Compagnie européenne d'intelligence stratégique (CEIS) - 2 mai
M. Olivier Darrason, président
M. Bruno Sido , président - J'accueille maintenant Olivier Darrason, président de la Compagnie européenne d'intelligence stratégique (CEIS), qui a accepté de venir nous parler de la sécurité d'approvisionnement en électricité. Nous avons mené un certain nombre d'auditions en France et à l'étranger, puisqu'il existe des problèmes résultant de l'interconnexion des réseaux. En matière de sécurité, nous avons constaté, après avoir visité un certain nombre d'installations à l'étranger, que ces problèmes sont liés à l'informatique. Nous avons visité des installations en Espagne et effectuons cette après-midi la visite du CNES de RTE à Saint-Denis, où est géré le réseau de transport en très haute tension. Lors de l'incident du 4 novembre 2006, des décrochages informatiques sont survenus, démontrant le rôle primordial des systèmes d'information. La question des virus et du piratage informatiques pose également certaines questions : ces aspects semblent très inquiétants du point de vue du terrorisme, car une panne provoquerait d'importants dégâts si des terroristes comme Ben Laden s'occupaient plus de cette question-là que de détruire des immeubles. Vous êtes un grand spécialiste de l'intelligence stratégique et de l'informatique : nous souhaitons donc vous interroger sur la sécurité du système informatique qui gère l'électricité, les échanges, les interconnexions et les centrales nucléaires... L'informatique occupe une place primordiale que nous devons aborder pour que le rapport que nous allons rédiger soit le plus pertinent possible.
M. Olivier Darrason , président de la Compagnie européenne d'intelligence stratégique (CEIS) - Je vous remercie pour votre invitation qui m'honore. Je vais tâcher de vous apporter des réponses. Ancien député, je me suis spécialisé dans les problématiques d'intelligence économique et d'intelligence stratégique qui comportent deux aspects : l'attaque et la défense. Nous travaillons essentiellement dans les secteurs de la défense, de l'énergie, des nouvelles technologies et des transferts de technologie.
Un certain nombre d'idées et de savoir-faire, voire de réflexions élaborées, concernent ces domaines, de la part des terroristes mais également du fait des Etats. L'asymétrie, ou le caractère différencié de la réponse ou de l'attaque, est un thème à la mode. De ce point de vue, l'approche n'est pas cantonnée au seul domaine de l'informatique. Votre réflexion porte sur la sécurité électrique mais aussi sur l'ensemble des problématiques de la production, de la distribution et du transport de l'électricité : elle rejoint donc l'ensemble de ces aspects.
L'attaque des moyens de production a de tout temps été imaginée. La destruction d'une centrale électrique n'est pas une idée nouvelle : elle est apparue notamment durant les conflits du siècle dernier. Les évolutions de ces dernières années tiennent, d'une part, à l'arrivée des activistes sur le terrain de la contestation et, d'autre part, au regain des activités terroristes. L'objectif pour les activistes est de démontrer l'accessibilité des systèmes alors même que ceux-ci sont censés être protégés physiquement ou informatiquement par des barrières mises en place par l'Etat ou par les entreprises : en parvenant à traverser des obstacles, se hisser sur des grues ou des pylônes, ou passer certaines barrières naturelles telles que les approches maritimes, les activistes démontrent que ces systèmes ne sont pas si sécurisés que ce qu'on prétend. Pour les terroristes, il s'agit de démontrer la vulnérabilité des systèmes. Des maîtres chanteurs tentent également d'accéder à ces systèmes, pour des raisons essentiellement pécuniaires. Ils tentent alors d'obtenir des entreprises ou des sous-traitants des subsides en leur prouvant qu'ils sont parvenus au coeur de leur système.
