EXAMEN EN COMMISSION
La commission des affaires étrangères, de la défense et des forces armées a examiné le présent rapport d'information lors de sa séance du 18 juillet 2012.
M. Jean-Louis Carrère, président - Après avoir examiné les questions relatives à l'avenir des forces nucléaires, aux capacités industrielles souveraines, au format des forces après 2014 et à la « maritimisation », nous allons procéder maintenant à l'examen du dernier des cinq rapports d'information qui s'inscrivent dans le cadre des travaux de notre commission lancés dans l'optique de l'élaboration du nouveau Livre blanc sur la défense et la sécurité nationale. Ce rapport, présenté par notre collègue M. Jean-Marie Bockel, est consacré à un sujet assez peu connu, mais qui prend aujourd'hui une importance croissante : le thème de la cyberdéfense. Je laisse donc la parole à notre collègue.
M. Jean-Marie Bockel, rapporteur - Notre commission avait déjà adopté, en juillet 2008, un rapport d'information sur la cyberdéfense, présenté par notre ancien collègue M. Roger Romani.
Beaucoup de choses se sont passées depuis quatre ans.
C'est la raison pour laquelle notre commission a souhaité faire à nouveau le point sur cette question et m'a confié ce rapport d'information, notamment dans l'optique de l'élaboration du nouveau Livre blanc sur la défense et la sécurité nationale.
Depuis octobre, j'ai eu de nombreux entretiens avec les principaux responsables chargés de la protection des systèmes d'information au sein des services de l'Etat et des armées.
J'ai également rencontré, en tête-à-tête, le chef d'Etat major particulier du Président de la République, ainsi que les représentants des services de renseignement.
J'ai aussi eu des entretiens avec des dirigeants d'entreprises, dont certaines ont été victimes d'attaques informatiques, à l'image d'AREVA, et même avec ceux qu'on appelle des « pirates informatiques ».
Afin d'avoir une vue comparative, je me suis rendu à Londres et à Berlin, à Tallin et à Washington, ainsi qu'à Bruxelles au siège de l'OTAN et auprès des institutions de l'Union européenne.
Je vous avais d'ailleurs présenté un premier rapport d'étape en février dernier.
Aujourd'hui, je voudrais vous présenter les principales conclusions de mon rapport et vous proposer d'adopter un certain nombre de recommandations.
Mais, tout d'abord, que faut-il entendre par « cyberdéfense » ?
On parle souvent indistinctement de « cybercriminalité », de « cyber menaces », de « cyber attaques » ou de « cyber guerres ». Il faut bien comprendre que les méthodes utilisées à des fins de fraude ou d'escroquerie sur Internet peuvent l'être aussi, à une échelle plus vaste, contre la sécurité et les intérêts essentiels de la Nation.
C'est le cas avec la pénétration de réseaux en vue d'accéder à des informations sensibles ou avec des attaques informatiques visant à perturber ou à détruire des sites largement utilisés dans la vie courante.
Dans mon esprit, la cyberdéfense se distingue de la lutte contre la cybercriminalité. Elle recouvre la politique mise en place par l'Etat pour protéger activement des réseaux et des systèmes d'information essentiels à la vie et à la souveraineté du pays.
Pourquoi s'intéresser de nouveau à cette question ?
Avec le développement de l'Internet, les systèmes d'information constituent désormais les véritables « centres nerveux » de nos sociétés, sans lesquels elles ne pourraient plus fonctionner. Or, depuis les attaques informatiques massives qui ont frappé l'Estonie en avril 2007, la menace s'est concrétisée et accentuée.
Il ne se passe pratiquement pas une semaine sans que l'on signale, quelque part dans le monde, des attaques ciblées contre les réseaux de grands organismes publics ou privés.
La France n'est pas épargnée par ce phénomène.
Comme me l'ont confirmé les représentants des organismes chargés de la protection des systèmes d'information, nos administrations, nos entreprises ou nos opérateurs d'importance vitale (énergie, transports, santé, etc.) sont victimes chaque jour en France de plusieurs millions d'attaques informatiques.
Dans mon rapport, je mentionne trois exemples :
Premier exemple : la perturbation de sites institutionnels, à l'image du site Internet du Sénat, rendu inaccessible fin 2011 lors de la discussion de la loi sur le génocide arménien ; Il s'agit de ce que les spécialistes appellent une attaque par « déni de service » : le site Internet est rendu inaccessible car il est saturé de milliers de requêtes ;
Deuxième exemple : l'attaque informatique massive dont a fait l'objet, fin 2010, le ministère de l'économie et des finances, dans le cadre de la préparation de la présidence française du G8 et du G20 : il s'agit là d'une vaste intrusion informatique à des fins d'espionnage : un logiciel espion est introduit grâce à un « cheval de Troie », qui se présente sous la forme d'une pièce jointe piégée ouvrant une « porte dérobée » ; l'attaquant peut alors surveiller et prendre, à distance et à l'insu de l'utilisateur, le contrôle de son ordinateur, par exemple pour extraire des données, lire ses messages électroniques, et même écouter ses conversations ou filmer sa victime en déclenchant lui-même le micro ou la caméra de l'ordinateur ; il peut ensuite, par rebonds successifs, prendre le contrôle d'autres ordinateurs, voire de la totalité du système ;
Troisième illustration : l'affaire d'espionnage, révélée par la presse, subie par le groupe AREVA : là aussi nous sommes face à une vaste intrusion informatique à des fins d'espionnage mais qui concerne cette fois une grande entreprise française du nucléaire.
Ces attaques peuvent être menées par des « pirates informatiques », des groupes d'activistes, des organisations criminelles, mais aussi par des entreprises concurrentes, voire par d'autres Etats. Les soupçons se portent souvent vers la Chine ou la Russie, même s'il est très difficile d'identifier précisément les auteurs de ces attaques. Ainsi, dans le cas de Bercy, comme d'AREVA, certains indices peuvent laisser penser que des agences officielles, ou du moins des officines chinoises, sont à l'origine de ces attaques.
Par ailleurs, les révélations du journaliste américain David Sanger sur l'implication des Etats-Unis dans la conception du virus STUXNET, qui a endommagé un millier de centrifugeuses d'enrichissement de l'uranium, retardant ainsi de quelques mois ou quelques années la réalisation du programme nucléaire militaire de l'Iran, ou encore la récente découverte du virus FLAME, vingt fois plus puissant que STUXNET, laissent présager de futures « armes informatiques » aux potentialités encore largement ignorées.
