B. UN MODÈLE DE GOUVERNANCE DE LA STRATÉGIE NATIONALE DE CYBERDÉFENSE
La cyberdéfense française repose sur un modèle d'organisation et de gouvernance qui sépare les missions et capacités offensives et défensives ( cf. supra ) . Toutefois, il implique une très forte coordination entre ses deux pôles pour gagner en efficacité opérationnelle, tant pendant les cyberattaques qu'en amont de celles-ci tant qu'au niveau opératif au niveau stratégique 170 ( * ) .
La Stratégie nationale de cyberdéfense de février 2018 propose de renforcer les mécanismes de gouvernance et de cohérence technique de la cyberdéfense et d'en clarifier le fonctionnement en la formalisant autour de quatre chaînes opérationnelles.
1. Une comitologie complète
a) Le niveau politique
Les orientations et directives dans le domaine de la cyberdéfense sont prises en Conseil de défense et de sécurité nationale (CDSN).
En plus du Conseil annuel consacré à la cybersécurité, le Comité directeur de la cyberdéfense (dit « CODIR Cyber ») a renforcé la coordination de l'action publique. Ce comité est chargé de suivre la mise en oeuvre des décisions prises en matière de développement et d'organisation générale du domaine. Il n'intervient pas dans la conduite des opérations. Co-présidé par le chef de l'État-major particulier du Président de la République, le coordonnateur national du renseignement et de la lutte contre le terrorisme (CNRLT) et le directeur de cabinet du Premier ministre, il se réunit une fois par an. Son secrétariat est assuré par le SGDSN. Les travaux du CODIR Cyber sont préparés par le comité de pilotage de la cyberdéfense (« COPIL Cyber »), placé sous la direction du cabinet du Premier ministre.
b) Le centre de coordination des crises cyber (C4)
Il est compétent pour les crises ne nécessitant pas la mise en oeuvre de plans gouvernementaux, ainsi qu'en cas de publication de vulnérabilités majeures susceptibles d'être exploitées à court terme. Il est un mécanisme permanent d'analyse de la menace, de préparation et de coordination associant l'ensemble des ministères concernés par la crise.
Le C4 STRAT et sa déclinaison opérationnelle, le C4 TECHOPS, constituent les enceintes privilégiées pour le partage d'éléments, notamment techniques, entre les différentes entités. Cette mise en commun permet de croiser les informations pertinentes, déterminer les actions à entreprendre et se répartir la charge et la responsabilité de leurs mises en oeuvre et d'activer les différentes chaînes opérationnelles.
Le C4 est l'enceinte privilégiée pour articuler l'action des différentes chaînes opérationnelles 171 ( * ) . Il est structuré en quatre niveaux distincts :
Tableau *****
• Le C4 restreint permanent et technique à vocation technico-opérationnelle permet une analyse partagée entre les services compétents, de la menace, des modes d'action et des acteurs menaçants ainsi que l'anticipation des réponses sur le court et moyen terme. Le niveau technico-opérationnel (C4 TECHOPS), dont les réunions sont hebdomadaires, permet de partager une analyse de la menace au travers d'échanges techniques. *****
• Le C4 technique présidé par le directeur général de l'ANSSI est une instance de coordination technique des responsable SSI et cyber des ministères activée en cas de crise nationale grave touchant plusieurs ministères. Il supervise l'emploi des moyens relatifs à la résolution des crises cyber de moindre ampleur, structure le dialogue entre les représentants des différents acteurs pour établir une évaluation technique de la crise en cours, veille à la cohérence des décisions techniques des services et l'État et à celle des mesures techniques avec les acteurs non cyber de la gestion de crise et fournit des éléments consolidés à la cellule interministérielle de crise (CIC) si elle est activée. Depuis la publication de la RSC en février 2018, aucune situation opérationnelle n'a nécessité l'activation de cette formation.
