III. LES SERVICES DE RENSEIGNEMENT DANS LA POLITIQUE PUBLIQUE DE CYBERDÉFENSE
L'étude est limitée aux services du premier cercle.
Les services de renseignement contribuent à la politique publique de cyberdéfense pilotée par l'ANSSI et le COMCYBER en assurant la protection de leurs systèmes d'information, en participant à l'anticipation, à la détection et à l'attribution des cyberattaques par la fourniture de renseignement d'intérêt cyber et, dans certains cas, aux actions entreprises dans le domaine de la lutte informatique défensive, de l'action militaire et de l'action judiciaire.
Ils réalisent également leurs missions traditionnelles dans le cyberespace , le renseignement d'origine cyber constitue désormais une source importante d'information ( cf. IV du présent chapitre).
A. LES MISSIONS GÉNÉRALES
1. *****
*****
a) *****
*****
(1) *****
*****
(a) *****
*****
(b) *****
*****
(c) *****
*****
(d) *****
*****
(e) *****
*****
b) *****
*****
(1) *****
*****
(2) *****
*****
(a) *****
*****
(b) *****
*****
2. Les services de renseignement participent ponctuellement à la mission de prévention
Le degré de prise de conscience des risques numériques reste encore insuffisant et nombre d'entreprises ou de collectivités peinent à dégager les ressources nécessaires à leur cybersécurité. La mission de prévention et de sensibilisation définie par la RSC revêt un caractère interministériel et s'appuie localement sur l'action des préfets et des services de l'État. Dans le cadre de cette mission qui incombe principalement à l'ANSSI et au COMCYBER pour le périmètre du ministère des armées, certains services de renseignement apportent leur contribution notamment aux entités auprès desquelles ils assurent une mission spécifique. C'est le cas de la DRSD auprès des partenaires industriels et services du ministère des armées, et de la DGSI et du renseignement territorial dans le cadre de la politique de protection des intérêts économiques, par exemple.
a) La contribution de la DRSD à la mission de prévention
Une des principales missions de la DRSD, service enquêteur et inspecteur du ministère des armées, est la protection du secret de la défense nationale et du potentiel scientifique et technique de la Nation, dans le périmètre des entités ou établissements relevant de l'autorité de la ministre ainsi que des entreprises intéressant la défense. Elle participe, à ce titre, à l'élaboration des mesures nécessaires à la protection des informations et des matériels sensibles intéressant la défense et en contrôle l'application 172 ( * ) .
La prévention et la sensibilisation au risque cyber font aussi partie de sa mission de contre-ingérence, en renseignant sur les menaces potentielles ou avérées, en alertant sur les vulnérabilités et en contribuant aux mesures d'entrave et de protection.
Elle coopère dans cet espace avec les autres services de renseignement et agit en complémentarité avec l'ANSSI et le COMCYBER 173 ( * ) auprès desquels elle dispose d'officiers de liaison.
b) La contribution de la DGSI
Dans le cadre de ses actions de sensibilisation aux risques de contre-ingérence, la DGSI mène des actions de sensibilisation auprès des institutions publiques et des entreprises, auxquelles le renseignement territorial est ponctuellement associé en région.
La DGSI mène également des sensibilisations au risque cyber auprès des entreprises et entités avec lesquelles elle est en relation, à travers le réseau territorial cyber créé à la fin 2019.
c) Une évaluation insuffisante de cette politique
Dans son rapport sur les missions et effectifs de l'État contribuant à la cybersécurité, de février 2019, la mission commune d'inspection 174 ( * ) relevait qu'« au-delà de l'absence de coordination ministérielle, les actions de prévention et de sensibilisation ne sont pas encadrées par une stratégie nationale et souffrent de plusieurs faiblesses » : objectifs insuffisamment définis, publics insuffisamment segmentés, canaux de communication insuffisamment articulés, absence d'évaluation structurée. Elle proposait d'impliquer davantage le GIP Acyma dans ce nécessaire travail de coordination.
