N 681

SNAT
SESSION EXTRAORDINAIRE DE 2011-2012
Enregistr la Prsidence du Snat le 18 juillet 2012

RAPPORT DINFORMATION
FAIT

au nom de la commission des affaires trangres, de la dfense et des forces armes (1) sur la cyberdfense,
Par M. Jean-Marie BOCKEL, Snateur.

(1) Cette commission est compose de : M. Jean-Louis Carrre, prsident ; MM. Didier Boulaud, Christian Cambon, Jean-Pierre Chevnement, Robert del Picchia, Mme Josette Durrieu, MM. Jacques Gautier, Robert Hue, Xavier Pintat, Yves Pozzo di Borgo, Daniel Reiner, vice-prsidents ; Mmes Leila Achi, Hlne Conway Mouret, Jolle Garriaud-Maylam, MM. Gilbert Roger, Andr Trillard, secrtaires ; MM. Pierre Andr, Bertrand Auban, Jean-Michel Baylet, Ren Beaumont, Pierre Bernard-Reymond, Jacques Berthou, Jean Besson, Michel Billout, Jean-Marie Bockel, Michel Boutant, Jean-Pierre Cantegrit, Pierre Charon, Marcel-Pierre Clach, Raymond Couderc, Jean-Pierre Demerliat, Mme Michelle Demessine, MM. Andr Dulait, Hubert Falco, Jean-Paul Fournier, Pierre Frogier, Jacques Gillot, Mme Nathalie Goulet, MM. Alain Gournac, Jean-Nol Gurini, Jol Guerriau, Grard Larcher, Robert Laufoaulu, Jeanny Lorgeoux, Rachel Mazuir, Christian Namy, Alain Nri, Jean-Marc Pastor, Philippe Paul, Jean-Claude Peyronnet, Bernard Piras, Christian Poncelet, Roland Povinelli, Jean-Pierre Raffarin, Jean-Claude Requier, Richard Tuheiava, Andr Vallini.

-3-

SOMMAIRE
Pages LES 10 PRIORITS DU RAPPORT ......................................................................................... INTRODUCTION...................................................................................................................... 5 7

I. LES ATTAQUES CONTRE LES SYSTMES DINFORMATION : UNE MENACE STRATGIQUE QUI SEST CONCRTISE ET ACCENTUE AU COURS DE CES DERNIRES ANNES ............................................................................ 11 A. DE TALLIN THRAN : AUCUN PAYS NEST AUJOURDHUI LABRI DES ATTAQUES INFORMATIQUES ........................................................................................... 1. Le cas de lEstonie : une perturbation massive de la vie courante dun pays......................... 2. STUXNET : une arme informatique des Etats-Unis dirige contre le programme nuclaire militaire iranien ? ................................................................................................ 3. FLAME : un vaste dispositif despionnage informatique ? .................................................... B. LA FRANCE NEST PAS PARGNE PAR CE FLAU ....................................................... 1. La perturbation de sites institutionnels : lexemple du Snat ................................................ 2. Lattaque informatique ayant vis le ministre de lconomie et des finances ....................... 3. Lespionnage via lInternet des entreprises : le cas dAREVA............................................... C. UNE MENACE PROTIFORME ............................................................................................ 1. Les principaux types dattaques informatiques ..................................................................... 2. Les cibles vises .................................................................................................................. 3. Le profil des attaquants : pirates informatiques, cybercriminels, cyberterroristes, Etats trangers ? .................................................................................................................

12 12 14 15 17 18 20 23 25 25 29 32

II. UNE MENACE DSORMAIS PRISE EN COMPTE AU NIVEAU INTERNATIONAL .............................................................................................................. 38 A. UNE PROCCUPATION PARTAGE PAR NOS PRINCIPAUX ALLIS ............................. 1. Les Etats-Unis ..................................................................................................................... 2. Le Royaume-Uni .................................................................................................................. 3. LAllemagne ........................................................................................................................ B. UNE COOPRATION INTERNATIONALE ENCORE BALBUTIANTE ............................... 1. Des initiatives en ordre dispers .......................................................................................... 2. Une priorit de lOTAN qui tarde se concrtiser ............................................................... 3. Une implication encore insuffisante de lUnion europenne ................................................. 38 38 45 49 53 53 58 62

C. LES FREINS LA COOPRATION INTERNATIONALE .................................................... 67 III. LA FRANCE A COMMENC COMBLER SON RETARD MAIS NOTRE DISPOSITIF CONNAT ENCORE DIMPORTANTES LACUNES .................................. 68 A. UNE PRISE DE CONSCIENCE TARDIVE ............................................................................ 1. Le constat svre du rapport Lasbordes de 2006 .................................................................. 2. Le rapport Romani de 2008.................................................................................................. 3. Le Livre blanc sur la dfense et la scurit nationale de 2008 .............................................. 68 68 70 70

B. DE RELLES AVANCES DEPUIS 2008.............................................................................. 71 1. La cration de lAgence nationale de la scurit des systmes dinformation ........................ 72 2. La stratgie franaise en matire de cyberdfense et de protection des systmes dinformation ...................................................................................................................... 75

-4-

3. Le passage dune posture de protection passive une stratgie de cyberdfense en profondeur .......................................................................................................................... 77 4. Les mesures prises par les diffrents ministres : lexemple du ministre de la dfense ................................................................................................................................ 79 C. NOTRE DISPOSITIF CONNAT ENCORE DIMPORTANTES LACUNES ........................... 1. Les effectifs et les moyens de lANSSI restent limits par rapport ceux dont disposent nos principaux partenaires ................................................................................... 2. La scurit des systmes dinformation nest pas toujours considre comme une priorit par les diffrents ministres .................................................................................... 3. Les entreprises et les oprateurs dimportance vitale demeurent encore insuffisamment sensibiliss la menace............................................................................... 82 83 83 85

IV. FAIRE DE LA PROTECTION ET DE LA DFENSE DES SYSTMES DINFORMATION UNE VRITABLE PRIORIT NATIONALE ET EUROPENNE..................................................................................................................... 88 A. LA NCESSIT DUNE FORTE MOBILISATION AU SEIN DE LETAT ............................ 1. Renforcer les effectifs et les prrogatives de lANSSI afin de les porter la hauteur de ceux dont disposent nos principaux partenaires europens .............................................. 2. Donner plus de force la protection et la dfense des systmes dinformation au sein de chaque ministre...................................................................................................... 3. Une doctrine publique sur les capacits offensives ?....................................................... 88 88 92 96

B. RENFORCER LE PARTENARIAT AVEC LENSEMBLE DES ACTEURS ........................... 100 1. Dvelopper le partenariat avec le secteur conomique ......................................................... 100 2. Assurer la protection des systmes dinformation des oprateurs dimportance vitale........... 105 3. Encourager la formation, soutenir la recherche et accentuer la sensibilisation..................... 106 C. POUR UNE VRITABLE POLITIQUE DE CYBERSCURIT DE LUNION EUROPENNE ...................................................................................................................... 113 1. Encourager la scurit, la confiance et la rsilience lchelle europenne ......................... 113 2. Renforcer les capacits de cyberdfense des Etats membres et des institutions europennes ........................................................................................................................ 116 3. Un enjeu majeur : Pour une interdiction totale sur le territoire europen des routeurs de cur de rseaux et autres quipements informatiques sensibles dorigine chinoise................................................................................................................ 117 CONCLUSION .......................................................................................................................... 121 LISTE DES 50 RECOMMANDATIONS .................................................................................. 122 EXAMEN EN COMMISSION................................................................................................... 129 ANNEXE I - LISTE DES PERSONNES AUDITIONNES.................................................... 149 ANNEXE II - LISTE DES DPLACEMENTS ....................................................................... 152 ANNEXE III - GLOSSAIRE ..................................................................................................... 155

-5-

LES 10 PRIORITS DU RAPPORT

Priorit n1 : Faire de la cyberdfense et de la protection des systmes dinformation une priorit nationale, porte au plus haut niveau de lEtat, notamment dans le contexte du nouveau Livre blanc et de la future loi de programmation militaire. Sinterroger sur la pertinence de formuler une doctrine publique sur les capacits offensives ; Priorit n2 : Renforcer les effectifs, les moyens et les prrogatives de lAgence nationale de scurit des systmes dinformation, ainsi que les effectifs et les moyens ddis au sein des armes, de la direction gnrale de larmement et des services spcialiss, et dvelopper une vritable politique des ressources humaines ; Priorit n3 : Introduire des modifications lgislatives pour donner les moyens lANSSI dexercer ses missions et instituer un ple juridictionnel spcialis comptence nationale pour rprimer les atteintes graves aux systmes dinformation ; Priorit n4 : Amliorer la prise en compte de la protection des systmes dinformation dans laction de chaque ministre, en renforant la sensibilisation tous les niveaux, en rduisant le nombre de passerelles entre les rseaux et lInternet, en dveloppant les systmes danalyse permettant de dtecter les attaques, ainsi quen rehaussant lautorit des fonctionnaires de scurit des systmes dinformation ; Priorit n5 : Rendre obligatoire pour les entreprises et les oprateurs dimportance vitale une dclaration dincident lANSSI en cas dattaque importante contre les systmes dinformation et encourager les mesures de protection par des mesures incitatives ; Priorit n6 : Renforcer la protection des systmes dinformation des oprateurs dimportance vitale, en rduisant le nombre de passerelles entre les rseaux et lInternet, en dveloppant les systmes danalyse, en gnralisant les audits, en rendant obligatoire la dclaration des processus et automates industriels connects Internet et en favorisant la mise en place, de manire sectorielle, de centres de dtection communs ; Priorit n7 : Soutenir par une politique industrielle volontariste, lchelle nationale et europenne, le tissu industriel des entreprises franaises, notamment des PME, spcialises dans la conception de certains produits ou services importants pour la scurit informatique et, plus largement, du secteur des technologies de linformation et de la communication, et renforcer la coopration entre lEtat et le secteur priv ; Priorit n8 : Encourager la formation dingnieurs spcialiss dans la protection des systmes dinformation, dvelopper la recherche et les activits de conseil, et accentuer la sensibilisation du public, notamment au moyen dune campagne de communication inspire de la prvention routire ; Priorit n9 : Poursuivre la coopration bilatrale avec nos principaux allis, soutenir laction de lOTAN et de lUnion europenne, engager un dialogue avec la Chine et la Russie et promouvoir ladoption au niveau international de mesures de confiance ; Priorit n10 : Interdire sur le territoire national et lchelle europenne le dploiement et lutilisation de routeurs ou dautres quipements de cur de rseaux qui prsentent un risque pour la scurit nationale, en particulier les routeurs et certains quipements dorigine chinoise.

-7-

INTRODUCTION
() un beau matin les hommes dcouvriront avec surprise que des objets aimables et pacifiques ont acquis des proprits offensives et meurtrires Qiao Liang et Wang Xiangsui La guerre hors limites, Payot et Rivages, 1999, p.58.

Mesdames, Messieurs, Le Livre blanc sur la dfense et la scurit nationale de 2008 avait dj identifi les attaques contre les systmes dinformation comme lune des principales menaces qui psent sur notre dfense et notre scurit. Daprs les rdacteurs du Livre blanc : Les moyens dinformation et de communication sont devenus les systmes nerveux de nos socits, sans lesquels elles ne peuvent plus fonctionner. Or, le cyberespace , constitu par le maillage de lensemble des rseaux, est radicalement diffrent de lespace physique : sans frontire, volutif, anonyme, lidentification certaine dun agresseur y est dlicate. La menace est multiforme : blocage malveillant, destruction matrielle (par exemple de satellites ou dinfrastructures de rseau nvralgiques), neutralisation informatique, vol ou altration de donnes, voire prise de contrle dun dispositif des fins hostiles. Dans les quinze ans venir, la multiplication des tentatives dattaques menes par des acteurs non tatiques, pirates informatiques, activistes ou organisations criminelles, est une certitude. Certaines dentre elles pourront tre de grande ampleur . Aujourdhui, le sentiment qui prdomine est que lampleur de la menace a t largement sous-estime. Comme le relve le document prparatoire lactualisation du Livre blanc, publi en fvrier 2012, depuis 2008, les risques et les menaces qui psent sur le cyberespace se sont nettement confirms, mesure que celui-ci devenait un champ de confrontation part entire avec la monte en puissance rapide du cyber espionnage et la multiplication des attaques informatiques en direction des Etats, des institutions ou des entreprises. Les risques identifis par le Livre blanc comme tant de long terme se sont donc en partie dj concrtiss et la menace atteint dsormais un niveau stratgique .

-8-

Depuis les attaques informatiques massives qui ont frapp lEstonie en 2007, il ne se passe pratiquement pas une semaine sans que lon annonce, quelque part dans le monde, une attaque informatique importante contre de grandes institutions, publiques ou prives, quil sagisse de cybercriminalit ou despionnage informatique. La France nest pas pargne par ce phnomne, puisque notre pays a t victime de plusieurs attaques informatiques denvergure, limage de lattaque contre les systmes dinformation du ministre de lconomie et des finances, dcouverte fin 2010 la veille de la prsidence franaise du G8 et du G20, ou encore de laffaire, rvle par la presse, despionnage via lInternet du groupe AREVA. Tout rcemment, la presse a rvl que mme la Prsidence de la Rpublique aurait fait lobjet dune ou de plusieurs attaque(s) informatique(s) de grande ampleur1. Pour sa part, votre rapporteur considre que, si ces attaques sont avres, la Prsidence de la Rpublique devrait le reconnatre officiellement et communiquer publiquement sur ce sujet car il ne sert rien de vouloir le cacher ou chercher minimiser les faits. Au contraire, votre rapporteur considre quil serait souhaitable que les grandes institutions qui ont t victimes dattaques informatiques communiquent publiquement sur le sujet, naturellement une fois que ces attaques ont t traites. Cest dailleurs ce que font les autorits amricaines ou britanniques. En effet, cest ses yeux le meilleur moyen de sensibiliser les administrations, les entreprises ou les utilisateurs limportance de ces enjeux. Par ailleurs, les rvlations du journaliste amricain David E. Sanger sur lorigine du virus STUXNET, qui a gravement endommag des centrifugeuses du site denrichissement duranium de Natanz, retardant ainsi de quelques mois ou quelques annes la ralisation du programme nuclaire militaire de lIran, ou encore la dcouverte rcente du virus FLAME, vingt fois plus puissant, laissent prsager lapparition de nouvelles armes informatiques aux potentialits encore largement ignores. Dans ce contexte, la France est-elle suffisamment prpare pour se protger et se dfendre face aux attaques informatiques ? Dans un rapport de 2006 remis au Premier ministre, notre ancien collgue dput M. Pierre Lasbordes dressait un constat sans complaisance des faiblesses de notre organisation et de nos moyens, notamment au regard de nos partenaires europens les plus proches. En fvrier 2008, dans un rapport dinformation prsent au nom de la commission des Affaires trangres, de la Dfense et des Forces armes du Snat, notre ancien collgue snateur M. Roger Romani estimait que la France nest ni bien prpare, ni bien organise face cette menace.

Voir larticle de M. Jean Guisnel, Cyber-attaques. Lappareil dEtat vis , Le tlgramme, 11 juillet 2012

-9-

Depuis 2008, les choses ont beaucoup volu. Grce limpulsion donne par le Livre blanc de 2008, une agence nationale de la scurit des systmes dinformation a t institue et notre pays sest dot dune stratgie nationale dans ce domaine. Pour autant, la persistance, voire laugmentation des attaques informatiques constates ces dernires annes en France semble montrer quil reste encore dimportants efforts accomplir pour renforcer la protection des systmes dinformation des administrations, des entreprises ou des oprateurs dimportance vitale et pour sensibiliser lensemble des acteurs. Cest la raison pour laquelle la commission des Affaires trangres, de la Dfense et des Forces armes du Snat a jug utile, la veille de llaboration du nouveau Livre blanc et de la future Loi de programmation militaire, de se pencher nouveau sur ce sujet et a confi votre rapporteur en octobre dernier la mission de rdiger un rapport sur la cyberdfense. Pour ce faire, votre rapporteur a eu de nombreux entretiens avec les principaux responsables chargs de la protection et de la dfense des systmes dinformation au sein de lEtat, des services de renseignement et des armes, avec des reprsentants des entreprises ou des experts1. Afin davoir une vue comparative, votre rapporteur sest galement rendu aux Etats-Unis, au Royaume-Uni, en Allemagne et en Estonie, ainsi qu Bruxelles au sige de lOTAN et auprs des institutions europennes, pour mesurer le rle de lOTAN et de lUnion europenne sur ce dossier. A cet gard, votre rapporteur tient remercier lensemble des personnalits rencontres en France ou ltranger, pour leur disponibilit et leur aide prcieuse dans llaboration de ce rapport. Votre rapporteur exprime aussi sa gratitude aux Ambassadeurs de France et leurs collaborateurs de nos reprsentations diplomatiques Washington, Londres, Berlin, Tallin et Bruxelles, auprs de lOTAN et de lUnion europenne, pour leur soutien dans lorganisation et le bon droulement de ses dplacements, ainsi quau German Marshall Fund, pour son aide dans lorganisation de sa visite aux Etats-Unis. Aprs avoir prsent un rapport dtape devant votre commission2, votre rapporteur a souhait donner dans ce rapport une vue aussi complte et objective que possible de ltat de la menace et des efforts raliss par nos partenaires pour y faire face, afin de mesurer lefficacit du dispositif mis en place par notre pays, ses lacunes ventuelles et les moyens dy remdier. Dans loptique de llaboration du nouveau Livre blanc, votre rapporteur a galement pens utile de formuler des priorits et des recommandations concrtes pour renforcer notre dispositif.
1 2

La liste des personnalits rencontres figure en annexe au prsent rapport Voir la communication de votre rapporteur devant la commission des affaires trangres, de la dfense et des forces armes du Snat en date du 22 fvrier 2012

- 10 -

En effet, comme lindique la lettre de mission adresse par le Prsident de la Rpublique, le 13 juillet dernier, M. Jean-Marie Guehenno, relative la constitution de la commission charge de rdiger le nouveau Livre blanc sur la dfense et la scurit nationale, parmi les principales menaces susceptibles de peser sur la scurit nationale dans les quinze vingt annes venir figurent les attaques contre les systmes dinformation, dorigine tatique ou non. Pour le Prsident de la Rpublique, il convient donc den tenir compte dans le cadre des rflexions qui devraient dboucher sur llaboration dun nouveau Livre blanc au dbut de lanne 2013. Mais, avant cyberdfense ? toute chose, que faut-il entendre par

On entend souvent employer indistinctement les termes de cyberscurit , de cybercriminalit , voire de cyberguerre . Aux yeux de votre rapporteur, la cyberdfense est une notion complmentaire de la cyberscurit , qui englobe la protection des systmes dinformation, la lutte contre la cybercriminalit et la cyberdfense. Pour reprendre la dfinition de lagence nationale de scurit des systmes dinformation, elle dsigne l ensemble des mesures techniques et non techniques permettant un Etat de dfendre dans le cyberespace les systmes dinformation jugs essentiels . Elle se distingue en particulier de la lutte contre la cybercriminalit , qui recouvre un champ trs vaste et que votre rapporteur a volontairement choisi dcarter de sa rflexion pour se concentrer sur les attaques informatiques susceptibles de porter atteinte aux intrts fondamentaux de la Nation et les moyens de sen protger.

- 11 -

I. LES ATTAQUES CONTRE LES SYSTMES DINFORMATION : UNE MENACE STRATGIQUE QUI SEST CONCRTISE ET ACCENTUE AU COURS DE CES DERNIRES ANNES Avec le dveloppement considrable de lInternet et des nouvelles technologies, les systmes dinformation et de communication occupent dsormais une place centrale dans le fonctionnement nos socits. Or, il apparat aujourdhui que le dveloppement des systmes dinformation et de communication et leur interconnexion croissante, dans toutes les formes dactivits, ont souvent t raliss au dtriment des exigences de scurit qui constituent en la matire une contrainte incontestable. Comme le rappelle M. Roger Romani dans son excellent rapport, la vulnrabilit des rseaux informatiques nest pas une proccupation rcente. Cest en 1988 que le premier ver informatique est apparu sur lInternet qui connaissait alors ses premiers dveloppements. Depuis lors, particuliers, entreprises ou institutions se sont familiariss avec le risque de propagation de virus altrant, parfois gravement, le fonctionnement des systmes informatiques, ou encore la prolifration des courriers lectroniques indsirables, les spams, dont certains visent obtenir frauduleusement les identifiants de connexion ou les coordonnes bancaires de lutilisateur Par rapport dautres modes daction, comme lespionnage ou la destruction physique, le recours une attaque informatique prsente de nombreux avantages, car il savre moins risqu, moins coteux et beaucoup plus discret, lidentification de son auteur tant extrmement difficile. Par ailleurs, il est complexe de se protger contre les attaques informatiques, car les techniques voluent sans cesse et il nexiste pas de parade absolue dans le cyberespace . Autre difficult, la scurit informatique est largement dpendante des comportements des utilisateurs des systmes dinformation, qui considrent souvent les rgles de scurit comme autant de contraintes. Si les risques soulevs par la cybercriminalit sur lconomie avaient dj t identifis depuis longtemps, la perception dun risque pesant plus particulirement sur la scurit des Etats est plus rcente. Elle recouvre principalement deux types de proccupations. La premire porte sur les services essentiels au fonctionnement du pays ou sa dfense, tributaires de systmes dinformation qui pourraient tre viss par des attaques tendant les paralyser. La seconde concerne la protection des informations sensibles du point de vue politique, militaire ou conomique, face des techniques dintrusion informatique de plus en plus sophistiques. Avant de tenter de dresser une typologie des attaques informatiques, des mthodes utilises et des cibles potentielles, votre rapporteur a souhait revenir brivement sur plusieurs affaires, ailleurs dans le monde et en France, qui ont mis en lumire limportance prise aujourdhui par les attaques contre les systmes dinformation.

- 12 -

A. DE TALLIN THRAN : AUCUN PAYS NEST AUJOURDHUI LABRI DES ATTAQUES INFORMATIQUES

Ces dernires annes, un grand nombre dorganisations, dEtats ou dentreprises partout dans le monde ont t victimes dattaques informatiques. Votre rapporteur a souhait illustrer ces attaques par trois exemples qui montrent bien la trs grande diversit des cibles et des mthodes utilises. 1. Le cas de lEstonie : une perturbation massive de la vie courante dun pays Les attaques informatiques ont constitu lune des manifestations de la crise survenue en Estonie la fin du mois davril 2007, la suite de la dcision des autorits de dplacer le monument rig en souvenir des combattants de larme sovitique qui avaient mis fin loccupation allemande en 1944, du centre de la capitale vers un cimetire militaire. Cette dcision fut vigoureusement conteste par le gouvernement russe, et en Estonie mme, par la communaut russophone qui reprsente prs de 30 % de la population. Le 27 avril 2007, au lendemain du dplacement du monument, dmarrait une vague dattaques informatiques visant les sites Internet gouvernementaux et publics, ceux des oprateurs de tlphonie mobile, des banques commerciales et des organes dinformation. Ces attaques par dni de service distribu (Distributed denial of service DDoS) visaient saturer, par une multitude de demandes de connexions simultanes, les sites concerns. Ceux-ci se trouvaient de ce fait inaccessibles. Les perturbations se sont poursuivies pendant prs dun mois et demi, mais elles ont culmin le 9 mai, journe au cours de laquelle 58 sites furent rendus indisponibles, certains dentre eux ayant fait lobjet de plus de 5 millions de tentatives de connexions par seconde. Il faut savoir que lEstonie figure parmi les pays du monde dans lesquels lusage de lInternet est le plus rpandu, beaucoup de services ntant accessibles quen ligne, notamment les services bancaires (95 % des oprations bancaires seffectuent par communication lectronique). Si ces attaques nont pas directement port atteinte aux systmes informatiques internes du gouvernement ni ceux du secteur priv, et notamment des banques, elles ont perturb de manire spectaculaire le fonctionnement de la vie courante du pays, en privant les usagers de laccs certains services en ligne essentiels. Elles ont galement surpris par leur soudainet, leur ampleur et leur caractre coordonn, ce qui conduit exclure la seule action dindividus isols agissant par motivation politique et utilisant des moyens disponibles sur certains sites Internet.

