DIRECTION DE LA PROTECTION ET DE LA SÉCURITÉ DE LA DÉFENSE (DPSD)
M. Philippe Le Bouil, lieutenant-colonel, chef de bureau
6 mars 2014
La DPSD est le service de renseignement du ministère de la défense qui lui permet d'affirmer son rôle d'autorité d'habilitation des personnels et de protection des biens, des personnels et des installations de la défense au sens large ; de même en ce qui concerne la détention d'information, pour l'industrie de défense et les industriels ayant des contrats avec le ministère de la défense.
Avant 1981, c'était la sécurité militaire qui s'occupait principalement du risque d'espionnage au sein des forces armées ; elle était le contre-espionnage des forces armées. Il y a donc eu transformation en service de protection des personnels contre les tentatives d'ingérence des services de renseignements étrangers, du crime organisé, du terrorisme international dans la sphère concernant le ministère de la défense et les industries de défense. Pour le reste des organismes ou personnels (enseignement supérieur et recherche, sécurité intérieure, agriculture, santé, etc.), cela relève de la Direction centrale du renseignement intérieur (DCRI).
La DPSD compte 1 100 personnes et a en charge la protection des installations et du personnel de la DGA, de l'État-major, des forces françaises, également à l'extérieur du territoire avec la protection des risques en particulier en Corse ou dans les DOM-TOM, incluant l'intérêt particulier d'autodétermination dans le Pacifique, cette mission incluant l'appréciation du niveau de risque auquel sont exposés les industriels et le personnel du ministère.
Le général Bosser, qui est à la tête de la DPSD, a été auditionné récemment par la commission des affaires étrangères, de la défense et des forces armées du Sénat.
La DPSD conduit trois types d'action ; d'abord des prestations adaptées (contrôles, inspections), ensuite du conseil et, enfin, de la sensibilisation.
La DPSD procède à des contrôles, des inspections au profit du cabinet du ministre de la défense notamment sur l'industrie ; la mission de conseil et de sensibilisation est de plus en plus prenante et appréciée des partenaires industriels avec la création de plates-formes de démonstration et de réalisation d'attaques informatiques , notamment à partir du smartphone pour faire prendre conscience à des comités exécutifs, des comités directeurs, des chefs de projet, de la réalité du risque numérique. Dans ce champ d'action, la DPSD intervient dans un domaine différent de celui du contrôle régalien traditionnel de la protection du secret qui ne comprend pas ce volet risque numérique qui touche l'ensemble des citoyens.
L'organisation de la DPSD a été modifiée en fonction de l'évolution du risque numérique avec la création d'un poste d'officier supérieur de contre ingérence-cyberdéfense pour mener des actions dans le domaine du numérique cyberdéfense ou cybersécurité. Un officier de liaison de la DPSD existe aussi au sein de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), comme pour la DCRI et la DGSE depuis 2012.
Face à l'émergence et au toilettage de nouveaux textes réglementaires en vigueur, tout le volet cybersécurité a entraîné la signature de protocoles entre des acteurs du domaine, l'officier général en change de la cyberdéfense au sein de l'État-major des armées, l'amiral Coustillière, et notamment l'ANSSI.
Le rôle des différents acteurs en cas d'intervention, notamment dans l'industrie découle du code de la défense qui décrit bien l'action des armées, avec le rôle particulier de la DPSD dont découle le pouvoir de contrôler au sein des industries de défense en fonction d'exigences contractuelles.
Il existe aussi une action d'information particulière systématique des hautes autorités dans le cas d'attaques informatiques. Le vecteur du réseau interministériel sécurisé, Isis , est utilisé pour compléter l'information par des notes de renseignements classifiées « défense », adressées à la fois au SGDSN et à l'ANSSI, et nécessite que l'autorité de contre-ingérence au sein de la DPSD, à savoir l'officier général Noguier, correspondant pour la sécurité, soit informé de tous les incidents de sécurité. La direction générale pour l'armement est toujours en copie comme l'officier général cyberdéfense.
