4. La lutte informatique défensive et offensive : des intentions à mettre en oeuvre
Le Livre blanc a mis en exergue les menaces pesant sur l'intégrité des systèmes d'information et a fait de leur protection une composante à part entière de notre politique de défense et de sécurité.
Dans le rapport 11 ( * ) présenté au nom de notre commission en juillet 2008, notre collègue Roger Romani a établi une analyse détaillée de ces menaces et a préconisé un ensemble de mesures afin d'améliorer l'organisation de la protection des systèmes d'information et de renforcer les moyens qui lui sont consacrés.
Le rapport annexé au projet de loi précise que « la défense informatique combinera protection des systèmes, surveillance, réaction rapide et action offensive de rétorsion » et que « le ministère de la défense renforcera ses moyens et son organisation et développera des outils de veille, d'alerte et de réponse aux agressions informatiques ».
La création d'une Agence de la sécurité des systèmes d'information constitue une étape importante sur cette voie, mais l'effort doit également porter sur le développement de capacités défensives et offensives , tant au sein de toutes les administrations que dans les services spécialisés et les armées.
Les services de renseignement doivent notamment voir renforcées leurs capacités techniques consacrées au réseau internet.
S'agissant du ministère de la défense, ses capacités de lutte informatique défensive combineront protection des systèmes, surveillance, réaction rapide et action offensive de rétorsion. Il renforcera ses moyens et son organisation, et développera des outils de veille, d'alerte et de réponse aux agressions informatiques. Une instruction ministérielle récente définit les modalités de mise en oeuvre de la lutte informatique défensive au sein du ministère de la défense et plusieurs projets sont actuellement menés afin de doter le Centre d'analyse de lutte informatique défensive (CALID) du ministère de la défense de moyens techniques de lutte informatique défensive.
La référence à une capacité de lutte informatique offensive destinée à neutraliser les centres d'opérations adverses n'est pas nouvelle, puisqu'elle était mentionnée dans le modèle d'armée associé à la loi de programmation militaire 2003-2008. Toutefois, cette capacité n'a pas été développée à ce jour.
Elle suppose en premier lieu d'établir une doctrine et une organisation, d'en clarifier les cadres d'emploi nationaux et internationaux, de garantir la protection pénale des acteurs, puis de mener des expérimentations techniques et de développer des outils spécialisés (armes numériques de réseaux, laboratoires technico-opérationnels), en préalable à la réalisation de véritables capacités opérationnelles.
Le Livre blanc précise que ce cadre d'emploi devra respecter le principe de riposte proportionnelle à l'attaque et viser en priorité les moyens opérationnels de l'adversaire.
Dans son rapport précité, notre collègue Roger Romani avait évoqué les difficultés inhérentes à la lutte informatique, par exemple l'impossibilité d'établir avec certitude l'identité des agresseurs ou la responsabilité d'un Etat dans l'agression, mais il avait identifié trois raisons de développer des capacités de lutte informatique offensive : mieux pouvoir se défendre en maîtrisant les méthodes et les moyens d'attaque ; exercer une action dissuasive vis-à-vis d'agresseurs potentiels ; se préparer à l'émergence du cyberespace comme domaine de lutte, au même titre que les autres milieux dans lesquels interviennent nos forces armées.
* 11 « Cyberdéfense : un nouvel enjeu de sécurité nationale » - Rapport d'information n°449 (2007-2008) du 8 juillet 2008.