III. LA NÉCESSITÉ D'UNE IMPULSION POLITIQUE FORTE ET DE MOYENS RENFORCÉS
En dépit des actions positives entreprises au cours des dernières années, amplifiées après l'adoption du plan interministériel de 2004, la situation de la France au regard de la menace provenant des attaques informatiques reste insatisfaisante.
Nous ne disposons pas de véritable capacité de surveillance et de détection des attaques informatiques .
L'échelon interministériel ne dispose pas des moyens nécessaires pour donner une plus large diffusion aux actions de sensibilisation, de formation ou de conseil , ni pour mener à l'échelle souhaitable les activités d'audit et d'inspection auprès des administrations ou des opérateurs d'importance vitale.
Les textes ne lui donnent pas l'autorité nécessaire pour assurer l'application uniforme, au sein des administrations, des règles inhérentes à la sécurité des systèmes d'information . Au sein des administrations elles mêmes, les avis émis par les responsables de la sécurité des systèmes d'information semblent être pris en compte de manière très aléatoire.
A fortiori, la synergie entre acteurs publics et privés reste insuffisante alors qu'un partenariat étroit serait indispensable.
Dans ce contexte, la place accordée à la cyberdéfense par le Livre blanc sur la défense et la sécurité nationale doit être saluée. Elle témoigne d'une prise de conscience renforcée de la menace. Elle est porteuse de beaucoup d'espoirs en termes d'amélioration de notre organisation et de renforcement de nos moyens.
Votre rapporteur considère que les orientations fixées par le Livre blanc constituent une base solide pour rattraper le retard accumulé ces dernières années par notre pays en la matière. Il souhaite cependant qu'elles soient rapidement assorties des décisions qui permettront de les traduire dans les faits et il effectuera, dans cette perspective, plusieurs propositions.
A. UNE PRIORITÉ RECONNUE PAR LE LIVRE BLANC SUR LA DÉFENSE ET LA SÉCURITÉ NATIONALE
Le Livre blanc sur la défense de 1994 avait brièvement mentionné les menaces pesant sur les systèmes informatiques au titre des vulnérabilités nouvelles à prendre en compte. Le Livre blanc sur la sécurité intérieure face au terrorisme, publié en 2006, avait quant à lui souligné de manière plus précise la nécessité de protéger les systèmes informatiques sensibles, dans la perspective d'actions terroristes visant à désorganiser ou paralyser le fonctionnement du pays.
Avec le Livre blanc de 2008, la protection des systèmes d'information est clairement définie comme une composante à part entière de notre politique de défense et de sécurité .
Il estime en effet que « le niveau quotidien actuel des agressions contre les systèmes d'information, qu'elles soient d'origine étatique ou non, laisse présager un potentiel très élevé de déstabilisation de la vie courante, de paralysie de réseaux critiques pour la vie de la nation, ou de déni de fonctionnement de certaines capacités militaires ».
Aux yeux des rédacteurs du Livre blanc, la multiplication des tentatives d'attaques menées par des acteurs non étatiques dans les quinze ans à venir constitue une certitude, alors que « plusieurs pays ont déjà défini des stratégies de lutte informatique offensive et se dotent effectivement de capacités techniques relayées par des pirates informatiques ». Le Livre blanc juge que des tentatives d'attaques étatiques dissimulées sont hautement probables et que des actions massives menées ouvertement sont également plausibles.
Les orientations définies par le Livre blanc en termes d'organisation et de moyens découlent de ce constat.
1. La création d'une Agence de la sécurité des systèmes d'information
L'une des principales décisions arrêtées dans le cadre du Livre blanc réside dans la création d'une agence interministérielle chargée de la sécurité des systèmes d'information, en vue de renforcer la cohérence et la capacité propre des moyens de l'Etat.
Cette agence sera constituée à partir de l'actuelle Direction centrale de la sécurité des systèmes d'information (DCSSI) . Elle relèvera du Premier ministre et sera distincte des services du SGDN tout en étant placée sous la tutelle de celui-ci, qui deviendra par ailleurs le Secrétariat général de la défense et de la sécurité nationale (SGDSN).
D'après les informations fournies à votre rapporteur, cette agence serait constituée sous le statut de service à compétence nationale , qui a été créé pour des structures à vocation opérationnelle et lui confèrerait une certaine autonomie, mais pas de personnalité juridique propre et distincte de celle de l'Etat. On rappellera que le rapport Lasbordes avait suggéré l'institution d'un établissement public industriel et commercial, le SGDN conservant les fonctions d'autorité.
Le Livre blanc évoque les compétences qui seront confiées à l'agence, sans les détailler. Sur le plan opérationnel, elle mettra en oeuvre une capacité centralisée de détection et de défense face aux attaques informatiques. Elle aura en charge le développement et l'acquisition des produits de sécurité essentiels à la protection des réseaux les plus sensibles . Elle assurera également une mission de conseil auprès du secteur privé , notamment dans les secteurs d'activité d'importance vitale. L'agence devra servir de réservoir de compétences au profit des administrations et des opérateurs d'infrastructures vitales.
S'agissant des effectifs et des moyens financiers de la future agence, le Livre blanc indique simplement qu'ils seront sensiblement renforcés par rapport à ceux de la DCSSI .
Ce dispositif sera complété par la mise en place d' observatoires de la sécurité des systèmes d'information dans les zones de défense et de sécurité . Un réseau territorial d'experts sera ainsi constitué auprès des préfets de zone de défense, avec une mission de soutien en formation et en conseil aux administrations locales, d'animation de réseau et de remontée des signaux précurseurs d'incidents.