L'action de la DPSD a évolué pour prendre en compte le risque numérique.
La notion de souveraineté numérique a un sens, un peu comme la souveraineté énergétique, même si toute la chaîne n'est pas maîtrisée ; des plates-formes matérielles de stockage n'étant pas, par exemple, forcément maîtrisées de manière souveraine.
Les révélations récentes de M. Edward Snowden sur le plan d'opération d'ensemble de la NSA pour récupérer et exploiter les données des citoyens et des étrangers non américains sur tout le globe confirme la pertinence de cette notion de souveraineté numérique. Il y a eu aussi des révélations concernant le piégeage des infrastructures de télécoms , notamment par les Chinois. Il s'agit là aussi d'un signal fort. L'ANSSI aide le ministère de la défense à promouvoir la notion de souveraineté nationale en matière numérique.
La définition de l'informatique dans les nuages par la DPSD rejoint la définition classique : plus qu'une révolution technologique et économique, c'est une révolution entre les individus et l'outil numérique, et entre les individus eux-mêmes, qui vise à s'affranchir du matériel et à se consacrer à la satisfaction de besoins qui évoluent constamment .
Cette offre d'informatique dans les nuages reflète la volonté de ne plus posséder de parcs informatiques permettant de domestiquer les besoins y compris lorsqu'ils sont évolutifs, avec de petites pointes d'activité en cours de journée, dans une semaine ou dans une année. Par exemple, les plates-formes de vente sur Internet, quand il y a des pics de charge d'activité, ont un besoin de nomadisme qui émerge et qui pousse certains opérateurs du numérique à offrir des services dématérialisés . Le besoin est satisfait au détriment de certaines exigences de sécurité.
C'est un peu comme l'évolution des modes de transports au cours du siècle dernier : il fallait posséder un vélo pour aller au bureau, une voiture pour aller chercher ses courses, une autre de grand tourisme, un avion ou un bateau à titre privé pour partir en vacances. Aujourd'hui, il existe des services payants où le droit d'usage est vendu ( Vélib' , Autolib' , transports en commun, etc.). On n'est plus obligé de posséder de véhicules pour pouvoir satisfaire un besoin physique. Il en est de même de l'informatique dans les nuages.
Quant à la confiance, la différence est en termes de risque car l'informatique conserve les données qu'elle va transporter mais on ne sait pas où est situé le matériel ni qui va traiter, stocker ou diffuser des données. La notion de confidentialité est perdue .
Or, en matière de sécurité informatique, on parle de trois familles de besoins de sécurité : la disponibilité, la sécurité et la confidentialité. L'informatique dans les nuages permet de satisfaire la disponibilité, l'intégrité, dans une grande mesure pour certains services grands publics, mais la confidentialité est totalement exclue.
L'informatique dans les nuages repose sur une architecture mondialisée. En ce sens, l'initiative de nuage souverain français, Cloudwatt , par exemple, a été prise par des industriels français sur le territoire national. Il s'agit-là d'une bonne initiative de nature à garantir la confidentialité. Cela semble répondre aux besoins mais cette firme est également confrontée à la logique économique qui pousse les gens à aller dans l'informatique dans les nuages. Les budgets traditionnellement consacrés à la satisfaction du besoin de parc informatique du citoyen sont grevés d'autant.
Pour des raisons de besoins de nomadisme ou d'accès aux messageries, chacun est tributaire de l'opérateur auquel il confie ses données. Le nuage souverain devrait répondre à cette attente. En principe, les consortiums d'opérateurs ont pris en compte cet objectif de souveraineté. Bull, Dassault Systèmes, Orange Business Services, Thales ont compris qu'il y avait un besoin de redondance nationale .