La conclusion que je tire de tout cela est que nous voyons bien s'ouvrir, pour les années qui viennent, un nouveau champ de bataille, avec des stratégies et des effets très spécifiques.
On peut s'interroger sur la nature de cette menace. Peut-on parler de « cyberguerre » et imaginer que les conflits se joueront sur des « cyberattaques », qui se substitueraient aux modes d'action militaires traditionnels ? C'est sans doute une hypothèse assez extrême.
Il me semble acquis en revanche que l'on ne peut guère concevoir désormais de conflit militaire sans qu'il s'accompagne d'attaques sur les systèmes d'information. C'est par exemple ce qui s'est passé en Géorgie en août 2008. Toutes les armées modernes ont commencé à intégrer ce facteur.
Jusqu'à présent, ce type d'attaques n'a généré que des nuisances assez limitées. Mais, à mon sens, il ne faut pas s'illusionner. Les vulnérabilités sont réelles et les savoir-faire se développent. On ne peut pas éviter de telles attaques. Mais on peut en limiter les effets en renforçant les mesures de protection et en prévoyant comment gérer la crise le temps du rétablissement des systèmes.
Lors de mes différents déplacements à l'étranger, j'ai été d'ailleurs frappé de voir que chez nos principaux alliés, la thématique de la cyberdéfense ne cesse de monter en puissance.
C'est le cas aux Etats-Unis. Le Président Barack Obama s'est fortement engagé sur le sujet et a qualifié la cybersécurité de priorité stratégique.
Comme j'ai pu le constater lors de mon déplacement à Washington, il existe plusieurs organismes, au sein du département chargé de la sécurité intérieure et du Pentagone qui interviennent dans ce domaine, comme la NSA ou le Cybercommand, et la coordination entre ces organismes n'est pas toujours optimale.
De 2010 à 2015, le gouvernement américain devrait cependant consacrer 50 milliards de dollars à la cyberdéfense et plusieurs dizaines de milliers d'agents travaillent sur ce sujet.
Au Royaume-Uni, le gouvernement britannique a adopté, en novembre dernier, une nouvelle stratégie en matière de sécurité des systèmes d'information.
Le principal organisme chargé de la cybersécurité est le « Government Communications Headquarters » (GCHQ). Environ 700 agents s'occupent des questions liées à la cyberdéfense.
Malgré la réduction des dépenses publiques, le Premier ministre David Cameron a annoncé en 2010 un effort supplémentaire de 650 millions de livres sur les quatre prochaines années pour la cyberdéfense, soit environ 750 millions d'euros. Ces chiffres peuvent laisser songeur lorsque l'on sait qu'en France le budget de l'agence homologue, l'ANSSI, est de 75 millions d'euros.
En Allemagne, le gouvernement fédéral a élaboré en février 2011 une stratégie en matière de cybersécurité.
La coordination incombe au ministère fédéral de l'Intérieur, auquel est rattaché l'office fédéral de sécurité des systèmes d'information (BSI), situé à Bonn, qui dispose d'un budget annuel de 80 millions d'euros et de plus de 500 agents.
Toujours sur ce volet international, les cyberattaques sont désormais une menace prise en compte dans le nouveau concept stratégique de l'Alliance atlantique, adopté lors du Sommet de Lisbonne en novembre 2010.
L'OTAN s'est dotée en juin 2011 d'une politique et d'un concept en matière de cyberdéfense. Une autorité de gestion de la cyberdéfense, ainsi qu'un centre d'excellence sur la cyberdéfense situé à Tallin en Estonie ont été créés.
Pour autant, l'OTAN n'est pas complètement armée face à cette menace.
Ainsi, la principale unité informatique de l'Alliance n'est toujours pas opérationnelle 24 heures sur 24, 7 jours sur 7 et elle n'assure pas encore la sécurité de tous les réseaux de l'OTAN.
D'ailleurs, l'OTAN a été la cible de plusieurs attaques informatiques l'été dernier, attaques attribuées à la mouvance Anonymous et même l'ordinateur personnel du Secrétaire général de l'OTAN a été « piraté ».
Plus généralement, l'OTAN doit encore déterminer quelle attitude adopter pour répondre à des cyberattaques lancées contre l'un des Etats membres. Peut-on invoquer l'article 5 du traité de Washington en cas de cyberattaque ? Les mesures de rétorsion doivent-elles se limiter à des moyens cybernétiques, ou bien peut-on également envisager des frappes militaires conventionnelles ?
Il n'y a pas encore de réponses claires à ces questions, comme j'ai pu le constater lors de mes entretiens au siège de l'OTAN.
L'Union européenne a aussi un grand rôle à jouer, car une grande partie des règles qui régissent les réseaux de communications électroniques relèvent de sa compétence.
Elle peut donc agir pour l'harmonisation de certaines dispositions techniques au niveau européen qui sont importantes du point de vue de la cyberdéfense.
Toutefois, la Commission européenne et de nombreux pays européens ne semblent pas encore avoir pris la mesure des risques et des enjeux liés à la cyberdéfense.
Ainsi, l'agence européenne chargée de la sécurité des réseaux et de l'information, ENISA, créée en 2004 et dont le siège est situé à Héraklion, en Crète, ne dispose que d'un rôle de recommandation et son efficacité apparaît assez limitée.
Ceci m'amène à évoquer la situation de la France.
Le constat que notre commission avait dressé dans son rapport il y a quatre ans était assez brutal : face à cette menace réelle et croissante, la France n'était ni bien préparée, ni bien organisée.
Il serait injuste de dire que rien n'avait été fait. Je pense au réseau gouvernemental ISIS pour l'information confidentiel défense.
Néanmoins, les lacunes restaient criantes. En d'autres termes, il paraissait absolument indispensable d'accélérer la prise de conscience des autorités politiques, de clarifier les responsabilités au sein de l'Etat et de renforcer résolument les moyens techniques et humains nécessaires à une vraie politique de cyberdéfense.
Le Livre blanc sur la défense et la sécurité nationale de 2008 a identifié ce besoin et donné une réelle impulsion à cette politique.
