CHAPITRE
V :
CYBERDÉFENSE, LA CONTRIBUTION MAJEURE
DES SERVICES DE
RENSEIGNEMENT
En quelques années avec la numérisation des communications et le développement des réseaux, le cyberespace est devenu un « espace commun » dans lequel se déploient des activités de toutes natures légales et illégales et des stratégies de puissance. Cet espace est encadré par les mêmes règles que celles qui s'appliquent dans le monde physique mais peinent à y trouver leur efficacité.
La protection des intérêts fondamentaux de la Nation s'étend à ce nouvel espace. Face au développement des menaces, la France s'est progressivement dotée, depuis 2008, d'un dispositif de protection et d'action original, en ce qu'il distingue très clairement les activités de prévention et de protection placées sous le contrôle du Premier ministre, qui dispose d'une agence nationale de sécurité des systèmes d'information, l'ANSSI, (avec un régime particulier s'agissant des armées depuis 2017) et des activités plus offensives placées dans la chaîne de commandement des armées sous l'autorité du Président de la République et mises en oeuvre selon une stratégie et une doctrine exposées le 18 janvier 2019 par la ministre des armées.
Elle se distingue donc très clairement du modèle anglo-saxon dans lequel toutes les activités de cyberdéfense étaient concentrées au sein des services de renseignement.
Pour autant, les services de renseignement français ne sont pas exclus des activités de cyberdéfense , soit pour se protéger, soit pour contribuer à l'analyse des menaces, soit pour participer à leur entrave, en collectant du renseignement d'intérêt cyber (RIC). Ils doivent en outre pour réaliser leurs missions traditionnelles collecter du renseignement, dit d'origine cyber (ROC) dans ce nouvel espace, qui constitue par lui-même une mine d'importance, qu'il s'agisse de l'exploitation des innombrables données en source ouverte ou d'utiliser des techniques spécifiques de recueil dans le cadre légal défini par le législateur.
Pour gagner en efficacité, l'action des différentes entités opérant au titre de la cyberdéfense doit être mieux coordonnée . Tel a été l'objet de la Revue stratégique de cyberdéfense préparée sous la direction M. Louis Gautier, alors secrétaire général de la défense et de la sécurité nationale (SGDSN) et publiée en février 2018.
Si la Stratégie nationale du renseignement publiée en 2014 mentionnait déjà les cyberattaques parmi les menaces, la nouvelle version préparée par la CNRLT et publiée en juillet 2019 reconnaît, encore plus explicitement la place du cyberespace et lui consacre un long développement dans la présentation des enjeux prioritaires du renseignement, au titre de la lutte contre les menaces transversales.
La cyberdéfense dans la Stratégie nationale du renseignement
« En matière cyber, la menace qu'elle soit étatique, provenant d'entreprises privées ou d'organisations criminelles, a fortement évolué. Elle est de plusieurs natures : vol de données, sabotage au préjudice d'entreprises comme des administrations, pénétration aux fins d'espionnage, chantage en vue d'obtenir une rançon... Il convient de souligner que certaines de ces opérations de prédation relèvent désormais d'une nouvelle forme de cybercriminalité organisée. Aussi, l'acuité de la menace et les risques encourus sont tels qu'il est essentiel, au-delà des dispositifs de sécurité dont nous sommes dotés, que les services de Renseignement contribuent à leur recherche et à leur anticipation sans leurs champs respectifs de compétence.
Qui plus est, le développement de l'Internet des objets et des communications spatiales, ainsi que l'évolution des maliciels aux effets de plus en plus destructeurs nécessitent une adaptation constante des capacités des services et une meilleure diffusion du renseignement vers les entités chargées de la protection et de l'entrave.
Enfin, par le biais d'internet et des réseaux sociaux, l'espace cyber est un vecteur de diffusion de messages haineux et de manipulation de l'information qui mérite un suivi du renseignement, notamment en termes de lutte contre la cybercriminalité, pour identifier les messages ou les campagnes les amplifiant, en attribuer l'origine et faciliter leur entrave administrative et judiciaire. »
La cyberdéfense ne fait en revanche pas l'objet de dispositions spécifiques dans la partie consacrée à la description générale des missions du renseignement, ni dans la partie consacrée aux perspectives pour le renseignement. Toutefois cette dernière insiste sur les réponses aux défis technologiques « qui constituent également une priorité pour la communauté du renseignement » avec trois enjeux majeurs : « la diffusion de l'expertise entre les services pour s'approprier les nouveaux outils, la valorisation des données de plus en plus volumineuses et hétérogènes, la conception de nouveaux outils en anticipant les évolutions technologiques et en s'appuyant sur une culture de l'innovation en lien avec la recherche et l'industrie ». L'application de ces perspectives au domaine cyber est évidente.
Ces directions devraient trouver des déclinaisons concrètes sous forme de plans d'actions ou au sein de la nouvelle version du Plan national d'orientation du renseignement (PNOR). Le PNOR reconnait d'ores et déjà la cyberdéfense comme une finalité et intègre la participation des services de renseignement à la politique publique de la cyberdéfense dans toutes ses dimensions.