- 13 -

La particularit de telles attaques est quil est trs difficile den identifier les commanditaires. En effet, la technique utilise pour ces attaques est celle des rseaux de machines zombies (botnets) constitus dordinateurs compromis linsu de leur propritaire, et contrls par lauteur de lattaque. On ne peut donc en aucun cas se fier la provenance apparente des envois, puisquils manent dordinateurs qui chappent au contrle de leur utilisateur lgitime. Le contexte politique et le fait quun grand nombre de communications provenaient de Russie ont conduit les autorits estoniennes voquer une action mene par les services de renseignement russes, ce que Moscou a immdiatement dmenti. LEstonie a dailleurs sollicit laide de la Russie pour identifier la provenance de ces attaques mais elle sest heurte une fin de non recevoir de la part de Moscou. Seul un jeune tudiant estonien russophone a t identifi comme ayant pris part aux attaques et condamn. Le cas estonien illustre bien lutilisation qui peut tre faite de lattaque par dni de service titre dintimidation ou de reprsailles dans un contexte de tensions politiques. Votre rapporteur avait dj eu loccasion, en tant que Secrtaire dEtat la Dfense, de rencontrer les membres du gouvernement estonien au printemps 2008, dans le cadre de la prparation de la prsidence franaise de lUnion europenne, et il avait pu se rendre compte du profond traumatisme de la population la suite de cette attaque. Lors dun dplacement Tallin, le 28 mai 2012, loccasion de la session de printemps de lassemble parlementaire de lOTAN, votre rapporteur a pu mesurer limportance accorde la cyberdfense par les autorits estoniennes depuis cette affaire. Le Prsident de la Rpublique et le ministre estonien de la dfense ont, en effet, consacr une part importante de leur intervention devant lassemble parlementaire de lOTAN cette question et notamment au rle de lOTAN en matire de cyberdfense. Votre rapporteur a pu galement sentretenir avec le secrtaire gnral du ministre de la dfense estonien, ainsi quavec le directeur de lagence estonienne pour la scurit des systmes dinformation. Ds 2008, lEstonie sest dote dune stratgie de cyberdfense et a cr une agence nationale de la scurit des systmes dinformation. Cette agence, qui dpendait auparavant du ministre de la dfense, mais qui est aujourdhui place sous lautorit du ministre de lconomie et des communications, et qui compte 80 personnes, exerce un rle oprationnel, joue un rle de planification et de supervision. Ses attributions ont t renforces en juin 2011. 142 entreprises ou oprateurs dimportance stratgiques ont t identifis et la lgislation estonienne prvoit lobligation, sous peine damende, pour ces entreprises ou oprateurs, de notifier les incidents informatiques importants lagence. Lagence est galement charge daider les diffrentes administrations renforcer la protection de leurs systmes dinformation et met des recommandations et des conseils.

- 14 -

Les autorits estoniennes attachent aussi une grande importance la coopration internationale. Lagence estonienne et lagence nationale franaise de scurit des systmes dinformation ont dailleurs sign en 2010 un accord de coopration. 2. STUXNET : une arme informatique des Etats-Unis dirige contre le programme nuclaire militaire iranien ? Le virus informatique STUXNET a t dcouvert en juin 2010 par la socit bilorusse spcialise dans les produits de scurit informatique VirusBlokAda. Les autorits iraniennes rvlent alors quelles ont t victimes dune vaste attaque informatique visant leurs installations nuclaires. STUXNET aurait, en effet, endommag le racteur de la centrale nuclaire de Busher et dtruit un millier de centrifugeuses du site denrichissement duranium de Natanz. Selon certaines sources, cette attaque aurait permis de retarder de six mois deux ans, le programme nuclaire militaire de lIran. Dcrit lpoque comme larme cyberntique la plus sophistique jamais dploye 1 ou comme une cyber arme de destruction massive STUXNET est un virus informatique qui a t calibr pour sattaquer un logiciel informatique bien spcifique, mis au point par Siemens et utilis dans diffrentes installations industrielles. Il sagit de ce que les spcialistes appellent un SCADA (Supervisory, control and data acquisition), c'est--dire un systme de contrle et de supervision de processus industriels, utilis dans des domaines tels que la distribution dnergie ou la rgulation des transports. Si de tels systmes ne sont gnralement pas relis directement lInternet, il suffit dintroduire volontairement ou non - un tel virus dans le systme par exemple grce une cl USB infecte. Prsent dans le systme, le ver reniflerait dabord le systme dexploitation et ne sattaquerait celui-ci que si celui-ci correspond aux critres de cible, rendant de ce fait sa dtection difficile. Une fois sa cible repre, STUXNET reprogramme le SCADA afin de saboter linstallation industrielle. Dans le cas iranien, ce programme malveillant a cibl les centrifugeuses du site denrichissement duranium de Natanz, en modifiant leur vitesse de rotation jusqu ce quelles soient hors dusage. Il aurait ainsi dtruit environ un millier de centrifugeuses sur cinq mille. Ces dgts ont t observs par lAgence internationale de lnergie atomique (AIEA) au moment o le site tait en activit. Paralllement, il a perturb les systmes numriques dalerte, daffichage et darrt, qui contrlent les centrifugeuses, rendant de ce fait ces systmes aveugles ce qui se passait.
Israeli Test on Worm Called Crucial in Iran Nuclear Delay par William J. Broad, John Markoff et David E. Sanger, publi dans le journal The New York Times, 15 janvier 2011
1

- 15 -

A la suite dune erreur de manipulation, STUXNET se serait rpandu sur lInternet, infectant plus de 100 000 ordinateurs dans le monde, dont plus de la moiti situs en Iran, permettant ainsi de lidentifier. Si de forts soupons pesaient dj sur les Etats-Unis et Isral, ces intuitions ont t confirmes par les rvlations du journaliste amricain David E. Sanger dans un article du New York Times du 1er juin et dans un ouvrage publi le 5 juin dernier1, intitul Confront and Conceal : Obamas Secret Wars . Dans son livre, particulirement bien document, David E. Sanger dcrit en dtail comment STUXNET aurait t conu puis utilis par lagence amricaine de scurit nationale (NSA), avec la collaboration de larme isralienne (dont lunit 8 200 de Tsahal), dans le cadre dune opration baptise Olympic Games ( Jeux Olympiques ). Initie par le Prsident George W. Bush en 2006 et intensifie ensuite par le Prsident Barack Obama, cette opration aurait t dirige contre le programme nuclaire militaire de lIran. Mme si les autorits amricaines nont pas confirm ces rvlations, la premire raction de ladministration prsidentielle a t douvrir une enqute criminelle pour identifier les auteurs de la fuite, ce que certains journalistes ont interprt comme un aveu implicite. La publication du livre de David E. Sanger, en pleine campagne prsidentielle, a soulev une vaste polmique aux Etats-Unis, qui curieusement portait moins sur la lgitimit, au regard du droit international, de dvelopper et dutiliser des cyberarmes lencontre dun autre Etat, et dencourager ainsi les pirates informatiques , dautres organisations ou Etats se doter et utiliser de telles armes informatiques, que sur les origines de cette fuite. Pour lancien directeur de la CIA, Michael Hayden, STUXNET est la premire attaque majeure de cette nature qui parvient entraner des destructions physiques affectant une infrastructure importante (). Quelquun a franchi le Rubicon. Je ne veux pas dire que nous allons assister aux mmes consquences, mais, dune certaine manire, nous sommes un petit peu en aot 1945 . 3. FLAME : un vaste dispositif despionnage informatique ? Le 28 mai 2012, lditeur russe de logiciels anti-virus Kaspersky Lab a annonc dans un communiqu avoir identifi un nouveau virus informatique, vingt fois plus puissant que STUXNET, baptis FLAME2.

David E. Sanger, Confront and Conceal : Obamas Secret Wars and Surprising Use of American Power, Crown Publishing Group, 5 juin 2012 2 Voir notamment larticle dYves Eudes FLAME virus espion dEtat paru dans le journal Le Monde du 20 juin 2012

- 16 -

Laffaire a dbut lorsquau dbut du mois de mai, lUnion internationale des tlcommunications (UIT), institution spcialise des Nations Unies, a t sollicite par plusieurs pays du Moyen-Orient dont les installations ptrolires avaient subi des attaques informatiques massives ayant abouti au vol et leffacement soudain dun nombre lev de donnes stockes dans leurs systmes dinformation. Ainsi, en avril dernier, la suite de linfection par un logiciel malveillant particulirement sophistiqu, les autorits iraniennes avaient t contraintes dinterrompre la connexion lInternet du rseau informatique du terminal de lle de Kharg, par lequel transitent environ 90 % des exportations du ptrole iranien. Mandate par lUIT, la socit russe Kapsersky Lab, ainsi que le laboratoire hongrois CrySys de luniversit de technologie de Budapest, dcouvrent alors un virus informatique dune puissance jusqualors indite. A la diffrence de STUXNET, qui visait entraver et dtruire le fonctionnement des systmes de type SCADA, FLAME serait un type trs complexe de logiciel malveillant visant infiltrer un ordinateur linsu de son utilisateur pour en prendre le contrle, collecter des informations ou effacer des fichiers. FLAME serait ainsi un logiciel malveillant conu des fins despionnage, vingt fois plus volumineux que STUXNET1 et cent fois plus quun logiciel malveillant classique , dont la complexit et la fonctionnalit dpassent toutes les autres cybermenaces connues ce jour . Selon les spcialistes, il serait comparable une bote outils , comprenant une large panoplie de logiciels ayant chacun leur spcialit, qui travailleraient en secret, sans perturber le fonctionnement de lordinateur. Il serait en mesure didentifier et de recopier nimporte quel type de fichier, de lire les courriels, de mmoriser chacune des frappes sur le clavier, de raliser des captures dcran, denregistrer les conversations et de filmer lenvironnement en activant lui-mme le micro de lordinateur ou la webcam. Il serait mme capable de dclencher lmetteur-rcepteur sans fil pour communiquer avec des ordinateurs portables ou des ordiphones situs proximit. FLAME viserait en premier lieu les ordinateurs quips du systme dexploitation Windows de Microsoft. Grce des certificats de scurit fabriqus laide de vulnrabilits dans des algorithmes cryptographiques, il se ferait passer pour une mise jour de Windows. Contrairement STUXNET, il ne se propagerait pas automatiquement sur le rseau, mais seulement au coup par coup, sur dcision dun serveur de commande et de contrle , afin dviter une prolifration anarchique qui augmenterait le risque de dtection. Une quinzaine de ces serveurs de commande et de contrle auraient t identifis, notamment en Europe et en Asie. Certains spcialistes estiment que FLAME serait actif depuis au moins deux ans mais
1

Le volume du virus FLAME serait de 20 mga-octets, contre 1 mga-octet pour STUXNET

- 17 -

dautres voquent une priode plus longue, de cinq ans. Avant de transmettre les donnes collectes aux serveurs de commande et de contrle, le virus FLAME scuriserait ses communications, grce un chiffrement intgr. Une autre particularit du virus FLAME tiendrait au fait quil serait dot dune fonction suicide : ds quil aurait rempli sa mission, il sautodtruirait. Le 10 juin dernier, la socit amricaine de scurit informatique Symantec a assur que le virus FLAME avait reu lordre de disparatre sans laisser de trace . Daprs la socit Kaspersky, plus de 1000 ordinateurs auraient t recenss comme infects, dbut juin, principalement dans les pays du Proche et du Moyen Orient, notamment en Iran, dans les territoires palestiniens, en Syrie, au Liban, en Arabie Saoudite, aux Emirats arabes unis et en gypte, mais aussi au Soudan ou dans dautres pays. Des traces de FLAME ont t dcouvertes sur des ordinateurs situs dans des administrations, des oprateurs ou des entreprises, des universits, mais aussi sur des ordinateurs personnels de cadres travaillant dans des secteurs sensibles. Mme si ses objectifs demeurent inconnus ce jour, il semblerait que FLAME rechercherait en particulier les fichiers de type AutoCAD, qui sont utiliss pour les dessins industriels, les plans darchitecte, etc. Compte tenu de la complexit de FLAME, et mme sil est trs difficile didentifier son auteur, les spcialistes considrent quun tel virus na pu tre conu que par un Etat et de forts soupons psent sur les Etats-Unis. Pour Eugne Kaspersky, fondateur de la socit ponyme, FLAME reprsente une nouvelle tape dans la cyberguerre . Daprs lui, il faut bien comprendre que de telles armes peuvent tre facilement utilises contre nimporte quel pays. Et contrairement la guerre conventionnelle, les pays les plus dvelopps sont ici les plus vulnrables .
B. LA FRANCE NEST PAS PARGNE PAR CE FLAU

Le Livre blanc sur la dfense et la scurit nationale de 2008 avait mis laccent sur le risque dune attaque informatique de grande ampleur en France dans les quinze prochaines annes, dorigine tatique ou non, laissant prsager un potentiel trs lev datteintes la vie courante, de paralysie de rseaux critiques pour la vie de la Nation, ou de dni de fonctionnement de certaines capacits militaires. Aujourdhui, on peut avoir le sentiment que le principal risque porte moins sur une attaque informatique massive visant perturber les fonctions vitales du pays, que sur lespionnage informatique, qui est un phnomne moins visible mais tout aussi inquitant. En effet, avec lespionnage informatique, notre pays, comme dautres pays dans le monde, est menac par un pillage systmatique de son patrimoine diplomatique, culturel, scientifique et conomique.

- 18 -

Comme cela a t confirm votre rapporteur par les reprsentants des organismes publics chargs de la scurit des systmes dinformation, les administrations franaises, les entreprises ou les oprateurs font aujourdhui lobjet de manire quotidienne de plusieurs millions de tentatives dintrusion dans les systmes dinformation. Si la plupart de ces attaques informatiques sont dtectes et arrtes avant de parvenir pntrer dans les systmes, grce aux mesures de protection mises en place, comme les anti-virus ou les pare-feux, il arrive que certaines dentre-elles parviennent contourner les mesures de protection et chappent la vigilance des responsables de la scurit informatique. Ces dernires annes, de nombreux organismes, publics ou privs, ont ainsi t victimes dans notre pays dattaques informatiques, limage du ministre des affaires trangres, du ministre de la dfense ou encore du Commissariat lnergie atomique. Comme le note le document prparatoire lactualisation du Livre blanc, les attaques informatiques contre les systmes dinformation des Etats et des entreprises, et plus particulirement de celles qui appartiennent des secteurs dactivit stratgiques, se sont multiplies. Ces attaques portent atteinte aux donnes sensibles (technologiques, commerciales, scientifiques, etc.) de leurs cibles. Elles sont souvent de grande ampleur, rsultant dune longue prparation et dun ciblage prcis. Elles peuvent ncessiter, pour leur mise en uvre, des moyens dont seul un Etat ou une organisation importante et dtermine sont capables de disposer . Votre rapporteur a choisi dillustrer les menaces pesant sur notre pays au travers de trois exemples dattaques informatiques, de nature et aux objectifs trs diffrents. 1. La perturbation de sites institutionnels : lexemple du Snat Peu avant ladoption par le Parlement franais, le 31 janvier dernier, de la loi visant rprimer la contestation des gnocides reconnus par la loi, dont le gnocide armnien1, de nombreux sites institutionnels, limage du site Internet de lAssemble nationale ou les sites de plusieurs dputs, ont t rendus inaccessibles la suite dattaques informatiques. Votre rapporteur a pens utile de dcrire lattaque subie cette occasion par la Haute assemble. Le dimanche 25 dcembre, le service informatique du Snat a, en effet, t alert par plusieurs fonctionnaires qui staient rendus compte que le site Internet de la Haute assemble ntait plus accessible. Ds le lendemain matin, les informaticiens ont constat que le Snat avait t victime de ce que les spcialistes appellent une attaque par dni de service . Par des moyens techniques, et notamment grce une copie du site Internet du Snat sur un
cette loi a t dclare contraire la Constitution par le Conseil constitutionnel dans sa dcision du 28 fvrier 2012
1

- 19 -

autre serveur, dune capacit de rsistance suprieure, il a t possible de rendre le site Internet de la Haute assemble nouveau accessible ds le lundi 26 dcembre aprs midi. A limage du cas de lEstonie en 2007, ces attaques par dni de service (Denial of service DOS) visent saturer un ordinateur ou un systme en rseau sur internet en dirigeant vers lui un volume considrable de requtes. On parle galement de dni de service distribu (Distributed denial of service DDOS) pour des attaques fonctionnant sur le mme principe, mais dont leffet est dmultipli par lutilisation dordinateurs compromis et dtourns linsu de leurs propritaires. La masse de requtes qui parvient simultanment sur un mme systme dpassant ses capacits, celui-ci nest plus en mesure de fonctionner normalement. La paralysie dun systme dinformation par ce type dattaques est relativement facile obtenir lorsquil sagit dun service accessible au public sur le rseau internet, limage du site Internet du Snat. Dans le cas du Snat, lattaque informatique, assez rudimentaire, et ayant mobilis un nombre relativement faible dordinateurs, a eu pour effet de saturer, par un nombre trs lev de requtes, laccs au site Internet de la Haute assemble pendant plusieurs heures.

Comme on peut le voir sur le graphique ci-dessus, qui reprsente la bande passante du rseau Internet du Snat, la saturation a brutalement commenc peu aprs 6 heures du matin le dimanche 25 dcembre et sest acheve le lundi 26 dcembre aprs midi. Mme si ces attaques informatiques ont t ouvertement revendiques par des groupes de hackers patriotiques turcs, limage des groupes GrayHatz et Millikuvvetler , et par dautres hackers indpendants, il est trs difficile didentifier prcisment lauteur de ces attaques. En effet, ces groupes ont recours des botnets , cest--dire des rseaux de machines compromises et utilises linsu de leurs propritaires. Dans le cas du Snat, la provenance des attaques informatiques ayant abouti la saturation du site Internet tait trs diversifie puisquelles provenaient dordinateurs situs partout dans le monde. Si, depuis cette affaire, des mesures ont t prises au Snat afin de renforcer la protection des systmes, il nen demeure pas moins que les attaques par dni de service visant un site Internet ouvert au public sont trs difficiles viter et quil nexiste pas de parade absolue.

- 20 -

2. Lattaque informatique ayant vis le ministre de lconomie et des finances Fin dcembre 2010, alors que la France vient de prendre la prsidence du G8 et du G20, les services du ministre de lconomie et des finances sont alerts par leurs correspondants trangers de manifestations anormales dans leurs systmes dinformation. En effet, dans la nuit du 30 au 31 dcembre 2010, puis dans la nuit du 31 dcembre au 1er janvier 2011, des courriels contenant une pice jointe pige semblant provenir dinterlocuteurs habituels de la direction du Trsor arrivent destination de leurs correspondants trangers du G20, qui dcouvrent ces pices jointes et en alertent immdiatement leurs collgues franais. Le ministre de lconomie et des finances dcide alors de saisir lAgence nationale de la scurit des systmes dinformation (ANSSI), qui envoie une trentaine de ses agents dans les locaux de Bercy. Pendant prs de deux mois environ, les quipes de lANSSI et de Bercy sefforcent de pendre la mesure de la situation : Que se passe-t-il exactement ? Sommes-nous en prsence dune attaque informatique cause par un programme malveillant et de quel type ? Combien et quels sont les ordinateurs infects ? Cette premire phase seffectue dans la plus grande discrtion car, afin de prendre la mesure exacte de lampleur de lattaque informatique, il est ncessaire de surveiller les mouvements de lattaquant sans veiller ses soupons. Au cours de cette premire phase, il est apparu que le ministre de lconomie et des finances avait t victime dune intrusion informatique mene laide doutils dattaques informatiques, principalement des logiciels espions, introduits par le biais dun cheval de Troie . Les logiciels espions sont gnralement dposs sur les postes des utilisateurs par le biais de chevaux de Troie prenant la forme de pices jointes ou de pages web piges, dapparence inoffensives, souvent personnalises pour contourner la vigilance de lutilisateur. Une fois installs, ces programmes malveillants ouvrent une porte drobe sur lordinateur infect permettant aux attaquants de se connecter distance sur les postes infects pour y intercepter des frappes claviers et des communications rseaux et surtout procder des exfiltrations de documents sensibles vers des serveurs distants. La sophistication de certains de ces programmes permet de fractionner les exfiltrations, afin de les rendre moins dtectables dans le flux normal de communication. Enfin, il est possible, partir dun ordinateur dinfecter dautres ordinateurs, voire de prendre le contrle de la totalit du systme, en se dotant des prrogatives dun super administrateur du rseau.

- 21 -

Si des logiciels espions peuvent tre utiliss dans le cadre dattaques dampleur ralises des fins de fraude bancaire, dans le cas de Bercy, les attaques dcouvertes semblent similaires des attaques pour lesquelles les soupons staient ports sur la Chine. Comme cela est souvent le cas avec ce type dattaques cibles, les logiciels espions utiliss nont pas t dtects par les nombreux anti-virus du march mais auraient pu ltre si des dispositifs de surveillance spcifiques avaient t dploys. Par ailleurs, un certain nombre dutilisateurs taient dots du statut d administrateur de leurs postes de travail et pouvaient ainsi installer librement des applications. Les quipements de scurit, notamment la passerelle daccs Internet, ntaient pas correctement configurs et les journaux dvnements (les logs ) quils gnrent ntaient pas vrifis. Le responsable informatique ne disposait daucune cartographie gnrale du rseau et il a fallu plusieurs semaines pour identifier toutes les passerelles vers lInternet. Lors de cette premire phase danalyse, environ 150 ordinateurs infects ont t identifis, principalement au sein de la direction gnrale du Trsor et de ladministration centrale, ce qui reprsente un pourcentage relativement faible au regard des 170 000 ordinateurs que compte le ministre. En revanche, aucune activit suspecte na t dcouverte sur les systmes dautres directions, comme la direction gnrale des finances publiques par exemple. Si aucune donne caractre personnel na t collecte, il y a de fortes probabilits pour que des documents relatifs notamment la prsidence franaise du G8 et du G20 aient t drobs et exfiltrs. Par ailleurs, si cette attaque a t dcouverte au dbut de lanne 2011 et que la direction gnrale du Trsor, direction du ministre en charge de la prsidence franaise du G8 et du G20 tait principalement vise, il semblerait, daprs plusieurs articles de presse, que lorigine de cette attaque informatique soit bien antrieure, certains journalistes ayant voqu une dure de plusieurs semaines, voire plusieurs mois. En tout tat de cause, cette attaque a t qualifie de premire attaque contre lEtat franais de cette ampleur et cette chelle par le directeur gnral de lANSSI, M. Patrick Pailloux. Comme il la indiqu, sans toutefois citer nommment un pays, ces attaques sont luvre de professionnels qui ont agi avec des moyens importants ncessitant prparation et mthode . Si la caractristique de ces techniques dintrusion est leur furtivit, qui les rend difficilement dcelables grce des outils de dissimulation de leur activit (rootkits) et quil est toujours difficile didentifier prcisment la provenance de ces attaques, de forts soupons se portent, toujours daprs la presse, vers la Chine1.

Voir cet gard larticle paru dans le magazine Paris Match , du 7 mars 2011

- 22 -

En effet, certains indices peuvent laisser penser que des agences officielles, ou du moins des officines chinoises, sont lorigine de ces attaques. Le ministre des finances du Canada avait lui-aussi t victime dune attaque informatique en 2010 dans le cadre de sa prsidence du G20, et les autorits canadiennes avaient publiquement mis en cause la responsabilit de la Chine dans ces attaques. Ce nest dailleurs pas la premire fois que la Chine est souponne dtre lorigine dintrusions informatiques sur des sites gouvernementaux des fins despionnage, comme en tmoignent les attaques informatiques dont ont t victimes plusieurs pays occidentaux au cours des annes 2006 et 2007, attaques qualifies lpoque par la presse d attaques chinoises , qui avaient notamment vis en France le ministre des affaires trangres ou le Commissariat lnergie atomique. A lpoque, les autorits franaises avaient indiqu que ces attaques avaient transit par la Chine, tout en restant prudentes sur leur origine exacte qui navait pas pu tre tablie. En effet, si les serveurs ayant contrl les attaques taient localiss en Chine, on ne peut exclure quils aient simplement servi de relais. La particularit de ces attaques est en effet de procder par rebonds, en utilisant une succession dadresses intermdiaires pour mieux en dissimuler lorigine. Plus rcemment, daprs un article du Washington Post, plus de 70 organisations, dont lONU, auraient t victimes despionnage informatique et, l encore, la presse a voqu une probable responsabilit de la Chine. Au total, la premire phase du traitement de lattaque informatique contre Bercy, qui a dur environ deux mois, a permis danalyser les codes malveillants et de dterminer lensemble des mesures mettre en uvre. Lors dune deuxime phase, mene lors du week-end des 5-6 mars 2011, afin de ne pas perturber le fonctionnement du ministre, et sous couvert dune opration de maintenance informatique, lensemble des systmes et rseaux informatiques du ministre ont t interrompus, dans le cadre dune vaste opration de reconstruction et dassainissement des systmes, qui a concern environ 12 000 postes de travail et qui sest prolonge pendant environ six semaines. Lensemble des ordinateurs infects ont t remplacs et des mesures ont t mises en place afin dassurer une meilleure protection des systmes dinformation. Au cours dun entretien particulirement intressant avec le Secrtaire gnral de Bercy, votre rapporteur a pu mieux mesurer limportance du rle de lANSSI et des efforts raliss par le ministre de lconomie et des finances pour faire face aux consquences de cette attaque informatique. Depuis cette affaire et grce limplication de son Secrtaire gnral, le ministre de lconomie et des finances a mis en uvre un plan trs complet de scurisation de son systme dinformation sur un primtre beaucoup plus large que celui qui avait t vis par lattaque.