Il y a actuellement une inflation des données. Les organisations, les administrations et les industriels eux-mêmes ont tendance à tout conserver, à numériser de plus en plus, à archiver. De plus, il existe une tendance naturelle à conserver et à augmenter la taille des pièces jointes. Le moindre document est chargé d'images d'animation qui pèsent lourd ; en outre, par défaut, par facilité, il est transmis à une quinzaine de destinataires.
Les opérateurs sont là pour organiser la redondance en cas de défaut d'un data center , l'existence de capacités de calcul à fournir à un moment donné, par exemple des besoins très forts au moment de la paye, vers le 20 ou 25 du mois. Après, il y a une baisse de charge ; les data centers répondent à ce besoin notamment avec des études de prospective montrant l'inflation du nombre de données mais ils consomment beaucoup d'énergie. À noter qu'il existe des plans pour construire de tels centres en Scandinavie pour résoudre à la fois le problème de leur refroidissement et celui du chauffage des habitations.
C'est un des enjeux de Google et d' Amazon de rendre leur facture énergétique la moins polluante possible. Cependant, la consommation d'énergie et la pollution de ces data centers sera un des problèmes majeurs des prochaines années .
À noter des différences d'appréciations : l'opérateur qui va vendre un service disponible va dire qu'il est sécurisé tandis que le service de renseignements, lui, se focalisera sur la perte de traçabilité du stockage des données, ce qui aiguise l'appétit de certains.
L'ANSSI et la CNIL ont des périmètres très différents. La CNIL protège l'individu tandis que l'ANSSI protège les organisations, les opérateurs d'importance vitale et les administrations . Il manque aujourd'hui la protection des données stratégiques.
La protection de données à caractère personnel est indispensable. Il s'agit de protéger les libertés individuelles, ce qui conduit la CNIL à diminuer la durée de détention des données à caractère personnel. Mais, également, il existe une volonté de protéger les données plus longtemps pour conduire des investigations quand des attaques numériques seront découvertes ultérieurement. La CNIL souhaite une durée de protection de trente jours à six mois maximum tandis que l'ANSSI et la DPSD préféreraient une quinzaine d'années .
En effet, en ce qui concerne les attaques sous forme de vol de données, il faut savoir qu' un vol de données nécessite, en moyenne, trois cents jours pour être découvert, soit de quelques jours à plusieurs années, selon les cas. Une durée de conservation trop brève affaiblirait la confiance dans le réseau informatique et rendrait très difficile la quantification des pertes. Si l'on suivait les préconisations de la CNIL à la lettre, il ne resterait donc que trente jours ou quelques semaines pour mener des investigations. Il y a là, encore une fois, une différence de point de vue entre la CNIL et l'ANSSI car la CNIL et l'ANSSI n'ont pas du tout les mêmes centres d'intérêts ou de périmètres.
Aux yeux de la DPSD, les moyens de ces deux acteurs sont insuffisants notamment en matière de capacité de contrôle. C'est ainsi qu'un ancien agent de la DPSD, actuellement à la CNIL, mène un très intéressant travail de veille sur la dérive des nouveaux usages et des nouvelles technologies. Comme les moteurs de recherche et les plates-formes stockent un certain nombre de données à caractère personnel, l'adéquation est recherchée entre la demande et l'offre pour éviter l'intrusion dans la sphère privée.
Les guides publiés par l'ANSSI sont destinés à acculturer les industriels à la sécurité numérique . La DPSD a besoin de la production de la CNIL. Des initiatives prises en ce sens sont toujours relayées par la DPSD.
Les guides de l'ANSSI participent à la bonne évolution de la sécurité des industriels. Par rapport à la CNIL, l'ANSSI a l'avantage de se concentrer sur le curatif , notamment face à des attaques ciblées de grande ampleur. Cela doit être relayé. Mais pour en profiter, cela suppose d'avoir du personnel formé.
