II. UN MODÈLE FRANÇAIS DE CYBERDÉFENSE CONSTRUIT PROGRESSIVEMENT, ÉPROUVÉ ET PERFECTIBLE
Dès lors, la cyberdéfense constitue un enjeu stratégique majeur pour la sécurité nationale et le développement économique. Depuis les années 2000, la France a réagi de façon continue aux évolutions extrêmement rapides qui caractérisent ce domaine.
A. LA CONSTRUCTION PROGRESSIVE D'UNE STRATÉGIE ET D'UN MODELE ORIGINAL DE CYBERDÉFENSE
1. Le Livre Blanc sur la défense et la sécurité nationale de 2008
Il a permis de franchir une étape décisive en annonçant la création, en 2009, de l'agence nationale de sécurité des systèmes d'information, l'ANSSI, rattachée au SGDSN, pour traiter les attaques informatiques et protéger les systèmes d'information de l'État et les infrastructures critiques. La France met progressivement en place un modèle fondé sur la séparation de ses capacités défensives et offensives et publie sa première stratégie de cybersécurité en 2011.
Un système différent du modèle anglo-saxon
Contrairement au modèle initial anglo-saxon, et peut-être parce que la France ne disposait pas d'un service technique autonome comme le GCHQ en Grande-Bretagne ou la NSA aux États-Unis, le modèle français de cybersécurité s'est construit à l'extérieur des services de renseignement.
Plus fondamentalement, ce modèle original est le résultat d'une succession de choix politiques ambitieux issus d'une double prise de conscience : d'une part, le numérique peut être utilisé pour mener des actions offensives contre nos intérêts nationaux?; d'autre part, la transformation numérique de la société, de l'économie et de l'action publique, ne pourra se faire qu'en confiance. Il s'agissait donc de créer les conditions de la confiance avec le secteur privé par la séparation nette entre le défensif et l'offensif, le civil et le militaire.
A l'inverse, si les modèles de fusion des capacités offensives et défensives au sein des appareils militaires ou de renseignement rendent possible une mutualisation des capacités techniques très précieuse, ils tendent structurellement à privilégier l'offensif sur le défensif. Aussi, pour efficace qu'il puisse paraître, le choix d'un modèle de concentration apparaît peu adapté à une politique de cybersécurité globale à vocation interministérielle. De fait, la confiance des acteurs économiques et sociaux peut également être amoindrie par la concentration des fonctions offensives et défensives dans une même entité, en particulier au sein de la communauté du renseignement. À ce titre, l'exemple américain est parlant. Conscient de ces lacunes, les États-Unis font progressivement évoluer leur modèle pour dissocier plus clairement les acteurs en charge de ces différents aspects et regagner la confiance perdue du fait de cette confusion entre renseignement et protection.
2. En 2013, le nouveau Livre Blanc élève la cyberdéfense au rang de priorité stratégique
Il affirme également le principe d'une doctrine nationale de réponse aux agressions informatiques intégrant deux volets complémentaires avec la mise en place :
• d'une posture de protection des systèmes d'information de l'État, des opérateurs d'importance vitale (OIV) et des industries stratégiques, couplée à une organisation opérationnelle de défense de ces systèmes, coordonnée sous l'autorité du Premier ministre ;
• d'une capacité de réponse gouvernementale globale ajustée face à des agressions de nature et d'ampleur variées faisant en premier lieu appel à l'ensemble des moyens diplomatiques, juridiques ou policiers, sans s'interdire l'emploi gradué de moyens relevant du ministère des armées si les intérêts nationaux sont menacés ;
• la LPM (2014-2019) renforce la sécurité des OIV et prévoit un doublement des effectifs du ministère des armées dans le domaine cyber.
3. La réflexion a été approfondie dans la période récente par de nombreux documents stratégiques
a) La revue stratégique de défense et de sécurité nationale (octobre 2017)
• Constate (p.35) le renforcement des menaces dans le cyberespace ( cf. supra ) ;
• ce qui appelle notamment, le renforcement prioritaire des moyens de défense et le développement de capacités offensives comme défensives.
b) La stratégie nationale de la cyberdéfense (février 2018)
Préparée sous la direction du SGDSN 157 ( * ) , ce document propose la création de quatre chaînes opérationnelles pour conduire les missions de cyberdéfense dont une chaîne « renseignement », une chaîne « action militaire » et une chaîne « action judiciaire » ainsi que par la modernisation de la gouvernance.