- 23 -

Ce plan sinspire trs fortement des recommandations de lANSSI et sa mise en uvre fait lobjet dun suivi attentif au niveau des directions. Vis-vis des agents, la principale difficult a t de leur faire accepter les mesures de restriction relatives aux accs Internet. Par exemple, alors quil existait auparavant une liste noire de sites Internet dont la consultation tait interdite, elle a t remplace par une liste blanche contenant les seuls sites Internet dont laccs est autoris. Paralllement, laccs Twitter a t supprim. Selon les dernires informations recueillies par votre rapporteur, parmi les 500 recommandations de lANSSI, les recommandations prioritaires de lANSSI ont t mises en uvre tandis que le dploiement des autres sapplique progressivement sur les 170 000 postes de travail. Cependant, une grande vigilance reste de mise. Comme la soulign le Secrtaire gnral du ministre de lconomie et des finances, M. Dominique Lamiot lors dun entretien avec votre rapporteur : Fort classiquement, plus on sloigne dans le temps dune crise, plus la tentation de desserrer les contraintes de scurit saccrot. Cest en cela quil est de notre responsabilit de trouver le bon quilibre entre scurit et qualit de service aux utilisateurs . Enfin, votre rapporteur regrette que, malgr la prsence au sein du ministre de lconomie et des finances de nombreux corps dinspection, aucune enqute interne nait t diligente la suite de cette affaire pour dterminer dventuelles responsabilits et quaucune valuation nait t faite du prjudice politique, diplomatique et financier de cette attaque. 3. Lespionnage via lInternet des entreprises : le cas dAREVA Comme lont confirm votre rapporteur les reprsentants des administrations publiques en charge de la scurit des systmes dinformation, les entreprises franaises sont aujourdhui massivement victimes dattaques informatiques non dtectes, qui visent notamment capturer des informations portant sur leurs dirigeants, leurs clients et leurs fournisseurs, leurs technologies ou encore leurs contrats ou leurs stratgies, notamment lexport. Sil nexiste pas de donnes chiffres, tout laisse penser que le prjudice subi par ces entreprises, et par voie de consquence, sur lconomie franaise dans son ensemble, est considrable, tant en termes financiers et de parts de marchs, que demplois. Certains indices, tels que le mode opratoire et les techniques utilises, les secteurs dactivit auxquelles appartiennent les entreprises vises, laissent penser que certaines attaques relvent dune stratgie cible, qui ne peut tre luvre que dorganisations structures, voire de services tatiques trangers, limage de services de renseignements.

- 24 -

A cet gard, lattaque informatique subie par le groupe AREVA, qui a t rvle par la presse, offre une bonne illustration des risques lis lespionnage informatique des entreprises. Le 29 septembre 2011, le magazine LExpansion a rvl, en effet, que le groupe nuclaire franais AREVA avait t victime dune attaque informatique de trs grande ampleur1. Selon cet article, ces intrusions ntaient pas nouvelles. Elles dureraient depuis deux ans et ne toucheraient pas seulement la France, mais aussi les sites trangers dAREVA . Il est indiqu que des hackers auraient, durant ces deux dernires annes, russi pntrer le rseau informatique du groupe et prendre le contrle dordinateurs . Larticle voque aussi des prjudices sur le plan stratgique, ce qui pourrait signifier le vol de secrets industriels . Enfin, lauteur voque dans son article une origine asiatique . A la suite de la rvlation de cette affaire, votre rapporteur sest longuement entretenu avec les reprsentants du groupe AREVA. Ceux-ci ont prsent votre rapporteur la manire dont cette attaque a t dcouverte et les mesures mises en place, avec laide de lANSSI, pour y faire face et renforcer la protection des systmes dinformation du groupe. Comme cela arrive frquemment dans ce type daffaires, lattaque a t dcele partir dun incident informatique relativement mineur un signal faible disent les spcialistes un informaticien ayant signal un mouvement inhabituel et trange sur le rseau de gestion. La direction de lentreprise a immdiatement saisi lANSSI et la direction centrale du renseignement intrieur, qui ont envoy des quipes la direction des systmes dinformation du groupe. La forte implication personnelle des dirigeants du groupe a permis dtablir une relation de confiance et de confidentialit avec lEtat et de manifester une forte volont et autorit en matire de rtablissement des systmes et de mesures de protection. En revanche, afin de ne pas veiller les soupons des attaquants et mettre en difficult lentreprise, il a t dcid de ne pas rendre publique cette intrusion. La gestion de cette crise a ensuite suivi, limage de laffaire de Bercy, une procdure en plusieurs tapes. Dans une premire phase, les quipes se sont attaches analyser les caractristiques de lattaque et le comportement de lattaquant. Ils ont ensuite repr les machines infectes et ont prpar un plan de dfense destin lradication de lattaque et la reconstruction des composants affects du systme dinformation. Comme dans le cas de lattaque informatique subie par le ministre de lconomie et des finances, il est apparu quAREVA avait t victime dune
Charles Haquet, Areva victime dune attaque informatique de grande ampleur , publi dans LExpansion , le 29 septembre 2011
1

- 25 -

intrusion informatique, mene grce un cheval de Troie , qui a permis aux attaquants daccder des composants de type bureautique du systme dinformation. En revanche, les systmes industriels pilotant les activits sensibles des installations nuclaires nont pas t affects, tant par ailleurs totalement isols par conception et construction. Lors dune deuxime phase, minutieusement prpare, les quipes dAREVA, de lANSSI et de prestataires privs ont procd un vaste plan dassainissement de lensemble des systmes dinformation du groupe. Au cours de cette phase simultane une opration de maintenance planifie, il a t procd la mise en uvre dun plan de renforcement de la scurit des systmes. Dans les semaines qui ont suivi, des mesures de scurit complmentaires de mme nature que celles recommandes Bercy ont t apportes. Elles ont entran une modification des habitudes des utilisateurs, mais la direction informatique du groupe, soutenue par sa hirarchie, a su imposer les choix ncessaires. Au total, le cot pour lentreprise de cette opration dassainissement et de reconfiguration dune partie de son systme dinformation a t de lordre de plusieurs millions deuros, sans prendre en compte le prjudice conomique ventuel rsultant du vol des informations. Lors de leur entretien avec votre rapporteur, les reprsentants dAREVA ont rendu hommage aux trs grandes comptences professionnelles de lANSSI et la qualit de leur collaboration.
C. UNE MENACE PROTIFORME

La menace reprsente par les attaques contre les systmes dinformation se caractrise par sa trs grande diversit, quil sagisse des techniques utilises, des cibles vises ou de leurs auteurs prsums. 1. Les principaux types dattaques informatiques Dans son rapport dinformation, notre ancien collgue M. Roger Romani distingue trois modes principaux de guerre informatique : - la guerre par linformation , qui utilise le vecteur informatique dans un but de propagande, de dsinformation ou daction politique ; - la guerre pour linformation , qui vise pntrer les rseaux en vue de rcuprer les informations qui y circulent ou y sont stockes ; - la guerre contre linformation , qui sattaque lintgrit de systmes informatiques pour en perturber ou en interrompre le fonctionnement.

- 26 -

On peut galement classer les diffrents types dattaques contre les systmes dinformation en trois catgories selon leurs objectifs : - les attaques visant dstabiliser des particuliers, des entreprises ou des Etats, par la perturbation de sites Internet ou encore par laltration ou la rvlation de donnes obtenues via les systmes dinformation ; - les attaques ayant pour objectif despionner des particuliers, des entreprises ou des Etats afin de sapproprier leurs ressources ; - les attaques visant saboter ou dtruire des ressources informatiques ou des quipements matriels. Les attaques de saturation par dni de service, le vol ou laltration de donnes grce un logiciel malveillant et la destruction dun systme par un virus informatique constituent trois types dattaques informatiques largement utilises aujourdhui. Les attaques par dni de service Les attaques par dni de service (Denial of service DOS) visent saturer un ordinateur ou un systme en rseau sur internet en dirigeant vers lui un volume considrable de requtes. Lagresseur peut nutiliser quun seul ordinateur, mais ce cas de figure est rare en pratique. Le plus souvent, il fera appel un nombre important dordinateurs compromis, runis dans un rseau de zombies ( botnets ). On parle alors de dni de service distribu (Distributed denial of service DDOS) pour des attaques fonctionnant sur le mme principe, mais dont leffet est dmultipli par lutilisation dordinateurs compromis et dtourns linsu de leurs propritaires. Les vnements dEstonie en 2007 en constituent lexemple type. La masse de requtes qui parvient simultanment sur un mme systme dpassant ses capacits, celui-ci nest plus en mesure de fonctionner normalement. Les botnets dsignent les rseaux de machines compromises (ou machines zombies ) qui sont aux mains dindividus ou de groupes malveillants (les matres ) et leur permettent de transmettre des ordres tout ou partie des machines et de les actionner leur guise. Le botnet est constitu de machines infectes par un virus informatique contract lors de la navigation sur internet, lors de la lecture dun courrier lectronique (notamment les spams) ou lors du tlchargement de logiciels. Ce virus a pour effet de placer la machine, linsu de son propritaire, aux ordres de lindividu ou du groupe situ la tte du rseau. On estime aujourdhui que le nombre de machines infectes passes sous le contrle de pirates informatiques est considrable. Il pourrait atteindre le quart des ordinateurs connects linternet, soit environ 150 millions de machines. Le dtenteur du rseau est rarement le commanditaire de lattaque. Il monnaye sa capacit denvoi massive des clients anims de proccupations diverses. La constitution de tels rseaux est ainsi utilise en

- 27 -

vue de lenvoi de courriers lectroniques non dsirs (spams) des fins publicitaires ou frauduleuses, ou encore afin de drober des informations personnelles de la cible vise. Lattaque par dni de service nest quune des applications possibles. Son corollaire est le chantage au dni de service, c'est-dire lextorsion de fonds auprs des entreprises ou organismes en change dune leve des attaques de saturation. La paralysie dun systme dinformation par ce type dattaques est relativement facile obtenir lorsquil sagit dun service accessible au public sur le rseau Internet. Comme le relve la note dinformation de lANSSI consacre ce sujet, la lutte contre les dnis de service est souvent une affaire de rapport de forces et, dfaut de pouvoir les empcher, la victime potentielle peut prendre des dispositions pour en attnuer les effets sur ses processus 1. La vulnrabilit des rseaux internes, en principe non accessibles de lextrieur, est moindre, mais elle est lie au degr dtanchit entre ces rseaux et lInternet. Or les systmes dinformation internes sont de plus en plus ouverts pour rpondre aux besoins de mobilit des personnels et de communication avec des partenaires extrieurs. Le vol ou laltration de donnes Le vol ou laltration de donnes contenues sur des rseaux informatiques peuvent tre raliss par des moyens varis. Les plus simples reposent sur lintervention humaine, soit par intrusion, soit par le jeu de complicits internes, soit par le vol dquipements (notamment les ordinateurs portables). Les plus sophistiqus font appel des techniques dcoute des flux dinformation ou dinterception des rayonnements mis par les quipements et qualifis, dans cette hypothse, de signaux compromettants . Sagissant des intrusions sur les systmes dinformation par des voies informatiques, lune des techniques utilises est celle du cheval de Troie , c'est--dire dun programme informatique ou dun fichier comportant une fonctionnalit cache connue de lattaquant seul et lui permettant de prendre le contrle de lordinateur compromis, puis de sen servir linsu de son propritaire. Un cheval de Troie se cache en gnral dans un programme daspect inoffensif ou usuel, et son activation implique lintervention de lutilisateur (ouverture dune pice jointe, utilisation dun lien de connexion un site internet). A la diffrence des virus propags une trs grande chelle, les chevaux de Troie constituent le plus souvent des attaques cibles, adaptes la victime choisie, qui ne peuvent tre dtectes automatiquement par les antivirus. Ils sinstallent durablement sur la machine compromise. Cette technique peut tre utilise pour intgrer lordinateur vis dans un rseau de machines compromises (botnet).
1

Note dinformation du CERTA, Dnis de service Prvention et raction , 27 janvier 2012

- 28 -

Elle couvre aussi les diffrents modes dintrusion ayant pour but daccder aux informations contenues dans lordinateur, voire de les modifier. Peuvent ainsi tre installs des programmes enregistrant la frappe de lutilisateur sur le clavier ( keylogger ) en vue de rcuprer des donnes confidentielles (mots de passe, coordonnes bancaires) et le contenu des fichiers crs, ainsi que des logiciels espions ( spyware ) permettant de transmettre des tiers des informations sur les usages habituels des utilisateurs du systme, par exemple ses donnes de connexion. Il est galement possible par ce biais de transfrer vers un ordinateur extrieur les fichiers stocks dans lordinateur compromis. La sophistication de ces programmes permet de fractionner ces envois afin de les rendre moins dtectables dans le flux normal de communication. Enfin, il est possible par ce biais de sintroduire dans dautres ordinateurs utilisant le mme rseau, voire de prendre le contrle de lensemble du rseau en usurpant les droits des administrateurs. La caractristique de ces techniques dintrusion est leur furtivit, qui les rend difficilement dcelables, grce des outils de dissimulation dactivit (rootkits). Il est noter que linstallation de tels programmes malveillants peut aussi bien seffectuer par dautres moyens, par exemple le branchement par la personne vise dun priphrique (clef USB, assistant personnel) qui aura t pralablement infect. De ce point de vue, lusage de plus en plus rpandu dquipements mobiles (comme des ordinateurs portables, des ordiphones ou des tablettes) ou dordinateurs personnels pour un usage professionnel constituent des risques supplmentaires pour lintgrit des rseaux. Leur connexion un rseau interne aprs avoir t infects lextrieur rend inoprants les dispositifs de scurit tels que les pare-feux. Enfin, lexternalisation de certains traitements informatiques reprsente un risque potentiel ds lors que les prcautions ncessaires ne sont pas prises vis--vis des sous-traitants quant la protection de donnes sensibles, notamment pour les services gouvernementaux. Ainsi, le Cloud computing (ou informatique en nuage ), qui consiste dporter sur des serveurs distants des stockages et des traitements informatiques traditionnellement localiss sur des serveurs locaux ou sur le poste de lutilisateur, ce qui permet aux utilisateurs ou aux entreprises de dlocaliser et de mutualiser la gestion de leur systme informatique, prsente des risques majeurs du point de vue de la scurit informatique. Les attaques visant dtruire Certaines attaques informatiques visent perturber gravement voire dtruire les systmes dinformation. On parle ainsi parfois de vritables armes informatiques . Cest notamment le cas de STUXNET qui est parvenu causer des dgts assez considrables en dtruisant notamment des centrifugeuses utilises pour lenrichissement de luranium en Iran.

- 29 -

Les diffrentes vulnrabilits Les attaques informatiques exploitent gnralement des vulnrabilits ou des failles contenues dans les systmes dinformation. De manire schmatique, on peut distinguer trois types de vulnrabilits : - les vulnrabilits qui tiennent la conception mme des systmes ou aux dfauts de ralisation : le dfaut de conception rsulte du choix initial du concepteur et peut difficilement tre corrig alors, que le dfaut de ralisation rsulte de la fabrication (mauvais codage par exemple) et peut tre attnu par des oprations correctrices ; - les failles lies lorganisation ou lenvironnement : il sagit de vulnrabilits lies aux mauvaises conditions demploi, quil sagisse de leur processus demploi (le paramtrage par exemple) ou de leur environnement. Elles peuvent tre diminues ou supprimes de diffrentes faons ; - les vulnrabilits qui rsultent de lusage fait par les utilisateurs : elles tiennent notamment au non respect des mesures de scurit associes lexploitation dun produit. Ces failles peuvent tre corriges mais cela ncessite une sensibilisation particulire des utilisateurs. Il convient de noter quil existe un vritable march priv dchange de vulnrabilits de certains logiciels ou systmes. Ainsi, en 2011, environ 7000 failles ont t publies sur Internet. Par ailleurs, on peut aisment trouver sur Internet des logiciels malveillants prts lemploi. 26 millions de codes malveillants auraient ainsi t crs lan dernier et diffuss sur Internet1. 2. Les cibles vises Les attaques informatiques peuvent aussi bien viser des particuliers que des entreprises ou des institutions publiques. En ce qui concerne celles mettant en cause la dfense ou la scurit nationale, les services de lEtat, les oprateurs dimportance vitale et les entreprises intervenant dans des domaines stratgiques ou sensibles sont particulirement concerns. Toutefois, ces attaques nemportent pas le mme type de consquences selon quelles visent des sites ou services accessibles au public, des systmes oprationnels ou plus directement des personnes dtentrices dinformations sensibles. Les sites et services accessibles au public On pourrait penser que lattaque de leurs sites Internet ne met pas directement en cause le fonctionnement mme de lEtat, des services publics ou des entreprises.
1

Rapport annuel 2012 de PandaLabs

- 30 -

Provoquer lindisponibilit du site Internet dune institution ou dune administration, comme on la vu en Estonie ou en France lors de la discussion de la loi rprimant la ngation du gnocide armnien, rpond essentiellement un objectif politique, de mme que la dfiguration (defacement) du contenu et son remplacement par des messages connotation protestataire ou revendicative. Pour une entreprise, le prjudice svaluera davantage en termes dimage, avec dventuelles incidences commerciales. Cependant, un trs grand nombre de ces sites abritent galement des services en ligne qui se sont considrablement dvelopps ces dernires annes et dont linterruption causerait dimportantes perturbations dans la vie sociale et conomique de la nation. On pense ici aux relations des particuliers avec ladministration de lEtat ou les collectivits territoriales, qui ont mis en place de nombreuses possibilits de dmarches en ligne, ou avec des entreprises commerciales (entreprises de transport, services financiers, commerce par internet), ainsi quaux relations entre les entreprises elles-mmes (relations avec les fournisseurs et les sous-traitants). Compte tenu de la place prise aujourdhui par ces services, leur indisponibilit produirait un effet de dsorganisation et entranerait de srieuses pertes conomiques. On peut galement mentionner lutilisation croissante dquipements informatiques ou de systmes dinformation par les diffrentes administrations, comme par exemple le bracelet lectronique pour le ministre de la justice ou la vidosurveillance par les polices municipales, la police nationale et la gendarmerie nationale. Les systmes oprationnels : le cas des oprateurs dimportance vitale et des systmes dinformation militaires Les rseaux internes des administrations et des entreprises sont a priori moins vulnrables aux attaques extrieures, ds lors quils sont indpendants des sites internet accessibles au grand public. Toutefois, rares sont dsormais les organisations qui utilisent pour leurs activits oprationnelles (gestion administrative et financire, processus industriels) des applications dveloppes spcifiquement et totalement isoles du rseau extrieur. Pour des raisons de cot et de simplicit, le recours des applications disponibles sur le march est privilgi. Par ailleurs, la densification des changes dinformation ou encore les procds de gestion distance et de tlmaintenance vont lencontre du principe de cloisonnement cens protger ces systmes des agressions extrieures. Une attention particulire doit tre porte sur les installations dimportance vitale (rseaux de transport, de distribution deau et dlectricit). Celles-ci utilisent des systmes de supervision et de rgulation communment dsigns par leur acronyme anglais SCADA (Supervisory, control and data acquisition), qui permettent de surveiller et contrler sur une

- 31 -

aire gographique trs tendue des oprations telles que la gestion de llectricit ou de leau, la signalisation des feux ou les flux de transport. Grce ces systmes, les oprateurs peuvent agir distance sur des automates industriels ou des commandes. Si de tels systmes taient le plus souvent particulirement scuriss par leur rusticit technique et leur indpendance des autres rseaux, ils font dsormais plus largement appel des technologies modernes appliquant les protocoles internet standard, pour des raisons conomiques, mais aussi parce quelles sont souvent les seules disponibles sur le march. Les vulnrabilits potentielles de ces produits large diffusion sont particulirement analyses et exploites par les pirates informatiques. Ainsi, le ver Conficker a eu en 2009 des rpercussions sur des appareils mdicaux partout dans le monde et notamment en France alors mme quil ne contenait aucun code malveillant. Enfin, sagissant des installations dimportance vitale, il faut signaler quune volution majeure est en cours avec la convergence des rseaux tlphoniques et internet. La gnralisation de la voix sur IP rendra les communications tlphoniques vulnrables aux mmes types dattaques que les systmes informatiques. Votre rapporteur souhaite galement spcifique des capacits militaires. mentionner la question

Les systmes dinformation oprationnelle et de commandement, utiliss dans les systmes darmes, les transmissions de donnes et les communications militaires, sont gnralement isols des autres rseaux. Toutefois, le nombre croissant de systmes utiliss et leur interconnexion avec une multitude de terminaux, conformment au principe des oprations en rseaux, largit le primtre dventuels points de vulnrabilit. Lutilisation dapplications informatiques disponibles sur le march grand public augmente elle aussi les risques de vulnrabilit. Ainsi, en 2011, un virus informatique aurait ainsi infect les postes de commande distance des drones amricains Predator et Reaper effectuant des missions en Afghanistan et sur dautres thtres. Le virus aurait t introduit dans les ordinateurs de la base amricaine via des disques durs externes. Un drone amricain aurait aussi t dtourn au-dessus de lIran en dcembre 2011. Daprs luniversit du Texas, le dtournement dun drone au moyen dun leurre ou du brouillage du signal civil du GPS serait ralisable pour un cot denviron 1000 dollars et il serait ensuite relativement ais de transformer ce drone en missile. Les dtenteurs dinformations sensibles Les dtenteurs dinformations sensibles, au sein de lappareil dEtat, des grandes institutions de recherche ou des entreprises, y compris petites ou moyennes, constituent un troisime type de cibles potentielles pour des attaques informatiques.

- 32 -

On se situe ici dans le champ des activits despionnage ou dingrence, au travers de mthodes nouvelles, notamment des logiciels espions introduits grce des chevaux de Troie visant cibler les ordinateurs et les systmes mobiles ou priphriques de personnes identifies en fonction de leur niveau de responsabilit et de leurs contacts. Le recours aux technologies dintrusion peut intervenir en complment ou la place dautres modes de captation de donnes informatiques, telles que le vol dordinateurs portables des personnes cibles ou leur fouille informatique, par exemple aux passages de frontires. Lobjectif est dacqurir des informations dintrt politique, diplomatique, militaire, conomique, scientifique, technologique ou industriel. 3. Le profil des attaquants : pirates informatiques, cybercriminels, cyberterroristes, Etats trangers ? Lidentification de lorigine dune attaque informatique est particulirement difficile. Les procds utiliss font le plus souvent appel une succession dordinateurs pouvant tre situs dans plusieurs pays. Remonter la chane des machines impliques supposerait des enqutes extrmement longues, tributaires des alas de la coopration judiciaire internationale. Les mthodes de dissimulation sont nombreuses et vont du dtournement dordinateurs linsu de leur propritaire au recours des ordinateurs publics et anonymes, comme ceux situs dans les cybercafs. Malgr tout, la plupart des services gouvernementaux et des observateurs dsignent, derrire ces attaques, des groupes de pirates informatiques dont les mthodes semblent de plus en plus sophistiques. Les pirates professionnalise informatiques : un profil qui se

Limage plutt sympathique du pirate informatique a t notamment popularise auprs du grand public par le personnage de Lisbeth Salander, dans la trilogie policire Millennium du sudois Stieg Larsson. A lvidence, les attaques informatiques actuelles ne peuvent tre imputes de simples amateurs isols, procdant par jeu ou par dfi et dsireux de tester ou de dmontrer leur niveau de performance technique. Avec lessor de linternet sest dveloppe une nouvelle catgorie de pirates informatiques (hackers), qui agissent individuellement ou en groupes. On peut distinguer trois catgories de hackers selon leurs motivations : - Les chapeaux blancs ( white hats ) : Il sagit souvent de consultants en scurit informatique, dadministrateurs rseaux ou de cyberpoliciers, qui se caractrisent par leur sens de lthique et de la dontologie ;

- 33 -

- Les chapeaux gris ( grey hats ) pntrent dans les systmes sans y tre autoriss, pour faire la preuve de leur habilet ou pour alerter lorganisme vis des vulnrabilits de ses systmes, mais ils ne sont pas anims par des intentions malveillantes ou criminelles ; - Enfin, les chapeaux noirs ( black hats ) regroupent les cybercriminels, les cyberespions ou les cyberterroristes. Ce sont eux qui rpandent volontairement les virus informatiques. Ils sont essentiellement motivs par lappt du gain. Ces individus ou ces groupes mettent au point des outils quils peuvent exploiter directement ou offrir sur le march des clients tels que des organisations criminelles ou mafieuses, des officines despionnage conomique, des entreprises ou des services de renseignement. Lattaque par dni de service reste le mode opratoire privilgi de ces groupes qui semblent toutefois galement matriser des technologies plus complexes et plus discrtes de pntration des systmes dinformation pour y drober des donnes. Les pirates informatiques peuvent galement tre subdiviss en fonction de leurs spcialits. Ainsi, le craker , soccupe de casser la protection des logiciels, le carder les systmes de protection des cartes puces, le phreaker les protections des systmes tlphoniques. Les groupes de hackers patriotiques Les pirates informatiques peuvent parfois agir de leur propre initiative par motivation patriotique . Cette hypothse a t avance lors de la crise diplomatique russo-estonienne du printemps 2007, ainsi que pour diverses attaques informatiques par exemple entre Isral et lArabie Saoudite. La presse a fait tat de lexistence de tels groupes en Russie et dans des pays de lex-Union sovitique, o leurs activits ne seraient gure entraves. Nombre de pirates informatiques agiraient galement depuis la Chine. Ont notamment t cits la Red Hackers Alliance qui, selon la presse de Tawan, compterait prs de 20 000 membres, le groupe Titan Rain , le groupe Hack4.com ou encore la China Eagle Union . Le hacktivisme : nouvelle forme de contestation sociale ? Lun des groupes les plus importants de hackers est toutefois la mouvance Anonymous, qui compterait plusieurs milliers de membres. Les personnes se revendiquant de ce groupe apparaissent en public le visage dissimul par le masque de Guy Fawkes, ce rvolutionnaire anglais du XVIe sicle qui a inspir le masque port par le personnage de V dans la bande dessine V pour Vendetta et son adaptation au cinma.