En termes d'organisation, le Livre blanc a permis à cette politique d'être clairement identifiée, avec la création, en juillet 2009, de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, qui est dirigée par M. Patrick Pailloux, et dont les compétences sont reconnues par tous en France comme à l'étranger.
En février 2011, l'ANSSI a rendu publique la stratégie de la France en matière de cyberdéfense. Il a été également décidé de faire de l'ANSSI l'autorité nationale de défense des systèmes d'information.
La France dispose, avec cette stratégie et avec l'ANSSI, d'outils importants en matière de cyberdéfense. Pour autant, beaucoup reste à faire dans ce domaine.
Ainsi, avec des effectifs de 230 personnes et un budget de l'ordre de 75 millions d'euros, les effectifs et les moyens de l'ANSSI sont encore très loin de ceux dont disposent les services similaires de l'Allemagne ou du Royaume-Uni, qui comptent entre 500 et 700 personnes.
Pour accroître sa capacité d'intervention et de soutien, le gouvernement de François Fillon avait d'ailleurs décidé, en mai dernier, d'accélérer l'augmentation des effectifs et des moyens de l'ANSSI, afin de porter ses effectifs à 360 d'ici 2013.
De plus, si les armées et le ministère de la défense ont pris des mesures, les autres ministères, les entreprises et les opérateurs d'importance vitale restent différemment sensibilisés à cette menace.
Quel serait aujourd'hui le moyen le plus simple de provoquer une perturbation majeure de notre pays par le biais d'une attaque informatique ? Un moyen très simple serait de s'en prendre aux systèmes de distribution d'énergie, aux transports ou aux hôpitaux.
L'exemple du virus STUXNET, ou du ver Conficker qui a perturbé le fonctionnement de plusieurs hôpitaux en France et dans le monde, montrent que cela n'est pas une hypothèse d'école.
Il ne s'agit pas de prétendre à une protection absolue. Ce serait assez illusoire. Le propre des attaques informatiques est d'exploiter des failles, de se porter là où les parades n'ont pas encore été mises en place. Mais on peut renforcer la sécurité des réseaux et des infrastructures les plus sensibles, et améliorer leur résilience.
J'en viens aux 10 priorités proposées dans mon rapport.
Premièrement, il me semble que la protection et la défense des systèmes d'information devrait faire l'objet d'une véritable priorité nationale, portée au plus haut niveau de l'Etat, notamment dans le contexte du nouveau Livre blanc et de la future loi de programmation militaire.
Il me paraît ainsi indispensable de renforcer les effectifs et les moyens de l'ANSSI au moyen d'un plan pluriannuel, afin de les porter progressivement à la hauteur de ceux dont disposent nos principaux partenaires européens.
Cette augmentation, de l'ordre de quelques 80 agents par an, devrait au demeurant rester modeste.
Deuxièmement, il me semble que beaucoup reste à faire pour sensibiliser les administrations, le monde de l'entreprise, notamment les PME, et les opérateurs d'importance vitale.
Assurer la sécurité des systèmes d'information des entreprises n'est pas seulement un enjeu technique. C'est aussi un enjeu économique, puisqu'il s'agit de protéger la chaîne de valeur, notre savoir-faire technologique dans la véritable guerre économique que nous connaissons aujourd'hui, voire un enjeu politique, lorsque les intérêts de la nation sont en jeu.
Or, avec l'espionnage informatique, notre pays, comme les autres pays occidentaux, est aujourd'hui menacé par un « pillage » systématique de son patrimoine diplomatique, culturel et économique.
L'ANSSI s'efforce d'inciter les entreprises à respecter des règles élémentaires de sécurité, règles que son directeur général, M. Patrick Pailloux, assimile à des règles d'hygiène numérique élémentaires, mais qui sont souvent considérées comme autant de contraintes par les utilisateurs.
Faut-il aller plus loin et passer par la loi pour fixer un certain nombre de règles ou de principes ?
Après avoir beaucoup consulté, je crois qu'il est nécessaire de prévoir une obligation de déclaration en cas d'attaques informatiques qui s'appliquerait aux entreprises et aux opérateurs des infrastructures vitales, afin que l'Etat puisse être réellement informé de telles attaques.
Je pense aussi que l'Etat a un rôle important à jouer pour soutenir le tissu industriel, et notamment les PME, qui développent en France des produits ou des services de sécurité informatique, pour ne pas dépendre uniquement de produits américains ou asiatiques.
Je plaide ainsi dans mon rapport pour une politique industrielle volontariste, à l'échelle nationale et européenne, pour faire émerger de véritables « champions » nationaux ou européens.
A cet égard, j'insiste dans mon rapport sur la question des « routeurs de coeur de réseaux », sujet qui a été évoqué très souvent par mes différents interlocuteurs, français ou étrangers.
Ces « routeurs » sont de grands équipements informatiques utilisés par les opérateurs de télécommunications pour gérer les flux de communications (comme les messages électroniques ou les conversations téléphoniques) qui transitent par l'Internet.
Ils représentent des équipements hautement sensibles car ils ont la capacité d'intercepter, d'analyser, d'exfiltrer, de modifier ou de détruire toutes les informations qui passent par eux.
Actuellement, le marché des routeurs est dominé par des entreprises américaines, comme Cisco, mais, depuis quelques années, des entreprises chinoises, à l'image de Huawei et ZTE, font preuve d'une forte volonté de pénétration sur le marché mondial et en Europe.
Cette stratégie est d'ailleurs encouragée par certains opérateurs de télécommunications, car les routeurs chinois sont environ 20 % moins chers que les routeurs américains ou européens.
Or, comme cela m'a été confirmé à plusieurs reprises lors de mes entretiens, cette stratégie soulève de fortes préoccupations, en raison des liens de ces entreprises avec le gouvernement chinois et des soupçons d'espionnage informatique qui pèsent sur la Chine.
Ainsi, les autorités américaines, comme d'ailleurs les autorités australiennes, ont refusé l'utilisation de « routeurs » chinois sur leur territoire pour des raisons liées à la sécurité nationale.
En Europe, une telle interdiction semble plus délicate mais la Commission européenne s'apprêterait à lancer une procédure d'infraction à l'encontre de ces entreprises, soupçonnées de concurrence déloyale.
Pour ma part, je considère qu'il est indispensable que l'Union européenne, à l'image des Etats-Unis ou de l'Australie, interdise l'utilisation des « routeurs » ou autres équipements informatiques sensibles d'origine chinoise sur son territoire. Il s'agit là d'un véritable enjeu de sécurité nationale.
