IV. LA CYBERDÉFENSE : UN ENJEU MONDIAL, UNE PRIORITÉ NATIONALE.
Le Livre blanc de 2008 avait déjà identifié les attaques contre les systèmes d'information comme l'une des principales menaces qui pèsent sur notre défense et notre sécurité. Il avait donné une impulsion importante à la politique française de cyberdéfense. Nous nous étions d'ailleurs intéressés à ce sujet dans un rapport d'information consacré à la cyberdéfense, présenté par notre ancien collègue M. Roger Romani.
Depuis 2008, la France a commencé à combler son retard. Une agence nationale de la sécurité des systèmes d'information (l'ANSSI) a été créée en 2009 et notre pays s'est doté en 2011 d'une stratégie dans ce domaine. Pourtant, en dépit de ces progrès, le sentiment qui prédomine aujourd'hui est que la menace a été largement sous-estimée et que notre dispositif connaît encore d'importantes lacunes.
Comme le note le document du SGDSN préparatoire à l'actualisation du Livre blanc, publié en février 2012, « depuis 2008, les risques et les menaces qui pèsent sur le cyberespace se sont nettement confirmés....et la menace atteint désormais un niveau stratégique ».
Les attaques se sont multipliées. Elles portent atteinte aux données sensibles (technologiques, commerciales, scientifiques, etc.) de leurs cibles. Elles sont souvent de grande ampleur, résultant d'une longue préparation et d'un ciblage précis. Elles peuvent nécessiter, pour leur mise en oeuvre, des moyens dont seuls un Etat ou une organisation importante et déterminée sont capables de disposer. On se souvient des attaques contre Bercy, contre AREVA et même contre le Sénat ou, récemment, la présidence de la République.
L'existence qui a été révélée par la presse des virus STUXNET et FLAME, laisse présager de futures « armes informatiques » aux potentialités encore largement ignorées.
Afin de renforcer la protection et la défense des systèmes d'information et mettre un terme à la procrastination, le rapport d'information propose 50 recommandations concrètes regroupées en dix priorités.
J'en retire quelques lignes directrices fortes et, en premier lieu, que la protection et la défense des systèmes d'information doit d'abord faire l'objet d'une véritable priorité nationale, portée au plus haut niveau de l'Etat. Nos représentants au sein de la commission devront y veiller. Il y a urgence à combler les lacunes de notre dispositif, c'est une question d'intérêt national vital pour l'Etat et pour le tissu industriel français qu'il faut mieux intégrer et mobiliser. Cela passe notamment par une politique industrielle volontariste, à l'échelle nationale et européenne, pour faire émerger de véritables « champions » nationaux ou européens.
Face à une menace qui s'affranchit des frontières, le rapport plaide aussi pour la poursuite de la coopération bilatérale, notamment avec nos partenaires britanniques et allemands, au niveau de l'OTAN et de l'Union européenne, pour un dialogue avec la Russie et la Chine, ainsi que pour des mesures de confiance au niveau international.
Enfin, le rapport évoque la délicate question des « capacités offensives ». Estimant que l'on ne peut se défendre efficacement que si l'on connaît les modes d'attaque, le rapport se prononce en faveur de la poursuite du développement de « capacités offensives », dans un cadre d'emploi bien déterminé et d'un contrôle parlementaire qui devrait relever de la délégation parlementaire au renseignement. Il plaide aussi pour une réflexion sur l'élaboration d'une doctrine publique sur les « capacités offensives », qui pourrait être reprise dans le nouveau Livre blanc sur la défense et la sécurité.