II. UNE MENACE DÉSORMAIS PRISE EN COMPTE AU NIVEAU INTERNATIONAL
Les attaques contre les systèmes d'information s'affranchissent des frontières et peuvent être dirigées simultanément contre plusieurs Etats. La surveillance des réseaux et la mise au point des réactions en cas d'incident justifie une coopération et une assistance internationales. De manière plus générale, la protection des systèmes d'information face aux activités illégales constitue aujourd'hui une préoccupation commune à de nombreux Etats et à plusieurs organisations internationales. Toutefois, la coopération internationale dans ce domaine se heurte encore à de nombreux obstacles.
A. UNE PRÉOCCUPATION PARTAGÉE PAR NOS PRINCIPAUX ALLIÉS
Les Etats-Unis, le Royaume-Uni et l'Allemagne ont fait depuis déjà plusieurs années de la cybersécurité une priorité nationale et ont mis en place des dispositifs importants pour lutter contre les attaques informatiques.
1. Les Etats-Unis
Héritage d'une attention portée de longue date au renseignement d'origine technique et à la protection de l'information, ainsi que d'efforts accentués sur ces problématiques durant la Guerre Froide, les Etats-Unis accordent une priorité stratégique à la protection des systèmes d'information.
Les Etats-Unis sont, en effet, l'un des pays qui dépend le plus d'Internet et qui subit le plus d'attaques informatiques au monde. A titre d'exemple, au niveau gouvernemental, les systèmes du département de la défense, le Pentagone, et ceux des forces armées regroupent 15 000 réseaux et 2 millions d'utilisateurs. Le « cybercommander » , le général Keith B. Alexander, a indiqué récemment que ces systèmes étaient attaqués près de six millions de fois par jour. Au cours des dernières années, des intrusions informatiques graves dans les systèmes d'information du Pentagone, du département d'Etat, du département de la sécurité intérieure ou encore de la NASA ont été constatées. Ainsi que cela a été récemment rendu public, en 2008, le réseau informatique du Central Command , le commandement stratégique régional américain pour le Moyen-Orient basé à Tampa en Floride, a été infecté à l'aide d'une clé USB, aboutissant à la compromission de réseaux et d'informations classifiés.
En mai 1998, signe d'une prise en compte précoce de la problématique de la cybersécurité, le Président Bill Clinton a signé le décret présidentiel 63 sur la protection des infrastructures critiques visant à notamment éliminer les vulnérabilités de leurs systèmes informatiques au regard d'attaques cybernétiques comme physiques.
En janvier 2008, le Président George W. Bush a approuvé la Presidential National Security directive 54 qui formalise une série de mesures visant à protéger les systèmes d'information gouvernementaux contre les attaques informatiques.
Enfin, le Président Barack Obama s'est fortement investi sur le sujet et a fait de la cybersécurité l'une des priorités de son mandat. Ainsi, dans un discours du 29 mai 2009, il a déclaré que « la menace cybernétique est l'un des plus importants défis auxquels doivent faire face les Etats-Unis, en matière économique et au regard de la sécurité nationale » et que « la prospérité de l'Amérique au XXIe siècle dépendra de la cybersécurité » 20 ( * ) . Il a nommé en décembre 2009 à la Maison Blanche un conseiller spécialement chargé de ce dossier, rendant compte aussi bien au Conseil pour la sécurité nationale qu'à l'équipe en charge des questions économiques, M. Howard Schmidt, qui vient de quitter ses fonctions 21 ( * ) et dont l'une des principales missions a été d'unifier la doctrine nationale américaine et d'améliorer la coordination inter-agences sur ce dossier. Son service a publié en mai 2011 « une stratégie internationale pour le cyberespace » 22 ( * ) .