Se pose également la question des ressources humaines. Il existe aujourd'hui peu d'ingénieurs spécialisés dans la protection des systèmes d'information et les entreprises ont du mal à en recruter.
Nous devrions mettre l'accent sur la formation et développer les liens avec les universités et les centres de recherche.
A cet égard, pourquoi ne pas renforcer aussi les liens avec la « communauté de hackers » français, dont la plupart sont désireux de mettre leurs compétences et leurs talents au service de leur pays ?
Il paraît également nécessaire de renforcer la sensibilisation des utilisateurs.
De même qu'il existe un plan de prévention en matière de sécurité routière, pourquoi ne pas imaginer une campagne de communication en matière de sécurité informatique ?
Face à une menace qui s'affranchit des frontières, la coopération internationale sera déterminante.
Elle existe d'ores et déjà entre les cellules gouvernementales spécialisées ou de manière bilatérale, notamment avec nos partenaires britanniques ou allemands.
Elle arrive à l'ordre du jour d'enceintes internationales comme l'OTAN ou l'Union européenne, qui pourrait s'impliquer plus activement, par exemple pour imposer un certain nombre de normes de sécurité aux opérateurs de réseaux.
Pour autant, si la coopération internationale est indispensable, notamment avec nos partenaires britanniques et allemands, il ne faut pas se faire trop d'illusions.
La cyberdéfense est une question qui touche à la souveraineté nationale et il n'existe pas réellement d'alliés dans le cyberespace.
Enfin, je pense qu'il faut nous poser la question délicate des capacités offensives.
Il existe sur ce sujet en France un véritable « tabou », comme j'ai pu moi-même le constater lors de mes différents entretiens.
A l'inverse, d'autres pays, comme les Etats-Unis ou le Japon, n'hésitent pas à affirmer qu'ils répondront à une attaque informatique.
Pour ma part, je pense qu'on ne peut pas se défendre si l'on ne connaît pas les modes d'attaque.
La lutte informatique offensive est prévue par le Livre blanc et la loi de programmation militaire.
Mais toutes ses implications ne sont pas aujourd'hui clarifiées.
Comment savoir si une attaque se prépare ou est en cours ? Comment établir l'identité des agresseurs ou la responsabilité d'un Etat ? Quelle doctrine d'emploi adopter ? Il faudra que nos experts trouvent des réponses à ces questions.
Dans mon rapport, je m'interroge donc sur l'opportunité de définir une doctrine publique sur les capacités offensives, qui pourrait être reprise par le nouveau Livre blanc sur la défense et la sécurité nationale.
Je ne sais pas si l'on verra à l'avenir des cyberguerres. Mais je suis certain que notre défense et notre sécurité se joueront aussi sur les réseaux informatiques et au sein de nos systèmes d'information dans les années futures.
Je vous remercie de votre attention et je suis disposé à répondre à vos questions.
A la suite de cette présentation, un débat s'est engagé au sein de la commission.
M. Jean-Louis Carrère, président - Je vous remercie pour votre excellent rapport qui marque la conclusion des travaux de notre commission consacrés à la préparation de la révision du Livre blanc sur la défense et la sécurité nationale. Je laisse tout de suite la parole à nos collègues qui auront certainement beaucoup de questions à vous poser.
Mme Nathalie Goulet. - Vous avez insisté dans votre présentation sur l'importance de la formation d'ingénieurs spécialisés et les difficultés rencontrées par les entreprises ou les administrations pour en recruter, et je m'en félicite.
Je souhaiterais vous interroger au sujet du rôle des hauts fonctionnaires de défense et de sécurité qui sont présents au sein de chaque ministère et de leurs relations avec l'ANSSI et le SGDSN. J'ai pu constater, en effet, que la mission de ces hauts fonctionnaires de défense et de sécurité et leur coordination n'étaient pas toujours optimales et je pense qu'il serait utile d'avoir une réflexion concernant le rôle des hauts fonctionnaires de défense et de sécurité au sein de chaque ministère.
Par ailleurs, je m'interroge au sujet de l'organisation institutionnelle en matière de protection et de défense des systèmes d'information et notamment de la coordination interministérielle dans ce domaine. Le modèle actuel vous semble-t-il pertinent et la coordination interministérielle fonctionne-t-elle de manière satisfaisante, notamment entre l'ANSSI et le ministère de la défense ? Cette coordination doit-elle d'après vous relever du Président de la République, du Premier ministre, du SGDSN ou bien être rattachée au ministère de la défense ?
M. Yves Pozzo di Borgo. - Je partage également votre sentiment concernant l'importance de la formation d'ingénieurs spécialisés dans la sécurité des systèmes d'information. Comment, d'après vous, inciter les étudiants à suivre ce type de formation et comment inciter les écoles d'ingénieurs ou d'informatique à former davantage de spécialistes dans ce domaine ?
Il me semble aussi que la recherche n'est pas suffisamment développée en France et que nous manquons de laboratoires ou de centres de recherche dans certains domaines clés pour la sécurité des systèmes d'information, notamment par rapport à ce qui existe aux Etats-Unis. Quelles sont vos préconisations concernant le renforcement de la recherche dans ces domaines ?
Par ailleurs, vous avez mentionné la communauté de « hackers » en soulignant qu'il serait utile de renforcer les liens avec cette communauté étant donné que la plupart de ces « hackers » disposent de très grandes compétences dans ces domaines et que la plupart d'entre eux seraient désireux de mettre leurs talents au service de notre pays. Mais s'agit-il pour les services de l'Etat de recruter des « hackers » ? Comment concrètement renforcer les liens avec cette communauté ?
Enfin, quelles sont les raisons pour lesquelles il est très difficile d'identifier précisément les auteurs des attaques contre les systèmes d'information ? Est-ce que cela résulte de difficultés techniques ou bien plutôt d'une coopération internationale insuffisante ? Il semblerait que les attaques informatiques importantes ne soient plus, comme auparavant, le fait de pirates informatiques individuels, particulièrement doués, mais de véritables organisations, voire de services étatiques.
M. Didier Boulaud. - Je considère qu'il est très important que notre commission suive avec une grande attention les questions relatives à la protection et à la défense des systèmes d'information et je pense que ce rapport, qui intervient après l'excellent rapport de notre ancien collègue M. Roger Romani, permettra de renforcer la sensibilisation de l'ensemble des acteurs mais aussi de l'opinion à l'importance des enjeux.