• Présidé par la SGDSN, le niveau stratégique (C4 STRAT) se réunit mensuellement afin de définir puis proposer aux autorités les stratégies de réponse les plus adaptées aux grandes menaces cyber. À ce titre, il favorise, par la confrontation des expertises de ses membres la préparation des options de réponse portées par les ministères et acteurs concernés lors de la crise. *****
c) *****
*****
d) *****
*****
e) Autres instances de coordination impliquant des services de renseignement
En dehors de la comitologie propre à la politique publique de cyberdéfense. Des instances de coordination existent dont l'objet portent sur des domaines connexes mais néanmoins très liés aux traitements des menaces dans le cyberespace et recourent à la contribution des services de renseignement.
Ainsi le Comité de lutte contre la manipulation de l'information (CLMI) piloté par le SGDSN, focalisé sur la menace exogène regroupe les MEAE, la DGSE, la DGSI, le SIG, la CNRLT, le MININT, le MINARM, le Ministère de la Culture et le porte-parolat.
La DGSI participe au GIP-ACYMA (plate-forme de signalement des actes de cyber malveillance et d'assistance aux victimes) aux côtés de la DMISC, de la DCPJ, de la DGPN et le la DGGN. Elle participe également avec la DMISC et l'ANSSI au groupe de travail « Technologies critiques et entreprises stratégiques du comité de filière des industries de sécurité (COFIS) » animé par le SISSE et le SGDSN qui participe à l'élaboration de la cartographie des entreprises stratégiques de la filière des industries de sécurité afin de mettre en oeuvre un suivi spécifique des service de l'État ainsi qu'à la commission interministérielle de défense et de sécurité (CIDS), animée par le SGDSN, avec les HFDS, la DGPN, la DGGN, la DRSD et l'ANSSI, qui coordonne la mise en oeuvre du dispositif de sécurité des activités d'importance vitale.
2. Quatre chaînes opérationnelles
Les quatre chaînes opérationnelles prévues par la Revue stratégique de cyberdéfense ( cf. supra ) ont été mises en place.
La chaîne « protection » est animée par le SGDSN. Le directeur général de l'ANSSI y est responsable des opérations de cyberdéfense. Cette responsabilité est déléguée au COMCYBER pour ce qui concerne les systèmes d'information du ministère des armées. Les services de renseignement sont susceptibles de contribuer à cette mission de protection en alimentant la chaîne, notamment à travers le dispositif du C4, avec des éléments relatifs à la connaissance et à l'anticipation de la menace d'origine cyber.
S'agissant de la chaîne « renseignement », elle recouvre sous l'autorité du Gouvernement, l'ensemble des actions entreprises dans un but de renseignement et notamment en vue d'attribution. Le document rappelle les règles applicables en matière d'utilisation des techniques de renseignement, donne pour mission au CNRLT, ***** de favoriser le partage du renseignement d'intérêt cyber entre les services et indique qu'il peut ponctuellement s'appuyer sur l'inspection des services de renseignement pour assurer un rôle de conseil et de contrôle des capacités.
* 170 C'est notamment l'un des enjeux de la future implantation de l'ANSSI à Rennes que de la rapprocher des autres acteurs du ministère des Armées (chaînes « action militaire » et « renseignement »)
* 171 Les caractéristiques et les finalités des cyberattaques sont les principaux critères qui conduisent à activer en priorité telle ou telle chaîne. A titre d'exemple, dans les cas de rançongiciels ou plus largement de cybercriminalité, l'activation rapide de la chaîne « judiciaire » est souvent pertinente car elle permet d'utiliser des leviers comme les gels de données ou les demandes d'entraide pénale internationale, afin de prévenir au plus vite la propagation éventuelle de l'attaque. Les victimes d'attaques informatiques sont libres de porter plainte si elles le souhaitent (le dépôt de plainte est généralement encouragé). Le parquet peut également ouvrir une instruction de son propre fait s'il l'estime nécessaire.
Dans les cas d'espionnages, le travail de qualification et d'analyse de l'impact de l'attaque par la chaîne « protection » peut s'avérer beaucoup plus long et souvent complexe. Il peut alors être nécessaire de temporiser l'activation de la chaîne « judiciaire » pendant ce temps (en coordination avec le parque). Le dépôt de plainte est susceptible d'entraîner l'activation de la chaîne « judiciaire ». Dans la majorité des cas, il fait l'objet d'échanges entre la chaîne « protection » et le parquet cyber quant à l'opportunité et au moment le plus propice pour le faire