Pour la protection des opérateurs d'importance vitale , il existe les directives nationales de sécurités (DNS) qui sont fondamentales car, dans le paysage de l'industrie de défense, elles opèrent des distinctions par secteur d'activité. Ceux du secteur défense respectaient déjà des exigences de sécurité mais les textes anciens minimisaient le risque économique et l'importance de la sécurité des systèmes d'information .
La DPSD participe avec l'ANSSI et ses partenaires sectoriels à un travail de refonte des directives nationales pour y intégrer des paragraphes, des chapitres plus contraignants, plus adaptés en matière de menaces numériques. Par exemple, le risque de sabotage, d'attentat terroriste est très bien pris en compte par ces directives nationales ; l'opérateur traite ce risque en ayant une protection physique adaptée de son site industriel mais, pour la sécurité numérique, il apparaît parfois un flou qui peut donner lieu à des dérives de l'informatique en nuages, d'infogérance ou de sous-traitance non maîtrisées.
Ces directives avancent secteur par secteur ; c'est un travail d'autant plus délicat qu'existe la volonté de soumettre l'évolution des textes à un groupe représentatif d'opérateurs d'importance vitale pour qu'ils critiquent le texte, cela prend donc du temps. Le but serait d'aboutir à un texte qui permette vraiment de traiter le risque et non un texte régalien supplémentaire qui serait inapplicable.
Cela rejoint l'évolution de la loi de programmation militaire . Cette bonne initiative a, du point de vue de l'industriel, un impact en termes de coût, de budget qui ne doit pas paupériser l'industrie de défense. Ces exigences supplémentaires passent par le cloisonnement maîtrisé des réseaux informatiques internes qui participent à cette production industrielle dont l'absence grèverait la souveraineté nationale. Il faut des cloisonnements plus forts, des capacités informatiques strictes et de détection d'incident soit en interne soit à l'extérieur.
Par exemple, un petit opérateur d'importance vitale, comme Lacroix tous Artifices , qui produit des détonateurs qui sont vitaux pour les forces françaises, n'a pas du tout les moyens d'avoir une protection informatique tandis que Dassault, Thales , DCNS , groupes de portée mondiale possèdent des ressources d'expertise en interne dans le domaine numérique et informatique. La directive nationale de sécurité s'appliquant quelle que soit la taille de l'entité, il convient d'introduire des nuances dans son texte.
L'opérateur d'importance vitale s'appuie sur l'écosystème industriel et la sous-traitance, sur ses partenaires industriels. Les exigences résultant de la directive nationale de sécurité devraient se propager à tout le secteur mais il est très difficile de tracer la frontière entre l'importance vitale et la production de sous-ensembles à double usage ou qui n'ont pas le caractère de Défense nationale très affirmé. Selon le retour d'expérience, l'exigence réglementaire commune en matière de sécurité, contrôlable par la DPSD, peut se traduire chez l'opérateur, vis-à-vis du sous-traitant, par une exigence contractuelle. Le contrôle permettra de voir si l'opérateur exerce le contrôle idoine. À ce titre, les normes internationales de type ISO sont d'un grand secours . De plus en plus, des grands intégrateurs industriels exigent de leurs sous-traitants le respect des normes ISO 27 000 ou ISO 31 000 , ce qui couvre le risque numérique et la gestion du risque . De bout en bout de la chaîne de production industrielle, il est possible de mesurer le respect des exigences de sécurité.
Les notions actuelles d'entreprise étendue, d'entreprise numérique, de mélange entre le professionnel et l'individuel, ne favorisent pas du tout le respect de la sécurité.
La sanctuarisation des sites industriels des chaînes de production, comme celles de l'industrie lourde du XIX e et du XX e siècle, n'est plus possible. Il s'agit maintenant de sous-traitance et de la valeur d'un patrimoine informationnel complètement dématérialisé et donc difficile à protéger. Cette protection éveille un écho favorable chez les opérateurs d'importance vitale qui ont bien compris que c'était de leur patrimoine et de leur survie qu'il s'agissait dans le contexte espionnage économique ; les attaques conduisant au pillage des ressources de la recherche et du développement.