La cybersécurité a de fait pris une place croissante dans la stratégie de défense et de sécurité nationale américaine. Elle figure ainsi au nombre des premières priorités de la stratégie de sécurité nationale, publiée en 2010 23 ( * ) , qui considère que la cybersécurité est l'un des principaux défis qui pèse sur la sécurité nationale, la sécurité publique et l'économie. « Quand on me demande ce qui m'empêche de dormir la nuit. Je réponds : la cybermenace » déclarait en janvier 2010 le Secrétaire adjoint à la défense, M. William J. Lynn III.
En juillet 2011, le Pentagone a publié une nouvelle stratégie cybernétique (surnommée « Cyber 3.0 ») 24 ( * ) , qui fait suite à plusieurs rapports 25 ( * ) . Le document est centré sur la « défense active », à savoir renforcer les mesures traditionnelles de protection du réseau par d'autres capacités, s'appuyant par exemple sur le renseignement électronique. Cette nouvelle stratégie souligne par ailleurs l'importance d'une coopération plus étroite à la fois au niveau national, entre les différentes agences et entre le secteur public et le secteur privé, que sur le plan international.
Elle contient cinq axes :
- un effort en matière d'organisation, d'entraînement et de formation et d'équipements de manière à ce que le département de la défense traite le cyberespace comme un domaine opérationnel et puisse tirer tous les avantages du potentiel qu'il offre ;
- l'emploi de nouveaux systèmes de défense pour protéger les réseaux et systèmes informatiques du département de la défense ;
- le partenariat avec les autres agences et le secteur privé ;
- des relations solides avec les alliés et les partenaires internationaux ;
- l'augmentation de l'expertise en matière cyber et des innovations technologiques.
L'ambition américaine est non seulement d'assurer une protection efficace des systèmes d'information mais de garantir la supériorité des Etats-Unis dans le cyberespace.
Comme votre rapporteur l'a constaté lors de son déplacement à Washington, il existe de nombreux organismes qui interviennent aux Etats-Unis en matière de cybersécurité.
Le département de la sécurité intérieure ( Department of Homeland Security - (DHS) , créé après les attaques du 11 septembre 2001 afin de regrouper diverses agences compétentes en matière de sécurité du territoire national, couvre le domaine de la protection des infrastructures critiques, notamment les réseaux de communication.
Au sein du DHS, la National Cyber Security Division (NCSD), créée en juin 2003, est chargée plus spécialement de la cybersécurité. Une unité de la NCSD, l'US-CERT 26 ( * ) , sorte de « bras armé » de la NCSD, est chargée de la protection des infrastructures Internet nationales et de la coordination de la réponse aux cyberattaques à leur encontre, ainsi que dans les réseaux de l'administration fédérale.
Le FBI, au travers de ses équipes d'actions cybernétiques, CATS ( Cyber Action Teams ), est quant à lui chargé d'enquêter sur les affaires de cybercriminalité portant atteinte aux intérêts nationaux, et notamment de lutter contre les intrusions informatiques affectant les entreprises américaines importantes. Ses équipes sont ainsi venues en aide à Google, en mai 2011, afin d'enquêter sur le piratage des comptes officiels Gmail du gouvernement.
Le département de la défense joue également un rôle important.
S'agissant des capacités techniques , elles sont détenues par la National security agency (NSA) , agence du renseignement technique en charge des actions défensives (surveillance et réaction) au sein du département de la défense et offensives (écoute et intrusion) dans le domaine des systèmes d'information. L' Information assurance directorate assure au sein de la NSA l'expertise sur les questions de cryptographie et de protection des systèmes d'information et compte environ 3 000 agents . Cette direction, qui contribue par ailleurs à traiter les incidents opérationnels, est l'homologue de l'ANSSI.
