2. Le Royaume-Uni
Le Royaume-Uni est considéré, avec les Etats-Unis, comme l'un des pays ayant compris très tôt les enjeux de la cybersécurité et l'importance d'assurer la protection des systèmes d'information. Déjà, sous le précédent gouvernement travailliste de M. Gordon Brown, la stratégie de sécurité nationale de mars 2008 avait identifié les attaques contre les systèmes d'information comme une menace pour la sécurité du pays.
Le Premier ministre conservateur M. David Cameron a également fait de la cybersécurité une priorité de son gouvernement .
Le Royaume-Uni a fait l'objet de plusieurs cyberattaques, visant notamment le Foreign office, à l'été 2011, ainsi que le ministère de la défense, qui aurait subi un millier de cyberattaques en 2010, soit le double de l'année précédente. L'ancien ministre de la défense M. Liam Fox a déclaré en juin 2011 : « Une bataille incessante est menée contre nous, jour après jour », « nos systèmes sont pris pour cible par des criminels, des services de renseignement étrangers et d'autres personnes malveillantes qui veulent espionner notre personnel, endommager notre système et voler des informations ». « Il n'y a pas de ligne Maginot dans le cyberespace. Notre propriété intellectuelle nationale dans le secteur des industries de défense et de sécurité est à la merci de pillage systématique » 34 ( * ) .
La nouvelle stratégie du Royaume-Uni en matière de cybersécurité , qui a été publiée en novembre 2011 35 ( * ) , témoigne de l'engagement des autorités britanniques sur ce sujet.
Malgré un contexte budgétaire difficile, le Premier ministre britannique M. David Cameron a annoncé fin 2010 un effort supplémentaire de 650 millions de livres, soit 750 millions d'euros , pour la cybersécurité sur les quatre prochaines années.
Ces chiffres peuvent laisser songeur lorsque l'on sait que le budget de l'agence française chargée de la sécurité des systèmes d'information, l'ANSSI, est de l'ordre de 75 millions d'euros en 2012.
Comme votre rapporteur a pu le constater lors de ses entretiens à Londres, le Royaume-Uni a mis en place une organisation qui se caractérise par le fait qu'elle est rattachée directement aux services du Premier ministre ( cabinet office ). La stratégie britannique met également l'accent sur la coopération entre le secteur public et les acteurs privés.
L'architecture institutionnelle britannique actuelle en matière de cyberdéfense remonte pour l'essentiel à 2009, date à laquelle le gouvernement travailliste a adopté une stratégie nationale de cybersécurité. Cette stratégie a été revue dans le cadre de l'adoption de la « Strategic defence and security review » en octobre 2011, qui a adopté un « transformative national cyber security programme » .
Cette architecture est placée sous l'autorité de l' « Office of cyber security and information assurance » du Cabinet Office (services du Premier ministre), en charge de la coordination interministérielle globale, de l'élaboration de la stratégie du gouvernement, de la gestion des dépenses liées à la protection de la sécurité des systèmes d'information et de la supervision des relations avec le secteur privé et le public.
Le Government Communications Headquarters (GCHQ), agence en charge du renseignement technique (service de renseignement électronique du gouvernement britannique), est l'autorité technique nationale pour la protection des systèmes d'information (« information assurance ») et pour la cybersécurité. En dehors de son rôle d'agence de renseignement, elle assure donc des fonctions équivalentes à celles de l'ANSSI. Le GCHQ est chargé de conseiller et d'assister le gouvernement et les entités du secteur privé qui font appel à ses services sur la sécurité des communications et des données électroniques.
Historiquement, la responsabilité en matière de protection des systèmes d'information était portée par une sous-entité dédiée du GCHQ, le Communications and Electronic security group (CESG). Un cloisonnement existait entre le CESG et le reste du GCHQ. En 2011, le GCHQ a entamé une profonde mutation - la plus profonde depuis sa création aux dires des britanniques - puisque, pour mieux faire face aux enjeux de la cybersécurité, il a été décidé de faire tomber le cloisonnement entre le CESG et le reste du GCHQ. Le CESG n'est désormais plus qu'une image de marque pour les personnes affectées aux questions de protection des systèmes d'information.
En 2008, le CESG comptait 450 agents. Actuellement, on estime que 700 agents travaillent au sein de cette agence sur les questions de cyberdéfense. Rappelons, qu'en France, l'ANSSI devrait compter 350 personnes fin 2013, après le renforcement décidé par le précédent gouvernement.
Le cyber security operations center (CSOC), créé en 2010 et hébergé par le GCHQ, a pour objectif de détecter en temps réel d'éventuelles cyber attaques, d'identifier leur provenance et les moyens d'y répondre. Après avoir été créé comme une structure autonome, le CSOC fait désormais partie intégrante du GCHQ.