Les divers acteurs ne sont pas toujours à même de se protéger du risque numérique, tout dépend de leur taille . Certains sont encore en train de découvrir qu'il existe des risques liés à la numérisation. Dans le même temps, ils sont contraints de se doter d'outils structurants (progiciels de gestion, outils numériques, etc.), de prendre le virage du numérique.
L'usage indifférencié d'outils informatiques mélangeant données de la vie privée et données professionnelles fait courir des risques spécifiques. C'est la rançon du succès de ces outils numériques qui facilitent le travail mais, si l'on veut qu'ils soient adoptés par tous les acteurs, il faut que chacun y trouve un intérêt et puisse s'en servir quotidiennement. Cela rejoint la protection de la vie privée et les problématiques couvertes par la CNIL. Les initiatives de la CNIL participent aussi à la diffusion de comportements maîtrisés, à titre personnel ou professionnel. L'évolution des usages, avec les paiements sans contact ou les données à caractère personnel de santé sur l'ordinateur personnel ou professionnel, vont faire converger les besoins de sécurisation .
Les sensibilisations effectuées par la DPSD au moyen des plates-formes de sensibilisation trouvent un écho dès que chacun comprend que cela atteint aussi sa vie privée.
La DPSD accorde une priorité à la formation au numérique mais il est difficile avec 1 100 personnes de prendre ce virage rapidement. Des formations d'adaptation interne sont dispensées mais pâtissent de la pénurie de ressources humaines dans les directions centrales parisiennes, victimes du succès de la cybersécurité, ou à l'État-major des armées. Il n'y a pas assez de jeunes, ou même d'anciens, formés et motivés. La sécurité informatique, c'est une tournure d'esprit ; il existe pour le développement de celle-ci un bon vivier en France . La particularité des services de renseignements est d'avoir un personnel donné par les armées, notamment des militaires. Les besoins des services de la DPSD ne sont pas toujours honorés ou encore les personnels formés sont parfois récupérés par les armées. Ce droit de tirage sur les armées est intéressant mais, dans le contexte actuel, chacun souhaite conserver ses experts.
Quant à s'inspirer de l'amélioration des techniques de sécurisation des données mises en oeuvre dans d'autres États, la DPSD ne se sent pas obligée d'adopter les solutions déjà adoptées ailleurs. Elle donne la priorité au respect de l'arsenal réglementaire déjà existant. Des ressources nationales de qualité existent pour la cryptographie sans besoin de s'inspirer d'exemples étrangers.
La question de la confiance dans les outils numériques rejoint la problématique de la souveraineté. Aujourd'hui, les fabricants de matériel informatique, vendent de plus en plus des ensembles ou des sous-ensembles, des serveurs d'ordinateurs qui ne sont pas nationaux. Il y a un risque dans ces matériels. Il faut accepter ce risque et le traiter .
Les grands acteurs du développement logiciel, des systèmes d'exploitation sur lesquels repose toute la confiance dans les outils numériques, que ce soit Apple , Android ou Microsoft , sont américains et ne sont pas de confiance. Il y a donc un risque.
Les solutions de sécurisation reposent sur les capacités d'investigation des paquets Internet, sur des ressources en national mais il existe les mêmes difficultés que pour les autres acteurs à faire adopter ces outils qui portent atteinte aux libertés individuelles.
Comme les antivirus ne couvrent pas tous les risques du numérique, la protection assurée par les antivirus doit être complétée par l'importante défense en profondeur . Il s'agit de l'empilement de briques de sécurité qui permet d'accorder un certain niveau de sécurité aux outils et aux usages que l'on en fait. L'outil informatique comprend des mises à jour de sécurité des briques matérielles et logicielles car les composants ne sont pas développés de façon suffisamment sécurisée et comportent des failles de sécurité . Tout un écosystème vit de la détection, de la production et de la vente de ces failles de sécurité.