La stratégie articule la politique de cyberdéfense autour de la notion de « défendabilité » des systèmes d'information la plus robuste possible et, au-delà, définit l'action des pouvoirs publics sur la base de six missions.
Les missions de cyberdéfense des pouvoirs publics
• Prévenir : faire prendre conscience aux utilisateurs du risque représenté par la numérisation des organisations ou des équipements qu'ils servent 158 ( * ) ;
• anticiper : évaluer en permanence les probabilités de cyberattaques et prendre des mesures préventives lorsque la menace paraît suffisamment forte. Cette mission incombe à l'ANSSI (et au COMCYBER sur le périmètre du ministère des armées), en coordination avec les services de renseignement ;
• protéger : diminuer la vulnérabilité des systèmes informatiques, à la fois en compliquant la tâche des attaquants potentiels et en facilitant la détection des cyberattaques ;
• détecter : rechercher des indices d'une éventuelle cyberattaque en cours ;
• réagir : résister à une cyberattaque afin qu'elle n'empêche pas la poursuite de l'activité. Une opération de LID, peut être déclenchée en liaison avec l'ANSSI. Elle peut entraîner l'emploi de moyens qui sortent du domaine de la cyberdéfense (saisie de la justice, action diplomatique, rétorsion économique, etc. ), voire du ministère des armées ;
• attribuer : préciser l'auteur d'une cyberattaque par des preuves ou un faisceau d'indices. Les services de renseignement sont au coeur de ce processus de recueil d'indices d'attribution. La décision d'attribution appartient aux plus hauts responsables politiques .
Les actions de prévention et de protection concernent les systèmes informatiques situés principalement sur le territoire national. Les missions d'anticipation, de détection et de réaction s'intéressent aux systèmes informatiques appartenant aux autres catégories d'acteurs, le cas échéant situés à l'étranger.
Le rôle majeur de l'ANSSI
Au niveau interministériel, les capacités défensives de l'État sont pilotées par l'ANSSI qui est en charge d'assurer les trois missions suivantes :
• en tant qu'agence interministérielle au service de l'ensemble des administrations, elle coordonne les travaux interministériels en matière de sécurité des systèmes d'information ;
• elle prescrit aux administrations et aux OIV des règles de sécurité préventives, en contrôle l'application et, en cas de crise majeure, peut leur imposer des mesures réactives ;
• elle coordonne l'action gouvernementale en matière de défense des systèmes d'information et peut répondre, par des mesures techniques aux attaques visant les administrations et les OIV, le cas échéant, en neutralisant les effets des attaques.
L'ANSSI peut également apporter un soutien technique au ministère de l'intérieur et à l'autorité judiciaire en vue de caractériser les attaques, notamment en contribuant à la détermination des modes opératoires et à l'identification des auteurs de cyberattaques.
c) La LPM (2019-2024) poursuit cet effort
Elle renforce les capacités de l'ANSSI. Elle crée au sein du ministère des armées une « posture permanente cyber » qui s'appuie sur un commandement de cyberdéfense créé en 2017 ***** et des moyens des armées (1,6 milliards d'euros d'investissement dans le cyberespace) 159 ( * ) .
d) La stratégie cyber des armées (janvier 2019)
Esquissée par le discours du ministre de la défense sur la cyberdéfense à Bruz le 12 décembre 2016 160 ( * ) , une stratégie cyber des armées a été rendue publique par la ministre des armées le 18 janvier 2019 161 ( * ) . Cette stratégie décline deux objectifs : l'un défensif, l'autre offensif.
La France consolide ainsi un modèle rénové de cyberdéfense, dont la création du commandement de la cyberdéfense (COMCYBER) en mai 2017 162 ( * ) avait constitué une des étapes fondatrices au sein du ministère des armées. Le COMCYBER a la responsabilité de la cyberdéfense militaire, qui recouvre l'ensemble des actions défensives et offensives conduites dans le cyberespace pour garantir le bon fonctionnement du ministère et l'efficacité des forces armées, dans la préparation, la planification et la conduite des opérations.
Cette capacité contribue à garantir la souveraineté nationale.