Depuis la guerre du Kosovo, nous nous trouvons face à un problème plus large que celui de l'informatique. Pendant cette guerre, une démonstration précise de la vulnérabilité du système électrique a eu lieu. Dans la guerre psychologique que perdaient à ce moment-là les alliés face à la résistance de la population serbe, il fallait trouver les solutions pour rendre psychologiquement vulnérable le gouvernement alors en place et neutraliser des points essentiels pour lui afin d'ébranler son moral, sans toutefois permettre la solidarisation entre la population et son gouvernement. Dans le cadre de la réflexion menée par les Américains et les Français sur les moyens à envisager pour amener les Serbes à l'impuissance, le problème électrique a été retenu. Cependant, la démolition d'une centrale thermique, engendrant d'importantes conséquences pour la future reconstruction, aurait donné à la population le sentiment d'un immense gâchis qui risquait de faire peser sur les alliés une réelle culpabilité. Aussi a été mise en application une théorie, dite de l'analyse systémique, qui, élaborée par le colonel Warden de l'US Army, consiste à analyser un système -qu'il soit de production, une assemblée, un corps de pouvoir industriel, économique ou politique- en le divisant en sous-ensembles permettant d'identifier l'accès le plus facile, en termes de temps et de coût, et susceptible de générer le moins de dommages collatéraux. Il a ainsi été décidé de toucher des sous-stations de production d'électricité, pour les neutraliser sans effets ni collatéraux, ni définitifs. Cette théorie continue à être utilisée par certains Etats et fait encore l'objet de réflexions pour définir les moyens les plus pratiques d'atteindre une population.
La connaissance des réseaux de distribution permet également d'identifier leur vulnérabilité. Pour connaître un réseau de distribution, il est possible d'étudier la connexion des lignes à haute tension. Un réseau maillé existe dans chaque pays ; il permet d'accéder aux sous-stations, qui peuvent se révéler extrêmement vulnérables. Un scandale a eu lieu il y a quelques mois aux Etats-Unis, dû au fait que le site Google Earth a permis à un étudiant américain de reconstituer l'ensemble du réseau de transport américain. Un débat public a posé la question de l'accessibilité permanente de l'information, qui rend le réseau vulnérable. Avec la parution de l'article « Is it a threat for the national security ?», que je vous transmets, la Google Earth community s'est interrogée sur le fait que Google constituait peut-être une menace pour la sécurité des infrastructures et, partant, des Etats eux-mêmes. Le problème a été résolu aux Etats-Unis, où certaines photos, déjà anciennes, ont été retirées et où le réseau a été « flouté ». Mais cette question peut également être posée en France : peut-on reconstituer le réseau de transport, de distribution et de contrôle de l'électricité grâce à Google ou aux images de l'Institut géographique national (IGN) ? Les résidences présidentielles ou de hauts dignitaires américains ne sont pas visibles sur Google Earth, contrairement aux bases aériennes françaises et aux centrales nucléaires françaises. Certaines installations stratégiques françaises sont effectivement disponibles sur Google Earth et n'ont pas encore été floutées, malgré les demandes du gouvernement français. Une distorsion assez forte existe donc entre les précautions prises et la vulnérabilité. Ceci concerne l'aspect collatéral de la sécurité électrique de notre pays, suivant l'angle de l'analyse systémique.
La sécurité de l'information constitue le problème classique des entreprises qui produisent de l'électricité, dans lesquelles les réseaux informatiques liés à la production (les SCADA -Supervisory Control And Data Acquisition) sont considérables. Ces réseaux, qui étaient jusqu'à présent destinés à être isolés, sont de plus en plus interconnectés avec le réseau interne de l'entreprise, lui-même connecté à Internet. Ces interconnexions peuvent donc contaminer les réseaux de production. Les audits que nous menons visent à vérifier, d'une part, que les réseaux de production sont les plus étanches possibles par rapport aux réseaux de gestion et, d'autre part, qu'ils ne sont pas contaminés par des softwares non sollicités ou non homologués ou rendus accessibles par l'installation de réseaux wifi dits « sauvages ». Les hackers cherchent en effet à infiltrer les réseaux wifi qui, même protégés, sont cassables grâce à des attaques qui consistent à combiner les vulnérabilités dans les algorithmes de chiffrement et le test systématique de tous les combinaisons (attaques dites « par force brute »). A la demande du ministère de la défense, la CEIS a créé un Observatoire de la guerre informatique qui permet, depuis trois ans, de faire un point régulier sur l'ensemble des techniques civiles existant dans le domaine du hacking informatique, et d'inventorier les menaces éventuelles pour le ministère de la défense et la sécurité du pays. Ces « exploits » des hackers sont le fruit d'une communauté underground qui partage non seulement les informations sur les vulnérabilités, mais aussi les moyens de calcul. Jusqu'alors constitués de jeunes scientifiques attirés par le goût du défi, ces communautés se professionnalisent et vendent aujourd'hui leur savoir-faire au plus offrant. Il faut cependant distinguer les activistes qui souhaitent démontrer l'absence de sécurité, dénoncer un monopole ou exprimer leur patriotisme, des groupes mafieux qui utilisent l'arme informatique à des fins pécuniaires. Par ailleurs, certaines grandes entreprises, du fait de leur dimension, sont actuellement touchées par des phénomènes de sectarisme qui, lorsqu'ils sont internes à l'entreprise, peuvent susciter un mouvement de solidarité créant une vulnérabilité interne. Des dangers potentiels existent donc pour les entreprises.