Concernant toutefois les «capacités offensives», je m'en tiendrai, pour ma part, à la plus grande prudence et j'appliquerai le proverbe selon lequel « moins on en parle, mieux on se porte ».
Je suis donc réservé sur votre proposition concernant l'élaboration d'une doctrine publique sur les capacités offensives.
Comment, en effet, reconnaître publiquement que l'on développe des « capacités offensives », alors que toute intrusion dans les systèmes d'information est illégale au regard de notre législation ?
M. Jean-Marie Bockel, rapporteur. - Je vous remercie pour vos observations.
Il existe certes au sein de chaque ministère un haut fonctionnaire de défense et de sécurité (HFDS), mais cette fonction est souvent cumulée par le secrétaire général du ministère concerné, ce qui ne lui permet pas de se consacrer entièrement à cette tâche. Il existe aussi au sein de chaque ministère un fonctionnaire de la sécurité des systèmes d'information (FSSI). Mais on constate que celui-ci n'occupe souvent qu'une faible place hiérarchique au sein de l'organigramme et surtout qu'il ne parvient pas à imposer aux différentes directions sectorielles et aux directeurs des systèmes d'information une prise en compte suffisante des préoccupations liées à la sécurité des systèmes d'information. C'est la raison pour laquelle je propose, dans mon rapport, de rehausser le statut des fonctionnaires de la sécurité des systèmes d'information et de renforcer leurs prérogatives par rapport aux responsables des différentes directions. Les fonctionnaires de la sécurité des systèmes d'information devraient, à mes yeux, devenir de véritables directeurs, voire même des secrétaires généraux, chargés de la sécurité et de la défense des systèmes d'information au sein de chaque ministère. Ainsi, pour prendre l'exemple du ministère de la défense, je propose de rehausser le statut du fonctionnaire de la sécurité des systèmes d'information, afin que celui-ci dispose en particulier d'une réelle autorité sur la sous-direction et les équipes chargées de la sécurité des systèmes d'information au sein de la direction générale des systèmes d'information et de communication (DGSIC).
Ayant pu comparer le dispositif français avec les différents modèles étrangers, notamment aux Etats-Unis, au Royaume-Uni et en Allemagne, je considère que l'organisation institutionnelle française en matière de protection et de défense des systèmes d'information est la plus pertinente car elle correspond le mieux à l'organisation administrative et à la culture de notre pays.
Notre modèle se caractérise, en effet, par son caractère centralisé et interministériel, puisque l'agence nationale de la sécurité des systèmes d'information est une agence rattachée au Secrétaire général de la défense et de la sécurité nationale, ce qui lui confère une légitimité interministérielle vis-à-vis des autres ministères. Le ministère de la défense et les armées, comme d'autres ministères, ont certes un rôle spécifique à jouer, mais, comme j'ai pu moi-même le constater, les relations entre l'ANSSI et le ministère de la défense sont excellentes, comme en témoigne la coopération étroite entre le directeur général de l'ANSSI, M. Patrick Pailloux, et l'officier général cyberdéfense à l'état-major des armées, le Contre-amiral Arnaud Coustillière, dont les compétences sont unanimement appréciées.
Je considère aussi que le rattachement de l'ANSSI au Secrétaire général de la défense et de la sécurité nationale, qui dépend du Premier ministre, est une bonne chose.
La coordination ne peut relever, d'après moi, que de l'autorité du Premier ministre, à qui il appartient de définir les axes stratégiques, de suivre leur mise en oeuvre et de veiller à la bonne répartition des moyens humains, techniques et financiers.
Notre modèle se caractérise également par une stricte séparation entre les aspects préventifs et défensifs, confiés à l'ANSSI, et les aspects offensifs, qui relèvent des armées et des services spécialisés, ce qui me paraît également préférable, étant donné la nécessité d'établir des liens étroits entre l'ANSSI et le secteur privé.
Comme le souligne très bien notre collègue M. Yves Pozzo di Borgo, il existe en France peu d'ingénieurs spécialisés dans la protection des systèmes d'information et les entreprises, ainsi que les administrations, ont du mal à en recruter.
Il semblerait qu'il y ait quatre à cinq fois plus d'offres d'emplois disponibles, dans les administrations ou les entreprises, que d'ingénieurs spécialement formés à la sécurité informatique sortant des écoles d'ingénieurs.
Je considère donc qu'il serait souhaitable d'encourager les écoles d'ingénieurs à développer les formations en matière de sécurité des systèmes d'information. Plus généralement, la protection des systèmes d'information devrait être une étape obligée dans le cursus de l'ensemble des formations d'ingénieur ou d'informatique et il me semblerait utile d'inclure une sensibilisation obligatoire dans les écoles formant les cadres de l'administration, comme l'ENA par exemple, et de proposer une telle sensibilisation aux formations de management destinée aux entreprises.
Une autre priorité concerne effectivement la recherche.
Si notre pays dispose de centres d'excellences reconnus dans certains domaines clés pour la défense et la sécurité des systèmes d'information, comme celui de la cryptologie ou des cartes à puces, de manière générale, la recherche semble insuffisamment développée en France, notamment par rapport à ce qui existe aux Etats-Unis.
Ainsi, notre pays manque ainsi cruellement de laboratoires travaillant sur des sujets clés, essentiels à une réelle maîtrise des enjeux nationaux en termes de sécurité des systèmes d'information.
Par ailleurs, notre pays souffre d'un manque de stratégie commune et de l'éparpillement des différents organismes publics de recherche (CNRS, INRIA, CEA-LETI), qui s'ignorent le plus souvent, et d'une coopération insuffisante de ces organismes avec l'ANSSI et la DGA.
Dans mon rapport, je suggère plusieurs pistes d'amélioration, comme la création d'un budget spécifique de recherche et développement dans ce secteur, la mise en place d'un comité mixte à l'image de ce qui a été fait dans le domaine du nucléaire, ou du moins d'un comité stratégique afin de rapprocher les différents acteurs publics. Par ailleurs, afin de renforcer la recherche et de rapprocher les différents acteurs publics mais aussi l'Etat, les entreprises, les universités et les centres de recherches, la création d'une fondation est actuellement à l'étude et me paraît devoir être encouragée.