2. Le renforcement des capacités de détection et de protection
Le Livre blanc préconise « le passage d'une stratégie de défense passive à une stratégie de défense active en profondeur, combinant protection intrinsèque des systèmes, surveillance permanente, réaction rapide et action offensive », une telle évolution supposant « une forte impulsion gouvernementale et un changement des mentalités ».
La défense passive peut être définie comme un simple recours aux systèmes automatiques de protection des réseaux (pare-feux, antivirus), placés à la frontière entre ceux-ci et l'extérieur. Ces outils sont indispensables, mais insuffisants, car ils ne sont pas infaillibles et peuvent être contournés puisqu'ils ne protègent que des menaces déjà identifiées contre lesquelles ils ont été conçus.
La défense active implique une véritable capacité de surveillance des « frontières » et l' aptitude à s'adapter en permanence à une menace qui évolue de manière quotidienne, de nouvelles vulnérabilités apparaissant en permanence.
Le Livre blanc prévoit ainsi la mise sur pied d'un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en oeuvre des mécanismes de défense adaptés .
Comme on l'a précédemment précisé, la France ne dispose pas d'une telle capacité de détection précoce, à la différence de l'Allemagne , alors que les Etats-Unis viennent pour leur part de décider que le dispositif de détection opérationnel depuis plusieurs années sur les réseaux du Pentagone serait étendu à toute l'administration et aux agences fédérales, ainsi éventuellement qu'aux installations d'importance vitale.
Le centre opérationnel fonctionnant en permanence à la DCSSI (COSSI) se limite à une veille sur la partie visible de l'internet, mais n'a aucun moyen de surveiller et d'analyser les flux transitant entre l'internet et les administrations.
Votre rapporteur estime que la mise en place rapide de ce centre de détection est absolument indispensable . Il précise en outre que la capacité de surveillance dont il disposera portera exclusivement sur les traces informatiques laissées par les flux de données transitant entre les réseaux gouvernementaux et l'extérieur, et non sur le contenu des communications électroniques elles-mêmes. Des outils informatiques spécialisés permettent de collecter ces données et de les analyser pour déceler les signes d'attaques informatiques.
En matière de protection, le Livre blanc prévoit la généralisation du recours à des produits de sécurité et à des réseaux de confiance, ce qui suppose d'une part la maîtrise industrielle nationale de produits de très haute sécurité pour la protection des secrets de l'Etat, et d'autre part une offre étendue de produits et services de confiance labellisés.
Enfin, le Livre blanc préconise des mesures réglementaires pour imposer aux opérateurs de communications électroniques une protection renforcée de leurs réseaux contre les pannes et les attaques les plus graves. Il estime que le réseau internet doit être considéré comme une infrastructure vitale et que sa résilience doit être améliorée.
3. La nécessité de capacités « offensives »
En présentant le Livre blanc le 17 juin dernier, le Président de la République a annoncé que face aux attaques informatiques, la France serait dotée « de capacités défensives et offensives , qui concernent aussi bien toutes les administrations que les services spécialisés et les armées ».
On peut parler de capacités offensives dès lors qu'il ne s'agit plus de protéger le système attaqué, mais d'identifier l'adversaire, de mettre à jour son mode opératoire, de le neutraliser, voire de lui appliquer des mesures de rétorsion.
En ce qui concerne la référence aux capacités offensives, il convient de distinguer la compétence générale qui revient aux services de renseignement et la mise en place de capacités spécifiquement militaires.
S'agissant des services de renseignement , le Livre blanc prévoit un développement des capacités techniques consacrées au réseau internet, « devenu crucial pour notre sécurité ». Le renforcement des moyens techniques devrait s'accompagner d'une augmentation du nombre de techniciens et d'experts spécialisés dans ce domaine.
Votre rapporteur estime également qu'un cadre juridique devra être défini pour autoriser des « perquisitions informatiques » facilitant les investigations sur les agresseurs.
S'agissant des forces armées, le Livre blanc estime nécessaire d'acquérir une capacité de lutte informatique offensive destinée à neutraliser les centres d'opérations adverses.
Cette capacité figurait parmi les moyens de commandement, de renseignement et d'appréciation inscrits à notre modèle d'armée 4 ( * ) , mais elle n'a pas été développée à ce jour.
Elle suppose un cadre et une doctrine d'emploi , le développement d'outils spécialisés (armes numériques de réseaux, laboratoires technico-opérationnels), en préalable à la réalisation de véritables capacités opérationnelles, et la mise en oeuvre d'une formation adaptée et régulièrement actualisée des personnels.
Le Livre blanc précise que ce cadre d'emploi devra respecter le principe de riposte proportionnelle à l'attaque et viser en priorité les moyens opérationnels de l'adversaire.
En dépit d'incontestables difficultés liées par exemple à l'impossibilité d'établir avec certitude l'identité des agresseurs ou la responsabilité d'un Etat dans l'agression, votre rapporteur voit au moins trois raisons qui militent en faveur du développement de capacités offensives en matière informatique, sur la base bien entendu d'un cadre juridique et d'une doctrine d'emploi bien définis :
- la première, d'ordre technique, est que l'on se défend d'autant mieux que l'on connaît les méthodes et les moyens d'attaque ;
- la deuxième, d'ordre plus stratégique, est qu'une telle capacité est très certainement de nature à jouer un rôle dissuasif vis-à-vis d'agresseurs potentiels ;
- enfin, le cyberespace paraît inévitablement voué à devenir un domaine de lutte, au même type que les autres milieux dans lesquels interviennent nos forces armées ; il est légitime d'en tirer les conséquences.
* 4 Cf rapport annexé à la loi de programmation militaire pour les années 2003 à 2008 (§2.3.2)