- 34 -

Lemblme du groupe Anonymous

Les membres qui se revendiquent de cette mouvance dnoncent ce quils considrent comme des atteintes la libert dexpression sur lInternet et prtendent dfendre un Internet libre et ouvert tous . Anonymous avait dj lanc en 2008 des attaques informatiques contre lglise de scientologie, puis lors des manifestations en Iran, mais ce groupe sest surtout fait connatre en 2010, grce une opration dnomme Operation Payback , par des attaques informatiques coordonnes contre les adversaires de la contrefaon de musique et de vido sur Internet. Il a galement apport son soutien aux manifestants lors du printemps arabe et la diffusion, par Wikileaks, denviron 250 000 tlgrammes diplomatiques confidentiels amricains. Plus rcemment, aprs lannonce en janvier 2012 par le FBI de la fermeture du site de partage MegaUpload, Anonymous a lanc des attaques informatiques contre de nombreux serveurs gouvernementaux amricains, tels que le FBI ou le dpartement de la justice. En France, le site de la prsidence de la Rpublique, qui avait approuv par un communiqu la fermeture de Megaupload, ainsi que ceux du ministre de lIntrieur, de Hadopi ou de LExpress ont galement t viss. Le groupe aurait galement mis en ligne les donnes personnelles de plusieurs dizaines de policiers. En France, il existe dautres groupes de pirates informatiques , comme telecomix.com qui dfend la libert dexpression sur Internet. La cybercriminalit Quil sagisse de lescroquerie sur Internet, de la contrefaon illgale, de la fraude la carte bancaire ou encore de la pdopornographie sur Internet, il est banal de constater aujourdhui la place proccupante prise par la cybercriminalit, mesure de lutilisation croissante des nouvelles technologies. Le cot global du cyber crime a t estim en 2011 209 milliards de dollars1.

Symantec, Norton Cybercrime Report 2011, september 2011

- 35 -

Et, comme le relve M. Nicolas Arpagian dans son livre consacr la cyberscurit : lloignement gographique ou la langue ne sont pas sur la Toile des protections efficaces ni des immunits durables 1. Sil nentrait pas dans le cadre de la mission confie votre rapporteur de traiter ces aspects, qui relvent davantage des services de police et de gendarmerie et de la justice, limportance prise par la cybercriminalit, limplication de vritables organisations criminelles et ses effets potentiellement dstabilisateurs sur lensemble de lconomie peuvent faire de cette menace un risque majeur pour la Nation et justifient donc une action rsolue de la part de la puissance publique pour renforcer les moyens de lutte contre ce flau. Cela passe notamment par une meilleure sensibilisation des entreprises et des consommateurs, le renforcement des moyens dvolus aux services spcialiss de la police, de la gendarmerie et des douanes, ainsi que de ceux de la justice, par une meilleure coopration internationale, le partenariat avec le secteur priv et le dveloppement de produits scuriss. Le risque de cyberterrorisme Lutilisation de larme informatique par des groupes terroristes, soit directement, soit indirectement par lintermdiaire de pirates informatiques quils rmunreraient, est un risque qui a t frquemment voqu. Les groupes terroristes utilisent largement Internet des fins de propagande et de proslytisme, ainsi que comme moyen de communication, y compris semble-t-il aux moyens de systmes de chiffrement. En revanche, aucune attaque terroriste denvergure par voie informatique, par exemple contre des infrastructures sensibles, na pour linstant t rpertorie. On sait cependant que les organisations terroristes ont acquis une matrise significative des outils informatiques et de lInternet qui pourrait leur permettre de mener des attaques plus srieuses. A titre dexemple, la branche arme du Jihad islamique palestinien a dclar avoir mis en place une unit de cyberguerre qui revendique des attaques contre des sites militaires et des sites de journaux israliens. Par ailleurs, les groupes de pirates restent susceptibles de monnayer leurs services auprs de ces organisations. Vers une cyberguerre ? Peut-on parler de cyberguerre et imaginer que les attaques informatiques se substitueront aux modes daction militaires traditionnels et que lissue des conflits se jouera lavenir sur ce nouveau champ de bataille ? Il sagit sans doute dune hypothse assez extrme2.

Nicolas Arpagian, La cyberscurit, Que-sais-je ?, aot 2010, p.20 Voir ce sujet larticle de J. Arquilla et D. Ronfeldt cyberwar is coming ! de 1993, le livre de Richard A. Clarke et Robert K. Knake Cyberwar , HarperCollins Publishers, ou encore larticle de M. Thomas Rid, La cyberguerre est un mythe
2

- 36 -

Il semble acquis en revanche que lon ne peut gure concevoir dsormais de conflit militaire sans quil saccompagne dattaques sur les systmes dinformation. Cest par exemple ce qui sest pass lors du conflit entre la Russie et la Gorgie en aot 2008. Ainsi, pour M. Daniel Ventre1, comme pour M. Olivier Kempf2, le cyberespace constitue un nouveau milieu, qui se superpose aux milieux traditionnels (terre, mer, air), lespace et au nuclaire, ce qui nimplique pas pour autant quil domine les autres ou que la cyberguerre constitue elle seule un milieu autonome de la guerre. Ce nouveau facteur ncessite toutefois des stratgies et des modes daction trs spcifiques. Voil un vaste champ de rflexion qui souvre pour la pense stratgique, par ailleurs dune remarquable qualit, au sein de nos forces armes et, plus largement, dans le monde de la dfense ! Etats-Unis, Chine, Russie : une probable implication des Etats ? Si nombre de pays, limage des Etats-Unis, reconnaissant ouvertement dvelopper des capacits offensives dans le domaine informatique, aucune attaque informatique na jusqu prsent t publiquement revendique par un Etat. Mme dans le cas de STUXNET, o les forts soupons pesant sur les Etats-Unis et Isral ont t confirms par les rvlations du journaliste David E. Sanger, et plus encore dans le cas de FLAME, les autorits amricaines se sont bien gardes dadmettre leur responsabilit. De mme, alors que de nombreux indices peuvent laisser penser une implication de la Russie dans les attaques informatiques ayant vis lEstonie en 2007 ou la Gorgie lt 2008, les autorits de Moscou nont jamais admis tre lorigine de ces attaques. De nombreux documents officiels amricains pointent galement du doigt la responsabilit premire de la Chine, en particulier dans le domaine de lespionnage informatique. Ainsi, dans un rapport du Pentagone sur la monte en puissance de la Chine de mai 2012, on peut lire que la Chine a largement recours lespionnage industriel des fins militaires, qui implique aussi bien les services de renseignement que les instituts de recherche et les socits

Voir les ouvrages de M. Daniel Ventre Cyberattaque et cyberdfense et Cyberespace et acteurs du Cyberconflit ainsi que le livre dirig par M. Daniel Ventre Cyberguerre et guerre de linformation stratgies, rgles et enjeux aux ditions Lavoisier. 2 Voir notamment louvrage co-dirig par Stphane Doss et Olivier Kempf Stratgie dans le cyberspace, Esprit du Livre, 2011

- 37 -

prives et que les acteurs chinois sont les responsables les plus actifs et les plus obstins au monde dans le domaine de lespionnage conomique 1. On peut aussi mentionner l opration Aurora 2 ayant vis, entre fin 2010 et dbut 2011, les comptes Gmail de plusieurs dfenseurs chinois des droits de lhomme aux Etats-Unis, en Europe et en Asie. Les autorits de Pkin ont toujours dmenti ces accusations en mettant en avant le fait que la Chine serait elle aussi une victime. Ainsi, lors dun sminaire intitul Cyberscurit : la Chine et le monde , qui sest tenu en mai dernier Pkin, en prsence de plus de 80 experts originaires dune vingtaine de pays, le chef adjoint de ltat major de larme populaire de libration chinoise, le gnral Ma Xiaotian, a rappel que la Chine tait galement victime dun grand nombre dattaques informatiques et il a appel la communaut internationale conjuguer ses efforts pour formuler des rgles contraignantes afin de rguler le cyberespace . La Chine, qui est le pays qui compte le plus dinternautes au monde, figurerait ainsi la premire place des pays victimes dattaques informatiques, avec 217 millions dutilisateurs chinois dInternet victimes en 2011, selon un rapport du CERT national chinois publi en mars 2012.

Department of Defense, Annual Report to Congress, Military and Security Developments involving the Peoples Republic of China 2012, May 2012. 2 Google China cyberattack part of vast espionnage campaign, experts say par Ariana Eunjung et Ellen Nakashima, The Washington Post, 14 janvier 2010

- 38 -

II. UNE MENACE DSORMAIS PRISE EN COMPTE AU NIVEAU INTERNATIONAL Les attaques contre les systmes dinformation saffranchissent des frontires et peuvent tre diriges simultanment contre plusieurs Etats. La surveillance des rseaux et la mise au point des ractions en cas dincident justifie une coopration et une assistance internationales. De manire plus gnrale, la protection des systmes dinformation face aux activits illgales constitue aujourdhui une proccupation commune de nombreux Etats et plusieurs organisations internationales. Toutefois, la coopration internationale dans ce domaine se heurte encore de nombreux obstacles.
A. UNE PROCCUPATION PARTAGE PAR NOS PRINCIPAUX ALLIS

Les Etats-Unis, le Royaume-Uni et lAllemagne ont fait depuis dj plusieurs annes de la cyberscurit une priorit nationale et ont mis en place des dispositifs importants pour lutter contre les attaques informatiques. 1. Les Etats-Unis Hritage dune attention porte de longue date au renseignement dorigine technique et la protection de linformation, ainsi que defforts accentus sur ces problmatiques durant la Guerre Froide, les Etats-Unis accordent une priorit stratgique la protection des systmes dinformation. Les Etats-Unis sont, en effet, lun des pays qui dpend le plus dInternet et qui subit le plus dattaques informatiques au monde. A titre dexemple, au niveau gouvernemental, les systmes du dpartement de la dfense, le Pentagone, et ceux des forces armes regroupent 15 000 rseaux et 2 millions dutilisateurs. Le cybercommander , le gnral Keith B. Alexander, a indiqu rcemment que ces systmes taient attaqus prs de six millions de fois par jour. Au cours des dernires annes, des intrusions informatiques graves dans les systmes dinformation du Pentagone, du dpartement dEtat, du dpartement de la scurit intrieure ou encore de la NASA ont t constates. Ainsi que cela a t rcemment rendu public, en 2008, le rseau informatique du Central Command, le commandement stratgique rgional amricain pour le Moyen-Orient bas Tampa en Floride, a t infect laide dune cl USB, aboutissant la compromission de rseaux et dinformations classifis. En mai 1998, signe dune prise en compte prcoce de la problmatique de la cyberscurit, le Prsident Bill Clinton a sign le dcret prsidentiel 63 sur la protection des infrastructures critiques visant notamment liminer les vulnrabilits de leurs systmes informatiques au regard dattaques cyberntiques comme physiques.

- 39 -

En janvier 2008, le Prsident George W. Bush a approuv la Presidential National Security directive 54 qui formalise une srie de mesures visant protger les systmes dinformation gouvernementaux contre les attaques informatiques. Enfin, le Prsident Barack Obama sest fortement investi sur le sujet et a fait de la cyberscurit lune des priorits de son mandat. Ainsi, dans un discours du 29 mai 2009, il a dclar que la menace cyberntique est lun des plus importants dfis auxquels doivent faire face les Etats-Unis, en matire conomique et au regard de la scurit nationale et que la prosprit de lAmrique au XXIe sicle dpendra de la cyberscurit 1. Il a nomm en dcembre 2009 la Maison Blanche un conseiller spcialement charg de ce dossier, rendant compte aussi bien au Conseil pour la scurit nationale qu lquipe en charge des questions conomiques, M. Howard Schmidt, qui vient de quitter ses fonctions2 et dont lune des principales missions a t dunifier la doctrine nationale amricaine et damliorer la coordination inter-agences sur ce dossier. Son service a publi en mai 2011 une stratgie internationale pour le cyberespace 3. La cyberscurit a de fait pris une place croissante dans la stratgie de dfense et de scurit nationale amricaine. Elle figure ainsi au nombre des premires priorits de la stratgie de scurit nationale, publie en 20104, qui considre que la cyberscurit est lun des principaux dfis qui pse sur la scurit nationale, la scurit publique et lconomie. Quand on me demande ce qui mempche de dormir la nuit. Je rponds : la cybermenace dclarait en janvier 2010 le Secrtaire adjoint la dfense, M. William J. Lynn III. En juillet 2011, le Pentagone a publi une nouvelle stratgie cyberntique (surnomme Cyber 3.0 ) 5, qui fait suite plusieurs rapports6. Le document est centr sur la dfense active , savoir renforcer les mesures traditionnelles de protection du rseau par dautres capacits, sappuyant par exemple sur le renseignement lectronique. Cette nouvelle stratgie souligne par ailleurs limportance dune coopration plus troite la fois au niveau national, entre les diffrentes agences et entre le secteur public et le secteur priv, que sur le plan international. Elle contient cinq axes : - un effort en matire dorganisation, dentranement et de formation et dquipements de manire ce que le dpartement de la dfense traite le cyberespace comme un domaine oprationnel et puisse tirer tous les avantages du potentiel quil offre ;
1 2

Remarks by the President on securing our nations cyberinfrastructure, 29 mai 2009 M. Howard Schmidt a annonc sa dmission le 17 mai 2012, celle-ci prenant effet fin mai. 3 The White House, International Strategy for Cyberspace : Prosperity, Security and Openness in a Networked World , Washington, mai 2011. 4 National Security Strategy, 2010 5 Department of Defense, Strategy for Operating in Cyberspace, Juillet 2011 6 dont la Quadriennal Defense Review

- 40 -

- lemploi de nouveaux systmes de dfense pour protger les rseaux et systmes informatiques du dpartement de la dfense ; - le partenariat avec les autres agences et le secteur priv ; - des relations solides avec les allis et les partenaires internationaux ; - laugmentation de lexpertise en matire cyber et des innovations technologiques. Lambition amricaine est non seulement dassurer une protection efficace des systmes dinformation mais de garantir la supriorit des EtatsUnis dans le cyberespace. Comme votre rapporteur la constat lors de son dplacement Washington, il existe de nombreux organismes qui interviennent aux EtatsUnis en matire de cyberscurit. Le dpartement de la scurit intrieure (Department of Homeland Security - (DHS), cr aprs les attaques du 11 septembre 2001 afin de regrouper diverses agences comptentes en matire de scurit du territoire national, couvre le domaine de la protection des infrastructures critiques, notamment les rseaux de communication. Au sein du DHS, la National Cyber Security Division (NCSD), cre en juin 2003, est charge plus spcialement de la cyberscurit. Une unit de la NCSD, lUS-CERT1, sorte de bras arm de la NCSD, est charge de la protection des infrastructures Internet nationales et de la coordination de la rponse aux cyberattaques leur encontre, ainsi que dans les rseaux de ladministration fdrale. Le FBI, au travers de ses quipes dactions cyberntiques, CATS (Cyber Action Teams), est quant lui charg denquter sur les affaires de cybercriminalit portant atteinte aux intrts nationaux, et notamment de lutter contre les intrusions informatiques affectant les entreprises amricaines importantes. Ses quipes sont ainsi venues en aide Google, en mai 2011, afin denquter sur le piratage des comptes officiels Gmail du gouvernement. Le dpartement de la dfense joue galement un rle important. Sagissant des capacits techniques, elles sont dtenues par la National security agency (NSA), agence du renseignement technique en charge des actions dfensives (surveillance et raction) au sein du dpartement de la dfense et offensives (coute et intrusion) dans le domaine des systmes dinformation. LInformation assurance directorate assure au sein de la NSA lexpertise sur les questions de cryptographie et de protection des systmes dinformation et compte environ 3 000 agents. Cette direction, qui contribue par ailleurs traiter les incidents oprationnels, est lhomologue de lANSSI. En mai 2010, un cybercommand interarmes (USCYBERCOM) a t cr afin de renforcer la coordination entre les diffrentes armes et de
1

United States Computer Emergency Readiness Team

- 41 -

donner un cadre aux actions offensives menes son compte par la NSA. Chaque arme dispose dun centre cyber propre qui travaille au profit de Cybercommand (24th Air Force, 10th Fleet, 2nd Army et le Marine Corps Forces Cyberforce Command). Dirig par le Gnral Keith B. Alexander, qui est dans le mme temps directeur de la NSA, le cybercommand est charg de planifier, coordonner, intgrer, synchroniser et conduire des oprations de dfense des rseaux spcifiques du dpartement de la dfense, ainsi que de prparer et de conduire des oprations militaires dans le cyberespace afin dassurer la libert daction amricaine dans le cyberespace et dempcher ces adversaires dy agir . Il lui revient galement la tche primordiale de centraliser les diffrentes oprations cyberntiques afin de renforcer les comptences de la dfense. Il est plac sous lautorit de lUSSTRATCOM, le commandement des forces stratgiques des Etats-Unis. De manire schmatique, les responsabilits se rpartissent donc de la manire suivante : - La protection du territoire amricain et des infrastructures critiques relve du DHS et du dpartement de la justice ; - Les aspects militaires de dfense des infrastructures critiques , de la base industrielle du soutien aux autorits civiles et des oprations militaires (cest--dire le volet offensif) sont placs sous la responsabilit du dpartement de la dfense et du directeur du renseignement national ; - La scurit nationale des systmes : cest le dpartement de la dfense qui est charg de ce volet ; - Les enqutes criminelles : le DHS et le dpartement de la justice en sont responsables ; - Le renseignement relve du dpartement de la dfense et du directeur du renseignement national. On constate toutefois des difficults de coordination au sein et entre les dpartements de la dfense et de la scurit intrieure et les nombreuses structures qui interviennent dans le domaine de la cyberdfense. Ainsi, lorsquen septembre 2010 le gnral Alexandre B. Keith souhaite largir les comptences du cybercommand la protection des infrastructures critiques, la Secrtaire gnrale du dpartement de la scurit nationale, Mme Janet Napolitano, lui rpond dans un discours que leffort de scurisation des infrastructures critiques devrait tre effectu par une agence civile, et non par le secteur militaire1. Cest la raison pour laquelle le 13 octobre 2010, un memorandum of agreement a t sign entre le dpartement de la scurit intrieure et le dpartement de la dfense qui prvoit une coordination interministrielle et un partage du personnel, de lquipement et des infrastructures, afin de renforcer
Department of Homeland Security, Remarks by Secretary Napolitano at the Atlantics Cybersecurity Forum , 17/12/2010
1

- 42 -

la cyberscurit. Cet accord fait galement en sorte que les capacits de renseignement et les comptences techniques de la NSA servent en soutien des actions cyberntiques du DHS. Pour autant, la coordination ne semble pas encore optimale entre ces diffrentes structures, ainsi quentre les agences de lEtat et le secteur priv. En tmoigne notamment cette affirmation entendue de la part de reprsentants de la NSA propos du dpartement de la scurit intrieure : We have the know-how, they have the responsability , que lon peut traduire par Nous dtenons la comptence, mais ce sont eux qui ont la responsabilit officielle . Les Etats-Unis procdent un renforcement de leur organisation et de leurs moyens. Sur le plan lgislatif, trois lois distinctes simplifient les interventions de lexcutif en cas de cyberattaques contre des infrastructures nergtiques critiques, tandis quun autre texte de loi assure la coordination des efforts accrus en matire de cyberscurit, dont ceux concernant les institutions financires et lindustrie1. On peut galement mentionner : - lextension du programme EINSTEIN toute ladministration et aux agences fdrales. Ce programme vise dployer un dispositif de surveillance permettant de dtecter toute activit suspecte sur les rseaux. Il est oprationnel depuis plusieurs annes sur les rseaux du Dpartement de la dfense. La NSA, agence de renseignement technique amricaine, est la cheville ouvrire de ce programme qui pourrait tre tendu aux installations dimportance vitale. - la rduction, de 2 000 50 du nombre de points daccs des rseaux de ladministration linternet, en vue de faciliter le dploiement de dispositifs de scurit et de surveillance ; - le renforcement des dispositifs permettant de matriser lacquisition des quipements dans le domaine de linformatique et des communications lectroniques qui sont imports aux Etats-Unis. Les autorits amricaines ont tabli une liste de leurs infrastructures critiques et de leurs ressources vitales quil convient de protger contre des cyberattaques2. Vingt-sept secteurs dinfrastructures critiques et de ressources cls ont t identifies. Ainsi, le 4 mai dernier, le dpartement de la scurit intrieure a mis en garde les services de sant contre les dangers lis lutilisation dappareils

Cyber Security Enhancement Act Redux, Government Information Security Articles, 10 fvrier 2011. 2 Department of Homeland Security, National Infrastructure Protection Plan, Partnering to enhance protection and resiliency, 2009.