Concernant le renforcement des liens avec la communauté de « hackers », il ne s'agit pas, dans mon esprit, de recourir à des « pirates informatiques » pour lancer des attaques. Mais on pourrait reconnaître et encourager davantage l'activité des sociétés privées de conseil en sécurité informatique, de manière encadrée, par un système d'agrément ou de label, et envisager des modifications législatives, par exemple concernant la communication ou la publication des failles ou vulnérabilités des systèmes d'information à des fins de conseil ou de recherche.
Enfin, il est très difficile d'identifier précisément le commanditaire d'une attaque informatique car les pirates informatiques ont très souvent recours à des « botnets », c'est-à-dire à des réseaux de machines compromises (ou machines « zombies »), situées partout dans le monde.
Le « botnet » est constitué de machines infectées par un virus informatique contracté lors de la navigation sur internet, lors de la lecture d'un courrier électronique (notamment les spams) ou lors du téléchargement de logiciels. Ce virus a pour effet de placer la machine, à l'insu de son propriétaire, aux ordres de l'individu ou du groupe situé à la tête du réseau. On estime aujourd'hui que le nombre de machines infectées passées sous le contrôle de pirates informatiques est considérable. Le détenteur du réseau est rarement le commanditaire de l'attaque. Il monnaye sa capacité d'envoi massive à des « clients » animés de préoccupations diverses.
Enfin, concernant les « capacités offensives », je comprends les réserves de notre collègue M. Didier Boulaud. Certes, il ne faut pas négliger les inconvénients pour notre pays qu'il y aurait à évoquer publiquement ce sujet, qui tiennent essentiellement à la crainte de donner une sorte de légitimité aux attaques informatiques d'origine étatique et d'encourager ainsi les autres pays à développer et à utiliser de telles capacités, ainsi que le risque de dévoiler aux yeux de tous l'étendue de notre expertise dans ce domaine, ce qui pourrait conduire à affaiblir la portée de ces capacités.
Il ne paraît pas évident en effet pour un Etat de reconnaître publiquement vouloir se doter d'« armes informatiques », étant donné que toute intrusion dans un système informatique est généralement condamnée par la loi.
On le voit bien avec la polémique suscitée par les révélations du journaliste américain David Sanger sur l'implication des Etats-Unis dans la conception du virus STUXNET.
Toutefois, je voudrais rappeler que les « capacités offensives » étaient déjà évoquées dans le Livre blanc sur la défense et la sécurité nationale de 2008.
Le silence absolu des autorités françaises sur cette question depuis le Livre blanc de 2008 paraît donc quelque peu en décalage avec l'évolution de la menace, les communications publiques de nos principaux partenaires, et il pourrait même être de nature à entretenir des fantasmes dans l'opinion publique.
Surtout, le développement de « capacités offensives » nécessite une anticipation opérationnelle, une préparation technique et un travail très important, portant non seulement sur l'arme informatique elle-même, mais aussi sur le recueil de renseignement, la désignation de cibles potentielles, l'analyse des systèmes d'information ainsi que leur environnement, l'identification des vulnérabilités, avec la nécessité de procéder à des entraînements en liaison étroite avec d'autres modes d'interventions (armes conventionnelles, missiles balistiques, etc.) ou encore un travail sur la définition même d'une « arme informatique » et les conditions de son emploi dans le cadre du droit des conflits armés.
Il me semble donc qu'il serait souhaitable que les autorités françaises lancent une réflexion sur l'élaboration d'une éventuelle doctrine ou du moins d'un discours ayant vocation à être rendu publics sur les « capacités offensives », notamment dans le cadre du nouveau Livre blanc sur la défense et la sécurité nationale.
M. Robert del Picchia. - Je partage votre sentiment concernant l'utilité de renforcer les liens avec la communauté de « hackers ». Mais, est-ce que les services de l'Etat, comme l'ANSSI ou d'autres services, recrutent des « hackers » ?
M. Jean-Marie Bockel, rapporteur. - Il existe plusieurs catégories de « hackers ». On distingue, en effet, les « chapeaux blancs » (« white hats »), qui sont les administrateurs ou les cyberpoliciers, qui recherchent les logiciels malveillants et qui se caractérisent par leur sens de l'éthique et de la déontologie. Les « chapeaux gris » (« grey hats ») pénètrent dans les systèmes sans y être autorisés, pour faire la preuve de leur habileté ou pour alerter l'organisme visé des vulnérabilités de ses systèmes, mais ils ne sont pas animés par des intentions malveillantes ou criminelles. Enfin, les « chapeaux noirs » (« black hats ») regroupent les « cybercriminels », les « cyberespions » ou les « cyberterroristes ». Ce sont eux qui répandent volontairement les virus informatiques. Ils sont essentiellement motivés par l'appât du gain. Ces individus ou ces groupes mettent au point des outils qu'ils peuvent exploiter directement ou offrir sur le marché à des clients tels que des organisations criminelles ou mafieuses, des officines d'espionnage économique, des entreprises ou encore des services de renseignement.
M. Robert del Picchia. - Vous avez mentionné les risques qui pèsent sur la sécurité informatique des entreprises ou des opérateurs d'importance vitale et je partage vos préoccupations. Je suis notamment préoccupé par le risque de divulgation des données personnelles. Sommes-nous réellement à l'abri d'un risque de pénétration dans les systèmes d'information d'un organisme comme la CNIL par exemple ? Un autre risque majeur tient aux opérateurs d'importance vitale. Il y a quelques jours, le réseau de l'opérateur Orange a été fortement perturbé en France pendant plusieurs heures à la suite, semble-t-il, d'une panne informatique. Mais, comment ne pas imaginer les effets catastrophiques d'une attaque informatique massive contre les opérateurs de télécommunications, le système bancaire, les réseaux de transport ou encore la distribution d'énergie ?
Enfin, qu'en est-il des entreprises françaises spécialisées dans la conception de produits ou l'offre de services en matière de sécurité informatique ?
M. Daniel Reiner. - Je vous remercie également pour votre rapport très intéressant et je me félicite que notre commission ait jugé utile de se pencher à nouveau sur ce sujet, qui présente une grande importance pour notre défense et notre sécurité. Ce rapport intervient également au bon moment et j'espère qu'il sera pris en compte, comme les précédents rapports de notre commission, dans le cadre des réflexions de la commission chargée de la préparation du nouveau Livre blanc sur la défense et la sécurité nationale.