D'autres départements ministériels se sont dotés de services spécialisés sur les différents aspects de la politique cybersécurité :
- le ministère de l'Intérieur ( Home Office ) et l'office de lutte contre la criminalité organisée ( Serious ans organised Crime Agency ) qui sont responsables de la lutte contre la cybercriminalité et le terrorisme sur Internet ;
- le ministère de la défense, notamment pour les « capacités offensives » ;
- ou encore le Department for business innovation and skills (BIS) qui a en charge les aspects relatifs aux télécommunications à la régulation et à la gouvernance de l'Internet.
Le Centre for the protection of National Infrastructure (CPNI), dont la mission consiste, au travers d'une approche partenariale, à s'assurer que les infrastructures sont sécurisées à bon niveau, traite désormais aussi le volet cybersécurité.
En novembre 2011, le gouvernement britannique a présenté une nouvelle stratégie en matière de sécurité des systèmes d'information .
Cette stratégie comprend quatre objectifs :
- lutter contre la cybercriminalité et faire du Royaume-Uni l'un des pays les plus sûrs en ce qui concerne le commerce dans le cyberespace ;
- renforcer la résilience contre les cyberattaques et mieux protéger les intérêts du Royaume-Uni dans le cyberespace ;
- conserver un cyberespace libre, ouvert et sécurisé pour le grand public ;
- renforcer la connaissance, les compétences et les capacités du Royaume-Uni en matière de protection et de sécurité des systèmes d'information.
Parmi les nombreuses mesures envisagées, on mentionnera en particulier :
- la poursuite du renforcement des capacités de l'agence chargée de la protection des systèmes d'information (GCHQ) et du ministère de la défense pour détecter et lutter contre les attaques informatiques ;
- l'établissement d'un partenariat avec le secteur privé pour le partage d'information sur les menaces du cyberespace ;
- le soutien aux entreprises et aux infrastructures critiques pour les inciter à renforcer la protection de leurs systèmes d'information ;
- le développement de la formation et le partage des connaissances ;
- la promotion d'un secteur industriel dense et innovant dans le domaine de la cybersécurité, et le renforcement de la coopération entre l'agence britannique et les entreprises.
La stratégie britannique met ainsi nettement l'accent sur les relations avec le secteur privé.
Dans le cadre de sa mission, le GCHQ développe une documentation technique sur la sécurité des systèmes d'information. Il ne semble pas exister à ce stade de directives ou d'instructions sur la déclaration des incidents mais, selon les éléments recueillis par votre rapporteur, le gouvernement britannique réfléchirait actuellement aux moyens d'encourager le secteur privé à davantage déclarer les incidents (certaines entreprises échangent déjà des informations avec le gouvernement sur une base informelle).
Le gouvernement britannique s'est ainsi doté de points de contacts pour la déclaration d'incidents :
- pour les entités gouvernementales (à l'exception du ministère de la défense où les incidents sont gérés par le « UK defense cyber operations group » , une « Computer emergency response team » a été créée au sein du GCHQ, le GovCERT-UK ;
- pour les entités faisant partie du réseau des infrastructures critiques, une « computer emergency response team » a été instituée au sein du « Centre for the protection of national infrastructure » (CPNI).
La création d'un point de contact pour la déclaration d'incidents destiné au secteur privé serait actuellement à l'étude.
Cette réflexion s'inscrit dans le cadre des efforts du gouvernement pour développer ses relations avec le secteur privé, et notamment pour les sensibiliser davantage à la menace que représente la cybercriminalité. Il y a un an, le Premier ministre M. David Cameron a ainsi réuni les dirigeants d'entreprises appartenant à des secteurs d'activités d'importance vitale pour évoquer avec eux les questions liées aux cybermenaces.
Sur le plan de la coopération internationale , le Royaume Uni a organisé les 1 et 2 novembre 2011 une conférence internationale à Londres consacrée à la cyberdéfense, qui a rassemblé plus de 700 personnes, dont un grand nombre de représentants de 61 pays (Etats-Unis, Russie, Chine, etc.), des représentants d'organisations internationales (ONU, UE, OTAN) et des représentants de la société civile et de l'industrie.
Le ministre des affaires étrangères du Royaume-Uni, M. William Hague, s'est prononcé lors de cette conférence en faveur de la liberté sur Internet et s'est montré réticent à l'idée d'une régulation d'Internet. Le Premier ministre britannique a, pour sa part, mis en exergue la détermination du gouvernement britannique à combattre les cyberattaques et à renforcer ses capacités de cybersécurité en relation avec le secteur privé. Il a estimé le coût des cyberattaques pour l'économie britannique à plus de 27 milliards de livres par an.
Enfin, la coopération franco-britannique est très dense et l'ANSSI entretient des relations régulières avec le GCHQ.
La cyberdéfense fait également partie des domaines de coopération mentionnés par les accords franco-britanniques en matière de défense de novembre 2010. La coopération entre la France et le Royaume en matière de cyberdéfense est considérée comme l'une des plus développée, avec l'Allemagne.
* 34 Le Figaro , 8 décembre 2011
* 35 «The UK Cyber Security Strategy : Protecting and promoting the UK in a digital world», November 2011