Recommandation n° 54 : La DPR demande que les différents traitements de la menace cyber par les services de renseignement fassent l'objet d'un développement actualisé dans le PNOR et sous forme de plans d'actions comprenant des objectifs à atteindre et des modalités d'évaluation de la réalisation de ces objectifs. Elle demande à pouvoir prendre connaissance de ces documents et, régulièrement, des résultats obtenus au titre de sa mission d'évaluation de la politique publique de renseignement.
I. DES MENACES PLUS NOMBREUSES, PLUS MASSIVES ET PLUS SOPHISTIQUÉES
Telles que décrites dans les différents Livre Blanc sur la défense et la sécurité nationale depuis 2008, les menaces dans le cyberespace apparaissent toujours plus nombreuses, toujours plus massives, toujours plus sophistiquées, toujours plus multiformes, toujours plus disruptives dans leurs modes opératoires. Le cyberespace est, sans doute, l'espace commun dans lequel les menaces évoluent le plus rapidement donnant une impression d'insaisissable phénomène et rendant nécessaire un ajustement permanent des missions de connaissance et d'anticipation si l'on souhaite s'en prémunir et les contrer.
A. L'ESPACE NUMÉRIQUE EST UN LIEU DE CONFRONTATION
L'espace numérique est à la fois un lieu de communication et d'échanges favorable au progrès et un lieu de confrontation. Les actions offensives à l'encontre des systèmes informatiques de l'État, des infrastructures critiques ou des grandes entreprises sont quotidiennes, sans que l'on puisse toujours en saisir l'origine et en comprendre les motivations, ni même distinguer avec certitudes qui, acteurs étatiques ou non étatiques, en sont les commanditaires et les exécutants.
La plupart des crises intérieures ou internationales et des conflits inter ou intra-étatiques ont désormais une dimension cyber. Le constat d'une exposition accrue de nos sociétés de plus en plus numérisées et interconnectées au risque de crises cyber majeures s'impose sans conteste.
La menace ne cesse de croître dans ses formes et son intensité. Les attaquants informatiques poursuivent quatre types d'objectifs, non exclusifs entre eux : l'espionnage, les trafics illicites, la déstabilisation et le sabotage. Dans la poursuite de ces objectifs, les attaquants peuvent être amenés à conduire aussi bien des opérations très ciblées que massives et indifférenciées. Les attaques peuvent avoir des effets variables : invisibles lors d'une exfiltration discrète de données ou à l'inverse apparents lorsqu'il s'agit de paralyser une activité. Les dommages peuvent être facilement réversibles ou au contraire nécessiter de longs et coûteux travaux de reconstruction (sabotage contre TV5 Monde et attaque contre l'OTAN et le Bundestag en 2015 ou l'attaque Notpetya dont le groupe Saint-Gobain a été une victime collatérale en 2017).
Les États sont aujourd'hui confrontés à une évolution de la menace informatique s'articulant autour de trois facteurs :
• la dangerosité de la menace sous l'effet de la multiplication des acteurs, de l'accroissement des capacités offensives de certaines puissances étrangères, de la prolifération des armes informatiques et de la banalisation des techniques d'attaques ;
• l'imbrication des enjeux de cybercriminalité et de sécurité nationale. Les outils traditionnellement utilisés à des fins de fraude et d'extorsion de fonds, peuvent causer des dommages aux systèmes d'information de l'État et des opérateurs en charges d'infrastructures critiques, paralysant ainsi la continuité de leurs activités (ex : en mai 2017, attaque par rançongiciel Wannac ry qui a touché Vodafone, Fedex, Renault , Téléfonica, Deutsche Bahn et le système de santé britannique) ;
• une exposition accrue de notre société à la menace du fait d'une numérisation plus étendue de celle-ci et à une utilisation à grande échelle d'objets connectés ;
• s'ajoutant aux innombrables opérations d'espionnage informatique très régulièrement détectées et aux risques bien documentés de pillage des données ou de déni d'accès, des actes de blocage ou de sabotage sont de plus en plus constatés.
Nos sociétés démocratiques sont en outre confrontées aux mésusages d'Internet et des réseaux sociaux à des fins de manipulation de l'opinion et de déstabilisation institutionnelle (les actions pour perturber l'élection présidentielle américaine de 2016, ou française de 2017 ou les élections européennes de 2019 en sont des exemples, comme la campagne massive de propagande et de désinformation développée par la Chine à l'occasion de la crise sanitaire en avril 2020).
De plus en plus d'attaques combinant différents modes d'action et semblant poursuivre plusieurs finalités révèlent un travail de planification et d'infiltration en amont mené par des acteurs dotés de capacités avancées.
Si les objectifs des cyberattaquants n'ont pas fondamentalement changé, les modes opératoires et techniques utilisés pour y répondre sont sans cesse renouvelés par l'émergence continue de nouvelles pratiques et technologies liées au numérique, ainsi que l'hyper-connectivité de nos équipements et réseaux.
Le cyberespace possède une dynamique qui lui est propre : instantanéité des échanges, diffusion en réseau, massivité de données accessibles à tous, effacement des frontières... Il est aussi un multiplicateur d'efficacité pour peu que l'on dispose des bonnes données et informations, qui sont devenues une ressource critique, au coeur du fonctionnement politique, économique et social des sociétés modernes.