Le développement de certains comportements à risque peut affaiblir le meilleur outil informatique et le meilleur antivirus. Par exemple, lors de la navigation sur des sites non sécurisés ou comportant des pages ou des liens piégés, le comportement est essentiel.
Or il manque aujourd'hui un volet que veulent couvrir les directives nationales de sécurité : c'est la préparation à la gestion des crises, la détection, la mise en oeuvre de procédures de secours, de continuité d'activité . Aujourd'hui, ce risque est très peu pris en compte et pas de manière mûre.
Les opérateurs du secteur bancaire ou de l'assurance disposent déjà d'un arsenal normatif qui permet de contraindre les opérateurs à la prise en compte de cette problématique de la continuité de l'activité en cas de la crise majeure, voire la production de comptes rendus d'exercices de gestion des crises et de secours.
Dans la défense, si le contrat ne spécifie pas des exigences fortes, en cas de crise ou de guerre, l'industriel n'est pas tenu d'avoir un outil résiliant, redondant, du moment qu'il respecte le rythme de livraison industrielle forcément ralenti par le contexte économique.
La prise en compte de briques de sécurité doit être complétée par un volet opérationnel et un comportement ; tout cela suppose un accompagnement. Il faut passer d'une culture du coffre-fort numérique et de la confiance dans l'outil à une culture de la gestion du risque. On ne peut plus faire confiance à l'outil numérique . L'apprentissage du numérique par les jeunes passe par cette affirmation nouvelle qu' il ne faut pas faire confiance à l'outil alors que, pour l'automobile et les transactions bancaires, une confiance aveugle est faite aux dispositifs de sécurité.
À propos des attaques subies par les divers acteurs du secteur de la défense , un certain nombre d'entre elles a été publié. Le secteur de la défense, l'aéronautique, le spatial, le nucléaire l'informatique et les télécommunications sont des secteurs de convoitise pour les industries étrangères, d'où beaucoup de tentatives d'intrusions informatiques contre ces secteurs.
Les effectifs et les moyens pour y parer, ce sont d'abord ceux mis par les industriels à partir de leur perception des risques encourus pour leur coeur de métier. Comme l'a déjà fait l'armement terrestre, l'informatique est souvent complètement externalisée par les entreprises ainsi que la supervision de sécurité . Un dialogue avec ces opérateurs est entamé pour qu'ils sachent conserver une visibilité de ce qui se passe en termes d'événements de sécurité, de signaux faibles , qui leur permettraient de déclencher les investigations en faisant du préventif et du curatif.
Pour faire face aux attaques informatiques menées à des fins d'espionnage, la DPSD a mis en place un personnel au plus près des régions, un maillage territorial. L'ensemble des 1 100 personnes ne se situe pas à Malakoff ; les autres sont présentes dans le maillage territorial ; il y a des experts zonaux au plus près du terrain pour sensibiliser les personnels à des réalités qu'ils ne mesurent pas forcément. Un renforcement des effectifs des personnels au plus proche des régions, des industriels, est souhaitable pour prodiguer des conseils de manière décentralisée. D'autres personnels procèdent à des contrôles.
Un effort en vue du renforcement des effectifs est en cours à partir de transferts des postes et des efforts du général Bosser pour stabiliser les effectifs de la DPSD tout en renforçant le volet d'expertise notamment dans le domaine numérique. Seulement une trentaine d'experts , sur les 1 100 personnes en direction centrale ou en région, se consacrent au traitement des incidents informatiques et ont participé, en lien avec l'ANSSI, à certaines interventions liées à la défense. La DPSD est capable d'accompagner et de faciliter le travail de l'ANSSI en caractérisant un peu le paysage industriel dans lequel leurs inspecteurs évoluent.