Quelles sont donc les parades face à ces menaces ? Il s'agit tout d'abord d'adopter une approche globale de la sécurité. En ce qui concerne la sécurité physique, la théorie de la concentricité doit être appliquée : il s'agit d'établir des lignes de défense successives grâce à différents systèmes de sécurité permettant de canaliser les intrusions et d'accroître les possibilités de réaction. Au plan informatique, il s'agit de prendre en compte les infrastructures et « l'infostructure », c'est-à-dire le contenant et le contenu. Alors que les vunérabilités des infrastructures sont en général relativement bien appréhendées, les menaces liées aux contenus, et donc les risques humains, sont souvent sous-estimées. Il est donc fondamental, avant même de parler de systèmes, de procéder à des analyses de risques régulières et d'élaborer des politiques de sécurité pour sensibiliser le personnel, sachant que l'information ne pouvant pas être protégée tout le temps et partout, elle doit l'être quand elle acquiert de l'importance.
Je voudrais enfin insister sur la cryptologie, débat névralgique, objet de toute l'attention des terroristes. Cette science est peu partagée : seules quelques grandes nations la possèdent, pour chiffrer (cryptographie) et déchiffrer (cryptanalyse). Les grands pays scientifiques sont très attentifs aux transferts de ces technologies mais moins aux scientifiques qui les détiennent, les cryptoanalystes, peu nombreux et très sollicités pour restituer ailleurs ces connaissances. La communauté scientifique de l'ex-URSS est actuellement en déshérence et ne dispose plus des moyens nécessaires pour travailler : se considèrant mal traités par rapport aux nouveaux riches du pays, ces scientifiques sont très tentés de quitter leur pays et d'externaliser leur savoir-faire, au profit d'autres Etats ou même d'organisations peu crédibles, voire terroristes.
M. Bruno Sido , président - La France fait-elle partie de ces pays qui disposent de savoir-faire en cryptage et en décryptage ? Par ailleurs, des entreprises comme EDF cryptent-elles leurs programmes ou ces derniers sont-ils accessibles au plus grand nombre ?
M. Olivier Darrason - La France fait effectivement partie des quatre pays les plus avancés en matière de cryptologie et de cryptanalyse, grâce à son corps de scientifiques, notamment formés à l'Ecole normale supérieure et grâce aux applications de défense. Les services de défense français se classent ainsi parmi les trois premiers au monde, surtout en cryptanalyse, la matière la plus ardue. Depuis la libéralisation du cryptage par la loi n° 2004-575 du 21 juin 2004, les entreprises commencent à y recourir. Cette libéralisation avait donné lieu à un débat puisque l'autorité en charge de la cryptologie en France, la Direction centrale de la sécurité des systèmes d'information (DCSSI), voulait limiter le niveau maximal de cryptage pour permettre à la sécurité de l'Etat d'y accéder. D'une manière générale, les entreprises n'ont pas suffisamment recours au cryptage. EDF l'utilise à un niveau qui paraît aujourd'hui suffisant. Mais nous n'avons cependant pas testé le cryptage dans cette entreprise. Du reste, il me semble que ce n'est pas à une entreprise privée de le faire, mais aux services habilités légalement.
M. René Beaumont - Je voudrais tout d'abord saluer Olivier Darrason, puisque nous avons eu l'occasion de nous connaître à l'Assemblée nationale où, comme député, il s'était illustré en stratégie de l'environnement pour la défense de l'étang de Berre. Il avait déjà à l'époque toutes ses connaissances scientifiques, certifiées par les plus hauts diplômes français, et je ne suis pas étonné de le retrouver aujourd'hui en tant que fondateur et président de la CEIS.