S'agissant de la DGSI et de la DRSD qui participent à cette mission de prévention, la DPR demande qu'elles soient associées à cette réflexion.
Recommandation n° 55 : Associer la DGSI et la DRSD à la réflexion sur la coordination institutionnelle et la définition d'une stratégie nationale de prévention et de sensibilisation aux risques cyber.
3. Les services de renseignement apportent une contribution majeure aux missions d'anticipation, de détection et d'attribution des cyberattaques
a) Les différentes missions pour lesquelles les services sont appelés à concourir
(1) La mission d'Anticipation
Les attaques peuvent être anticipées (prévenues, atténuées ou neutralisées dans leurs effets) par le biais d'une meilleure connaissance des groupes d'attaquants. L'ANSSI estime à une soixantaine le nombre de modes opératoires différents actuellement mis en oeuvre par des groupes d'attaquants susceptibles de porter atteinte à des intérêts relevant de la sécurité nationale.
Les services de renseignement contribuent au recueil des informations sur ces groupes et sur leurs modes d'action qu'ils font remonter vers le C4 sous forme de notes. Les relations entretenues avec les services de renseignement relevant du ministère des armées, notamment la DGSE, la DRSD et la DRM, permettent au COMCYBER de disposer du soutien ***** afin de caractériser les menaces pesant contre le ministère 175 ( * ) .
(2) La mission de Détection
La détection d'une attaque est liée à l'observation des effets de l'attaque ou à l'identification d'éléments techniques liés au mode opératoire de l'attaquant. Ces éléments peuvent provenir de sociétés privées de cybersécurité, de partenaires étrangers, des services de renseignement ou de l'administration. Ils sont centralisés à l'ANSSI qui doit assurer la bonne coordination de différentes entités. En plus de ce travail de consolidation et de coordination, elle a en charge la détection des attaques sur les systèmes de l'administration (et, depuis la LPM 2019-2024, dans certains cas, sur les réseaux des opérateurs de communications électroniques et sur les systèmes d'information des fournisseurs de service de communication au public en ligne). Le COMCYBER, par délégation de l'ANSSI assure la détection sur le périmètre des armées.
Les capacités des services de renseignement dans le domaine de la détection sont complémentaires. Si l'ANSSI est résolument tournée vers les victimes, les services sont susceptibles d'utiliser leurs capteurs pour détecter « plus au loin » *****. Les services de renseignement ont donc une place importante dans ce dispositif de détection.
(3) La mission d'Attribution
Après la détection d'une attaque, il est essentiel de remonter à l'instigateur afin de lancer des poursuites judiciaires ou de préparer une réponse adaptée.
Le repérage des indices 176 ( * ) , réalisé lors de la détection de l'attaque et de l'investigation qui s'en suit, est souvent insuffisant pour obtenir des éléments probants. Pour les compléter, les services de renseignement peuvent agir aux moyens de toute la palette de leurs capacités propres.
La décision d'attribution formelle d'une attaque majeure à son auteur ou à son commanditaire reste une décision politique . *****
*****
À ce jour, la France n'a jamais entrepris d'attribution publique . Cela tient en grande partie à sa volonté de conserver un dialogue stratégique et opérationnel franc et direct avec l'ensemble des homologues étrangers, y compris ceux susceptibles d'être impliqués dans des cyberattaques ciblant la France.
*****
b) La contribution des services à la chaîne renseignement
À la suite de la Revue stratégique de cyberdéfense, a été structurée « sous l'autorité du Gouvernement, une chaîne opérationnelle « renseignement» qui recouvre l'ensemble des actions entreprises dans un but de renseignement et notamment en vue d'attribution », y compris par la mise en oeuvre de capacités offensives. Les services doivent mobiliser leurs moyens au service de la cybersécurité des intérêts nationaux en collectant les renseignements d'intérêt cyber (RIC). Les renseignements peuvent être issus d'une collecte sur une victime, fournis par des partenaires, ou de capteurs spécialisés tels que le ROEM (origine électromagnétique) et le ROHUM (origine humain) ou non, tel que le ROSO (origine source ouverte).
