NOTE DE SYNTHSE

R P U B L I Q U E

F R A N A I S E

LA CYBERDFENSE : UN ENJEU MONDIAL, UNE PRIORIT NATIONALE

Commission des affaires trangres, de la dfense et des forces armes
Rapport dinformation n 681 (2011-2012) de M. Jean-Marie BOCKEL, snateur du Haut-Rhin

Attaque informatique denvergure de Bercy la veille de la prsidence franaise du G8 et du G20, espionnage informatique des entreprises limage dAREVA, perturbations de sites Internet institutionnels comme celui du Snat : les attaques contre les systmes dinformation se sont multiplies en France, comme partout dans le monde, ces dernires annes. Mme lElyse aurait t rcemment victime dune ou de plusieurs attaque(s) informatique(s). Par ailleurs, les rvlations sur limplication probable des Etats-Unis dans la conception du virus STUXNET, qui a dtruit environ un millier de centrifugeuses denrichissement de luranium, retardant ainsi de quelques

mois ou quelques annes la ralisation du programme nuclaire militaire de lIran, ou encore la rcente dcouverte du virus FLAME, vingt fois plus puissant, laissent prsager de nouvelles armes informatiques , aux potentialits encore largement ignores. Avec le dveloppement de lInternet, et leur interconnexion croissante, les systmes dinformation sont dsormais les vritables centres nerveux de nos socits, sans lesquels elles ne pourraient plus fonctionner. Dans ce contexte, la France est-elle suffisamment organise et prpare pour faire face une attaque informatique ?

Les attaques contre les systmes dinformation : une menace stratgique qui sest concrtise et accentue ces dernires annes
De Tallin Thran : aucun pays nest aujourdhui labri des attaques informatiques Depuis les attaques informatiques massives qui ont frapp lEstonie en 2007, il ne se passe pratiquement pas une semaine sans que lon annonce, quelque part dans le monde, une attaque informatique importante contre une grande institution publique ou prive. La France nest pas pargne par ce flau En France, les administrations, les entreprises ou les oprateurs dimportance vitale (nergie, transports, sant, etc.) sont victimes chaque jour de plusieurs millions dattaques informatiques. Quil sagisse d attaques par dni de service visant saturer par un nombre lev de requtes et rendre inaccessible un site Internet ouvert au public, limage du site du Snat, de tentatives de pntration dans les systmes des fins despionnage, grce notamment des logiciels espions introduits par un cheval de Troie , limage de lattaque de Bercy ou dAREVA, ou encore de vritables bombes informatiques visant dtruire les donnes contenues dans les systmes dinformation, comme STUXNET, la menace est concrte et protiforme. Ces attaques informatiques peuvent tre menes par des pirates informatiques, des groupes dactivistes, des organisations criminelles, mais aussi par des entreprises concurrentes, voire par dautres Etats. Les soupons se portent souvent vers la Chine ou la Russie mme sil est trs difficile didentifier prcisment les auteurs de ces attaques. Certes, il ne sagit pas de prtendre une protection absolue. Ce serait assez illusoire. Le propre des attaques informatiques est dexploiter les failles, de se porter l o les parades nont pas encore t mises en place. Mais on peut renforcer la scurit des rseaux et des infrastructures les plus sensibles et amliorer leur rsilience.

18 JUILLET 2012

Snat - 15, rue de Vaugirard - 75291 Paris Cedex 06 - www.senat.fr

LA CYBERDFENSE

: UN ENJEU MONDIAL, UNE PRIORIT NATIONALE

Une menace dsormais prise en compte au niveau international

1. Des allis mieux arms Les Etats-Unis 2. Une amorce internationale LONU de coopration

Le Prsident Barack Obama sest fortement engag sur le sujet et a qualifi la cyberscurit de priorit stratgique. Il existe plusieurs organismes, au sein du dpartement charg de la scurit intrieure ou du Pentagone, qui interviennent dans ce domaine, comme lAgence de scurit nationale (NSA) ou le Cybercommand. De 2010 2015, les Etats-Unis devraient consacrer 50 milliards de dollars la cyberdfense et plusieurs dizaines de milliers dagents travaillent sur ce sujet.
Le Royaume-Uni