En mai 2010, un « cybercommand » interarmées (USCYBERCOM) a été créé afin de renforcer la coordination entre les différentes armées et de donner un cadre aux actions offensives menées à son compte par la NSA. Chaque armée dispose d'un centre cyber « propre » qui travaille au profit de Cybercommand ( 24th Air Force, 10th Fleet, 2nd Army et le Marine Corps Forces Cyberforce Command ). Dirigé par le Général Keith B. Alexander, qui est dans le même temps directeur de la NSA, le « cybercommand » est chargé de « planifier, coordonner, intégrer, synchroniser et conduire des opérations de défense des réseaux spécifiques du département de la défense, ainsi que de préparer et de conduire des opérations militaires dans le cyberespace afin d'assurer la liberté d'action américaine dans le cyberespace et d'empêcher à ces adversaires d'y agir » . Il lui revient également la tâche primordiale de centraliser les différentes opérations cybernétiques afin de renforcer les compétences de la défense. Il est placé sous l'autorité de l'USSTRATCOM, le commandement des forces stratégiques des Etats-Unis.
De manière schématique, les responsabilités se répartissent donc de la manière suivante :
- La protection du territoire américain et des infrastructures « critiques » relève du DHS et du département de la justice ;
- Les aspects militaires de défense des infrastructures « critiques », de la base industrielle du soutien aux autorités civiles et des opérations militaires (c'est-à-dire le volet offensif) sont placés sous la responsabilité du département de la défense et du directeur du renseignement national ;
- La sécurité nationale des systèmes : c'est le département de la défense qui est chargé de ce volet ;
- Les enquêtes criminelles : le DHS et le département de la justice en sont responsables ;
- Le renseignement relève du département de la défense et du directeur du renseignement national.
On constate toutefois des difficultés de coordination au sein et entre les départements de la défense et de la sécurité intérieure et les nombreuses structures qui interviennent dans le domaine de la cyberdéfense.
Ainsi, lorsqu'en septembre 2010 le général Alexandre B. Keith souhaite élargir les compétences du « cybercommand » à la protection des infrastructures critiques, la Secrétaire générale du département de la sécurité nationale, Mme Janet Napolitano, lui répond dans un discours que l'effort de sécurisation des infrastructures critiques devrait être effectué par une agence civile, et non par le secteur militaire 27 ( * ) .
C'est la raison pour laquelle le 13 octobre 2010, un memorandum of agreement a été signé entre le département de la sécurité intérieure et le département de la défense qui prévoit une coordination interministérielle et un partage du personnel, de l'équipement et des infrastructures, afin de renforcer la cybersécurité. Cet accord fait également en sorte que les capacités de renseignement et les compétences techniques de la NSA servent en soutien des actions cybernétiques du DHS.
Pour autant, la coordination ne semble pas encore optimale entre ces différentes structures, ainsi qu'entre les agences de l'Etat et le secteur privé. En témoigne notamment cette affirmation entendue de la part de représentants de la NSA à propos du département de la sécurité intérieure : « We have the know-how, they have the responsability » , que l'on peut traduire par « Nous détenons la compétence, mais ce sont eux qui ont la responsabilité officielle ».
Les Etats-Unis procèdent à un renforcement de leur organisation et de leurs moyens.
Sur le plan législatif , trois lois distinctes simplifient les interventions de l'exécutif en cas de cyberattaques contre des infrastructures énergétiques critiques, tandis qu'un autre texte de loi assure la coordination des efforts accrus en matière de cybersécurité, dont ceux concernant les institutions financières et l'industrie 28 ( * ) .
On peut également mentionner :
- l'extension du programme EINSTEIN à toute l'administration et aux agences fédérales. Ce programme vise à déployer un dispositif de surveillance permettant de détecter toute activité suspecte sur les réseaux . Il est opérationnel depuis plusieurs années sur les réseaux du Département de la défense. La NSA, agence de renseignement technique américaine, est la cheville ouvrière de ce programme qui pourrait être étendu aux installations d'importance vitale.
- la réduction, de 2 000 à 50 du nombre de points d'accès des réseaux de l'administration à l'internet, en vue de faciliter le déploiement de dispositifs de sécurité et de surveillance ;
- le renforcement des dispositifs permettant de maîtriser l'acquisition des équipements dans le domaine de l'informatique et des communications électroniques qui sont importés aux Etats-Unis.