- 43 -

mdicaux connects lInternet1. Les dfibrillateurs et les pompes insuline pilots distance sont particulirement en cause. Les autorits amricaines rappellent galement les dangers induits par la gnralisation des tablettes et des ordiphones parmi le personnel soignant qui peuvent exposer les donnes mdicales des patients. Les autorits amricaines ont galement engag depuis dj plusieurs annes une troite coopration avec le secteur priv. La RSA Confrence runit ainsi tous les ans la plupart des acteurs, tant publics que privs, de la cyberscurit aux Etats-Unis. Le Pentagone coopre troitement avec les entreprises amricaines du secteur de la dfense, notamment Lockheed Martin, Northrop Grumman, Raytheon, General Dynamics, Boeing, mais aussi des socits de services, telles que SAIC, L3, Booz Allen, ainsi que Cisco et Symantec. En 2007, le dpartement de la dfense a lanc un programme de cyberscurit et de protection de linformation (CS/IA) de la base industrielle de dfense. Ce programme, bas sur le volontariat, est destin aux entreprises du secteur de la dfense et consiste changer des informations techniques et oprationnelles sur les menaces. Il runit actuellement une quarantaine dentreprises et devrait tre tendu lensemble des sous-traitants du secteur de la dfense. Daprs les informations recueillies par votre rapporteur, ce programme a permis de mieux comprendre les attentes des entreprises, de renforcer la confiance et de mettre en place une collaboration troite entre secteur public et secteur priv. Le march de la cyberscurit est valu 23 milliards de dollars aux Etats-Unis, soit prs de la moiti du march mondial, valu de lordre de 50 milliards de dollars, dont environ la moiti (15 milliards de dollars) est constitu dappels doffres provenant du secteur public, du dpartement de la scurit nationale ou du dpartement de la dfense nationale. Le dpartement de la scurit nationale dispose dun budget de lordre de 3 milliards de dollars pour la recherche et le dveloppement en matire de cyberscurit. On notera aussi que les Etats-Unis consacrent des moyens consquents la ralisation de simulations et dexercices. Ainsi, le Departement of Homeland Security a ralis trois reprises, en fvrier 2006, en mars 2008 et en septembre 2010, trois exercices de grande ampleur, baptiss CyberStorm I , CyberStorm II et CyberStorm III simulant une attaque informatique visant notamment les infrastructures de communication, les transports et les systmes bancaires. Impliquant une quarantaine dentreprises du secteur priv ainsi que quatre pays trangers (Australie, Canada, Nouvelle-Zlande, Royaume-Uni), lexercice CyberStorm II tait dot dun budget suprieur 6 millions de dollars. En 2012, le DHS a aussi organis un exercice cyber de trs grande ampleur (NLE 2012, National Level Exercise). Le but tait dexaminer la capacit amricaine coordonner et rpondre une attaque cyber. Dix Etats amricains
1

NCCIC du 04/05/2012

- 44 -

taient impliqus, le secteur priv et toutes les agences comptentes. LAustralie, le Canada, la Nouvelle Zlande et le Royaume-Uni ont galement particip cet exercice. Au total, de 2010 2015, le gouvernement amricain devrait consacrer 50 milliards de dollars la cyberdfense1, soit environ 10 milliards de dollars par an, et plusieurs dizaines de milliers dagents travaillent sur ces aspects. Dans le contexte probable de diminution du budget de la dfense aux Etats-Unis sur les dix prochaines annes, qui devrait concerner lensemble des composantes militaires, les responsables amricains ont annonc que seuls deux secteurs verraient leurs moyens prservs, voire mme augments : le renseignement et les capacits cyber. Enfin, on sait que larme amricaine est dote dune doctrine intgrant la lutte informatique dfensive comme la lutte informatique offensive. Une telle doctrine se retrouve ainsi dans le rapport du dpartement de la dfense au Congrs de novembre 2011 consacr au cyberespace2. Daprs ce document, le Prsident des Etats-Unis se rserve le droit de rpondre par tous moyens, y compris par des capacits cyberntiques, un acte hostile dans le cyberespace dirige contre les Etats-Unis, ses allis ou partenaires ou ses intrts, telle quune attaque informatique dirige contre le gouvernement, larme ou lconomie des Etats-Unis . Et, il est indiqu plus loin que le dpartement de la dfense a les capacits de conduire des oprations offensives dans le cyberespace pour dfendre la Nation, ses allis et ses intrts . Au total, en dehors de la trs forte disproportion des effectifs et des moyens, on constate dimportantes diffrences dapproches entre le modle amricain et le modle franais. Contrairement aux autorits franaises, les autorits amricaines nhsitent pas reconnatre publiquement quelles sont victimes dun nombre lev dattaques informatiques et elles nhsitent pas mettre en cause publiquement le rle de la Chine. Surtout, elles affirment clairement quelles se rservent le droit de rpondre par tout moyen, y compris par des capacits offensives, une attaque informatique visant le gouvernement, larme ou lconomie amricaine. Ainsi, selon un rapport du charg des affaires asiatiques du Pentagone, la Chine acclre sa monte en puissance dans le domaine de

On Cyber Warfare, Paul Cornish, David Livingstone, Dave Clemente et Claire York, Chatham House Report, novembre 2010 2 Department of Defense Cyberspace Policy Report, A Report to Congress Pursuant to the National Defense Authorization Act for fiscal Year 2011, Section 934, november 2011

- 45 -

lespionnage informatique utilis comme un moyen dintelligence conomique, notamment au dtriment dentreprises amricaines 1. La publication de ce rapport est intervenue peu aprs la rencontre des deux ministres de la dfense des Etats-Unis et de Chine, MM. Leon Panetta et Liang Guanglie dbut mai. Les deux responsables ont pos les bases dune coopration entre les deux pays dans le domaine de la scurit des systmes dinformation. Enfin, il existe une coopration entre les Etats-Unis et la France en matire de cyberscurit, qui ncessiterait toutefois dtre dveloppe. 2. Le Royaume-Uni Le Royaume-Uni est considr, avec les Etats-Unis, comme lun des pays ayant compris trs tt les enjeux de la cyberscurit et limportance dassurer la protection des systmes dinformation. Dj, sous le prcdent gouvernement travailliste de M. Gordon Brown, la stratgie de scurit nationale de mars 2008 avait identifi les attaques contre les systmes dinformation comme une menace pour la scurit du pays. Le Premier ministre conservateur M. David Cameron a galement fait de la cyberscurit une priorit de son gouvernement. Le Royaume-Uni a fait lobjet de plusieurs cyberattaques, visant notamment le Foreign office, lt 2011, ainsi que le ministre de la dfense, qui aurait subi un millier de cyberattaques en 2010, soit le double de lanne prcdente. Lancien ministre de la dfense M. Liam Fox a dclar en juin 2011 : Une bataille incessante est mene contre nous, jour aprs jour , nos systmes sont pris pour cible par des criminels, des services de renseignement trangers et dautres personnes malveillantes qui veulent espionner notre personnel, endommager notre systme et voler des informations . Il ny a pas de ligne Maginot dans le cyberespace. Notre proprit intellectuelle nationale dans le secteur des industries de dfense et de scurit est la merci de pillage systmatique 2. La nouvelle stratgie du Royaume-Uni en matire de cyberscurit, qui a t publie en novembre 20113, tmoigne de lengagement des autorits britanniques sur ce sujet. Malgr un contexte budgtaire difficile, le Premier ministre britannique M. David Cameron a annonc fin 2010 un effort supplmentaire de 650 millions de livres, soit 750 millions deuros, pour la cyberscurit sur les quatre prochaines annes.

1 2

Departement of Defense, mai 2012, BBC News du 08/05/2012, AFP du 18/05/2012 Le Figaro, 8 dcembre 2011 3 The UK Cyber Security Strategy : Protecting and promoting the UK in a digital world, November 2011

- 46 -

Ces chiffres peuvent laisser songeur lorsque lon sait que le budget de lagence franaise charge de la scurit des systmes dinformation, lANSSI, est de lordre de 75 millions deuros en 2012. Comme votre rapporteur a pu le constater lors de ses entretiens Londres, le Royaume-Uni a mis en place une organisation qui se caractrise par le fait quelle est rattache directement aux services du Premier ministre (cabinet office). La stratgie britannique met galement laccent sur la coopration entre le secteur public et les acteurs privs. Larchitecture institutionnelle britannique actuelle en matire de cyberdfense remonte pour lessentiel 2009, date laquelle le gouvernement travailliste a adopt une stratgie nationale de cyberscurit. Cette stratgie a t revue dans le cadre de ladoption de la Strategic defence and security review en octobre 2011, qui a adopt un transformative national cyber security programme . Cette architecture est place sous lautorit de l Office of cyber security and information assurance du Cabinet Office (services du Premier ministre), en charge de la coordination interministrielle globale, de llaboration de la stratgie du gouvernement, de la gestion des dpenses lies la protection de la scurit des systmes dinformation et de la supervision des relations avec le secteur priv et le public. Le Government Communications Headquarters (GCHQ), agence en charge du renseignement technique (service de renseignement lectronique du gouvernement britannique), est lautorit technique nationale pour la protection des systmes dinformation ( information assurance ) et pour la cyberscurit. En dehors de son rle dagence de renseignement, elle assure donc des fonctions quivalentes celles de lANSSI. Le GCHQ est charg de conseiller et dassister le gouvernement et les entits du secteur priv qui font appel ses services sur la scurit des communications et des donnes lectroniques. Historiquement, la responsabilit en matire de protection des systmes dinformation tait porte par une sous-entit ddie du GCHQ, le Communications and Electronic security group (CESG). Un cloisonnement existait entre le CESG et le reste du GCHQ. En 2011, le GCHQ a entam une profonde mutation la plus profonde depuis sa cration aux dires des britanniques puisque, pour mieux faire face aux enjeux de la cyberscurit, il a t dcid de faire tomber le cloisonnement entre le CESG et le reste du GCHQ. Le CESG nest dsormais plus quune image de marque pour les personnes affectes aux questions de protection des systmes dinformation. En 2008, le CESG comptait 450 agents. Actuellement, 700 agents travaillent au sein de cette agence sur les cyberdfense. Rappelons, quen France, lANSSI devrait personnes fin 2013, aprs le renforcement dcid par gouvernement. on estime que questions de compter 350 le prcdent

- 47 -

Le cyber security operations center (CSOC), cr en 2010 et hberg par le GCHQ, a pour objectif de dtecter en temps rel dventuelles cyber attaques, didentifier leur provenance et les moyens dy rpondre. Aprs avoir t cr comme une structure autonome, le CSOC fait dsormais partie intgrante du GCHQ. Dautres dpartements ministriels se sont dots de services spcialiss sur les diffrents aspects de la politique cyberscurit : - le ministre de lIntrieur (Home Office) et loffice de lutte contre la criminalit organise (Serious ans organised Crime Agency) qui sont responsables de la lutte contre la cybercriminalit et le terrorisme sur Internet ; - le ministre de la dfense, notamment pour les capacits offensives ; - ou encore le Department for business innovation and skills (BIS) qui a en charge les aspects relatifs aux tlcommunications la rgulation et la gouvernance de lInternet. Le Centre for the protection of National Infrastructure (CPNI), dont la mission consiste, au travers dune approche partenariale, sassurer que les infrastructures sont scurises bon niveau, traite dsormais aussi le volet cyberscurit. En novembre 2011, le gouvernement britannique a prsent une nouvelle stratgie en matire de scurit des systmes dinformation. Cette stratgie comprend quatre objectifs : - lutter contre la cybercriminalit et faire du Royaume-Uni lun des pays les plus srs en ce qui concerne le commerce dans le cyberespace ; - renforcer la rsilience contre les cyberattaques et mieux protger les intrts du Royaume-Uni dans le cyberespace ; - conserver un cyberespace libre, ouvert et scuris pour le grand public ; - renforcer la connaissance, les comptences et les capacits du Royaume-Uni en matire de protection et de scurit des systmes dinformation. Parmi les nombreuses mesures envisages, on mentionnera en particulier : - la poursuite du renforcement des capacits de lagence charge de la protection des systmes dinformation (GCHQ) et du ministre de la dfense pour dtecter et lutter contre les attaques informatiques ; - ltablissement dun partenariat avec le secteur priv pour le partage dinformation sur les menaces du cyberespace ; - le soutien aux entreprises et aux infrastructures critiques pour les inciter renforcer la protection de leurs systmes dinformation ;

- 48 -

- le dveloppement de la formation et le partage des connaissances ; - la promotion dun secteur industriel dense et innovant dans le domaine de la cyberscurit, et le renforcement de la coopration entre lagence britannique et les entreprises. La stratgie britannique met ainsi nettement laccent sur les relations avec le secteur priv. Dans le cadre de sa mission, le GCHQ dveloppe une documentation technique sur la scurit des systmes dinformation. Il ne semble pas exister ce stade de directives ou dinstructions sur la dclaration des incidents mais, selon les lments recueillis par votre rapporteur, le gouvernement britannique rflchirait actuellement aux moyens dencourager le secteur priv davantage dclarer les incidents (certaines entreprises changent dj des informations avec le gouvernement sur une base informelle). Le gouvernement britannique sest ainsi dot de points de contacts pour la dclaration dincidents : - pour les entits gouvernementales ( lexception du ministre de la dfense o les incidents sont grs par le UK defense cyber operations group , une Computer emergency response team a t cre au sein du GCHQ, le GovCERT-UK ; - pour les entits faisant partie du rseau des infrastructures critiques, une computer emergency response team a t institue au sein du Centre for the protection of national infrastructure (CPNI). La cration dun point de contact pour la dclaration dincidents destin au secteur priv serait actuellement ltude. Cette rflexion sinscrit dans le cadre des efforts du gouvernement pour dvelopper ses relations avec le secteur priv, et notamment pour les sensibiliser davantage la menace que reprsente la cybercriminalit. Il y a un an, le Premier ministre M. David Cameron a ainsi runi les dirigeants dentreprises appartenant des secteurs dactivits dimportance vitale pour voquer avec eux les questions lies aux cybermenaces. Sur le plan de la coopration internationale, le Royaume Uni a organis les 1 et 2 novembre 2011 une confrence internationale Londres consacre la cyberdfense, qui a rassembl plus de 700 personnes, dont un grand nombre de reprsentants de 61 pays (Etats-Unis, Russie, Chine, etc.), des reprsentants dorganisations internationales (ONU, UE, OTAN) et des reprsentants de la socit civile et de lindustrie. Le ministre des affaires trangres du Royaume-Uni, M. William Hague, sest prononc lors de cette confrence en faveur de la libert sur Internet et sest montr rticent lide dune rgulation dInternet. Le Premier ministre britannique a, pour sa part, mis en exergue la dtermination du gouvernement britannique combattre les cyberattaques et renforcer ses capacits de cyberscurit en relation avec le secteur priv. Il a estim le cot

- 49 -

des cyberattaques pour lconomie britannique plus de 27 milliards de livres par an. Enfin, la coopration franco-britannique est trs dense et lANSSI entretient des relations rgulires avec le GCHQ. La cyberdfense fait galement partie des domaines de coopration mentionns par les accords franco-britanniques en matire de dfense de novembre 2010. La coopration entre la France et le Royaume en matire de cyberdfense est considre comme lune des plus dveloppe, avec lAllemagne. 3. LAllemagne Pour les responsables allemands, les menaces pesant sur la scurit des systmes dinformation ne cessent de saccrotre en Allemagne, tant en ce qui concerne la frquence, la diversit et le nombre dattaques informatiques. Leur impact sur lconomie allemande est valu 61,5 millions deuros pour lanne 2010, en augmentation de 66 % par rapport 2009. Le gouvernement fdral a adopt, en fvrier 2011, une nouvelle stratgie en matire de cyberscurit pour lAllemagne 1. Le principal objectif de cette stratgie est de renforcer la rsilience globale de lAllemagne face ces risques, en dveloppant les instruments de coordination au sein du gouvernement, mais surtout les liens avec le secteur priv. Il sagit ainsi de dvelopper une culture de cyberscurit partage au niveau national. La coordination en matire de cyberscurit incombe en Allemagne au ministre fdral de lIntrieur (BMI), dont votre rapporteur a rencontr lun des responsables lors dun dplacement Berlin. Sa mise en uvre sappuie sur lagence homologue de lANSSI, le Bundesamt fr Sicherheit in des Informationstechnik (BSI), loffice fdral de scurit des systmes dinformations, qui est rattach au ministre fdral de lintrieur et situ Bonn. Le BSI dispose de comptences techniques assez comparables celles de lANSSI (sensibilisation, analyse des risques, veille et alerte, dveloppement de produits de scurit, normalisation). Les prrogatives du BSI sur les questions relatives lidentit lectronique sont nanmoins plus larges que celles de lANSSI et recouvrent celles de lAgence nationale des titres scuriss (ANTS). Son rattachement au ministre fdral de lintrieur ne lui permet cependant pas de disposer dune vritable autorit interministrielle lgard des autres ministres, la diffrence de lANSSI, et il doit aussi composer avec les Lnder en raison du caractre fdral du pays. Le BSI entretient cependant des liens beaucoup plus troits avec les oprateurs dinfrastructures critiques et les entreprises sensibles.
1

Cyber-Sicherheitsstrategie fr Deutschland

- 50 -

Le BSI bnficie dune augmentation rgulire de son budget et de ses effectifs, qui slevaient 340 agents en 2001 et atteignent actuellement environ 560 agents, avec un budget annuel de 80 millions deuros. La nouvelle stratgie allemande en matire de cyberscurit a abouti la cration dun centre national de lutte contre la cybermenace (Cyber Abwehrzentrum). Cette nouvelle structure, implante Bonn, est responsable de la coordination des activits en matire de protection et de dfense contre les cyberattaques sous le pilotage du BSI et avec la participation directe de loffice de protection de la Constitution (BfV) et de loffice fdral pour la protection des populations et lassistance en cas de catastrophe (BBK). Participent galement, en tant quorganismes associs, loffice fdral de la police criminelle (BKA), de la police fdrale (BPol), des douanes (ZKA) et des services de renseignement (BND), ainsi que larme (BW). Il sagit moins dune autorit supplmentaire que dune plate forme de coordination et dchange dinformation. Ainsi, cet organe, dont les comptences prcises restent dterminer, devrait assurer des fonctions de centre de situation (valuation de la nature et de lorigine des attaques), de centre de coordination en cas de crise, et de conseil pour lensemble de ladministration publique. Le BSI devrait toutefois conserver un rle central. Cest lorgane qui dispose des comptences techniques pour apporter une rponse aux cyberattaques, dfinir des normes et des standards en matire de scurit informatique simposant lensemble des administrations et procder des achats groups. Le BSI dispose, en effet, dun programme dinvestissement en matire de recherche et dveloppement en scurit informatique. Par ailleurs, un Conseil national de scurit cyberntique (Cybersicherheitsrat) associant des reprsentants de la Chancellerie fdrale et des grands ministres (affaires trangres, intrieur, dfense, justice, conomie, finances), des Lnder et du monde conomique, a t cr. Ce conseil a vocation dfinir les politiques transversales du gouvernement fdral pour la cyberdfense et renforcer la coopration entre le gouvernement fdral, les Lnder et les acteurs conomiques. Le vritable point fort de la nouvelle stratgie allemande, notamment par rapport la France, porte aux yeux de votre rapporteur sur le renforcement de la rsilience des infrastructures critiques. La stratgie allemande prvoit, en effet, une structuration systmatique des relations avec les autorits de rgulations ou de surveillance des oprateurs dinfrastructures critiques, dans les secteurs comme les transports, llectricit ou le secteur bancaire, et, sur une base volontaire, avec dautres acteurs du secteur priv. Le plan Kritis de renforcement de la protection des infrastructures critiques, adopt en 2007, contenait dj un volet cyberdfense confiant au

- 51 -

BSI le soin de dvelopper des partenariats avec des entreprises volontaires, secteur par secteur. La nouvelle stratgie prvoit plusieurs mesures afin de renforcer la protection des infrastructures critiques : - un point de contact unique devrait tre dsign par les diffrentes entreprises dun secteur sensible concern, afin de faciliter les changes entre lautorit de rgulation et le secteur priv. Les principaux secteurs critiques identifis sont les transports, lapprovisionnement en eau et en lectricit, les matires dangereuses, les tlcommunications, le secteur bancaire et les assurances ; - les entreprises pourront bnficier des conseils du BSI, qui est autoris mettre des mises en garde, le cas chant publiques, concernant les failles et vulnrabilits de certains produits de lindustrie informatique ou des tlcommunications ; - une dclaration obligatoire au BSI en cas dincident informatique important est prvue pour les entreprises ; - le BSI voit ses relations renforces avec toutes les autorits publiques responsables de la supervision, de la surveillance ou de la sret des secteurs jugs critiques, tant au niveau fdral, quau niveau des Lnder, pour sassurer de leurs capacits de prise en compte des risques cyber dans leurs secteurs ; - la possibilit dattribuer au Conseil national de cyberscurit de vritables fonctions de surveillance transsectorielle sur les questions de cyberscurit. Nanmoins, contrairement la France, lapproche de ladministration allemande vis--vis des infrastructures critiques nest pas unifie. Ainsi, le BBK dispose dune large liste dinfrastructures critiques. Le BSI possde sa propre liste dinfrastructures critiques, qui ne recoupe que partiellement celle du BBK. Il faut aussi souligner qu la suite de la runification et du transfert de la capitale Berlin, lAllemagne sest dote dune infrastructure de communication entre administrations fdrales extrmement fiable et hautement scurise (Informationverbund Berlin Bonn IVBB), dont la France est encore prive. Cette infrastructure offre aussi des services unifis (hbergement de sites web, serveurs de messagerie, etc.) pour ladministration fdrale. Le BSI est responsable de la scurit de lensemble de ce systme, qui ne dispose que de deux points dinterconnexion lInternet. Cette caractristique a facilit le dploiement doutils automatiques de surveillance des rseaux informatiques gouvernementaux, qui ont permis lAllemagne de disposer trs tt dune capacit de dtection globale de ladministration fdrale, alors que la France disposait dans ce domaine dun retard certain. Grce ces outils, ladministration fdrale na fait lobjet, depuis 2005, daucune intrusion informatique connue.

- 52 -

Par ailleurs, comme le rvlent plusieurs documents transmis par le ministre de la dfense au Bundestag1, larme allemande reconnat plus ou moins ouvertement disposer de capacits offensives de base pour mener des attaques informatiques dans des rseaux ennemis . Toutefois, ce sujet reste une question sensible en Allemagne, en raison notamment de labsence de cadre lgal, des limitations de la loi fondamentale allemande ou encore des rticences de lopinion publique. Sur le plan de la coopration internationale, la nouvelle stratgie voque le dveloppement dune politique trangre en matire de cyberscurit, confie au ministre des affaires trangres. Lobjectif serait de renforcer laction de lUnion europenne, travers le plan daction en matire de protection des infrastructures critiques et le renforcement de lagence europenne charge de lexpertise en matire de scurit des systmes dinformation (ENISA). Au niveau international, lAllemagne souhaite privilgier lefficacit, en recommandant ladoption de rgles juridiquement non contraignantes, donc plus rapides ngocier et mettre en uvre, avec lide dun code de bonne conduite international dans le domaine cyber. Comme votre rapporteur a pu le constater lors de ses entretiens Berlin, lAllemagne souhaiterait renforcer sa coopration avec la France dans ce domaine. Il existe dj une coopration trs troite entre lANSSI et le BSI. Ainsi, un reprsentant de lANSSI a particip, en tant quobservateur, au dernier exercice de gestion de crise Lkex 2011 , dont le thme tait centr sur la scurit des systmes dinformation. Lors du XIIe Conseil des ministres franco-allemand, qui sest tenu le 5 fvrier 2010, lancien Prsident de la Rpublique et la chancelire allemande ont dcid la mise en place dune coopration entre la France et lAllemagne en matire de cyberscurit, notamment en matire dchange dinformations et de concertation des positions au sein des instances internationales. Mais cette coopration mriterait dtre renforce et largie dautres domaines. Ainsi, il semble quil existe une relle volont partage entre la France et lAllemagne de lancer une vritable coopration industrielle dans le domaine des produits de scurit informatique, et, plus largement, dans le secteur des technologies de linformation et de la communication, afin de ne pas dpendre uniquement de produits amricains ou asiatiques. Pour votre rapporteur, la cyberdfense pourrait ainsi constituer lun des volets de la relance de la coopration franco-allemande, notamment dans la perspective de la clbration du cinquantenaire du trait de llyse en 2013.
Un rapport de la commission de la dfense du Bundestag davril 2012 intitul Cyberwarfare a ainsi t cit le Financial Times Deutschland
1

- 53 -

B. UNE COOPRATION INTERNATIONALE ENCORE BALBUTIANTE

Plusieurs organisations multilatrales ont mis la scurit des systmes dinformation lordre du jour de leurs travaux. En particulier, ce thme fait aujourdhui lobjet de nombreux dbats au sein de lOTAN et de lUnion europenne. 1. Des initiatives en ordre dispers Assez curieusement, la Chine et la Russie sont aujourdhui les principaux promoteurs de rgles contraignantes au niveau international sur la scurit dans le cyberespace. Ainsi, ces deux pays ont propos en 2009 un code de conduite lAssemble gnrale des Nations Unies1. La Russie a galement propos une rsolution sur la scurit de linformation en vue de la 67e session de lAssemble gnrale des Nations Unies. Ces diffrentes propositions sont toutefois rejetes par la plupart des pays occidentaux. De manire schmatique, on peut distinguer trois conceptions au niveau international : - celle dfendue par certains pays dits libraux , comme la Sude ou les Pays-Bas, qui sont trs attachs lespace de libert que reprsente lInternet et hostiles toute forme de rglementation du cyberespace ; - la conception porte par la Chine et la Russie, qui faisant la promotion de rgles contraignantes pour les Etats dans le cyberespace visent non seulement renforcer les mesures relatives la dfense et la scurit des systmes dinformation, mais aussi rglementer le contenu mme des informations2, ce qui est videmment inacceptable pour la majorit des pays attachs aux principes de la libert dexpression et de protection de la vie prive ; - la France se situe dans une position mdiane : elle est favorable un renforcement de la gouvernance du cyberespace et un minimum de rgulation, par exemple pour protger le droit dauteur, mais dans le mme temps elle soppose au concept de scurit de linformation . Par ailleurs, il ne faut pas sous-estimer les difficults juridiques et pratiques souleves par lide dun trait international sur la cyberscurit, qui interdirait par exemple lutilisation de capacits offensives ou la cyberguerre.