Je voudrais faire deux observations.
La première observation concerne les relations entre l'Etat et les entreprises. Dans le cadre de l'assemblée parlementaire de l'OTAN, nous avions assisté, lors d'une réunion à Bruxelles, en février dernier, à une présentation très intéressante d'un représentant de Microsoft, qui nous avait expliqué que son entreprise faisait l'objet d'un grand nombre d'attaques informatiques et qu'elle consacrait des moyens financiers très élevés au renforcement de la sécurité de ses propres produits informatiques. Ne serait-il pas utile de préconiser, non seulement un renforcement des relations, mais une véritable coopération entre le secteur public et le secteur privé en matière de protection et de défense des systèmes d'information ? Je pense que vous pourriez insister sur ce point dans vos recommandations.
Ma deuxième observation porte sur les « routeurs de coeur de réseaux ». Vous préconisez, dans votre rapport, d'interdire sur le territoire national et à l'échelle européenne le déploiement et l'utilisation de « routeurs » ou d'autres équipements de coeur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » et certains équipements d'origine chinoise.
Pour ma part, je ne vois pas l'utilité de ce deuxième membre de phrase et je serai plutôt favorable à l'idée de le supprimer, car dès lors qu'un équipement présente un risque pour la sécurité nationale, quelle que soit son origine, son utilisation devrait être interdite sur notre territoire.
Comme vous le savez certainement, les autorités américaines procèdent actuellement à une vaste expertise de leurs équipements et réseaux informatiques, car ils ont découvert récemment que ces équipements et systèmes, y compris les plus sensibles, comprenaient de nombreux composants informatiques d'origine chinoise dont ils ne soupçonnaient pas l'existence et dont ils voudraient être certains qu'ils présentent toutes les garanties en matière de sécurité informatique. Ne serait-il pas utile de préconiser de lancer une telle expertise aussi dans notre pays ?
Mme Joëlle Garriaud-Maylam. - Je voudrais remercier notre rapporteur pour la qualité de son rapport. Je partage en particulier l'idée de promouvoir une plus grande sensibilisation des utilisateurs, qui me paraît très importante, et je souscris à votre idée d'une campagne d'information inspirée de la prévention routière. Je pense, en effet, que beaucoup reste à faire en matière de sensibilisation des utilisateurs, notamment face aux risques soulevés par la cybercriminalité, comme l'illustrent les nombreuses tentatives d'escroquerie par Internet, que nous recevons chaque jour sur notre messagerie.
A cet égard, que pensez vous du portail Internet consacré à la sécurité informatique : http://www.securite-informatique.gouv.fr/ ? Est-ce un instrument réellement utile en matière de sensibilisation du grand public ?
M. Jeanny Lorgeoux. - Qu'en est-il exactement de la coopération avec nos partenaires européens dans ce domaine et quel est votre sentiment au sujet de l'organisation et des moyens mis en place aux Etats-Unis ?
M. Jean-Marie Bockel, rapporteur. - Je partage entièrement l'analyse de notre collègue M. Daniel Reiner, concernant la nécessité d'un renforcement de la coopération entre l'Etat et le secteur privé. J'accepte donc volontiers de modifier la rédaction de mon rapport sur ce point.
Concernant les « routeurs de coeur de réseaux », je rappelle qu'il s'agit de grands équipements d'interconnexion de réseaux informatiques utilisés par les opérateurs de télécommunications qui permettent d'assurer le flux des paquets de données entre deux réseaux ou plus afin de déterminer le chemin qu'un paquet de données va emprunter.
La fiabilité de ces « routeurs » doit être à toute épreuve, leur sécurisation renforcée et leur surveillance assurée car toute perturbation du « routeur » peut isoler un site du reste du monde ou engendrer une compromission de l'intégralité des données transitant par cet équipement.
De plus, rien n'empêcherait un pays producteur de ce type d'équipements d'y placer un dispositif de surveillance, d'interception, voire un système permettant d'interrompre à tout moment l'ensemble des flux de communication.
Le fait de placer un tel dispositif de surveillance directement au coeur du « routeur de réseaux » rendrait ce dispositif presque totalement « invisible » et indétectable. Et il n'est pas indifférent de savoir que de forts soupçons pèsent sur la Chine en matière de provenance des attaques informatiques, notamment à des fins d'espionnage économique.
Aux Etats-Unis, les autorités ont d'ailleurs pris ces dernières années plusieurs mesures afin de limiter la pénétration des équipementiers chinois Huawei et ZTE sur le marché américain pour des raisons liées à la sécurité nationale.
Les autorités américaines soupçonnent que les puces, routeurs et autres équipements informatiques chinois soient équipés de « portes dérobées » permettant au gouvernement chinois d'accéder à des informations sensibles transitant par ces équipements. Les autorités australiennes ont également interdit l'utilisation des « routeurs » d'origine chinoise sur leur territoire, pour des raisons liées à la sécurité nationale.
Ces soupçons semblent d'ailleurs avoir été confirmés récemment, de manière involontaire, par les représentants de l'entreprise chinoise Huawei eux-mêmes, lors d'une présentation devant une conférence organisée à Dubaï en février dernier.
En effet, dans leur présentation, ils auraient indiqué que, pour mieux assurer la sécurisation des flux de ses clients, Huawei « analysait » (grâce aux techniques dites de « deep packet inspection » ou DPI), l'ensemble des flux de communications (courriers électroniques, conversations téléphoniques, etc.) qui transitaient par ses équipements.
Si les représentants de l'entreprise voulaient démontrer avant tout les capacités de leurs « routeurs » en matière de détection de « logiciels malveillants », ils ont ainsi confirmé, comme cela a d'ailleurs été relevé par plusieurs participants à cette conférence, les capacités potentielles de ces « routeurs » à analyser, intercepter et extraire des données sensibles, voire à les altérer ou les détruire.
Il est donc crucial que l'Union européenne adopte une position ferme d'une totale interdiction concernant le déploiement et l'utilisation des « routeurs » chinois sur le territoire européen, ou d'autres grands équipements informatiques d'origine chinoise ne présentant pas toutes les garanties en matière de sécurité informatique.