Les autorités américaines ont établi une liste de leurs infrastructures critiques et de leurs ressources vitales qu'il convient de protéger contre des cyberattaques 29 ( * ) . Vingt-sept secteurs d'infrastructures critiques et de ressources clés ont été identifiées.
Ainsi, le 4 mai dernier, le département de la sécurité intérieure a mis en garde les services de santé contre les dangers liés à l'utilisation d'appareils médicaux connectés à l'Internet 30 ( * ) . Les défibrillateurs et les pompes à insuline pilotés à distance sont particulièrement en cause. Les autorités américaines rappellent également les dangers induits par la généralisation des tablettes et des ordiphones parmi le personnel soignant qui peuvent exposer les données médicales des patients.
Les autorités américaines ont également engagé depuis déjà plusieurs années une étroite coopération avec le secteur privé.
La RSA Conférence réunit ainsi tous les ans la plupart des acteurs, tant publics que privés, de la cybersécurité aux Etats-Unis.
Le Pentagone coopère étroitement avec les entreprises américaines du secteur de la défense, notamment Lockheed Martin, Northrop Grumman, Raytheon, General Dynamics, Boeing, mais aussi des sociétés de services, telles que SAIC, L3, Booz Allen, ainsi que Cisco et Symantec. En 2007, le département de la défense a lancé un programme de cybersécurité et de protection de l'information (CS/IA) de la base industrielle de défense. Ce programme, basé sur le volontariat, est destiné aux entreprises du secteur de la défense et consiste à échanger des informations techniques et opérationnelles sur les menaces. Il réunit actuellement une quarantaine d'entreprises et devrait être étendu à l'ensemble des sous-traitants du secteur de la défense. D'après les informations recueillies par votre rapporteur, ce programme a permis de mieux comprendre les attentes des entreprises, de renforcer la confiance et de mettre en place une collaboration étroite entre secteur public et secteur privé.
Le marché de la cybersécurité est évalué à 23 milliards de dollars aux Etats-Unis, soit près de la moitié du marché mondial, évalué de l'ordre de 50 milliards de dollars, dont environ la moitié (15 milliards de dollars) est constitué d'appels d'offres provenant du secteur public, du département de la sécurité nationale ou du département de la défense nationale. Le département de la sécurité nationale dispose d'un budget de l'ordre de 3 milliards de dollars pour la recherche et le développement en matière de cybersécurité.
On notera aussi que les Etats-Unis consacrent des moyens conséquents à la réalisation de simulations et d'exercices. Ainsi, le Departement of Homeland Security a réalisé à trois reprises, en février 2006, en mars 2008 et en septembre 2010, trois exercices de grande ampleur, baptisés « CyberStorm I » , « CyberStorm II » et « CyberStorm III » simulant une attaque informatique visant notamment les infrastructures de communication, les transports et les systèmes bancaires. Impliquant une quarantaine d'entreprises du secteur privé ainsi que quatre pays étrangers (Australie, Canada, Nouvelle-Zélande, Royaume-Uni), l'exercice « CyberStorm II » était doté d'un budget supérieur à 6 millions de dollars. En 2012, le DHS a aussi organisé un exercice « cyber » de très grande ampleur (NLE 2012, National Level Exercise ). Le but était d'examiner la capacité américaine à coordonner et répondre à une attaque cyber. Dix Etats américains étaient impliqués, le secteur privé et toutes les agences compétentes. L'Australie, le Canada, la Nouvelle Zélande et le Royaume-Uni ont également participé à cet exercice.
Au total, de 2010 à 2015, le gouvernement américain devrait consacrer 50 milliards de dollars à la cyberdéfense 31 ( * ) , soit environ 10 milliards de dollars par an, et plusieurs dizaines de milliers d'agents travaillent sur ces aspects .