China, Russia and Other countries submit the document of International Code of Conduct for Information Security to the United Nations , site du ministre des affaires trangres de la Rpublique populaire de Chine, 13 septembre 2009 2 Une telle conception se retrouve par exemple dans la proposition russe intitule Convention on International Information Security (concept) , prsente lors du Sommet dEkaterinbourg, les 21 et 22 septembre 2011

- 54 -

Comment dfinir une arme informatique ? Quels seraient les moyens de contrle et les sanctions ventuelles dune violation de cette interdiction ? Les discussions se concentrent dsormais sur lide de promouvoir au niveau international des mesures de confiance ou des bonnes pratiques , par le biais de mesures non contraignantes, qui comprendraient deux volets : - dune part, une liste de mesures concrtes, comme lidentification des autorits comptentes pour traiter les attaques visant les systmes dinformation, la mise en place dchanges dinformations ou des exercices rguliers, voire la constitution dun rseau au niveau international ; - dautre part, un engagement des Etats traiter les attaques informatiques transitant par leur territoire. Une telle orientation sest ainsi nettement dgage lors de la confrence internationale sur le cyberespace, organise Londres, les 1 et 2 novembre 2011. La question se pose aujourdhui de savoir quelle serait lenceinte la plus approprie pour laborer ces mesures de confiance. LONU a adopt plusieurs documents concernant les technologies de linformation et de la communication et leurs aspects relatifs la scurit. La premire commission du dsarmement et de la scurit internationale de lAssemble gnrale des Nations Unies a adopt plusieurs rsolutions et elle a constitu un groupe dexperts gouvernementaux. Ce groupe a prsent en 2010 un rapport appelant poursuivre la concertation entre Etats sur des normes ventuelles relatives lutilisation des technologies de linformation et de la communication par les Etats, adopter des mesures de confiance, de stabilit et de rduction des risques, changer des informations sur les lgislations nationales et les stratgies de scurit nationales relatives aux technologies de linformation et de la communication et dfinir des moyens daider les pays les moins dvelopps renforcer leurs capacits. Dans sa rsolution 65/41, adopte en novembre 2011, lassemble gnrale des Nations Unies a dcid de la reprise des travaux du groupe dexperts gouvernementaux en 2012. Ces changes devraient porter notamment sur la dfinition de mesures de confiance visant renforcer la scurit ou la recherche dun consensus sur des normes de comportement dans le cyberespace. La rcente divulgation par la presse de lutilisation par les Etats-Unis darmes informatiques des fins offensives lencontre de lIran, risque toutefois de remettre en cause cette dmarche, puisqu'elle met en lumire l'utilisation par la premire puissance mondiale de cyber-armes l'encontre d'installations nuclaires trangres en-dehors de tout cadre lgitimant cette action vis--vis de la communaut internationale.

- 55 -

LUnion internationale des tlcommunications (UIT), organisation spcialise de lONU dont la vocation premire est la normalisation en matire de tlcommunications, a organis, en liaison avec lAssemble gnrale des Nations unies et sur deux sessions qui se sont droules en 2003 et 2005, le sommet mondial sur la socit de linformation, au cours duquel a t aborde la question de la gouvernance de linternet. LUIT travaille ltablissement dun cadre international pour la promotion de la cyberscurit (Programme mondial cyberscurit) et a cr en 2008 un groupe dexperts de haut niveau charg de proposer une stratgie long terme englobant les mesures lgales, les mesures techniques visant remdier aux failles des produits logiciels, ainsi que la prvention et la dtection des attaques informatiques et la gestion de crise. Sous limpulsion de son Secrtaire gnral, lUIT souhaite renforcer son rle en matire de cyberscurit, notamment dans la perspective dune rvision du rglement des tlcommunications internationales, en novembre 2012. Le Secrtaire gnral de lUIT a mme voqu en 2010 lide dun trait international interdisant la cyberguerre. Cette volont de lUIT est soutenue par la Chine et la Russie, qui souhaitent utiliser cette enceinte comme un des vecteurs de leur approche de la cyberscurit, ainsi que par la majorit des pays en voie de dveloppement. A linverse, les pays occidentaux, dont la France, sopposent lide de reconnatre un fondement juridiquement contraignant laction de lUIT sur la cyberscurit. En revanche, lUIT pourrait daprs eux jouer un rle utile daide au dveloppement de capacits nationales (cration de CERT, tablissement de stratgies, etc.), notamment en direction des pays en voie de dveloppement. Dans le cadre de sa prsidence du G8 en 2011, la France a inscrit pour la premire fois la question d'Internet l'ordre du jour dun Sommet du G8. Lobjectif tait que les chefs dtat et de gouvernement puissent discuter du dveloppement dInternet, de son impact sur la croissance conomique ou sur la promotion des droits de lhomme et des liberts dmocratiques la lumire notamment des printemps arabes . Un Forum e-G8 a t organis Paris, les 24 et 25 mai, afin de runir les grands acteurs des technologies de linformation et dInternet issus du secteur priv et de la socit civile. Ce forum a offert aux participants loccasion de sexprimer sur les dfis et les opportunits quils estiment pertinents pour lavenir dInternet. La dclaration adopte par les chefs dEtat ou de gouvernement du G8, lors du Sommet de Deauville, les 26-27 mai 2011, contient un chapitre consacr lInternet. Cette dclaration rappelle les principes douverture, de transparence et de libert sur lesquels repose lInternet, mais aussi la ncessit de prvoir des rgles afin dassurer notamment la protection de la proprit

- 56 -

intellectuelle, la protection des donnes caractre personnel et de la vie prive ou encore la lutte contre la pdopornographie. Dans le paragraphe consacr la scurit des rseaux et des services (paragraphe n17), il est indiqu qu une attention particulire doit tre accorde toutes les formes dattaque contre lintgrit des infrastructures, des rseaux et des services, y compris les attaques lies la prolifration de logiciels malveillants et aux activits impliquant des rseaux dordinateurs contrls par un tiers sur lInternet et qu il est dune importance cruciale de promouvoir la sensibilisation des utilisateurs et ( ) de renforcer la coopration internationale afin de protger les ressources vitales, les technologies de linformation et de la communication et dautres infrastructures connexes . Cette dclaration na toutefois pas dbouch sur des actions concrtes. LOCDE sest galement proccupe sous langle conomique des attaques informatiques visant les entreprises et de leur impact sur lconomie. Ds 1992, lOCDE a publi des lignes directrices relatives la scurit des systmes dinformation, qui ont t mises jour en 2001, et plusieurs documents ont t publis, portant notamment sur la protection des infrastructures dinformation critiques1. Laction de lOSCE en matire de cyberscurit est plus rcente. Elle tient principalement la volont des Etats-Unis de promouvoir cette enceinte, vritable machine fabriquer de la confiance et qui a jou un rle important durant la guerre froide , afin dtablir des mesures de confiance dans le cyberespace, en particulier avec la Russie. Un comit cyberscurit et un groupe de travail ddi la cyberscurit ont t constitus au sein de lOSCE et ce groupe a notamment pour fonction de prparer ltablissement dune liste de mesures de confiance et de scurit pour le cyberespace. Faute de vritable expertise sur la cyberscurit, cette organisation ne devrait toutefois rester quun simple forum dchange entre les Etats. Dans le cadre du Conseil de lEurope, une convention dite de Budapest a t adopte le 23 novembre 2001 en matire de lutte contre la cybercriminalit. Cette convention constitue le premier trait international qui dfinit les infractions pnales commises par lintermdiaire d'Internet et d'autres rseaux informatiques. Elle porte en particulier sur les infractions portant atteinte aux droits d'auteurs, la fraude lie l'informatique, la pornographie enfantine, ainsi que des infractions lies la scurit des rseaux. Elle contient galement une srie de pouvoirs de procdures, tels que la perquisition de rseaux informatiques et l'interception.

Voir par exemple les recommandations sur la protection des infrastructures dinformation critiques du 30 juin 2008

- 57 -

A ce jour, cette convention a t ratifie par trente cinq pays, dont la France et la plupart des pays de lUnion europenne, ainsi que par plusieurs pays non membres du Conseil de lEurope, limage des Etats-Unis. En revanche, ni la Russie, ni la Chine, nont sign ce trait, ce qui en limite beaucoup la porte. Enfin, un trs grand nombre de CERT (Computer emergency response team) ont t mis en place dans le monde entier. Ces structures permanentes dalerte et dassistance sont charges dassurer, pour le compte des organismes qui sy sont rattachs (administrations, centres de recherche, entreprises), une double mission dinformation sur les vulnrabilits, les menaces en cours et les moyens dy parer, et dassistance en vue de rsoudre les incidents. La France est dote, comme de nombreux autres pays, dun CERT gouvernemental, dnomm CERTA, dont la vocation est lassistance aux administrations et aux oprateurs dinfrastructures vitales. Les CERT gouvernementaux, ainsi que les CERT ddis au domaine militaire, constituent des capacits essentielles en matire de cyberdfense. Ds 1990, lutilit de procder des changes entre les diffrents CERT a t reconnue, avec la cration dune enceinte internationale, le Forum of incident response and security teams (FIRST). Le FIRST a pour buts de favoriser la coopration entre les quipes pour prvenir, dtecter et rtablir un fonctionnement nominal en cas d'incident de scurit informatique, de fournir un moyen de communication commun pour la diffusion de bulletins et d'alertes sur des failles potentielles et les incidents en cours, daider au dveloppement des activits de ses membres en matire de recherche et dactivits oprationnelles, et de faciliter le partage des informations relatives la scurit, des outils, des mthodes et des techniques. Il organise une confrence annuelle internationale consacre au traitement des incidents de scurit et aux changes d'exprience et d'expertise dans ces domaines. Aujourdhui, le FIRST fdre prs de 250 CERT rpartis de par le monde. Une enceinte spcifique, lEGC (European Government Computer Security Incident Response Team), a t cre par certains pays europens pour regrouper de manire informelle leurs structures gouvernementales. Le CERTA, CERT gouvernemental franais, y participe avec ses homologues allemand, britannique, nerlandais, suisse, sudois, finlandais et norvgien. LEGC a pour but dencourager le dveloppement conjoint des mesures pour rsoudre des incidents de scurit de grande ampleur et de faciliter le partage d'informations et les changes technologiques concernant les incidents de scurit informatique, les menaces lies des codes malveillants ainsi que les vulnrabilits des systmes d'informations. LEGC sefforce galement didentifier des domaines de comptences spcialiss et d'expertise qui peuvent tre partages au sein du groupe, ainsi que des projets de coopration en matire de recherche et dveloppement.

- 58 -

2. Une priorit de lOTAN qui tarde se concrtiser Le thme de la cyberdfense a retenu lattention de lOTAN ds le Sommet de Prague, en 2002, dont la dclaration finale prconisait un renforcement des capacits de lAlliance contre les attaques informatiques. LOTAN sest proccupe dans un premier temps de la protection de ses propres systmes dinformation et de communication, et elle a mis en place cet effet une structure spcifique : le centre technique de la capacit OTAN de raction aux incidents informatiques (Nato computer incident response capability NCIRC). Ce centre NCIRC est responsable de la fourniture des services techniques et oprationnels de cyberscurit pour l'ensemble des rseaux et systmes dinformation et de communication propres l'Alliance atlantique. Il doit permettre de traiter et de signaler les incidents et dapporter son appui aux responsables de la gestion des systmes. Par ailleurs, il a pour tche de centraliser et de coordonner le traitement des incidents en un point unique, afin dviter toute duplication. Les vnements survenus en Estonie au printemps 2007 ont amen lOTAN sinterroger sur son rle, en tant qualliance dfensive, en cas dattaque contre lun de ses membres. Lors du sommet de Bucarest, davril 2008, les chefs dEtat et de gouvernement des pays de lAlliance ont soulign la ncessit pour l'OTAN et pour les pays de protger les systmes d'information cls conformment leurs responsabilits respectives, de mettre en commun les meilleures pratiques, et de mettre en place une capacit visant aider, sur demande, les pays de l'Alliance contrer les cyberattaques . En 2008, une autorit de contrle de la cyberdfense a t cre (Cyber Defense Management Authority CDMA). Les cyberattaques sont dsormais une menace prise en compte dans le nouveau concept stratgique de lAlliance atlantique, adopt lors du Sommet de Lisbonne en novembre 2010. LOTAN sest dote en janvier 2011 dun concept en matire de cyberdfense, dclin en juin 2011 en une politique. En octobre 2011, les ministres de lOTAN ont approuv un plan daction, qui prvoit des actions concrtes. Ce nouveau concept de cyberdfense vise tout dabord renforcer la scurit des systmes dinformation de lAlliance, afin de la mettre niveau face la menace, grce lamlioration des normes et des procdures de scurit, et une gestion plus centralise. La politique cyber de lOTAN se veut globale, conformment au concept de cyberdfense en profondeur promu par la France, cest--dire quelle vise complter la dfense traditionnelle des rseaux informatiques

- 59 -

par diffrents mcanismes de dtection prcoce des menaces, de diversion des cyberattaques et de limitation des effets nfastes de ces attaques. Elle inclut notamment des exercices rguliers, des tests de vulnrabilit et la formation. Elle a galement pour objectif de renforcer la capacit de lOTAN coordonner lassistance aux allis subissant une attaque informatique dimportance, le cas chant laide dquipes projetables. Le partage des responsabilits entre lOTAN et les nations, qui conservent la charge de la protection de leurs propres systmes dinformation, a t dfini de manire bien dlimiter le primtre des systmes dont la protection incombe lOTAN. Dans le cadre de la rforme actuelle des agences de lOTAN, il est galement prvu de crer une nouvelle agence, qui doit regrouper la gestion de lensemble des systmes dinformation et de communication dpendants notamment de lAgence de communication et des systmes dinformation de lOTAN (Communication and Information Systems Services Agency NCSA). LOTAN mne aussi depuis quelques annes des exercices cyber. Ainsi, le dernier exercice, dnomm Cyber coalition 2011 , qui sest droul du 13 au 15 dcembre 2011, a consist tester les capacits techniques et oprationnelles de lAlliance en matire de cyberdfense. Cet exercice tait bas sur une situation de crise fictive dans laquelle tous les pays participants taient confronts des cyberattaques simules. 23 pays de l'OTAN et six pays partenaires ont particip cet exercice. Enfin, cette politique dfinit galement les principes de la coopration, dans le domaine de la cyberdfense, entre l'OTAN, les pays partenaires, les organisations internationales, le secteur priv et le monde universitaire. Pour autant, lOTAN nest pas compltement arme face cette menace. Dailleurs, lOTAN a t la cible de plusieurs attaques informatiques en avril 2010, attaques attribues la mouvance Anonymous et mme lordinateur personnel du Secrtaire gnral de lOTAN a t pirat. Ainsi, la principale unit informatique de lAlliance nest toujours pas oprationnelle 24 heures sur 24, 7 jours sur 7 et elle nassure pas encore la scurit de lensemble des systmes et des rseaux de lOTAN. Lors du dernier Sommet de Chicago, de mai 2012, les chefs dEtat et de gouvernement des pays de lAlliance ont rappel lobjectif dune pleine capacit oprationnelle du centre de lOTAN de raction aux incidents informatiques dici la fin de lanne 2012. Le 8 mars 2012, un contrat de 58 millions deuros a t attribu par lOTAN lamricain Northrop Grumman, associ aux entreprises Finmeccanica, SELEX Elsag et VEGA, pour la mise en place de la capacit oprationnelle de lOTAN en matire de rponse aux cyberattaques.

- 60 -

Toutefois, il est dsormais clair que cet objectif ne pourra pas tre atteint dans ce dlai et ncessitera encore plusieurs annes pour ltre pleinement. Plus gnralement, lOTAN doit encore dterminer quelle attitude adopter pour rpondre des cyberattaques lances contre lun des Etats membres. Peut-on invoquer larticle 5 du trait de Washington en cas de cyberattaque ? Une attaque informatique peut-elle tre assimile un acte de guerre et comment identifier lagresseur ? Les mesures de rtorsion doivent-elles se limiter des moyens cyberntiques, ou bien peut-on galement envisager des frappes militaires conventionnelles ? Il ny a pas encore de rponses claires ces questions, comme votre rapporteur a pu le constater lors de ses entretiens au sige de lOTAN Bruxelles avec les principaux responsables chargs de ces questions. Lors du dernier Sommet de lOTAN, qui sest tenu Chicago, le 20 mai 2012, les chefs dEtat et de gouvernement des pays membres de lAlliance atlantique ont adopt une dclaration, dont le point 49 est consacr la cyberdfense. Cette dclaration insiste dabord sur la monte en puissance de la menace : Le nombre de cyberattaques continue de s'accrotre de manire significative et leur niveau de sophistication et de complexit ne cesse d'voluer . Elle traduit galement lengagement des pays membres de lOTAN renforcer les capacits de lAlliance atlantique en matire de cyberdfense, tout en rappelant que les Etats membres restent responsables de la protection de leurs propres systmes dinformation et de communication : Sur la base des capacits existantes de l'OTAN, les lments critiques de la capacit oprationnelle totale (FOC) de la capacit OTAN de raction aux incidents informatiques (NCIRC), y compris la protection de la plupart des sites et des utilisateurs, seront en place d'ici la fin 2012. Nous nous sommes engags fournir les ressources et mener bien les rformes ncessaires pour mettre en place une capacit centralise de cyberprotection pour tous les organismes de l'OTAN, de manire garantir que les moyens que nous investissons collectivement dans l'OTAN sont protgs par des capacits de cyberdfense renforces. Nous allons continuer d'intgrer des mesures de cyberdfense dans les structures et les procdures de l'Alliance et, titre individuel, nous restons attachs recenser et mettre en place des capacits nationales de cyberdfense qui renforcent la collaboration et l'interoprabilit au sein de l'Alliance, y compris dans le cadre des processus OTAN de planification de dfense. Nous continuerons de dvelopper notre capacit prvenir et dtecter les cyberattaques, nous en dfendre et nous en relever .

- 61 -

Enfin, la dclaration reconnat limportance de la coopration avec dautres partenaires ou organisations, et en premier lieu avec lUnion europenne : Pour faire face aux menaces qui psent sur la cyberscurit et pour amliorer notre scurit commune, nous sommes dtermins travailler avec les pays partenaires concerns, au cas par cas, et avec des organisations internationales, entre autres l'UE, comme convenu, le Conseil de l'Europe, l'ONU et l'OSCE en vue d'accrotre la coopration concrte. En outre, nous tirerons pleinement parti de l'expertise offerte par le Centre d'excellence pour la cyberdfense en coopration en Estonie . Un accord de coopration et de coordination technique sur la cyberdfense a ainsi t conclu entre la France (ANSSI et tat-major des armes) et lAlliance atlantique, le 30 septembre 2011, qui prvoit des changes dinformations et de bonnes pratiques, lassistance en situation de crise et la participation des activits conjointes. En revanche, on peut regretter linsuffisante coopration entre lOTAN et lUnion europenne dans ce domaine. Mme si ltablissement dune coopration formelle se heurte des difficults politiques, en raison du diffrend chypriote, mais aussi de la difficult pour lOTAN de trouver un interlocuteur unique du ct de lUnion europenne en raison de la dispersion des responsabilits au niveau europen, il semble souhaitable de renforcer la coopration entre lOTAN et lUnion europenne dans ce domaine, dans un souci de complmentarit et de mutualisation. Cela pourrait passer par un renforcement des changes entre ltatmajor de lOTAN et celui de lUnion europenne, entre le NCIRC et le CERT de lUnion europenne, entre le commandement alli charg de la transformation (ACT) et lagence europenne de dfense (AED) ou encore entre le centre dexcellence pour la cyberdfense en coopration de Tallinn et lagence europenne charge de la securit des rseaux et de linformation (ENISA). Sept pays allis1 ont dcid en 2008 de contribuer la cration dun centre dexcellence sur la cyberdfense. Plusieurs pays, dont les Etats-Unis, ont dcid de les rejoindre portant onze ce jour les pays reprsents2 au sein du centre. Ce centre nest pas proprement parler un organisme de lOTAN mais il a reu une homologation de lAlliance atlantique en 2008. Constitu partir dune capacit estonienne dj existante, ce centre, situ Tallin, est constitu dune trentaine dexperts provenant des pays impliqus. Comme votre rapporteur a pu le constater lors dun dplacement Tallin, en marge de
Allemagne, Espagne, Estonie, Italie, Lettonie, Lituanie et Slovaquie. Pologne, Hongrie, Pays-Bas et Etats-Unis. Des discussions sont galement en cours avec la Turquie.
2 1

- 62 -

lassemble parlementaire de lOTAN, au cours de laquelle il a eu loccasion de visiter le centre dexcellence et de sentretenir avec son commandant, le colonel Ilmar Tamm, ce centre na pas de vocation oprationnelle mais sapparente plutt un centre de recherche. Son objectif est de runir au profit de lAlliance lexpertise en matire de risques cyberntique, dlaboration dune doctrine, de retour dexprience et de formation dexperts. Ses travaux portent principalement sur le cadre juridique national et international, la doctrine et les concepts, ainsi que sur la protection des infrastructures critiques. Alors que onze pays membres de lOTAN sont aujourdhui reprsents au sein du centre dexcellence sur la cyberdfense, dont les Etats-Unis, on peut regretter labsence de toute prsence franaise, comme dailleurs de lUnion europenne en tant quorganisation. Alors que la France a largement particip au processus de dfinition de la politique de cyberdfense de lOTAN, il semblerait souhaitable pour votre rapporteur que la France soit reprsente au sein du centre dexcellence sur la cyberdfense. Une telle prsence serait cohrente avec le renforcement de notre participation et de notre influence au sein de lAlliance atlantique, consquence de la rintgration pleine et entire de la France au sein des structures de commandements et organes de lOTAN dcide en 2009, mais aussi de la volont de notre pays de saffirmer sur le plan international comme un acteur important sur ce dossier. Pourquoi ne pas envisager galement une prsence de lUnion europenne au sein du centre dexcellence sur la cyberdfense ? 3. Une implication encore insuffisante de lUnion europenne LUnion europenne a un rle important jouer en matire de protection des systmes dinformation car une grande partie des normes relatives ce domaine relvent de ses comptences. Par ailleurs, lUnion europenne a elle-mme t la cible de plusieurs attaques informatiques ces dernires annes, limage de lattaque informatique de janvier 2011 visant le march europen du carbone, o les entreprises peuvent changer leurs certificats de quotas dmission de CO2, qui nest redevenu compltement oprationnel que trois mois plus tard. Toutefois, malgr ladoption dun grand nombre de textes, laction concrte de lUnion europenne dans ce domaine est reste jusqu prsent relativement limite. Ces dernires annes, les instances europennes ont adopt de nombreux documents dorientations ou de programmes intressant directement ou indirectement la scurit des systmes dinformation.