Je préconise aussi, dans mon rapport, de lancer une coopération industrielle entre la France et l'Allemagne ou à l'échelle européenne pour développer des « routeurs de coeur de réseaux » ou d'autres grands équipements informatiques européens, afin de ne plus dépendre uniquement de produits américains ou asiatiques.
En réponse à notre collègue M. Robert del Picchia, je voudrais souligner que j'insiste dans mon rapport sur l'importance d'assurer la protection des opérateurs d'importance vitale. Il s'agit, à mes yeux, d'un véritable enjeu de sécurité nationale. Or, dans ce domaine, notre pays a pris un certain retard, notamment par rapport à nos principaux alliés. Je propose ainsi de prévoir une obligation de déclaration d'incident pour les entreprises et les opérateurs d'importance vitale, afin que l'Etat puisse être réellement informé en cas d'attaque informatique importante. Concernant les systèmes d'information de l'Etat, je crois utile d'insister sur la mise en place du réseau interministériel de l'Etat (RIE), qui devrait regrouper l'ensemble des réseaux des ministères et qui permettra de réduire le nombre de passerelles d'interconnexion à l'Internet, et dont le déploiement devrait commencer en 2013.
Enfin, je plaide dans mon rapport pour une politique industrielle volontariste de l'Etat afin de soutenir le tissu des entreprises, notamment des PME, qui proposent des produits ou des services en matière de sécurité informatique et l'établissement d'un réseau de confiance entre l'Etat et ces entreprises.
Comme notre collègue Mme Joëlle Garriaud Maylam, je considère qu'il importe de renforcer les mesures de sensibilisation à destination des acteurs, comme du grand public.
L'ANSSI a certes développé une politique de communication, avec, par un exemple un portail Internet consacré à la sécurité informatique, un petit guide de sécurité informatique destiné aux collaborateurs des cabinets ministériels ou encore un guide sur la sécurité informatique des systèmes industriels. Mais, ces mesures restent très insuffisantes.
Si la compétence et l'efficacité de l'Agence nationale de sécurité des systèmes d'information sont unanimement reconnues, en France comme à l'étranger, comme j'ai pu le constater lors de mes différents déplacements, en revanche, sa notoriété est notoirement insuffisante et sa politique de communication est largement inaudible.
Ainsi, n'est-il pas paradoxal que le portail de la sécurité informatique ou le site Internet de l'agence française de sécurité des systèmes d'information soient aussi ternes et peu attractifs pour les internautes, avec notamment l'absence de tout moteur de recherche et des mises à jour aléatoires ?
Les informaticiens de l'agence sont pourtant réputés être les meilleurs de leur spécialité. Il devrait être relativement simple de rendre le site Internet de l'ANSSI et le portail plus attractifs et plus dynamiques, à l'image de ce qui existe d'ailleurs chez la plupart de nos partenaires étrangers.
De même, on peut regretter l'absence de toute politique de communication de l'agence dirigée spécialement vers les PME, alors même qu'elles sont les plus vulnérables aux attaques informatiques.
L'Agence pourrait, en liaison avec le ministère délégué chargé des PME, de l'innovation et de l'économie numérique, travailler avec les chambres de commerce et d'industrie, relais traditionnels vers les PME.
L'Agence devrait donc améliorer sa politique de communication - qu'il s'agisse des responsables politiques, des administrations, des entreprises ou du grand public. Ainsi, pourquoi ne pas diffuser plus largement la synthèse d'actualité de l'ANSSI sur les incidents informatiques, qui est actuellement envoyée à un nombre très restreint de personnes ?
Les mesures de sensibilisation des utilisateurs mériteraient également d'être fortement accentuées. Cela passe notamment par l'établissement de chartes à l'usage des utilisateurs au sein des entreprises comme des administrations, par un développement de la communication et de la formation. Ainsi, il semblerait utile de développer le programme de formation de l'ANSSI et de l'élargir à d'autres publics, notamment issu du secteur privé.
La politique de sensibilisation à destination du grand public ne doit pas non plus être négligée. De même qu'il existe un plan national de prévention en matière de sécurité routière, pourquoi ne pas imaginer également un plan de communication en matière de sécurité des systèmes d'information ?
Enfin, il faudrait qu'à l'image de ce qui existe aux Etats-Unis ou au Royaume-Uni, les responsables politiques de notre pays, y compris au plus haut niveau de l'Etat, se saisissent des enjeux liés à la sécurité des systèmes d'information afin que ces questions soient portées publiquement et qu'elles ne soient plus réservées uniquement à un petit cercle de spécialistes.
Pour répondre à notre collègue M. Jeanny Lorgeoux, il existe de nombreux organismes aux Etats-Unis, au sein du Pentagone ou du département chargé de la sécurité nationale, qui interviennent dans ce domaine, comme l'Agence de sécurité nationale (NSA) ou encore le Cybercommand, inauguré en 2010 et qui est chargé plus particulièrement de protéger les réseaux militaires américains, et la coordination n'est pas toujours optimale entre ces différentes entités. De 2010 à 2015, le gouvernement américain devrait consacrer 50 milliards de dollars à la cyberdéfense et plusieurs dizaines de milliers d'agents travaillent sur ce sujet.
Si, face à une menace qui s'affranchit des frontières, la coopération internationale est une nécessité, cette coopération se heurte toutefois en pratique à de nombreux obstacles.
Un premier frein tient au manque de confiance qui existe au niveau international. Etant donné la difficulté d'identifier précisément l'origine des attaques informatiques et les soupçons qui pèsent sur l'implication de certains Etats, la plupart des pays sont réticents à partager des informations ou des connaissances.
Une seconde limite s'explique par les préoccupations partagées par la plupart des Etats de préserver leur souveraineté nationale. Cela est particulièrement vrai concernant la conception des produits de sécurité informatique, notamment ceux destinés à protéger l'information de souveraineté.
Ainsi, on constate que de nombreux Etats privilégient les coopérations bilatérales avec leurs proches alliés et hésitent à évoquer ces sujets dans un cadre multilatéral.
Pour sa part, notre pays a une coopération très étroite avec nos partenaires britanniques et allemands. L'ANSSI a également signé un accord de coopération avec l'agence estonienne. La coopération avec les Etats-Unis existe, même si celle-ci est plus difficile, notamment en raison du très grand nombre d'organismes qui interviennent dans ce domaine et de la forte disproportion de moyens.
La commission adopte le rapport d'information à l'unanimité.