(1) Garantir la cyberdéfense, en protégeant les réseaux, les systèmes et les données du ministère des Armées et du secteur de la défense
Le ministère des armées a souhaité r edéfinir sa politique en matière de lutte informatique défensive (LID ) 163 ( * ) dans une instruction ministérielle du 1 er décembre 2018 , et renforcer, en parfaite coordination avec l'ANSSI, la posture permanente de cyberdéfense.
(2) Intégrer l'arme cyber dans les opérations militaires
Evoquée depuis le Livre blanc de 2008, la lutte informatique offensive a été confirmée officiellement par le discours du ministre de la défense de Bruz le 12 décembre 2016, puis par la LPM 2019-2025. La ministre de la défense a rendu publics des éléments de doctrine le 18 janvier 2019 164 ( * ) .
(a) Une doctrine pour la lutte informatique offensive
Dans la doctrine française, la LIO est limitée à deux objectifs : l'appui aux opérations militaires extérieures d'une part, et d'autre part, l'appui à la lutte informatique défensive lorsque l'attaque informatique vise exclusivement les capacités opérationnelles des armées ou les chaînes de commandement de la défense.
Elle permet d'obtenir certains avantages sur les théâtres d'opération des armées en tirant parti des vulnérabilités des systèmes numériques adverses 165 ( * ) . Elle élargit la palette des options modulables proposable au Président de la République en offrant une capacité d'emploi d'initiative en opération extérieure : isolément ou en appui des moyens conventionnels, pour en démultiplier les effets et en renforçant l'arsenal offensif.
Elle permet d'atteindre trois types d'objectifs opérationnels dans la conduite d'opérations militaires :
1) renseignement : évaluation de capacités militaires adverses : recueil ou extraction d'informations ;
2) réduction voire neutralisation de capacités adverses : perturbation temporaire ou création de dommages majeurs dans les capacités militaires ;
3) déception : modification des perceptions ou de la capacité d'analyse de l'adversaire (altération discrète de données ou systèmes, exploitation d'informations dérobées au sein d'un système d'information militaire).
Dans un article récent 166 ( * ) , d'anciens responsables des ministères de la défense et des affaires étrangères se sont interrogés sur l'intérêt pour la France de se doter de capacités de rétorsion en cas d'agression contre ses intérêts au-delà des seules opérations de riposte et d'entrave actuellement prévues à l'article L.2321-2 du code de la défense qui sont limitées à la seule fin de neutraliser les effets en attaquant les systèmes d'information à l'origine de l'attaque lorsque cette attaque menace les intérêts vitaux de la France (ou à l'article D. 3121-14-1 du code de la défense pour ce qui concerne uniquement les attaques contre les systèmes d'information du ministère des armées) et à distinguer des opérations de lutte informatique offensive confiée au COMCYBER dans le cadre des opérations extérieures. Afin de répondre à des tentatives de « cyber-coercition », ils appelaient à élargir la doctrine de janvier 2019 à la protection d'objectifs civils critiques en permettant d'engager aussi une riposte proportionnée à toutes attaques visant de tels objectifs.
(b) Une capacité interarmées
Sous l'autorité du Président de la République et aux ordres du chef d'état-major des armées, le COMCYBER est l'autorité d'emploi de la capacité militaire cyber offensive . Il a la responsabilité de concevoir, planifier et coordonner des opérations LIO au profit de la manoeuvre interarmées 167 ( * ) . Il assure la cohérence de la planification et de la conduite des actions de LIO avec les différents états-majors opérationnels et les services de renseignement, du niveau stratégique au niveau tactique.
Les opérations sont conduites par des unités spécialisées 168 ( * ) , dont l'expertise garantit l'analyse des risques et la maîtrise des effets, collatéraux voire fratricides, induits par la complexité du domaine. Leur action est pleinement intégrée à la manoeuvre des armées, directement sur le terrain ou à distance.
(c) La maîtrise des risques comme facteur de crédibilité et la promotion d'un comportement responsable comme facteur de stabilité
La LIO est soumise, comme toute autre arme ou méthode de guerre, aux principes et règles du droit international, notamment le droit international humanitaire, ainsi qu'aux lois et règlements nationaux. Elle n'est donc utilisée que dans le respect de règles opérationnelles d'engagement très restrictives. Le COMCYBER ne conduit pas d'opérations offensives sur le territoire national.