Dans le contexte probable de diminution du budget de la défense aux Etats-Unis sur les dix prochaines années, qui devrait concerner l'ensemble des composantes militaires, les responsables américains ont annoncé que seuls deux secteurs verraient leurs moyens préservés, voire même augmentés : le renseignement et les capacités cyber.
Enfin, on sait que l' armée américaine est dotée d'une doctrine intégrant la lutte informatique défensive comme la lutte informatique offensive .
Une telle doctrine se retrouve ainsi dans le rapport du département de la défense au Congrès de novembre 2011 consacré au cyberespace 32 ( * ) . D'après ce document, « le Président des Etats-Unis se réserve le droit de répondre par tous moyens, y compris par des capacités cybernétiques, à un acte hostile dans le cyberespace dirigée contre les Etats-Unis, ses alliés ou partenaires ou ses intérêts, telle qu'une attaque informatique dirigée contre le gouvernement, l'armée ou l'économie des Etats-Unis ». Et, il est indiqué plus loin que « le département de la défense a les capacités de conduire des opérations offensives dans le cyberespace pour défendre la Nation, ses alliés et ses intérêts ».
Au total, en dehors de la très forte disproportion des effectifs et des moyens, on constate d'importantes différences d'approches entre le modèle américain et le modèle français.
Contrairement aux autorités françaises, les autorités américaines n'hésitent pas à reconnaître publiquement qu'elles sont victimes d'un nombre élevé d'attaques informatiques et elles n'hésitent pas à mettre en cause publiquement le rôle de la Chine. Surtout, elles affirment clairement qu'elles se réservent le droit de répondre par tout moyen, y compris par des capacités offensives, à une attaque informatique visant le gouvernement, l'armée ou l'économie américaine.
Ainsi, selon un rapport du chargé des affaires asiatiques du Pentagone, « la Chine accélère sa montée en puissance dans le domaine de l'espionnage informatique utilisé comme un moyen d'intelligence économique, notamment au détriment d'entreprises américaines » 33 ( * ) .
La publication de ce rapport est intervenue peu après la rencontre des deux ministres de la défense des Etats-Unis et de Chine, MM. Leon Panetta et Liang Guanglie début mai. Les deux responsables ont posé les bases d'une coopération entre les deux pays dans le domaine de la sécurité des systèmes d'information.
Enfin, il existe une coopération entre les Etats-Unis et la France en matière de cybersécurité, qui nécessiterait toutefois d'être développée.
* 20 « Remarks by the President on securing our nation's cyberinfrastructure», 29 mai 2009
* 21 M. Howard Schmidt a annoncé sa démission le 17 mai 2012, celle-ci prenant effet fin mai.
* 22 The White House, « International Strategy for Cyberspace : Prosperity, Security and Openness in a Networked World », Washington, mai 2011.
* 23 National Security Strategy , 2010
* 24 Department of Defense, «Strategy for Operating in Cyberspace» , Juillet 2011
* 25 dont la Quadriennal Defense Review
* 26 United States Computer Emergency Readiness Team
* 27 Department of Homeland Security, « Remarks by Secretary Napolitano at the Atlantic's Cybersecurity Forum », 17/12/2010
* 28 Cyber Security Enhancement Act Redux, Government Information Security Articles, 10 février 2011.
* 29 Department of Homeland Security , «National Infrastructure Protection Plan, Partnering to enhance protection and resiliency», 2009.
* 30 NCCIC du 04/05/2012
* 31 «On Cyber Warfare», Paul Cornish, David Livingstone, Dave Clemente et Claire York, Chatham House Report, novembre 2010
* 32 Department of Defense Cyberspace Policy Report, « A Report to Congress Pursuant to the National Defense Authorization Act for fiscal Year 2011, Section 934, november 2011
* 33 Departement of Defense, mai 2012, BBC News du 08/05/2012, AFP du 18/05/2012