La Chine et la Russie sont les principaux promoteurs dun trait international et de rgles contraignantes dans le cyberespace. Soucieux de prserver la libert dexpression sur lInternet, les pays occidentaux sy opposent et proposent llaboration de mesures de confiance.
LOTAN

Le gouvernement a adopt en novembre 2011 une nouvelle stratgie. Le principal organisme en charge est le Government Communications Headquarters (GCHQ), lagence charge du renseignement technique. Environ 700 agents soccupent des questions de cyberdfense. Malgr le contexte budgtaire, le Premier ministre David Cameron a annonc en 2010 un effort supplmentaire de 650 millions de livres (750 millions deuros) sur les quatre prochaines annes pour la cyberdfense.
LAllemagne

Depuis le nouveau concept stratgique, adopt lors du Sommet de Lisbonne de 2010, lOTAN sest dote en juin 2011 dune politique et dun concept de cyberdfense. Une autorit de gestion, ainsi quun centre dexcellence, situ Tallin, ont t crs. Pour autant, lOTAN ne parat pas compltement arme face cette menace. La principale unit informatique de lAlliance nest pas oprationnelle 24 heures sur 24, 7 jours sur 7. Plus gnralement, lAlliance doit encore dterminer quelle attitude adopter pour rpondre des cyberattaques. Peut-on invoquer larticle 5 du trait de Washington ? Il nexiste pas de rponse claire cette question.
LUnion europenne

Une stratgie a t labore en fvrier 2011. La coordination en incombe au ministre fdral de lIntrieur auquel est rattach loffice fdral de scurit des systmes dinformation (BSI) situ Bonn, qui dispose dun budget de 80 millions deuros et de plus de 500 agents.

LUnion europenne a un rle important jouer car une grande partie des rgles qui rgissent les rseaux de communication lectroniques relvent de ses comptences. Toutefois, la Commission europenne et de nombreux pays membres ne semblent pas encore avoir pris la mesure des risques et des enjeux lis la cyberdfense.

Lemblme de la mouvance Anonymous

Snat - 15, rue de Vaugirard - 75291 Paris Cedex 06 - www.senat.fr

LA CYBERDFENSE

: UN ENJEU MONDIAL, UNE PRIORIT NATIONALE

Malgr dimportants progrs depuis 2008, notre dispositif connat encore dimportantes lacunes
1. De relles avances depuis 2008 2. Notre dispositif connat dimportantes lacunes encore

Les rapports Lasbordes de 2006 et Romani de 2008 avaient estim que la France ntait ni suffisamment organise ni bien prpare pour faire face une attaque informatique. Le Livre blanc sur la dfense et la scurit nationale de 2008 a identifi la menace et a donn une relle impulsion la politique de cyberdfense. En termes dorganisation, il a permis cette politique dtre clairement identifie avec la cration, en juillet 2009, de lAgence nationale de la scurit des systmes dinformation (ANSSI), agence interministrielle qui est lautorit nationale de dfense des systmes dinformation. En fvrier 2011, la France sest galement dote dune stratgie nationale. La France dispose, avec cette stratgie et avec lANSSI, doutils importants pour la cyberdfense. Pour autant, beaucoup reste faire dans ce domaine.

Avec des effectifs de 230 personnes et un budget de 75 millions deuros, lANSSI reste encore loin des services similaires du Royaume-Uni ou de lAllemagne, qui comptent entre 500 et 700 agents. De plus, si le ministre de la dfense et les armes ont pris des mesures, les autres ministres, les entreprises et les oprateurs dimportance vitale restent encore insuffisamment sensibiliss la menace. Quel serait le moyen le plus simple de provoquer une perturbation majeure de notre pays par le biais dune attaque informatique ? Un moyen trs simple serait de sen prendre la distribution dnergie ou la sant. Lexemple du virus STUXNET ou celui du ver Conficker, qui a perturb le fonctionnement de plusieurs hpitaux, montrent que cela nest pas une hypothse dcole.

