'un secret protégé est punie par le code pénal.

Mais il existe une autre information, diffuse, qui permet par recoupement d'en apprendre beaucoup sur une entreprise ou sur un ministère comme par exemple le ministère de la défense, sur ses priorités, voire sur ses services de renseignement. Aucun coup de tampon ne peut résoudre ce problème, alors que l'accès au big data et à son traitement permet de dégager des informations précises. Pour remédier à cette situation préoccupante, il conviendrait sans doute d'étudier les technologies permettant de réaliser des recherches discrètes afin de dissimuler nos priorités. La discrétion des recherches, à laquelle l'INRIA travaille également, n'est pas qu'un sujet académique.

Pour le reste, nous ne disposons pas d'autre parade légale pour se protéger contre cette forme d'espionnage, que le régime de protection des données personnelles, qui ne s'applique dans le cas où de telles données, mélangées à des données de connexion ou, à des priorités de recherche, seraient compromises.

M. Stéphane Grumbach . Il faut en effet distinguer les données classifiées, les données personnelles accumulées par des industriels comme Google ou Facebook, et les données ouvertes - open data -, très populaires en Europe.

Les sociétés que j'ai citées sont propriétaires de leurs données. Dans la limite de certaines normes, elles peuvent en faire usage tant pour tirer des informations personnelles que des informations globales au niveau d'une région. On le voit, la situation est très différente selon que tous les pays possèdent ces informations ou seulement certains. En l'occurrence, les données de l'Europe ne sont pas en Europe, si bien que nous ne pouvons pas en faire grand-chose. Cela soulève un problème de souveraineté, y compris concernant les informations sur l'état de notre pays.

Pour autant, les données produites en France transitent par des tuyaux situés en France. De fait, elles pourraient être accessibles aux autorités françaises moyennant une analyse des paquets.

M. Jean-Yves Le Déaut, premier vice-président de l'OPECST . M. Pailloux pourrait-il apporter des précisions sur les mauvais résultats français en matière de tests de pénétration ?

Le capitaine de vaisseau Latty a pour sa part laissé entendre qu'il y avait des maillons faibles chez les grands partenaires du ministère de la défense. Peut-il en dire un peu plus ?

M. Patrick Pailloux . Les pirates informatiques entrant facilement dans les réseaux de nos grandes entreprises, il n'est pas étonnant que les tests de pénétration produisent les mêmes résultats. Pendant trente ou quarante ans, nous avons développé des systèmes d'information sans nous préoccuper véritablement de la sécurité. Le sujet dont nous débattons ici était encore, il y a deux ans, l'apanage de cercles très restreints. Les grandes entreprises et les grandes administrations ne s'en préoccupaient guère. De sorte qu'aujourd'hui nos systèmes d'information sont des portes ouvertes et les règles élémentaires d'hygiène informatique - auxquelles nous avons récemment consacré un guide - ne sont ni appliquées ni enseignées aux ingénieurs.

Que les audits de sécurité détectent des vulnérabilités est inquiétant mais n'est pas surprenant. Ce qui importe, c'est que leurs résultats soient bien pris en compte par la suite. Il nous arrive malheureusement de retrouver les mêmes vulnérabilités lors d'un test ultérieur !

M. le capitaine de vaisseau Alexis Latty . Il y a des maillons faibles partout, monsieur Le Déaut. Par contraste, nous estimons que les mesures prises au sein du ministère de la Défense nous ont mis sur la bonne voie. Mais nous avons de nombreuses interactions avec l'extérieur : fournisseurs de matériels, concepteurs ou,- développeurs de systèmes, et tous sont susceptibles de se glisser dans les « interstices » - comme les qualifiaient précédemment M. Chauve - de nos systèmes. Nous avons également des interactions avec des prestataires de services, en particulier de télémaintenance, qui disposent de points d'accès sur nos réseaux. Toutes ces interactions nécessitent la plus grande vigilance et que soit maîtrisé le niveau de cybersécurité des prestataires associés.

M. Daniel Kofman, professeur à Télécom ParisTech et membre du conseil scientifique de l'OPECST . Alors que l'on a évoqué à plusieurs reprises les problèmes pouvant se poser au niveau des coeurs de réseau, il me semble que les frontières du réseau présentent des vulnérabilités très importantes. Je veux parler des équipements personnels, tablettes et Smartphones, qui seront demain les passerelles entre notre réalité physique et le reste de l'infrastructure. Quelle est la réflexion des participants à ce sujet ?