- 63 -

Pour la priode rcente, on peut notamment mentionner : - la stratgie dite i2010 ( Une socit de linformation pour la croissance et lemploi ) expose dans une communication de la Commission europenne du 1er juin 2005, et qui confirme limportance de la scurit des rseaux ; - la communication de la Commission du 31 mai 2006, intitule Une stratgie pour une socit de linformation sre dialogue, partenariat et responsabilisation , qui contient notamment une valuation comparative des politiques nationales relatives la scurit des rseaux et de l'information mais qui ne propose aucune action concrte ; - la communication de la Commission de mars 2009 relative la protection des infrastructures dinformation critiques qui fixe des objectifs prioritaires dans le domaine de la scurit des systmes dinformation et qui a dbouch sur un plan daction, adopt en avril 2009, comprenant cinq axes. Parmi les diffrentes mesures envisages, la Commission europenne se donne notamment pour objectif le dveloppement par chaque Etat membre dun CERT oprationnel, lorganisation dexercices de gestion de crise cyber aux niveaux national et europen ou encore la cration dun forum dchange public-priv europen, etc. Ce plan daction a t approuv par le Conseil en dcembre 2009 ; - la communication de la Commission de mai 2010 intitule Une stratgie numrique pour lEurope , qui aborde lensemble des enjeux lis au dveloppement de la socit de linformation en Europe. Cette communication souligne nouveau la ncessit dune mise en uvre rapide et efficace du plan daction de lUnion europenne pour la protection des infrastructures dinformation critiques ; - une nouvelle communication de la Commission europenne relative la protection des infrastructures dinformation critiques de mars 2011, qui reprend et dveloppe les cinq axes de la communication de mars 2009 et introduit de nouvelles propositions, telles que le dveloppement dun plan europen de continuit en cas de crise cyber et la cration dun groupe de travail commun Union europenne-Etats-Unis sur la cyberscurit et la cybercriminalit. Cette communication a fait lobjet de conclusions du Conseil en mai 2011, qui soulignent notamment limportance stratgique de lindustrie europenne des tlcommunications et de lindustrie de la scurit des rseaux et de linformation en vue de la protection durable des infrastructures dinformation critiques europennes. On peut toutefois observer que ces documents fixent des objectifs trs gnraux, mais ne paraissent pas encore en mesure de se traduire rapidement par des initiatives concrtes. Il faut galement souligner que des initiatives ont t prises au niveau europen en matire de lutte contre la cybercriminalit, avec par exemple

- 64 -

ladoption, le 24 fvrier 2005, dune dcision-cadre relative aux attaques visant les systmes dinformation. De mme, une directive a t adopte le 8 dcembre 2008 relative la protection des infrastructures critiques europennes, mais ce texte, qui se limite aux secteurs de lnergie et des transports, se contente dappeler les Etats-membres identifier les infrastructures critiques concernes et prvoir des mesures en matire de scurit, sans entrer vritablement dans le dtail des mesures ncessaires. Par ailleurs, la cyberdfense est galement un thme de travail rcent de la politique de scurit et de dfense commune, notamment au sein de lAgence europenne de dfense, qui a constitu une Project Team sur ce sujet. Toutefois, les travaux de lUnion europenne dans ce domaine sont encore trs embryonnaires et nont pas encore dbouch sur des ralisations concrtes. Ainsi, limage de lOTAN, il nexiste aucun consensus entre les vingt-sept Etats membres de lUnion europenne sur la mise en uvre de la clause de dfense mutuelle contenue dans le trait de Lisbonne, en cas dattaque informatique majeure contre un Etat membre. De manire gnrale, malgr ladoption de nombreux documents ou plans daction, lUnion europenne, et la Commission europenne en particulier, ne semblent pas encore avoir pris la mesure de limportance des enjeux lis la scurit des systmes dinformation, comme dailleurs de nombreux pays europens. On peut mentionner trois principales lacunes. Tout dabord, labsence de vritable stratgie globale du cyberespace lchelle europenne. Actuellement, les discussions au niveau europen se concentrent sur llaboration dune nouvelle stratgie europenne de scurit de lInternet , et plus rcemment dune stratgie europenne de cyberscurit , qui devrait prendre la forme dune communication de la Commission europenne dont la publication devrait intervenir en septembre 2012. Centre sur lenjeu de la scurit de lInternet, considr comme la premire des infrastructures critiques civiles en Europe, mais galement sur la lutte contre la cybercriminalit et la coopration internationale, cette stratgie sinscrit dans la continuit des travaux mens ces dernires annes au sein de lUnion europenne en matire de scurit des rseaux et de linformation. Cependant, la scurit de lInternet ne constitue quun des lments de la rponse europenne aux dfis et enjeux du cyberespace. Ensuite, une dispersion des acteurs. Ainsi, au sein de la Commission europenne, on assiste une concurrence entre les diffrentes directions gnrales pour le pilotage des enjeux autour de la cyberscurit au niveau de lUnion europenne. Si la

- 65 -

direction gnrale de la Socit de linformation et des mdias est principalement charge de la mise en uvre de la stratgie numrique pour lEurope, dautres directions gnrales, limage de la direction gnrale Affaires intrieures pour le volet relatif la lutte contre la cybercriminalit ou encore la direction gnrale march intrieur pour les aspects relatifs aux rgles du march intrieur, interviennent galement dans ce domaine. Par ailleurs, on peut dplorer une insuffisante coordination entre les aspects qui concernent des matires communautaires et qui relvent de la Commission europenne et ceux qui touchent des matires intergouvernementales, limage de la politique trangre ou de la politique de scurit et de dfense commune, qui relvent du Haut reprsentant pour laction extrieure et du service europen pour laction extrieure. Enfin, on constate un manque defficacit. Ainsi, limage de lOTAN, lUnion europenne ne parat pas encore en mesure dassurer la protection de lensemble de ses propres rseaux et systmes dinformation. LUnion europenne sest certes dote, le 10 juin 2011, dun CERT ( Computer Emergency Response Team ) europen, charg de prvenir et de rpondre aux attaques informatiques visant les rseaux ou systmes des institutions europennes, des agences ou des autres organes qui lui sont rattachs. Mais cette structure, qui ne compte que dix agents, nen est encore quau stade de la prfiguration et est encore trs loin dassurer une protection de lensemble des rseaux et systmes de lUnion europenne. Par ailleurs, la coordination et lefficacit des diffrents outils, mcanismes et politiques, la fois rglementaires et incitatifs, mis en place lchelle europenne pour encourager la prise en compte par les Etats membres des enjeux lis la protection des systmes dinformation mriteraient dtre notablement renforcs. Ainsi, lUnion europenne dispose dun instrument spcialis travers lAgence europenne charge de la scurit des rseaux et de linformation, lENISA (European Network and Information Security Agency), qui a t cre en 2004 avec un mandat initial dune dure de cinq ans. Installe Heraklion, en Crte, lENISA sest vue assigner des missions trs vastes, que lon peut regrouper en trois catgories : - conseiller et assister, en tant quagence dexpertise technique, la Commission europenne et les tats membres en matire de scurit des systmes dinformation, notamment au travers de guides de bonnes pratiques ;

- 66 -

- soutenir les Etats membres et les institutions europennes dans le dveloppement de capacits pour rpondre aux menaces pesant sur la scurit des systmes dinformation ; - encourager la coopration entre les Etats membres, notamment par des exercices communs. Cette agence europenne na donc pas de comptences oprationnelles mais plutt une mission de conseil et de recommandation. Elle dispose denviron 60 agents et dun budget de 8,5 millions deuros en 2012. LENISA a fait lobjet dune valuation externe demande par la Commission qui en a publi le rsultat en juin 2007. Le groupe dexperts externe a conclu que les activits de lENISA paraissaient insuffisantes pour atteindre le niveau lev dimpact et de valeur ajout espr et que sa visibilit tait en dessous des attentes. Lvaluation recense divers handicaps lis son organisation, aux ambiguts du mandat originel, sa localisation loigne, leffectif et la rotation importante du personnel, aux relations difficiles entre le conseil dadministration et la direction de lagence. Elle souligne un risque daffaiblissement rapide et de perte de rputation si lefficacit ntait pas amliore. Le Livre blanc sur la dfense et la scurit nationale de 2008 a soulign galement que lefficacit de lagence europenne ENISA devra tre trs notablement accrue , notamment pour permettre la Commission europenne de mettre en place un volet scurit des systmes dinformation dans toutes les ralisations des institutions europennes. On peut toutefois souligner que, ces derniers mois, lagence a publi des rapports intressants avec des recommandations concrtes, par exemple sur les systmes de contrle industriels et les SCADA ou encore la cyberscurit maritime. En outre, dans le cadre du groupe de travail sur les exercices pilot par lENISA, un premier exercice europen de crise cyber, intitul Cyber Europe 2010 , a t organis en 2010. Le mandat de lENISA a t prolong jusquen septembre 2013 et une proposition de rglement visant modifier et tendre le mandat de cette agence est actuellement en discussion au niveau europen. On peut galement relever ladoption, en novembre 2009, de la directive cadre du Paquet Tlcom modifiant la rgulation des communications lectroniques en Europe1. Cette directive contient une disposition (article 13 bis) contraignant les oprateurs de tlcommunications notifier aux autorits nationales comptentes toute atteinte la scurit ou perte dintgrit ayant eu un impact significatif sur le fonctionnement des rseaux ou des services. Elle introduit galement lobligation de mise en uvre de mesures de scurit minimales par

1 Directive 2009/136/CE du Parlement europen et du Conseil du 25 novembre 2009

- 67 -

les oprateurs, les autorits nationales tant charges de sassurer que les oprateurs respectent ces obligations. Cette directive cadre a t transpose en France par le biais de lordonnance du 24 aot 2011, qui a modifi la loi du 6 janvier 1978 dite informatique et liberts , en prvoyant notamment lobligation pour les oprateurs de tlcommunications de notifier la CNIL toute faille de scurit entranant accidentellement ou de manire illicite la destruction, la perte, l'altration, la divulgation ou l'accs non autoris des donnes caractre personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications lectroniques. En dfinitive, il semble indispensable que lUnion europenne simplique plus activement sur les questions lis la protection des systmes dinformation.
C. LES FREINS LA COOPRATION INTERNATIONALE

Si, face une menace qui saffranchit des frontires, la coopration internationale est une ncessit, cette coopration se heurte toutefois en pratique de nombreux obstacles. On peut cet gard mentionner trois principales limites. La premire limite rsulte du manque de confiance qui existe au niveau international. Etant donn la difficult didentifier prcisment lorigine des attaques informatiques et les soupons qui psent sur limplication de certains Etats, la plupart des pays sont rticents partager des informations ou des connaissances, par crainte daffaiblir leurs propres moyens de protection face ces attaques. Selon certains, il nexiste pas de vritables allis dans le cyberespace . Un deuxime frein tient aux diffrentes conceptions qui existent entre les Etats, en particulier entre ceux, comme les pays occidentaux, qui sont attachs lespace de libert que reprsente Internet, et dautres, comme la Russie ou la Chine, qui, inquiets du rle jou par lInternet et les rseaux sociaux notamment la lumire des rvolutions du printemps arabe , cherchent restreindre les droits et liberts sur ces nouveaux mdias et contrler le contenu mme des informations. Enfin, la dernire limite sexplique par les proccupations partages par la plupart des Etats de prserver leur souverainet nationale. Cela est particulirement vrai concernant la conception des produits de scurit informatique, notamment ceux destins protger linformation de souverainet. Ainsi, on constate que de nombreux Etats privilgient les cooprations bilatrales avec leurs proches allis et hsitent voquer ces sujets dans un cadre multilatral.

- 68 -

III. LA FRANCE A COMMENC COMBLER SON RETARD MAIS NOTRE DISPOSITIF CONNAT ENCORE DIMPORTANTES LACUNES Sil y a encore quelques annes, la France enregistrait un important retard, le Livre blanc de 2008 a donn une relle impulsion la politique franaise en matire de protection des systmes dinformations. Malgr plusieurs avances significatives, comme la cration dune agence nationale de scurit des systmes dinformation ou llaboration dune stratgie, notre dispositif connat encore dimportantes lacunes.
A. UNE PRISE DE CONSCIENCE TARDIVE

1. Le constat svre du rapport Lasbordes de 2006 Dans un rapport remis au Premier ministre, le 13 janvier 2006, intitul : La scurit des systmes dinformation Un enjeu majeur pour la France , notre ancien collgue dput Pierre Lasbordes dressait un constat sans complaisance des faiblesses de notre organisation et de nos moyens, notamment au regard de nos partenaires europens les plus proches. Il estimait ainsi que la France accuse un retard proccupant face aux impratifs de scurit des systmes dinformation, tant au niveau de lEtat quau niveau des entreprises, quelques grands groupes mis part. Une organisation marque par la dispersion et lautonomie des diffrents acteurs au sein des services de lEtat Lune des principales faiblesses mise jour par le rapport Lasbordes tenait la conduite de la politique de scurit des systmes dinformation, qui souffrait dune grande dispersion des acteurs et lautorit insuffisante des structures charges de la mettre en uvre. La France a dfini en 1986 une politique densemble de la scurit des systmes dinformation, avec ladoption dune srie de textes rglementaires instituant une commission et une dlgation interministrielles, ainsi quun service central de la scurit des services dinformation. Cette organisation a t revue avec lattribution en 1996 au Secrtariat gnral de la dfense nationale (SGDN) dune responsabilit particulire dans le domaine de lidentification et de la surveillance des risques affectant la scurit des systmes dinformation. Une direction centrale de la scurit des services dinformation (DCSSI), partie intgrante du SGDN, avait t cre par un dcret du 31 juillet 2001. Le rapport Lasbordes estimait cependant que la multiplication des acteurs publics, dont les missions se chevauchent et dont les textes fondateurs sont peu prcis, donne une impression gnrale de confusion et dparpillement des moyens et des hommes. Dans cette nbuleuse, lacteur

- 69 -

public ddi, le SGDN et plus prcisment la DCSSI, souffre dun manque dautorit et parfois de crdibilit auprs des publics concerns. Ces deux facteurs, lparpillement des moyens et le manque dautorit du SGDN, nuisent lefficacit de lEtat dans la dfinition et la mise en uvre de la politique globale de scurit des systmes dinformation . Des moyens insuffisants Le deuxime constat principal du rapport Lasbordes tenait linsuffisance des moyens consacrs la scurit des systmes dinformation. Il soulignait leffectif trs restreint de la DCSSI, limit 100 personnes, qui ne lui permettait pas de rpondre aux besoins identifis dans le cadre de ses missions, que ce soit en matire de ralisation dinspections au sein des ministres, de formation, de conseil aux administrations et aux entreprises. Des entreprises vulnrables Une large partie du rapport Lasbordes est consacre au monde de lentreprise, quil considre comme tant au cur de la menace et de la problmatique de la scurit des systmes dinformation. Il estime que dune manire gnrale, les entreprises franaises ont insuffisamment pris en compte la ralit de la menace et ne se sont pas mises en situation de sen protger, quelques grands groupes mis part. Les raisons voques tiennent au manque dimplication des directions gnrales, la formation insuffisante des personnels en matire de risques informatiques, labsence didentification pertinente des donnes sensibles ou linsuffisance des budgets ddis la scurit des systmes dinformation. Le rapport Lasbordes concluait sur six recommandations : - sensibiliser et former la scurit des systmes dinformation ; - responsabiliser les acteurs, par la gnralisation des chartes dutilisateurs et la labellisation des fournisseurs de produits scuriss ; - renforcer la politique de dveloppement de technologies et de produits de scurit et dfinir une politique dachat public en cohrence ; - rendre accessible la scurit des systmes dinformation toutes les entreprises ; - accrotre la mobilisation des moyens judiciaires ; - assurer la scurit de lEtat et des infrastructures vitales. Il prconisait galement une rorganisation de la politique interministrielle de la scurit des systmes dinformation en sparant les fonctions dautorit, confies au SGDN, et les fonctions oprationnelles qui sappuieraient sur les moyens de lancienne DCSSI renforcs et regroups dans une structure nouvelle statut dtablissement public industriel et commercial.

- 70 -

2. Le rapport Romani de 2008 En fvrier 2008, la commission des affaires trangres, de la dfense et des forces armes du Snat, prside lpoque par M. Josselin de Rohan, a souhait sintresser ce sujet et a confi lun de ses membres, M. Roger Romani, la mission de prparer un rapport sur la cyberdfense. Publi le 8 juillet 2008, le rapport dinformation, intitul Cyberdfense : un nouvel enjeu de scurit nationale prsent par notre ancien collgue estimait que la France nest ni bien prpare, ni bien organise face la menace dattaques informatiques. Daprs ce rapport, le manque de moyens, notamment en comparaison avec nos voisins britanniques ou allemands, se conjugue labsence dune autorit centrale vritablement susceptible dimpulser et de coordonner une politique densemble de la scurit des systmes dinformation. Enfin, si le rapport approuve les orientations trs positives retenues par le Livre blanc, notamment la cration de lAgence de la scurit des systmes dinformation, il estime que cette agence devra tre imprativement dote des moyens et de lautorit permettant de mener une action plus rsolue dans le domaine de la scurit des systmes dinformation, et il formule plusieurs propositions en ce sens. 3. Le Livre blanc sur la dfense et la scurit nationale de 2008 Le Livre blanc sur la dfense et la scurit nationale de 2008 a marqu un vritable tournant . En effet, avec le Livre blanc, la protection des systmes dinformation est clairement dfinie comme une composante part entire de notre politique de dfense et de scurit. Le Livre blanc accorde, pour la premire fois, une place importante la menace reprsente par les attaques informatiques. Il estime en effet que le niveau quotidien actuel des agressions contre les systmes dinformation, quelles soient dorigine tatique ou non, laisse prsager un potentiel trs lev de dstabilisation de la vie courante, de paralysie de rseaux critiques pour la vie de la nation, ou de dni de fonctionnement de certaines capacits militaires . Aux yeux des rdacteurs du Livre blanc, la multiplication tentatives dattaques menes par des acteurs non tatiques dans les quinze venir constitue une certitude, alors que plusieurs pays ont dj dfini stratgies de lutte informatique offensive et se dotent effectivement capacits techniques relayes par des pirates informatiques . des ans des de

Le Livre blanc juge que des tentatives dattaques tatiques dissimules sont hautement probables et que des actions massives menes ouvertement sont galement plausibles.

- 71 -

Le Livre blanc de 2008 dfinit aussi une nouvelle approche en matire de scurit des systmes dinformation. Il prconise ainsi le passage dune stratgie de dfense passive une stratgie de dfense active en profondeur , combinant protection intrinsque des systmes, surveillance permanente, raction rapide et action offensive , une telle volution supposant une forte impulsion gouvernementale et un changement des mentalits . La dfense passive peut tre dfinie comme un simple recours aux systmes automatiques de protection des rseaux (pare-feux, antivirus), placs la frontire entre ceux-ci et lextrieur. Ces outils sont indispensables, mais insuffisants, car ils ne sont pas infaillibles et peuvent tre contourns puisquils ne protgent que des menaces dj identifies contre lesquelles ils ont t conus. La dfense active implique une vritable capacit de surveillance des frontires et laptitude sadapter en permanence une menace qui volue de manire quotidienne, de nouvelles vulnrabilits apparaissant en permanence. Afin de renforcer la cohrence et la capacit propre des moyens de lEtat, le Livre blanc prvoit la cration dune agence charge de la scurit des systmes dinformation. Relevant du Premier ministre et de la tutelle du SGDSN, cette agence mettra en uvre une capacit centralise de dtection et de dfense face aux attaques informatiques. Elle sera dote des moyens de faire dvelopper et dacqurir les produits de scurit essentiels la protection des rseaux les plus sensibles de lEtat. Elle sera galement charge dassurer une mission de conseil du secteur priv, notamment dans les secteurs dactivit dimportance vitale . Enfin, le Livre blanc voque pour la premire fois les capacits offensives : Dans la mesure o le cyberespace est devenu un nouveau champ daction dans lequel se droulent dj des oprations militaires, la France devra dvelopper une capacit de lutte dans cet espace. Des rgles dengagement appropries, tenant compte des considrations juridiques ce nouveau milieu, devront tre labores .
B. DE RELLES AVANCES DEPUIS 2008

Le Livre blanc sur la dfense et la scurit nationale de 2008 a permis de donner une relle impulsion la politique franaise en matire de dfense et de protection des systmes dinformation. En termes dorganisation, le Livre blanc a permis cette politique dtre clairement identifie, avec la cration, en juillet 2009, de lANSSI, lAgence nationale de la scurit des systmes dinformation. Celle-ci a rendu publique, en fvrier 2011, la stratgie de la France dans ce domaine.

- 72 -

Plusieurs ministres, et en particulier le ministre de la dfense et les armes, ont mis en place une nouvelle organisation. Enfin, dans le droit fil des recommandations du Livre blanc, des capacits de dtection et de protection ont commenc tre dployes dans les administrations. 1. La cration de lAgence nationale de la scurit des systmes dinformation Les rapports Lasbordes, Romani, ainsi que le Livre blanc de 2008 avaient prconis la cration dune agence interministrielle charge de la scurit des systmes dinformation, en vue de renforcer la cohrence et la capacit propre des moyens de lEtat. Cette agence, dnomme Agence nationale de la scurit des systmes dinformation (ANSSI), a t cre le 7 juillet 2009, par un dcret du Premier ministre1, sous la forme dun service comptence nationale. Elle a remplac la direction centrale de la scurit des systmes dinformation (DCSSI) du secrtariat gnral de la dfense et nationale, tout en renforant ses attributions, ses effectifs et ses moyens. Cette agence relve du Premier ministre et elle est distincte des services du SGDSN tout en tant place sous la tutelle directe du Secrtaire gnral de la dfense et de la scurit nationale, M. Francis Delon. Elle est dirige par M. Patrick Pailloux. Les prrogatives de lANSSI recouvrent les capacits en matire de prvention, de dtection et de raction aux attaques informatiques. Lagence na aucune comptence concernant les aspects offensifs . Par ailleurs, le ministre de la dfense et les services spcialiss conservent des attributions particulires. Les attributions de lANSSI recouvrent six principales missions. En tant quautorit nationale en matire de scurit des systmes dinformation, lANSSI est charge de proposer les rgles appliquer pour la protection des systmes dinformation de lEtat et de vrifier lapplication des mesures adoptes. Ainsi, lANSSI est charge de prparer la stratgie nationale en matire de scurit des systmes dinformation, danimer et de coordonner les relations avec les diffrents ministres, de prparer les textes lgislatifs et rglementaires intressant la scurit des systmes dinformation et la rdaction de rfrentiels, la labellisation de scurit des produits et des prestations de service, lorganisation et le suivi de relations internationales et de relations industrielles, ainsi que linstruction des dossiers de dclaration et dautorisation relatifs aux produits rglements.
Dcret n2009-834 du Premier ministre en date du 7 juillet 2009 portant cration dun service comptence nationale dnomm Agence nationale de la scurit des systmes dinformation
1

- 73 -

LANSSI est ainsi charge dlaborer le rfrentiel gnral de scurit (RGS), qui dsigne lensemble des rgles relatives aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives, qui participent la scurit des informations et qui doivent respecter certaines fonctions, comme la signature lectronique, lauthentification ou la confidentialit. En matire de cyberdfense, lANSSI est charge de dtecter et de ragir au plus tt en cas dattaque informatique. Le centre oprationnel de la scurit des systmes dinformation (COSSI), qui a t cr en 2003 et qui est oprationnel 7 jours sur 7, 24 heures sur 24 depuis 2005, assure la mise en uvre de la fonction dautorit de dfense des systmes dinformation dvolue lANSSI. Son action sexerce en priorit au profit des administrations de lEtat, ainsi que des oprateurs dimportance vitale. Le COSSI apporte son soutien et son expertise la rsolution des nombreux incidents de scurit majeurs rencontrs par des ministres et les grandes entreprises. Il met aussi des avis de scurit, des alertes et des bulletins dactualit sur les attaques en cours, quil met en ligne sur le site Internet de son centre dexpertise, le CERT gouvernemental franais. Le COSSI assure un service permanent de veille, de dtection et dalerte destin dceler les vulnrabilits susceptibles daffecter la scurit des systmes dinformation, proposer des mesures de contournement ncessaires et dtecter les attaques visant les systmes dinformation de lEtat. En cas dincident, il assiste les services concerns en matire de prvention, de dtection, de protection et de raction. En cas dattaque informatique majeure, il dcide des mesures urgentes faire appliquer par lEtat et les oprateurs dimportance vitale. Le COSSI assure, au niveau central, la planification des mesures de rponse aux attaques informatiques, notamment dans le cadre des plans VIGIPIRATE et PIRANET. Il organise des exercices afin dvaluer les dispositifs techniques et organisationnels de prvention, de dtection, de protection et de raction mis en place, dentraner les personnels concerns et de mesurer le degr de prparation de la Nation.
LE PLAN PIRANET Complmentaire au plan Vigipirate, le plan Piranet est destin faire face des attaques informatiques majeures, pouvant tre dorigine terroriste, ayant touch les systmes dinformation de ltat ou doprateurs dinfrastructures dimportance vitale, et organiser la rponse ces attaques : - en mettant en uvre un dispositif dalerte et dintervention ; - en procdant au confinement des attaques ainsi qu la remise en tat des systmes touchs ; - en transmettant galement lalerte vers les services non affects, en leur indiquant les postures prendre et les parades mettre en place.

- 74 -

Le plan Piranet est lun des piliers de la stratgie de dfense informatique franaise. Il dfinit lorganisation et les processus de gestion de crise permettant ltat de prendre les dispositions ncessaires. Il prvoit galement lapplication de mesures adaptes une menace ou une attaque informatique dampleur. Ce plan est prpar et maintenu par lANSSI et le SGDSN et dclench par le Premier ministre. Le premier plan Piranet a t cr en 2002, peu aprs les attentats du 11 septembre 2001. Le dernier exercice Piranet 2012 , qui sest droul les 7, 8 et 9 fvrier 2012, reposait sur le scnario dune crise informatique majeure , telle quune interruption totale de la connexion lInternet, et visait tester la capacit de lEtat ragir et se coordonner en cas dattaques causant de graves dysfonctionnements des systmes dinformation de la Nation. Outre les services de lEtat, des oprateurs dimportance vitale des secteurs de la sant, des transports et des communications lectroniques ont t associs cet exercice.

