3. L'Allemagne
Pour les responsables allemands, les menaces pesant sur la sécurité des systèmes d'information ne cessent de s'accroître en Allemagne, tant en ce qui concerne la fréquence, la diversité et le nombre d'attaques informatiques. Leur impact sur l'économie allemande est évalué à 61,5 millions d'euros pour l'année 2010, en augmentation de 66 % par rapport à 2009.
Le gouvernement fédéral a adopté, en février 2011, une nouvelle « stratégie en matière de cybersécurité pour l'Allemagne » 36 ( * ) . Le principal objectif de cette stratégie est de renforcer la résilience globale de l'Allemagne face à ces risques, en développant les instruments de coordination au sein du gouvernement, mais surtout les liens avec le secteur privé. Il s'agit ainsi de développer une culture de cybersécurité partagée au niveau national.
La coordination en matière de cybersécurité incombe en Allemagne au ministère fédéral de l'Intérieur (BMI), dont votre rapporteur a rencontré l'un des responsables lors d'un déplacement à Berlin.
Sa mise en oeuvre s'appuie sur l'agence homologue de l'ANSSI, le Bundesamt für Sicherheit in des Informationstechnik (BSI), l'office fédéral de sécurité des systèmes d'informations, qui est rattaché au ministère fédéral de l'intérieur et situé à Bonn. Le BSI dispose de compétences techniques assez comparables à celles de l'ANSSI (sensibilisation, analyse des risques, veille et alerte, développement de produits de sécurité, normalisation). Les prérogatives du BSI sur les questions relatives à l'identité électronique sont néanmoins plus larges que celles de l'ANSSI et recouvrent celles de l'Agence nationale des titres sécurisés (ANTS).
Son rattachement au ministère fédéral de l'intérieur ne lui permet cependant pas de disposer d'une véritable autorité interministérielle à l'égard des autres ministères, à la différence de l'ANSSI, et il doit aussi composer avec les Länder en raison du caractère fédéral du pays. Le BSI entretient cependant des liens beaucoup plus étroits avec les opérateurs d'infrastructures critiques et les entreprises sensibles.
Le BSI bénéficie d'une augmentation régulière de son budget et de ses effectifs, qui s'élevaient à 340 agents en 2001 et atteignent actuellement environ 560 agents, avec un budget annuel de 80 millions d'euros .
La nouvelle stratégie allemande en matière de cybersécurité a abouti à la création d'un centre national de lutte contre la cybermenace ( Cyber Abwehrzentrum ). Cette nouvelle structure, implantée à Bonn, est responsable de la coordination des activités en matière de protection et de défense contre les cyberattaques sous le pilotage du BSI et avec la participation directe de l'office de protection de la Constitution (BfV) et de l'office fédéral pour la protection des populations et l'assistance en cas de catastrophe (BBK). Participent également, en tant qu'organismes associés, l'office fédéral de la police criminelle (BKA), de la police fédérale (BPol), des douanes (ZKA) et des services de renseignement (BND), ainsi que l'armée (BW). Il s'agit moins d'une autorité supplémentaire que d'une plate forme de coordination et d'échange d'information.
Ainsi, cet organe, dont les compétences précises restent à déterminer, devrait assurer des fonctions de centre de situation (évaluation de la nature et de l'origine des attaques), de centre de coordination en cas de crise, et de conseil pour l'ensemble de l'administration publique.
Le BSI devrait toutefois conserver un rôle central. C'est l'organe qui dispose des compétences techniques pour apporter une réponse aux cyber-attaques, définir des normes et des standards en matière de sécurité informatique s'imposant à l'ensemble des administrations et procéder à des achats groupés. Le BSI dispose, en effet, d'un programme d'investissement en matière de recherche et développement en sécurité informatique.
Par ailleurs, un « Conseil national de sécurité cybernétique » ( Cybersicherheitsrat ) associant des représentants de la Chancellerie fédérale et des grands ministères (affaires étrangères, intérieur, défense, justice, économie, finances), des Länder et du monde économique, a été créé. Ce conseil a vocation à définir les politiques transversales du gouvernement fédéral pour la cyberdéfense et à renforcer la coopération entre le gouvernement fédéral, les Länder et les acteurs économiques.
Le véritable point fort de la nouvelle stratégie allemande, notamment par rapport à la France, porte aux yeux de votre rapporteur sur le renforcement de la résilience des infrastructures critiques.
La stratégie allemande prévoit, en effet, une structuration systématique des relations avec les autorités de régulations ou de surveillance des opérateurs d'infrastructures critiques, dans les secteurs comme les transports, l'électricité ou le secteur bancaire, et, sur une base volontaire, avec d'autres acteurs du secteur privé.
Le plan « Kritis » de renforcement de la protection des infrastructures critiques, adopté en 2007, contenait déjà un volet « cyberdéfense » confiant au BSI le soin de développer des partenariats avec des entreprises volontaires, secteur par secteur.