On a peu évoqué également les algorithmes destinés à traiter les masses de données, les big data . À l'avenir, ces algorithmes apporteront des conseils directs aux citoyens. Pour l'heure, rien ne garantit qu'ils ne sont pas biaisés et répondent véritablement aux intérêts de ceux qui soulèvent les questions.

M. Patrick Pailloux . Les deux questions sont liées.

Le terminal personnel nous a fait changer de paradigme dans la mesure où la personne possède désormais un outil qui concentre la totalité de ses données : ses « contacts », ses messages électroniques, ses photos, sa localisation, ses accès à divers systèmes d'information. C'est donc un point de fragilité extrême en termes de sécurité, d'autant plus faible qu'il est techniquement beaucoup moins puissant qu'un ordinateur.

En plus, les systèmes de ces terminaux sont contrôlés par un très petit nombre d'acteurs : essentiellement Google et Apple. Un client qui achète un mobile muni du système Androïd doit s'inscrire chez Google, sans quoi son équipement ne fonctionnera pas. De même, l'acheteur d'un e-pad, e-phone ou autre est contraint de s'inscrire chez Apple. Bien que le modèle soit ouvert d'un côté, fermé de l'autre, on doit de toute façon passer par ces sociétés pour accéder à la totalité de l'information. Ce sont elles qui gèrent votre identité et vos accès, qu'elles peuvent le cas échéant couper. Le sujet, rarement évoqué, pose de sérieux problèmes.

M. le président Jean-Louis Carrère . Auxquels s'ajoute celui de la dépendance à ces objets !

M. Eduardo Rihan Cypel, député . Nous abordons en réalité un nouveau continent qui recouvre tous les autres et où se joue non seulement la sécurité nationale - tout le monde s'accorde sur la nécessité de sécuriser les domaines vitaux -, mais aussi, ce dont on parle beaucoup moins, la vie concrète de nos concitoyens. De la sécurité nationale au petit appareil dont nous nous servons pour nous interconnecter, les enjeux sont imbriqués. Un des deux opérateurs cités va jusqu'à refuser de sécuriser les systèmes qu'il diffuse, sans doute par attachement à une conception « libertaire ». Mais comme toute la vie concrète passe par ces terminaux, les points de fragilité risquent de rendre vulnérables des systèmes beaucoup plus vastes. L'utilisation des comptes bancaires et de différentes données personnelles permet, par exemple, des activités d'intelligence économique.

Demain, ce seront les réfrigérateurs et tous les autres appareils domestiques qui seront interconnectés avec notre terminal. Nous pourrons tout contrôler à distance. Les ingénieurs prendront la relève des plombiers, qu'il ne sera même plus nécessaire de faire venir puisqu'ils pourront travailler à distance.

Le changement d'ère est encore plus important que celui qui a suivi l'apparition de l'automobile. Nous en sommes encore à une phase exploratoire qui devra s'accompagner d'une régulation forte, non pas pour contraindre les personnes mais pour organiser ce nouvel univers.

M. Michel Cosnard, président-directeur général de l'INRIA . Cette transformation de la société se traduit par une évolution de la notion de service public, puisque les questions dont nous parlons - défense nationale, mise en relation des citoyens, protection des données personnelles - relèvent bien du service public. La représentation nationale et l'OPECST réfléchissent-ils à cet aspect et à ses implications au regard de l'intérêt des citoyens ?

M. Bruno Sido, président de l'OPECST . Si j'ai souhaité l'organisation de ces tables rondes ouvertes au public et à la presse, c'est parce que jamais, dans mes douze années de mandat sénatorial où j'ai pourtant rapporté deux projets de loi relatifs aux télécommunications, je n'ai constaté que l'on ait vraiment abordé ces sujets, hormis peut-être à la commission de la défense et des forces armées. Les discussions d'aujourd'hui nous permettront de décider s'il est opportun que l'OPECST se saisisse de la question.