10 priorits et 50 recommandations concrtes pour faire de la protection et de la dfense des systmes dinformation une vritable priorit nationale

Priorit n1 : Faire de la cyberdfense et de la protection des systmes dinformation une priorit nationale, porte au plus haut niveau de lEtat, notamment dans le contexte du nouveau Livre blanc. Sinterroger sur la pertinence de formuler une doctrine publique sur les capacits offensives ; Priorit n2 : Renforcer les effectifs, les moyens et les prrogatives de lAgence nationale de scurit des systmes dinformation, ainsi que les effectifs et les moyens ddis au sein des armes, de la direction gnrale de larmement et des services spcialiss, et dvelopper une vritable politique des ressources humaines ; Priorit n3 : Introduire des modifications lgislatives pour donner les moyens lANSSI dexercer ses missions et instituer un ple juridictionnel spcialis comptence nationale pour rprimer les atteintes graves aux systmes dinformation ; Priorit n4 : Amliorer la prise en compte de la protection des systmes dinformation dans laction de chaque ministre, en renforant la sensibilisation tous les niveaux, en rduisant le nombre de passerelles entre les rseaux et lInternet, en dveloppant les systmes danalyse permettant de dtecter les attaques, ainsi quen rehaussant lautorit des fonctionnaires de scurit des systmes dinformation ; Priorit n5 : Rendre obligatoire pour les entreprises et les oprateurs dimportance vitale une dclaration dincident lANSSI en cas dattaque importante contre les systmes dinformation et encourager les mesures de protection par des mesures incitatives ;
Snat - 15, rue de Vaugirard - 75291 Paris Cedex 06 - www.senat.fr

LA CYBERDFENSE

: UN ENJEU MONDIAL, UNE PRIORIT NATIONALE

Priorit n6 : Renforcer la protection des systmes dinformation des oprateurs dimportance vitale, en rduisant le nombre de passerelles entre les rseaux et lInternet, en dveloppant les systmes danalyse, en gnralisant les audits, en rendant obligatoire la dclaration des processus et automates industriels connects Internet et en favorisant la mise en place, de manire sectorielle, de centres de dtection communs ; Priorit n7 : Soutenir par une politique industrielle volontariste, lchelle nationale et europenne, le tissu des entreprises franaises, notamment des PME, spcialises dans la conception de certains produits ou services importants pour la scurit informatique et, plus largement, du secteur des technologies de linformation et de la communication, et renforcer la coopration entre lEtat et le secteur priv ; Priorit n8 : Encourager la formation dingnieurs spcialiss dans la protection des systmes dinformation, dvelopper la recherche et les activits de conseil, et accentuer la sensibilisation du public, notamment au moyen dune campagne de communication inspire de la prvention routire ; Priorit n9 : Poursuivre la coopration bilatrale avec nos principaux allis, soutenir laction de lOTAN et de lUnion europenne, engager un dialogue avec la Chine et la Russie et promouvoir ladoption au niveau international de mesures de confiance ; Priorit n10 : Interdire sur le territoire national et lchelle europenne le dploiement et lutilisation de routeurs ou dautres quipements de cur de rseaux qui prsentent un risque pour la scurit nationale, en particulier les routeurs et certains quipements dorigine chinoise.

Le logo de lANSSI

M. Jean-Marie BOCKEL Washington

Commission des affaires trangres, de la dfense et des forces armes du Snat : http://www.senat.fr/commission/etr/index.html

Prsident : Jean-Louis CARRRE

Les rapports de la commission :

http://www.senat.fr/rapports-classes/cretrd.html

Secrtariat de la commission 15, rue de Vaugirard 75291 Paris Cedex 06

Tlphone : 01.42.34.38.97 Tlcopie : 01.42.34.47.63 secretariat-affetra@senat.fr

Rapporteur : Jean-Marie BOCKEL

Snat - 15, rue de Vaugirard - 75291 Paris Cedex 06 - www.senat.fr