Mais la LIO recèle des caractéristiques spécifiques : immédiateté de l'action, dualité des cibles, hyper-connectivité sont autant de facteurs de risques qui ont été pris en compte dans l'élaboration de la doctrine; tout comme la notion d'irrégularité. Les actions offensives auxquelles nous faisons face dans le cyberespace ont, en effet, souvent le caractère de l'irrégularité 169 ( * ) .
Ces caractéristiques imposent une maîtrise et un contrôle très stricts du choix des modes d'action et de l'utilisation des moyens. Ce contrôle national vise notamment à éviter tout risque de détournement, de compromission ou de dommage collatéral d'une action dont les effets peuvent se propager au-delà de la cible visée en raison des interdépendances entre systèmes. Pour en préserver l'efficacité et maîtriser les risques de détournement, l'ensemble des opérations de LIO menées par les forces armées demeure de nature secrète, mais les autorités politiques et militaires peuvent, selon les circonstances, les assumer publiquement voire les revendiquer. Cette posture est affaire de décision politique.
* 157 À l'époque, M. Louis Gautier
* 158 Cette mission incombe en première ligne aux Hauts fonctionnaires de défense et de sécurité des entités publiques et aux responsables de la sécurité des systèmes d'information des entités privées, mais est de plus en plus portée au sein des comités exécutifs des entreprises et des responsables politiques des entités publiques.
* 159 Cf. rapport n° 476 (2017-2018) de M. Christian Cambon au nom de la commission des affaires étrangères, de la défense et des forces armées sur le projet de loi relatif à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense (16 mai 2018) p.28 et suivantes.
* 160 https://www.defense.gouv.fr/actualites/articles/cyberdefense-bilan-et-nouveaux-chantiers-annonces-par-le-ministre
* 161 https://www.google.com/search?client=firefox-b-e&q=discours+Parly+cyber+18+janvier+2019
* 162 Décret n° 2017-743 du 4 mai 2017 relatif aux attributions du chef d'état-major des armées et l'arrêté du 4 mai 2017 modifiant l'organisation de l'état-major des armées.
* 163 https://www.defense.gouv.fr/salle-de-presse/communiques/communique_la-france-se-dote-d-une-doctrine-militaire-offensive-dans-le-cyberespace-et-renforce-sa-politique-de-lutte-informatique-defensive
* 164 Éléments de doctrine publics, la doctrine en elle-même étant secrète. https://www.defense.gouv.fr/salle-de-presse/communiques/communique_la-france-se-dote-d-une-doctrine-militaire-offensive-dans-le-cyberespace-et-renforce-sa-politique-de-lutte-informatique-defensive
* 165 L'arme cyber vise, dans le strict respect des règles internationales à produire des effets à l'encontre d'un système adverse pour en altérer la disponibilité ou la confidentialité des données.
* 166 Bernard Barbier, Jean-Louis Gergorin et Edouard Guillaud « Cybercoercition : un nouveau défi stratégique » Le Monde 28 janvier 2020.
* 167 Réalisées sous l'autorité du sous-chef opérations de l'état-major des armées, concernent l'ensemble des interventions des forces armées françaises, ces opérations s'inscrivent dans le cadre de l'article 35 de la Constitution. La notion de théâtre d'opérations extérieures a bien un sens dans le domaine cyber« whitepaper» sur le droit international appliqué aux cyberopérations que la France a récemment proposé aux experts des Nations Unis (disponible en ligne sur le site internet du ministère).
* 168 Le COMCYBER exerce un commandement fonctionnel sur le groupement des opérations numériques (GON) et le détachement des actions numériques (DAN) qui sont deux entités appartenant au commandement interarmées des actions sur l'environnement (CIAE) qui est le centre principal des armées en matière d'influence militaire. Le GON et le DAN sont les capteurs et les effecteurs du COMCYBER sur les médias sociaux.
* 169 Ce milieu favorise les actions de type guérilla ou de harcèlement en raison de leur faible traçabilité et de la difficulté à les attribuer, de la grande difficulté à conserver dans la durée la maîtrise du cyberespace compte tenu de l'étendue du milieu et de sa complexité ce qui constitue un facteur permanent de vulnérabilité, et de la relative aisance pour les acteurs non-étatiques et les petits États d'accéder aux technologies nécessaires. Un outil de LIO peut être aisément volé copié ou imité par des adversaires ou des acteurs tiers. Il possède rarement les contraintes associées à des armes du haut du spectre réservées aux États possédant une certaine maturité technologique.