Ses propos m'inquiètent puisqu'il semble y avoir beaucoup de risques et peu de parades. Je suis un partisan de l'Union européenne, qui nous impose aujourd'hui de diversifier nos sources d'énergies et de les privatiser. Des centrales nucléaires privées existent actuellement en Europe. Quelles sont donc les règles que peut imposer un Etat à des outils de production énergétique privés ? Quels sont également les financements disponibles, puisque la sécurité est une compétence primordiale de l'Etat et qu'une entreprise incline peut-être moins à être attentive à ce sujet qu'une nation ? En tant que libéral raisonné, je m'inquiète quelque peu des moyens mis en oeuvre pour assurer la sécurité de nos concitoyens.
M. Olivier Darrason - La problématique consiste effectivement à étudier les règles existantes pour chaque Etat. Au niveau de la France, il existe toujours un débat terminologique entre ce que certains nomment « sûreté », qu'ils définissent comme la protection contre les accidents physiques, et « sécurité », qui concerne les agressions extérieures. D'autres inversent le propos et regroupent sous le terme de « sûreté » les menaces terroristes extérieures ou intérieures volontaires et sous celui de « sécurité » la sécurisation d'une zone face à des accidents. Quoiqu'il en soit, les centrales nucléaires, privées ou publiques, sont soumises à une réglementation Seveso en raison de leur dangerosité et obéissent à une réglementation propre. Ayant travaillé sur ce sujet en collaboration avec le CEA, nous avons la conviction que les règles imposées aux entreprises françaises sont extrêmement sévères et comprennent des contrôles sérieux dans le domaine de la sécurité physique.
La problématique de la sécurité du numérique, quant à elle, émerge progressivement. Je ne pense pas qu'il existe de normes en la matière : certaines règles existent mais elles sont d'une complexité effarante. J'ai récemment abordé ce sujet avec de hauts fonctionnaires du ministère de la défense et du ministère de l'industrie, car on procède en ce moment à une révision du périmètre et des compétences entre les services ministériels. Les règles de sûreté nucléaire s'éclaircissent et évoluent intelligemment, la solution consistant à ne pas imposer de règles infranchissables car elles ne sont pas nécessaires partout. Ce sont des règles publiques, qui s'imposent dans un périmètre donné et que le préfet doit faire respecter. Mais les fonctionnaires des ministères de la défense et l'industrie m'ont indiqué que les nouvelles règles entreraient en vigueur d'ici deux ans : or, je considère que la durée de leur élaboration est en inadéquation avec leur importance. Quant aux règles de sécurité européennes, elles existent mais je ne suis pas sûr que l'Europe ait les moyens de les faire respecter en dehors des Etats. Il faut donc faire confiance aux Etats, en présumant qu'ils feront preuve de sérieux par égard à la sécurité de leur population.
M. Eric Doligé - Comme il existe beaucoup de structures qui s'occupent d'intelligence stratégique, un certain nombre d'informations confidentielles leur sont donc accessibles. Quel est le niveau de confidentialité des communications entre l'Etat et ces différentes structures ? Des entreprises privées et publiques peuvent être concernées par ces questions ? Quand des informations importantes sont disponibles, sont-elles transmises à l'Etat immédiatement ou après vérification ?
M. Olivier Darrason - J'interviens ici en tant que président de la CEIS, organisation privée. D'autres organisations s'occupent d'intelligence économique, notamment l'Institut des hautes études de défense nationale (IHEDN), dont je préside le Conseil d'administration depuis un mois et demi. Pour l'exercice de certaines activités, la réglementation impose une habilitation délivrée par le ministère de la défense ou celui de l'industrie : il peut s'agir d'habilitation « confidentiel défense » ou « secret défense ». Les règles de confidentialité doivent être rigoureusement respectées au sein de l'entreprise. En outre, les personnes qui sont amenées à s'occuper de questions relatives à la sécurité de l'Etat disposent d'une habilitation personnelle, qui peut être remise en cause à tout moment.
Quant à l'intelligence économique, elle relève d'un domaine différent, celui de la compétition économique et des problèmes tels que les prises de participation, les fusions, etc. La Fédération des professionnels de l'intelligence économique (FEPIE) a élaboré un code de déontologie précis dans ce domaine et les entreprises peuvent également s'imposer des règles supplémentaires : ainsi, la CEIS ne travaille pour des entreprises françaises ou européennes qu'à condition qu'elles ne soient pas en compétition avec des intérêts français.
M. Bruno Sido , président - Je vous remercie pour cette intervention sur ce sujet effectivement très sensible et très délicat.