La nouvelle stratégie prévoit plusieurs mesures afin de renforcer la protection des infrastructures critiques :
- un point de contact unique devrait être désigné par les différentes entreprises d'un secteur sensible concerné, afin de faciliter les échanges entre l'autorité de régulation et le secteur privé. Les principaux secteurs « critiques » identifiés sont les transports, l'approvisionnement en eau et en électricité, les matières dangereuses, les télécommunications, le secteur bancaire et les assurances ;
- les entreprises pourront bénéficier des conseils du BSI, qui est autorisé à émettre des mises en garde , le cas échéant publiques, concernant les failles et vulnérabilités de certains produits de l'industrie informatique ou des télécommunications ;
- une déclaration obligatoire au BSI en cas d'incident informatique important est prévue pour les entreprises ;
- le BSI voit ses relations renforcées avec toutes les autorités publiques responsables de la supervision, de la surveillance ou de la sûreté des secteurs jugés critiques, tant au niveau fédéral, qu'au niveau des Länder, pour s'assurer de leurs capacités de prise en compte des risques cyber dans leurs secteurs ;
- la possibilité d'attribuer au Conseil national de cybersécurité de véritables fonctions de surveillance transsectorielle sur les questions de cybersécurité.
Néanmoins, contrairement à la France, l'approche de l'administration allemande vis-à-vis des infrastructures critiques n'est pas unifiée. Ainsi, le BBK dispose d'une large liste d'infrastructures critiques. Le BSI possède sa propre liste d'infrastructures critiques, qui ne recoupe que partiellement celle du BBK.
Il faut aussi souligner qu'à la suite de la réunification et du transfert de la capitale à Berlin, l'Allemagne s'est dotée d'une infrastructure de communication entre administrations fédérales extrêmement fiable et hautement sécurisée ( Informationverbund Berlin Bonn - IVBB ), dont la France est encore privée. Cette infrastructure offre aussi des services unifiés (hébergement de sites web, serveurs de messagerie, etc.) pour l'administration fédérale. Le BSI est responsable de la sécurité de l'ensemble de ce système, qui ne dispose que de deux points d'interconnexion à l'Internet. Cette caractéristique a facilité le déploiement d'outils automatiques de surveillance des réseaux informatiques gouvernementaux, qui ont permis à l'Allemagne de disposer très tôt d'une capacité de détection globale de l'administration fédérale , alors que la France disposait dans ce domaine d'un retard certain. Grâce à ces outils, l'administration fédérale n'a fait l'objet, depuis 2005, d'aucune intrusion informatique connue.
Par ailleurs, comme le révèlent plusieurs documents transmis par le ministère de la défense au Bundestag 37 ( * ) , l'armée allemande reconnaît plus ou moins ouvertement disposer de « capacités offensives » de base pour « mener des attaques informatiques dans des réseaux ennemis ».
Toutefois, ce sujet reste une question sensible en Allemagne, en raison notamment de l'absence de cadre légal, des limitations de la loi fondamentale allemande ou encore des réticences de l'opinion publique.
Sur le plan de la coopération internationale , la nouvelle stratégie évoque le développement d'une politique étrangère en matière de cybersécurité, confiée au ministère des affaires étrangères. L'objectif serait de renforcer l'action de l'Union européenne, à travers le plan d'action en matière de protection des infrastructures critiques et le renforcement de l'agence européenne chargée de l'expertise en matière de sécurité des systèmes d'information (ENISA).
Au niveau international, l'Allemagne souhaite privilégier l'efficacité, en recommandant l'adoption de règles juridiquement non contraignantes, donc plus rapides à négocier et à mettre en oeuvre, avec l'idée d'un « code de bonne conduite » international dans le domaine cyber.
Comme votre rapporteur a pu le constater lors de ses entretiens à Berlin, l'Allemagne souhaiterait renforcer sa coopération avec la France dans ce domaine .
Il existe déjà une coopération très étroite entre l'ANSSI et le BSI. Ainsi, un représentant de l'ANSSI a participé, en tant qu'observateur, au dernier exercice de gestion de crise « Lükex 2011 », dont le thème était centré sur la sécurité des systèmes d'information.
Lors du XIIe Conseil des ministres franco-allemand, qui s'est tenu le 5 février 2010, l'ancien Président de la République et la chancelière allemande ont décidé la mise en place d'une coopération entre la France et l'Allemagne en matière de cybersécurité, notamment en matière d'échange d'informations et de concertation des positions au sein des instances internationales. Mais cette coopération mériterait d'être renforcée et élargie à d'autres domaines.
Ainsi, il semble qu'il existe une réelle volonté partagée entre la France et l'Allemagne de lancer une véritable coopération industrielle dans le domaine des produits de sécurité informatique, et, plus largement, dans le secteur des technologies de l'information et de la communication, afin de ne pas dépendre uniquement de produits américains ou asiatiques.
Pour votre rapporteur, la cyberdéfense pourrait ainsi constituer l'un des volets de la relance de la coopération franco-allemande , notamment dans la perspective de la célébration du cinquantenaire du traité de l'Élysée en 2013.
* 36 « Cyber-Sicherheitsstrategie für Deutschland »
* 37 Un rapport de la commission de la défense du Bundestag d'avril 2012 intitulé « Cyberwarfare » a ainsi été cité le Financial Times Deutschland