C. CETTE MONTÉE EN PUISSANCE EST INDISPENSABLE POUR CONSERVER UN NIVEAU D'EFFICACITÉ COMPARABLE AUX AUTRES SERVICES PARTENAIRES
Cet effort doit être poursuivi, consolidé et renforcé car l'ensemble des services de renseignement étrangers et des forces armées se dotent de capacités cyber importantes. A titre d'exemple la Grande-Bretagne et l'Allemagne ont entrepris des réformes pour, d'une part poursuivre le rapprochement et l'intégration des capacités cyber et, d'autre part, intégrer la dimension cyber à leurs doctrines de recherche du renseignement. Les États-Unis ont actualisé leur stratégie cyber en 2018 dans un sens plus offensif.
La nature très confidentielle des informations concernant la cybersécurité ne permet pas d'effectuer des comparaisons solides des capacités des différentes puissances en ce domaine. Les informations, autour des incidents de cybersécurité reflètent souvent davantage la posture agressive que la performance de capacités étatiques. Les développements qui suivent, très partiels et sommaires ne sont là que pour illustration des efforts consentis par les États dans ce domaine tant pour se doter de forces cyber plus robustes que pour promouvoir et protéger leurs entreprises.
1. La Grande-Bretagne
Depuis 2003, la Grande-Bretagne a mis en place une stratégie nationale en matière de sécurité de l'information en plaçant la cyberdéfense comme l'une des priorités nationales.
En 2010, le National Cyber Security Program (NSCP) avait doté de 860 millions £ pour la période 2011-2016 les activités de sécurité et de renseignement du Government Communications Headquarters (GCHQ) qui centralise le renseignement technique et les activités cyber du ministère de la défense (MOD). Cette enveloppe a été portée à 1,9 milliards £ pour la période 2016-2021 (+ 121 %) puis récemment à 2,3 milliards £.
Dans ce cadre, le Royaume-Uni a annoncé en février 2020 mettre en place une « National Cyber Force », fruit de la collaboration entre le GCHQ et le ministère de la défense. Il assume avoir une politique offensive dans le cyberespace. Cette force doit à terme être composée de 500 spécialistes et elle renforcera les capacités existantes. Son but est de faire de la Grande-Bretagne une cyber-puissance, capable de cibler les réseaux, les satellites, les communications, les infrastructures informatiques des pays hostiles ou de groupes terroristes. Ce service s'annonce ultraconfidentiel, ses actions devraient rester classées secret-défense, la nature des cyberarmes et le nom de son directeur ont été gardés secrets, ce qui pose la question du contrôle démocratique sur l'objectif et l'éthique de la cyberattaque, les circonstances dans lesquelles elle pourrait être utilisée et les types d'effets qui pourraient être ou non acceptables.
La stratégie cyber évolue aussi vers une plus grande coopération entre le Gouvernement et les entreprises privées jusqu'alors privilégiées dans la mise en oeuvre de cette politique avec le lancement d'une plateforme numérique de partage d'informations en temps réel entre les secteurs privé et public et la mise en place auprès du GCHQ du National Cyber Security Centre , interface entre le Gouvernement et l'industrie qui centralise l'ensemble des activités et des informations relatives à la cyberdéfense.
Parmi les membres du G20, la Grande-Bretagne est pionnière dans le secteur digital qui représente 16 % de son produit intérieur, 10 % des emplois et 24 % de ses exportations. Parmi les 50 entreprises de cyberdéfense les plus importantes dans le monde en 2018, 7 sont britanniques comme BAE, PwC ou KPMG. L'industrie de la cyberdéfense est traitée comme un service voué à l'exportation et à l'expansion de l'influence du Royaume-Uni sur la scène internationale.
2. Les États-Unis
Les États-Unis ont rendu publics en 2018 plusieurs textes comme le White House National Cyber Strategy , l' Unclassified Summary Department of Defense Cyber Strategy et le Department of Homeland Security (DHS) Cyber Secrurity Strategy , qui dessinent les contours d'une nouvelle stratégie globale plus offensive que les précédentes mise en oeuvre par le United States Cyber Command devenu officiellement un des commandements interarmées unifiés du United States Strategic Command le 4 mai 2018.
Le White House National Cyber Strategy , premier texte à vocation globale depuis 2011 constitue une nouvelle doctrine dont les objectifs consistent à assurer le renforcement de la capacité américaine de dissuasion dans le cyberespace ainsi qu'à maintenir son influence et sa prospérité. Le document du department of defense s'appuie sur l'usage d'un nouveau concept doctrinal « defend forward » consistant à arrêter la menace avant qu'elle n'atteigne sa cible » en construisant une force plus létale. Avec l'International Cyber Deterrence Initiative , les États-Unis déclarent vouloir prendre la tête d'une coalition avec leurs alliés pour coordonner les réponses aux cyberattaques, partager du renseignement et surtout appliquer des sanctions.
Le budget alloué à cet effort a cru de 35 % entre 2016 et 2017 portant l'effort à 19 milliards de dollars pour des programmes visant à attirer et retenir des compétences au sein d'une armée se préparant à tous les types de conflits.
En outre, les États-Unis maintiennent leur cyberdéfense des entreprises privées, en particulier celles de la BITD - classées « infrastructures critiques » afin d'améliorer la confidentialité de leurs informations, garantes de leur supériorité militaire. Ceci s'inscrit dans une logique globale de promotion des entreprises américaines et de défense de leurs parts de marchés mondiales, dans un contexte de très forte concurrence et d'espionnage économique.
*
* *
Au terme de cette étude, il convient de mettre en exergue :
• l'importance des enjeux menacés, l'évolution rapide et inquiétante de la menace, mais aussi les opportunités qu'offre le cyberespace aux services de renseignement ;
• l'effort consenti par les gouvernements successifs depuis 2008 pour doter notre pays d'une politique publique de cyberdéfense comprenant la prévention et la protection, la lutte informatique défensive et, dans des conditions encadrées, une stratégie de lutte informatique offensive. Cette politique repose sur une délimitation précise de la compétence des différents acteurs auxquels l'exécution est confiée : l'ANSSI et le COMCYBER, mais aussi les services de renseignement, notamment la DGSE et la DGSI ;
• toutefois, cette contribution n'est pas évaluée de façon globale.
En conséquence, la DPR demande la mise en place sous l'autorité du CNRLT d'un outil d'évaluation et de suivi de la contribution des services de renseignement à la politique publique de cyberdéfense. Cet outil permettra de mesurer les moyens qu'ils y consacrent et les résultats qu'ils obtiennent dans chacune des missions qui leurs sont attribuées. Tout au long de cette étude, la DPR a relevé les points d'intérêts qui pourraient figurer dans ce dispositif (information à recueillir, tableaux de bord à réaliser...) L'inspection des services de renseignement pourrait participer à la conception de cet outil. Une fois, ce travail méthodologique réalisé, la DPR souhaite que les résultats de cette évaluation et de ce suivi lui soient communiqués dans le rapport annuel d'activité des services.
Recommandation n° 59 : Mettre en place, sous l'autorité du CNRLT, un outil d'évaluation et de suivi de la contribution des services de renseignement à la politique publique de cyberdéfense. L'inspection des services de renseignement pourrait participer à la conception de cet outil. Une fois ce travail méthodologique réalisé, la DPR souhaite que les résultats de cette évaluation et de ce suivi lui soient communiqués dans le rapport annuel d'activité des services.