*****
(1) *****
*****
(2) *****
*****
(3) *****
*****
c) L'utilisation des techniques de renseignement pour le recueil de renseignement d'intérêt cyber
Lorsqu'une cyberattaque menace les intérêts fondamentaux de la Nation 177 ( * ) , les services spécialisés de renseignement agissant dans le cadre de leurs missions peuvent solliciter la mise en oeuvre d'une technique de renseignement pour compléter les informations dont ils disposent sur le plan national ou international, du fait de l'action de leurs agents ou par leurs partenaires, dans les conditions prévues par les lois du 24 juillet et du 30 novembre 2015 , dans la limite des sept finalités définies par celles-ci, après avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR) et autorisation par le Premier Ministre . Les autorités d'emploi sont les directeurs des services concernés, sous l'autorité de leur ministre de tutelle.
La question avait été évoquée d'une finalité spécifique liée à la cybersécurité , elle avait été écartée au motif que les techniques utilisées par les attaquants ne constituaient pas en elles-mêmes une finalité mais un simple moyen et que leur utilisation s'inscrivait dans la réalisation d'une finalité prévue par la loi pour justifier l'utilisation d'une technique de renseignement.
Sur le périmètre cyber, en raison de la nature même de la matière, qui est à la fois mondiale et mouvante, les techniques utilisées plus particulièrement, mais non exclusivement sont le dispositif technique de surveillance internationale (DTSI, articles L. 854-1 et suivants du Code de la Sécurité Intérieure, CSI) et le recueil de données informatiques, qu'elles soient sous la forme de copies de supports numériques ou d'interception de flux (article L. 853-2 du CSI). Ces techniques sont également utilisés aux fins de renseignement pour prévenir ou entraver d'autres menaces, on parle alors de renseignement d'origine cyber (ROC) ( cf. infra ).
D'autres techniques peuvent être mises en oeuvre et utilisées au profit de la matière, comme des interceptions de sécurité (articles L. 852-1 et suivants du CSI), ou encore la mise en oeuvre des accès administratifs aux données de connexion (articles L. 851-1 CSI).
Les demandes d'autorisation d'utilisation d'une technique de renseignement (TR) présentant une dimension « cyber » sont donc toujours attachées à une finalité de l'article L.811-3 du code de la sécurité intérieure. Dès lors, il est difficile de distinguer, au sein des services l'utilisation des TR, y compris de celles mises en oeuvre pour recueillir des renseignements d'origine cyber, celle mises en oeuvre pour la recherche de renseignement d'intérêt cyber. Nombre de services ont indiqué ne pas réaliser de décomptes spécifiques.
*****
On notera toutefois que le législateur à l'occasion de l'examen de la loi de programmation militaire du 13 juillet 2018 , a introduit des dispositions permettant que des vérifications ponctuelles puissent porter sur des correspondances utilisant des numéros d'abonnement ou des identifiants techniques rattachables au territoire national , qui sauf exception prévue à l'article 854-2 du CSI sont prohibées, pour deux finalités exclusivement : la détection, en cas, d'urgence, d'une menace terroriste et la détection d'une attaque informatique susceptible de porter atteinte aux intérêts fondamentaux de la Nation . La CNCTR a indiqué que si elle fournit désormais une statistique sur le nombre d'avis préalables rendus au titre de la surveillance internationale, elle n'est pas en mesure de préciser d'emblée les cas relatifs à une attaque informatique.
*****
Cette situation est regrettable car elle ne permet pas d'évaluer concrètement l'action des services de renseignement au profit de la cyberdéfense.