M. Jean-Yves Le Déaut, premier vice-président de l'OPECST . C'est à la suite d'auditions de l'INRIA que nous avons mesuré l'ampleur des problèmes, déjà abordés néanmoins par la commission de la défense et des forces armées de l'Assemblée nationale. L'OPECST a coutume d'être une passerelle entre le Parlement, le monde de l'université, le monde de la recherche et le monde industriel, mais c'est la première fois qu'il traite d'un sujet commun avec la défense. Les thèmes abordés ce matin ont des implications dans le domaine militaire. Cet après-midi, nous discuterons de leurs aspects civils.

Ces sujets majeurs pour notre pays relèvent bien, comme l'a dit M. Cosnard et comme l'ont bien démontré tous les intervenants, du service public. Nous devons nous en saisir. Se pose en particulier la question de la gouvernance mondiale de l'Internet. En dépit de quelques évolutions, le dispositif actuel, fondé sur des initiatives d'industriels américains privés, reste insatisfaisant. Au niveau national, les systèmes qui se mettent en place ont encore des progrès à faire.

M. le président Jean-Louis Carrère . Il me semble en effet que nous avons ici la première structure publique de débat sur ce thème. Et notre participation à des travaux qui requièrent une certaine confidentialité, quand ils ne sont pas soumis au Secret-défense, est assez récente. Nous n'avions pas l'habitude de ces préoccupations concernant nos téléphones mobiles, tablettes ou autres !

La Commission des affaires étrangères, de la défense et des forces armées du Sénat a travaillé à ces questions lors de la préparation de sa contribution au Livre blanc, il y a un peu plus d'un an. Auparavant, le rapport sur la cyberdéfense remis par Roger Romani en 2008 avait constitué une première parlementaire.

Je reconnais néanmoins que le Sénat s'en est tenu pour le moment à l'aspect de la cyberdéfense, sans explorer assez un autre aspect que je dois taire mais qui est indispensable. Comment, en effet, élaborer un dispositif de cyberdéfense avec des moyens seulement défensifs ?

Au sein de la commission du Livre blanc, le groupe de travail consacré au renseignement a beaucoup réfléchi à la cyberdéfense. Je crois ne trahir aucun secret en affirmant que ce sujet fera partie des priorités du document final.

Je remercie tous les intervenants pour la qualité de ces échanges.

---

* ¹ «Unit 61398: A Chinese cyber espionage unit on the outskirts of Shanghai?» -

http://nakedsecurity.sophos.com/2013/02/19/unit-61398-chinese-military-cyber-espionage-unit/

* ² «Hackers in China attacked the Times for last four months»

http://www.nytimes.com/2013/01/31/technology/chinese-hackers-infiltrate-new-york-times-computers.html

* ³ http://www.arstechnica.com/tech-policy/2013/01/california-man-finally-arrested-after -sextorting-over-350-women/

* ⁴ India Asks Pakistan to Investigate Root of Panic,» by Jim Yardley, The New York Times, August 19, 2012:

http://www.nytimes.com/2012/08/20/world/asia/india-asks-pakistan-to-help-investigate-root-of-panic.html

* ⁵ «Twitter Rumor Sparked Oil-Price Spike,» by Nicole Friedman, WSJ.com, August 6, 2012:

http://online.wsj.com/article/SB10000872396390444246904577573661207457898.html

* ⁶ »Apple computers'hacked' in breach» - http://www.bbc.co.uk/news/technology-21510791

* ⁷ «Welcome to the Malware-Industrial Complex» | MIT Technology Review -

http://www.technologyreview.com/news/507971/welcome-to-the-malware-industrial-complex/

* ⁸ «Huawei and ZTE pose security threat, warns US panel»

* ⁹ «Security firm Bit9 hacked, Stolen Digital Certs Used To Sign Malware» - Hacking News

http://thehackernews.com/2013/02/security-firm-bit9-hacked-stolen.html

* ¹⁰ 2013 Cisco Annual Security Report - « Online shopping sites are 21 times more likely to deliver malicious content than counterfeit software sites.»:«As Cisco data shows, the notion that malware infections most commonly result from «risky» sites such as counterfeit software is a misconception. Cisco's analysis indicates that the vast majority of web malware encounters actually occur via legitimate browsing of mainstream websites. In other words, the majority of encounters happen in the places that online users visit the most--and think are safe».