Les solutions de sécurisation face aux risques du numérique sont celles prônées par l'ANSSI dont les bonnes pratiques sont en accord avec le cadre juridique européen .
Davantage de réserves peuvent être exprimées sur le cadre juridique international devant l'espionnage numérique industriel . Cela se heurte à la juridiction de certains pays, notamment à l'occasion de la rétention des outils informatiques aux frontières . La DPSD participe à l'évaluation de ce risque car les ingénieurs français, quand ils vont répondre à des appels d'offres à l'étranger, avec leurs ordinateurs remplis de données stratégiques sous le bras, voient parfois leurs appareils retenus à la frontière des États-Unis d'Amérique, d'Israël, de certains pays du Golfe ou de la Chine, très friands de rétention numérique aux dépens des ingénieurs français. Des parades réglementaires et légales, comme le chiffrement de disques, doivent être trouvées pour conserver la maîtrise des données tant que les contrats en négociation ne sont pas signés.
À souligner aussi les risques liés aux audits intrusifs en raison du respect de certaines réglementations comme celles de l'aéronautique américaine (réglementation ITAR, International Traffic in Arms Regulations ). Une réponse juridique adaptée est à trouver face à des acteurs qui se présentent avec un arsenal de règlements à respecter qui leur donne le droit de se faire présenter un certain nombre de résultats d'investigations numériques. Cela suppose aussi un important changement de culture . Il n'existe pas aujourd'hui de réponse stricte et adaptée à un audit légitime de Microsoft ou de SAP pour vérifier l'absence de licence pirate. Mais, pour permettre que ce genre d'audit se réalise dans le respect de toutes les lois, il faut l'accompagner.
La gestion des noms de domaine par l ' ICANN , structure américaine, pose un problème puisque cette société, de droit américain, donne des facilités d'accès aux sites web via les moteurs de recherche.
Mais ce n'est qu'une brique dans la sécurité d'Internet. Cela fait partie de la neutralité de l'Internet car le moteur de recherche a autant d'importance que le nom de domaine . Si Google accorde des préférences à certains domaines, c'est aussi important que l'attribution de certains noms de domaine. Il suffirait d'avoir une sorte de moteur Google souverain français pour pallier les risques et les vulnérabilités de l'attribution des noms de domaine par une société américaine. Au total, le fait que les noms de domaines, les moteurs de recherche et les géants de l'Internet soient concentrés dans des sociétés de droit américain et situés dans la même zone géographique fait courir un certain nombre de risques et pose un problème d'accès à l'information . Cela peut se traiter par des outils alternatifs.
Pour améliorer la sécurité des acteurs de la défense face au risque numérique , la DPSD recommande surtout la lecture d'études publiques qui modifient la perception des risques : les rapports des éditeurs de sécurité, par exemple, le rapport Mandiant qui cible une unité de l'armée populaire de libération chinoise comme ayant mené des attaques ciblées contre des sites industriels, des administrations européennes, mondiales depuis quelques années ou encore des rapports de cabinets de sécurité, comme le cabinet américain Kaspersky . Un certain nombre d'études publiques pousse à augmenter la vigilance face au risque numérique.
La loi de programmation militaire et la révision des DNS sont des leviers d'action, au moins pour une vingtaine d'opérateurs d'importance vitale du secteur de la défense parmi les 2 000 sociétés appartenant à l'écosystème de l'industrie de défense française. Les DNS et la LPM permettront, à terme, de traduire les exigences de sécurité qui devraient bénéficier à l'ensemble de la sécurité de défense.
Les initiatives de nuages souverains, l'émergence d'une offre de prestataires de services de sécurité français de type Cassidian , Thales , détectant et supervisant pour ceux dont ce n'est pas le métier, constitueront autant de sociétés à conseiller aux industriels à travers un appel à la concurrence. Aujourd'hui, ce secteur souffre du nombre restreint d'acteurs et de prestataires de services de confiance nationaux.