La DPR demande la mise en place d'un outil statistique permettant de recenser les autorisations d'utilisation des techniques de renseignement accordées pour le recueil de renseignement d'intérêt cyber. Ces éléments seront pris en compte dans le dispositif d'évaluation de la contribution des services de renseignement à la politique publique de cyberdéfense souhaité par la DPR ( cf. recommandation n° 59).
d) Le besoin de disposer d'un outil d'évaluation de la contribution des services au renseignement d'intérêt cyber
Bien évidemment, l'évaluation de cette contribution à travers le seul recensement des autorisations d'utilisation de TR accordées est insuffisante mais elle constituera une première brique dans la constitution d'un outil d'évaluation nécessaire aux autorités de l'État et aux services eux-mêmes qui devraient également recenser les notes produites et transmises, en les répertoriant selon leurs objectifs (anticipation, détection, attribution). Cet outil devrait également permettre de mesurer la pertinence des renseignements ainsi collectés et l'utilisation qui en a été faite.
Le travail de synthèse et d'évaluation de ces informations n'est pas réalisé actuellement.
Le rapport annuel d'activité des services spécialisés de renseignement et des services mentionnés à l'article L.811-4 du CSI établis en vertu des dispositions de l'aliéna 3° de l'article 6 nonies de l'ordonnance n°58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées ne contient pas de statistiques de cette nature. La seule statistique ayant un lien avec le cyberespace qu'il produit, concerne au titre des mesures d'entrave et de neutralisation à caractère administratif, les déréférencement et blocages de site internet.
Pourtant, un outil d'évaluation fondé sur un recueil de statistiques est indispensable aux autorités de l'État, y compris le Parlement, pour évaluer de manière objective, la contribution des services de renseignement à la politique publique de cyberdéfense qui fait d'ailleurs aussi partie de leur mission au titre de la politique publique du renseignement, définie par la Stratégie nationale et le PNOR.
La DPR demande, en conséquence, au CNRLT de conduire une étude sur les outils nécessaires à l'évaluation de la contribution des services à la chaîne « renseignement » de la cyberdéfense . Il en a les compétences. La RSC indique en effet : « Le CNRLT favorise, le partage de renseignement d'intérêt cyber. Il peut ponctuellement s'appuyer sur l'inspection des services de renseignement pour assurer un rôle de conseil et de contrôle des capacités » .
Cet outil d'évaluation devra pouvoir mesurer l'efficacité des services de renseignement en matière de recueil et d'analyse du renseignement d'intérêt cyber. Il constituera un élément important du dispositif d'évaluation de la contribution des services de renseignement à la politique publique de cyberdéfense souhaité par la DPR ( cf. recommandation n° 59).
4. Les services de renseignement peuvent agir aux fins d'action
Le dernier volet de la cyberdéfense consiste à permettre la réalisation d'actions destinées à entraver ou faire cesser une cyberattaque, en réprimer pénalement les auteurs et commanditaires, ou pour appuyer des opérations militaires. Dans chacune de ces actions, les services de renseignement, peuvent être mis à contribution.
a) Les capacités d'entrave ou d'interruption d'une attaque en cours
L'article L.2321-2 du code la défense prévoit que « pour répondre à une attaque informatique qui vise les systèmes d'information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l'État peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l'attaque et à la neutralisation de ses effets en accédant aux systèmes d'information qui sont à l'origine de l'attaque ». Il donne donc au Premier ministre les outils juridiques indispensables pour permettre de défendre les infrastructures d'importance vitale contre une cyberattaque dans un cadre légal 178 ( * ) .
Telles qu'elles ont été définies par le Premier ministre dans l'instruction classifiée du 7 mars 2016, les conditions de mise en oeuvre de ce dispositif prévoient une coordination de l'action des différents services concernés sous la responsabilité de l'ANSSI qui définit, organise et dirige les opérations techniques nécessaires à la neutralisation des effets d'une attaque informatique, après une évaluation préalable des conséquences potentielles des opérations techniques envisagées. *****.
*****
*****. Les conditions de mise en oeuvre de cet article n'ont pas encore été rencontrées . *****.
b) Les capacités de répression pénale des auteurs
Une attaque informatique peut entraîner le déclenchement d'une enquête judiciaire. *****
La chaîne « investigation judiciaire » recouvre l'action des services de police et de gendarmerie et de la justice. Sous le contrôle de l'autorité judiciaire, certains services sont chargés de mettre à disposition des services d'enquêtes, spécialisés ou non, des outils et techniques modernes d'investigation. *****
(1) *****
*****
Le périmètre de compétence de la SDAJ
Elle est chargée de diligenter des enquêtes judiciaires lors de la commission d'une ou plusieurs infractions de cybercriminalité prévues aux articles 323-1 et suivants du code de procédure pénale, au préjudice des acteurs suivants : opérateurs d'importance vitale (OIV) entreprises à protéger en priorité (EPP), entreprises comprenant des ZRR (zones à régime restrictif), entreprises ni OIV, ni EPP mais " particulièrement innovantes ", ministères et administrations d'État 179 ( * ) qui sont déjà suivis par la DGSI au titre de ses missions de contre-ingérence, d'intelligence économique et de sécurité des infrastructures sensibles et institutions publiques;
Le protocole actuel de répartition des enquêtes réserve à la DGSI les faits d'atteinte aux intérêts fondamentaux de la Nation commis au préjudice des acteurs énumérés et écarte les infractions dont le but est de nature crapuleuse 180 ( * ) Une quarantaine de procédures sensibles sont traitées annuellement par le service, dont une vingtaine sous l'autorité du parquet de Paris 181 ( * ) .
*****
(2) D'autres services peuvent ponctuellement concourir aux investigations judiciaires
Tracfin n'est pas un service de police judiciaire mais un partenaire, pouvant fournir de l'information via ses transmissions ou en réponse aux réquisitions qui lui sont transmises. Le service a créé en juillet 2018 une cellule dédiée à la lutte contre la cybercriminalité financière. Parmi les transmissions d'informations à l'autorité judiciaire, il est à noter des dossiers liés à des paiements de ransomware par des crypto-actifs (soit des délits d'introduction frauduleuse de données et modification dans un système automatisé de données et d'entrave au fonctionnement d'un système automatisé de données), des escroqueries dont le produit est converti en crypto-monnaies, un dossier de blanchiment par des crypto-actifs du produit de la vente de cartes bancaires volées et commercialisées notamment sur le darknet , un dossier de cryptojacking (installation d'un malware minant du bitcoin).
Conformément aux dispositions définies par la Revue stratégique de cyberdéfense, la DRSD n'est pas un acteur de la chaîne judiciaire. Néanmoins sur son périmètre et dans le cadre de ses missions, le service transmet à la direction des affaires juridiques du ministère des Armées les éléments qui sont susceptibles d'être dénoncés au procureur de la République près le tribunal judiciaire de Paris (art. 40 ou 698-1 du code de procédure pénale).
En revanche, la DGSE ne traite pas de cybercriminalité, ne prélève pas de traces techniques d'attaques en France aux fins de poursuites judiciaires, par exemple.
c) L'action militaire
La numérisation offre l'opportunité d'actions cyber en soutien aux opérations militaires. Quelques pays utilisent déjà massivement des moyens cyber pour réaliser des opérations de renseignement ou soutenir des opérations spéciales (l'exemple le plus marquant reste celui de la Russie en Crimée et dans le Donbass).
L'arme cyber est un outil qui peut être très sélectif et dont les effets peuvent être réversibles. Utilisées pour garantir la supériorité dans le cyberespace, les capacités cyber permettent aussi aux armées de mener leurs opérations traditionnelles de manière plus efficace et moins coûteuse.
La France a déjà investi dans ce domaine et la capacité cyber est désormais intégrée à toutes les opérations militaires (voir les discours des ministres Jean-Yves Le Drian le 12 décembre 2016 et de Florence Parly le 18 janvier 2019).
(1) Les services de renseignement en appui du COMCYBER dans la LIO
*****
Le COMCYBER assure la cohérence de la planification et de la conduite des actions cyber :
• au niveau stratégique, avec les commandements opérationnels et directions concernées ;
• aux niveaux opératif et tactique, avec les commandants de forces (un officier de liaison cyber peut être mis en place auprès de l'autorité de théâtre), qui disposent également d'officiers de liaison des services de renseignement.
Le COMCYBER et la DRM conduisent des réunions bilatérales pour coordonner leurs activités opérationnelles et de développement capacitaire.
*****
(2) *****
*****
* 172 La DRSD effectue des inspections et des contrôles inopinés sur les SI du ministère et les organismes de tutelle sur demande du HFCDS ou de la DPID. Les comptes rendus sont communiqués au COMCYBER.
* 173 La coordination avec la DRSD se fait via le commandement de la cyberdéfense, point d'entrée privilégié de l'ANSSI au sein du ministère des armées. Les relations avec la DRSD avec le COMCYBER s'articulent autour de la présence d'un officier de liaison de la DRSD au sein du centre des opérations cyber du COMCYBER et de deux réunions de coordination : une réunion mensuelle « SSI/Cyber » présidée par le chef du cabinet militaire de la ministre des armées et une réunion trimestrielle « défense et sécurité » présidée par le chef de cabinet de la ministre.
* 174 Contrôle général des armées, Conseil général de l'économie, Inspection générale de l'administration, Inspection générale des finances, Inspection générale de la Justice
* 175 Il peut s'appuyer sur les capacités de ces services pour compléter ses analyses, les deux premiers disposant de leurs propres capacités de détection pour la protection de leurs systèmes d'information.
* 176 Par une société privée, les services de police et de gendarmerie ou bien l'ANSSI.
* 177 Limitativement énumérés à l'article L. 811-3 du code de la sécurité intérieure : 1° L'indépendance nationale, l'intégrité du territoire et la défense nationale ; 2° Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ; 3° Les intérêts économiques, industriels et scientifiques majeurs de la France ; 4° La prévention du terrorisme ; 5° La prévention : a) Des atteintes à la forme républicaine des institutions ; b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l'article L. 212-1 ; c) Des violences collectives de nature à porter gravement atteinte à la paix publique ; 6° La prévention de la criminalité et de la délinquance organisées ; 7° La prévention de la prolifération des armes de destruction massive.
* 178 Dans une récente tribune ( Le Monde 28 janvier 2020 ), d'anciens responsables des ministères de la défense et des affaires étrangères se sont interrogés sur la définition de la nature de l'attaque informatique justifiant la mise en oeuvre des opérations de riposte et d'entrave visées à l'article L.2321-2 du code de la défense estimant qu'elles devraient « couvrir le prépositionnement d'implants ». La rédaction actuelle de l'article ne l'interdit pas. Le prépositionnement d'implants pourrait être considéré comme des actes préparatoires ou comme le commencement d'exécution d'une attaque.
* 179 Par ailleurs, la DGSI peut également saisir lorsqu'il s'agit d'une entreprise non énumérée, a parmi ses clients des entités qui seraient, elles, des OIV, EPP ou des administrations de l'État.
* 180 Cependant, cette distinction est parfois difficile à réaliser d'emblée, notamment dans certains cas de personnes morales victime d'un rançongiciel. Dans ces cas, il arrive que la DGSI soit co-saisie avec un autre service judiciaire (OCLCTIC, C3N ou BEFTI) un dessaisissement de l'enquête pouvant intervenir ultérieurement.
* 181 Rapport de la mission commune d'inspection sur les missions et effectifs de l'État contribuant à la cybersécurité - février 2019.