Le COSSI dispose dune capacit dinspection et daudit pour valuer la scurit des systmes dinformation des services de lEtat et aider les responsables en amliorer le niveau. Cette capacit peut galement tre mobilise dans le cadre du soutien et du contrle quexerce lEtat sur les oprateurs dimportance vitale. LANSSI a galement pour mission de prvenir la menace. Elle contribue pour cela au dveloppement dune offre de produits et de services de confiance pour les administrations et les acteurs conomiques. Elle est notamment charge de fournir aux plus hautes autorits de lEtat, aux autorits publiques et aux autres acteurs de la conduite des situations durgence et des crises, des moyens scuriss dont le fonctionnement doit tre assur en toutes circonstances. Avec lappui du Centre de transmissions gouvernementales (CTG), elle met en uvre les moyens gouvernementaux scuriss de commandement et de liaison interministriels, parmi lesquels le rseau tlphonique RIMBAUD, qui permet la continuit de laction gouvernementale et dessert les 300 plus hautes autorits gouvernementales parmi 4500 abonns et lIntranet scuris interministriel ISIS, seul rseau interministriel permettant, sur lensemble du territoire national, le passage en temps rel dinformations classifies au niveau confidentiel-dfense et outil de conduite de laction gouvernementale en situation durgence ou de crise. ISIS met en relation 2000 dcideurs publics. Autre mission importante de lagence, lANSSI joue de plus en plus un rle permanent dassistance, de conseil et dexpertise en matire de scurit des systmes dinformation au profit des administrations et des oprateurs dimportance vitale. Elle exerce ainsi un rle dassistance la matrise douvrage des ministres et du secteur priv ds lors que la scurisation de leurs systmes dinformation concerne les intrts fondamentaux de la Nation. LANSSI apporte ainsi son soutien dans de nombreux projets dimportance (comme par exemple le passeport biomtrique ou le dossier mdical personnel) et elle uvre lintgration de la scurit des

- 75 -

systmes dinformation dans plusieurs programmes de dfense (notamment les systmes de communication ou de commandement) ou stratgiques (comme le systme de positionnement par satellite Galileo). Lagence est galement charge de dfinir les recommandations gnrales, les rfrentiels techniques et les mthodes dans tous les aspects concourant la scurit des systmes dinformation. LANSSI dispose aussi dun centre de formation la scurit des systmes dinformation (CFSSI), qui dispense des enseignements spcialiss qui vont de la sensibilisation la formation dexperts en cryptologie ou en systmes. Chaque anne, ce centre forme plus de 1 500 agents publics. Enfin, lagence dveloppe une politique de communication et de sensibilisation afin dinformer rgulirement les entreprises et le grand public sur les menaces qui psent sur les systmes dinformation et sur les moyens de sen protger. Un portail de la scurit informatique a ainsi t inaugur en 20081. Il vise offrir une information de qualit accessible au plus grand nombre. En 2011, le gouvernement a dcid de renforcer les prrogatives de lANSSI. Par un dcret du 11 fvrier 2011, le Premier ministre a dcid de confier lagence la mission dautorit nationale en matire de dfense des systmes dinformation2. A ce titre, elle a la charge, en cas dattaque informatique majeure contre la Nation, dorganiser la rponse et de dcider des premires mesures urgentes faire mettre en uvre notamment par les administrations, par les oprateurs de communications lectroniques et, terme, par les oprateurs dimportance vitale. Autrement dit, lANSSI pourrait dcider, sur instruction des plus hautes autorits de lEtat, le filtrage de certains protocoles ou le blocage de connexions lInternet, en cas de risque majeur contre la Nation. 2. La stratgie franaise en matire de cyberdfense et de protection des systmes dinformation Le 15 fvrier 2011, lANSSI a rendu publique la stratgie de la France en matire de dfense et de scurit des systmes dinformation3. Cette stratgie repose sur quatre objectifs : - faire de la France une puissance mondiale de cyberdfense et appartenir au premier cercle des nations majeures dans ce domaine tout en conservant son autonomie ;
1 2

http://www.securite-informatique.gouv.fr Dcret n2011-170 du 11 fvrier 2011 modifiant le dcret n2009-834 du 7 juillet 2009 3 Premier ministre, ANSSI, Dfense et scurit des systmes dinformation Stratgie de la France , fvrier 2011

- 76 -

Il sagit dassurer notre pays des capacits autonomes et de prvoir une stratgie dinfluence de manire pouvoir peser sur ces questions lchelle internationale. - garantir la libert de dcision de la France par la protection de linformation de souverainet ; Selon cet objectif, notre pays doit pouvoir protger ses informations les plus confidentielles, ce qui suppose notamment une capacit autonome de production de produits de scurit et des ressources humaines suffisantes dans certains domaines cls comme la cryptologie. - renforcer la cyberscurit des infrastructures vitales nationales ; Alors que traditionnellement la priorit tait dassurer la protection des informations de lEtat, en particulier dans les domaines rgaliens, comme les affaires trangres ou la dfense, cet objectif vise prendre en compte les vulnrabilits existantes dans les secteurs dimportance vitale, comme lnergie, les transports ou la sant. - assurer la scurit dans le cyberespace. Il sagit principalement par cet objectif de renforcer nos efforts en matire de lutte contre la cybercriminalit. Le document propose galement sept axes defforts : - Mieux anticiper et analyser lenvironnement afin de prendre les dcisions les mieux adaptes ; - Dtecter les attaques et les contrer, alerter les victimes potentielles et les accompagner ; - Accrotre et prenniser nos capacits scientifiques, techniques, industrielles et humaines dans lobjectif de prserver lautonomie ncessaire ; - Protger les systmes dinformation de lEtat et des oprateurs dinfrastructures vitales pour une meilleure rsilience nationale ; - Adapter notre droit afin de prendre en compte les volutions technologiques et les nouveaux usages ; - Dvelopper nos collaborations internationales en matire de scurit des systmes dinformation, de lutte contre la cybercriminalit et de cyberdfense pour mieux protger les systmes dinformation nationaux ; - Communiquer, informer et convaincre afin de permettre aux Franais de prendre la mesure des enjeux lis la scurit des systmes dinformation. Cette stratgie saccompagne dune liste denviron quarante orientations et actions concrtes mettre en uvre, qui nont pas t rendues publiques.

- 77 -

3. Le passage dune posture de protection passive une stratgie de cyberdfense en profondeur En rponse la multiplication en France des attaques informatiques de grande ampleur, le gouvernement a dcid, le 25 mai 2011, dacclrer la monte en puissance du dispositif national de scurit et de dfense des systmes dinformation en adoptant une srie de mesures1 : - un groupe dintervention rapide plac lANSSI, form dexperts capables dintervenir sur les systmes dinformation de lEtat et des oprateurs qui en feraient la demande, permettra de traiter dans les meilleurs dlais les attaques les plus graves ; Ce groupe dintervention aura notamment pour mandat dintervenir dans les administrations et les organismes publics ou encore chez les oprateurs critiques, notamment les oprateurs dimportance vitale, lorsque des indices laissent penser quils ont t lobjet dune attaque informatique susceptible de prsenter un danger pour la scurit de leur activit, de menacer lintgrit de leur patrimoine informationnel, de dsquilibrer le fonctionnement conomique du pays ou de porter atteinte la vie quotidienne des Franais. Dans le cas o une compromission grave serait dcouverte, le groupe dintervention rapide devrait tre en mesure, la demande et en appui des quipes de ladministration, de lentreprise et dventuels prestataires, dlaborer les plans de reconstruction des systmes dinformation compromis et de superviser leur mise en uvre, voire dy contribuer directement. Par ailleurs, dot de moyens aptes tre projets, ce groupe dintervention rapide devrait donner la France une capacit dassistance nos allis en cas de crise majeure de nature informatique. - une politique interministrielle de scurit des systmes dinformation de lEtat visant homogniser et accrotre la scurit dans lensemble des ministres sera adopte. Lobjectif vis est dlever et dhomogniser le niveau de scurit de lensemble des systmes dinformation de lEtat par la mise en uvre de scurits minimales communes. La mise en place gnralise de cartes puce, qui prsente de meilleures garanties que les simples mots de passe, devrait galement amliorer significativement la scurit des systmes dinformation de ladministration. Dans ce cadre, un rseau interministriel scuris (RIE), regroupant lensemble des rseaux des ministres et permettant la continuit de laction gouvernementale en cas de dysfonctionnent grave dInternet, sera mis en place.

Compte rendu du Conseil des ministres du 25 mai 2011

- 78 -

Aujourdhui, chaque ministre dispose de son rseau informatique, avec des passerelles relies lInternet. Il existe certes depuis 2007 un Intranet scuris interministriel, dnomm ISIS, mais celui-ci est rserv linformation classifie. Ce rseau permet lchange et le partage de documents classifis au titre du confidentiel dfense entre acteurs gouvernementaux et remplace le traditionnel systme de transport des plis confidentiel dfense et secret dfense par gendarme motocyclette. La construction dun rseau interministriel de lEtat (RIE) protg et rsilient, dvelopp ltat de lart , devrait assurer la continuit de laction gouvernementale et administrative en cas de dysfonctionnement grave dInternet, de limiter le nombre de passerelles dinterconnexion entre les administrations et lInternet, qui sont autant de points de fragilit potentiels, et damliorer ainsi la dtection des attaques au niveau des passerelles et notre capacit y ragir. Accessoirement, un tel rseau permettrait de rduire les cots de communications lectroniques de lEtat en rduisant le nombre de rseaux. Plusieurs pays, notamment lAllemagne pour le gouvernement fdral, disposent dores et dj dun tel rseau. Ce projet, qui reprsente un investissement de lordre de 70 millions deuros par an, est sous la responsabilit de la direction interministrielle des systmes dinformation et de communication de lEtat (DISIC), cre par le dcret du 21 fvrier 2012. Daprs les informations recueillies par votre Rapporteur, le dploiement du RIE devrait commencer au printemps 2013 ; - les oprateurs publics et privs chargs dinfrastructures vitales seront invits participer avec lEtat un partenariat visant renforcer la dfense et la scurit de leurs systmes dinformation ; Ce partenariat entre lEtat et les oprateurs dinfrastructures critiques doit notamment permettre damliorer la sensibilisation des oprateurs la scurit des systmes dinformation, de mieux connatre les faiblesses de leurs systmes dinformation, de prvenir les attaques sur les systmes critiques et de dfinir les chanes de comptence et de responsabilit en matire de scurit des systmes dinformation. Cela passe notamment par le dveloppement des changes dinformation entre lEtat et les oprateurs critiques, le partage et lanalyse des remontes dincidents, ainsi que les audits de scurit, et par la cration dun rseau dalerte en cas dattaque informatique. - la scurit des systmes dinformation sera incluse dans les formations suprieures, en commenant par les formations scientifiques et techniques, afin que lensemble des tudiants acquirent un socle commun de connaissances et de bonnes pratiques en ce domaine ; - un centre de recherche associant lEtat et les entreprises sera cr afin doptimiser les capacits de recherche existantes et de soutenir des projets structurants.

- 79 -

4. Les mesures prises par les diffrents ministres : lexemple du ministre de la dfense La cration de lANSSI a modifi sensiblement le paysage institutionnel franais de la scurit des systmes dinformation. Si le Secrtaire gnral de la dfense et de la scurit nationale reste charg, au nom du Premier ministre, du pilotage de la politique nationale en matire de scurit des systmes dinformation, il sappuie dsormais sur lAgence nationale de la scurit des systmes dinformation. Afin de prparer la stratgie nationale, un comit stratgique de la SSI a galement t institu par le dcret portant cration de lANSSI. Enfin, conformment aux recommandations du Livre blanc de 2008, il a t dcid, en complment de la cration de lANSSI, la mise en place au niveau de chaque zone de dfense et de scurit, dun observatoire zonal de la scurit des systmes dinformation (OzSSI). Ces observatoires, crs par le ministre de lIntrieur, ont pour mission de relayer, sur lensemble du territoire national, les mesures prises pour amliorer la scurit des systmes dinformation. Outre le SGDSN et lANSSI, plusieurs ministres disposent de comptences spcifiques intressant la scurit des systmes dinformation : le ministre de la dfense, avec la direction gnrale de larmement, au travers de son expertise technique, et les services de renseignement (Direction gnrale de la scurit extrieure DGSE - et Direction de la protection et de la scurit de la dfense - DPSD) ; le ministre de lintrieur, avec la Direction centrale du renseignement intrieur (DCRI), lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC) et les services spcialiss de la gendarmerie nationale, en particulier le dpartement cybercriminalit du service technique de recherche judiciaire et de documentation (STRJD) et le dpartement informatique et lectronique de lInstitut de recherche criminelle de la gendarmerie nationale (IRCGN), ou encore les ministres de lconomie, des finances et du budget. Enfin, chaque ministre reste responsable de la scurit de ses propres systmes dinformation. Lorganisation repose sur les hauts fonctionnaires de dfense et de scurit (HFDS), placs auprs de chaque ministre, ventuellement assists dun fonctionnaire de scurit des systmes dinformation (FSSI), qui est charg danimer la politique de scurit des systmes dinformation. Chaque ministre dsigne en outre des autorits qualifies en scurit des systmes dinformation (AQSSI), qui sont responsables de la scurit des systmes dinformation au sein de leur primtre. Aux diffrents chelons des administrations centrales et des services dconcentrs sont gnralement dsigns des responsables de la scurit des systmes dinformation (RSSI).

- 80 -

A la suite des prconisations du Livre blanc, des outils informatiques spcialiss ont t dploys dans plusieurs ministres afin de permettre de dceler les signes dattaques informatiques. Votre rapporteur a souhait consacrer une place particulire au ministre de la dfense et aux armes. Le ministre de la dfense a, en effet, rform rcemment son organisation afin de ladapter une stratgie de cyberdfense en profondeur . Par ailleurs, si lANSSI est autorit nationale de dfense, le ministre de la dfense et les forces armes conservent un rle particulier dans ce domaine, notamment en raison des oprations et des missions caractre militaire conduites sous lautorit du chef des armes et dont le cadre daction ne se limite pas aux zones sous souverainet nationale. Lorganisation au sein du ministre de la dfense et des armes, qui a t rforme rcemment par une instruction ministrielle de janvier 2012, repose sur une distinction entre la protection et la dfense des systmes dinformation. En effet, mme si la protection et la dfense des systmes dinformation sont complmentaires et mettent en uvre plusieurs concepts et moyens communs, elles font intervenir des cycles temporels bien diffrents, la premire planifiant ses actions moyen et long terme, l o la seconde agit en temps rel. Elles peuvent par consquent tre traites par des chanes distinctes. Cest le cas au ministre de la dfense, o la partie protection est anime par le fonctionnaire de scurit des systmes dinformation (FSSI) et la partie dfense est commande par un officier gnral la cyberdfense (OG CYBER). La protection des systmes dinformation recouvre lensemble des moyens et des mthodes mis en place pour protger linformation, les systmes informatiques et les rseaux de communication par des moyens techniques (cryptographie, analyse et filtrage de flux, anti-virus, etc.) et organisationnels (sensibilisation, formation, surveillance). Elle aboutit, via un processus dhomologation, la dlivrance dune aptitude oprer en scurit, aptitude quil convient ensuite dentretenir par un processus de maintien en condition de scurit tout au long de la vie du systme. Elle repose sur une chane mise en place par cinq autorits qualifies (AQSSI) et anime par un fonctionnaire de scurit des systmes dinformation (FSSI), rendant compte au haut fonctionnaire correspondant de dfense et de scurit (HFCDS), qui est le chef du cabinet militaire du ministre de la dfense Les cinq autorits qualifies (AQSSI) sont le chef dtat major des armes, le directeur gnral de la scurit extrieure, le directeur de la protection et de la scurit de la dfense, le secrtaire gnral de ladministration et le dlgu gnral pour larmement. Ces cinq autorits qualifies rendent compte au ministre et dsignent un reprsentant qui travaille en troite concertation avec le fonctionnaire de la scurit des systmes dinformation (FSSI), plac au sein de la direction gnrale des systmes

- 81 -

dinformation et de communication du ministre de la dfense (DGSIC). Cre en 2006 et place directement auprs du ministre de la dfense, la DGSIC joue un rle danimation, dexpertise et de conseil en matire de systmes dinformation et de communication. Elle dispose dune sous-direction de la scurit des systmes dinformation. La direction interarmes des rseaux dinfrastructure et des systmes dinformation (DIRISI) est, pour sa part, loprateur principal des systmes dinformation et de communication du ministre de la dfense. La chane fonctionnelle de scurit des systmes dinformation du ministre de la dfense a t rforme rcemment, avec le regroupement, sous lautorit du chef dEtat major des armes, des chanes darmes, de faon suivre la mise en place des bases de dfense. Lorganisation distingue mieux dsormais le rle des responsables de la scurit des systmes dinformation (RSSI) dvolus des projets ou des programmes de systmes dinformation et de communication, et les fonctions dofficier de la scurit des systmes dinformation (OSSI), qui ont en charge le volet organisationnel de la cyberprotection. Au total, il existe environ un millier dagents de la scurit des systmes dinformation au sein du ministre de la dfense et le cot total de la cyberscurit est valu environ 44 millions deuros par an. La dfense des systmes dinformation, qui vise garantir en temps rel la scurit et la disponibilit des systmes dinformation contre les attaques informatiques, en compltant les moyens de protection par des mesures ractives et une capacit de gestion de crise, traitant la fois de la reconfiguration du systme dinformation et des missions ou priorits des organismes attaqus, relve du chef dtat-major des armes. Une structure particulire, intgre la chane de planification et de conduite des oprations, a t mise en place en juillet 2011 sous le commandement dun officier gnral, lofficier gnral la cyberdfense. Il ne sagit pas dune nouvelle division, mais dune cellule lgre de commandement, de coordination et danimation, qui ne comporte que quelques militaires, mais qui est la tte dun ensemble de correspondants et qui entretient des relations troites, tant avec la chane charge de la scurit des systmes dinformation, quavec lANSSI1. Le centre danalyse en lutte informatique dfensive (CALID), plac sous lautorit de lofficier gnral la cyberdfense, est charg de contribuer la prparation et de la conduite des oprations de cyberdfense sur les rseaux et systmes du ministre de la dfense. Il dispose doutils centraliss de surveillance des rseaux et intervient en cas dincident ou dattaque informatique. Le CALID compte actuellement une vingtaine de militaires, ce qui ne lui permet pas encore dtre oprationnel 24 heures sur 24, 7 jours sur 7. A titre de comparaisons, la structure quivalente au Royaume-Uni dispose de plus de 80 agents, soit quatre fois plus.

Un protocole de coopration a dailleurs t sign entre lANSSI et ltat-major des armes

- 82 -

Le CALID travaille en collaboration avec le centre oprationnel de la scurit des systmes dinformation (COSSI) de lANSSI. Les deux centres devraient tre colocaliss au second semestre 2013, ce qui permettra de renforcer la coopration et les synergies entre les deux entits. Le ministre de la dfense et les armes se sont dots dun concept et dune doctrine interarmes de cyberdfense, documents adopts respectivement en juillet 2011 et en janvier 2012, mais qui nont pas t rendus publics. A limage de ce qui existe dans les armes pour les diffrents milieux (air, terre, mer), il existe donc au sein du ministre de la dfense et des armes une chane qui prpare et une autre chane qui est charge de loprationnel. La direction gnrale de larmement (DGA) joue galement un rle important. Elle est charge de la matrise douvrage des systmes darmes, des systmes dinformation usage militaire, mais aussi de produits de haut niveau de scurit pour les besoins militaires et les besoins interministriels, limage du tlphone cellulaire chiffrant Teorem ou du chiffreur Echinops, qui permet de scuriser les flux des rseaux les plus sensibles, comme les communications du porte-avions Charles de Gaulle. Le centre matrise de linformation de la DGA, situ Bruz, proximit de Rennes, dispose denviron 150 experts de haut niveau. En dfinitive, le ministre de la dfense a su adapter son organisation en matire de scurit et de dfense des systmes dinformation, de manire ce que cette dimension soit pleinement prise en compte dans la chane oprationnelle. Toutefois, il nen va pas de mme dans tous les autres ministres.
C. NOTRE DISPOSITIF CONNAT ENCORE DIMPORTANTES LACUNES

En dpit des progrs incontestables accomplis depuis le Livre blanc de 2008, la situation de la France au regard de la menace provenant des attaques informatiques reste encore insatisfaisante. Malgr un rel effort de rattrapage, notre pays accuse encore un important retard concernant les moyens et les effectifs de lagence charge de la scurit des systmes dinformation, par rapport ceux dont disposent les services homologues en Allemagne ou au Royaume-Uni. Si lANSSI dispose du statut dune agence interministrielle et dautorit de scurit et de dfense, en pratique, les textes ne lui reconnaissent pas lautorit ncessaire pour assurer lapplication uniforme, au sein des administrations, des rgles inhrentes la scurit des systmes dinformation. Au sein des administrations elles mmes, les avis mis par les responsables de la scurit des systmes dinformation semblent tre pris en compte de manire trs alatoire.

- 83 -

Elle ne dispose pas non plus des moyens ncessaires pour donner une plus large diffusion aux actions de sensibilisation, de formation ou de conseil, ni pour mener lchelle souhaitable les activits daudit et dinspection auprs des administrations ou des oprateurs dimportance vitale. Surtout, la synergie entre acteurs publics et privs, quil sagisse des entreprises ou des oprateurs dimportance vitale, reste trs insuffisante, alors quun partenariat troit serait indispensable. 1. Les effectifs et les moyens de lANSSI restent limits par rapport ceux dont disposent nos principaux partenaires LANSSI a connu ces dernires annes une augmentation significative de ses effectifs et de ses moyens. Dun effectif de 120 agents lors de sa cration, en 2009, elle comptait 170 agents en fvrier 2011 et elle devrait atteindre 250 personnes dici la fin de lanne 2012. Si lon peut se fliciter de cet effort important, il convient toutefois de souligner quil sagit l davantage dun rattrapage ncessaire, la France ayant pris beaucoup de retard par le pass par rapport dautres pays. Pour accrotre sa capacit dintervention et de soutien, le gouvernement de M. Franois Fillon a dailleurs dcid, en mai 2011, dacclrer laugmentation des effectifs et des moyens de lANSSI, afin de porter ses effectifs 360 dici 2013, ce dont on peut se fliciter. Mais, mme aprs ce renforcement, les effectifs et les moyens de lANSSI resteront encore trs infrieurs ceux dont disposent les services homologues au Royaume-Uni ou en Allemagne, qui sont de lordre de 500 700 agents, soit deux fois plus. De plus, si le budget de lANSSI est pass de 45 millions deuros en 2009 75 millions deuros en 2012, il reste encore loin de lobjectif affich de 90 millions deuros. Au sein de ce budget, les dpenses de fonctionnement et dinvestissements ont t multiplies par deux en quatre ans, passant de 24 millions deuros en 2009 55,8 millions deuros en 2012, et les crdits de personnels sont de lordre de 20 millions deuros. 2. La scurit des systmes dinformation nest pas toujours considre comme une priorit par les diffrents ministres Si certains ministres, comme le ministre de la dfense, ont pris des mesures pour renforcer la protection de leurs systmes dinformation, beaucoup de ministres demeurent encore peu sensibiliss aux menaces lies aux attaques contre les systmes dinformation. Selon les informations recueillies par votre rapporteur, dans de nombreux ministres, le renforcement de la scurit des systmes dinformation nest clairement pas une priorit et relve de la procrastination.

- 84 -

Ainsi, pour ne citer quun seul exemple, il ne sert rien de classifier ou de chiffrer une note confidentielle ou un tlgramme diplomatique si le contenu de cette note ou de ce tlgramme se retrouve dans un courriel envoy par lInternet. Peu de ministres disposent dune vritable politique de scurit des systmes dinformation. Bien souvent les systmes informatiques utiliss par les administrations sont considrs comme immarcescibles, alors quils prsentent en ralit de nombreuses vulnrabilits. Les fonctionnaires de la scurit des systmes dinformation occupent en rgle gnrale une place modeste dans la hirarchie et ne parviennent pas faire entendre leur voix, face aux directeurs des systmes dinformation ou aux responsables des diffrentes directions sectorielles, ignorant la rglementation, peu conscients des risques et soucieux avant tout de disposer moindre cot doutils informatiques efficaces et ergonomiques. La scurit informatique est souvent perue par les responsables et les utilisateurs comme une contrainte inutile et coteuse. Elle nest pas suffisamment prise en compte dans les projets informatiques des ministres, qui ont tendance minorer limportance de cette question et ne pas prendre en considration les avis des responsables de la scurit des systmes dinformation. Ainsi, comme cela a t confirm votre rapporteur, de nombreux ministres ne connaissent mme pas la cartographie de leurs propres rseaux et ignorent souvent la finalit de leurs propres systmes dinformation. Or, comment peut-on prtendre assurer une protection de ses systmes informatiques, si lon ne sait mme pas localiser prcisment lun de ses ordinateurs qui a t infect la suite dune attaque informatique ou si lon ignore quoi sert son serveur informatique ? Afin de renforcer la sensibilisation des ministres, le prcdent gouvernement a choisi de rendre publique lattaque informatique massive dont a fait lobjet le ministre de lconomie et des finances dcouverte la veille de la prsidence franaise du G8 et du G20, et il convient de sen fliciter. Cette affaire ne reprsente cependant que la pointe de liceberg , et il conviendrait, aux yeux de votre rapporteur, de poser le principe qu lavenir lensemble des attaques informatiques contre les systmes dinformation de lEtat devraient, sous rserve de quelques exceptions et une fois quelles auront t traites, tre rendues publiques.

- 85 -

3. Les entreprises et les oprateurs dimportance vitale demeurent encore insuffisamment sensibiliss la menace De manire gnrale, les entreprises franaises, et notamment les PME, ne semblent pas encore avoir pris en compte la ralit de la menace lie aux attaques contre les systmes dinformation. Ce constat dress par le rapport Lasbordes en 2006 reste encore largement dactualit. Traditionnellement peu sensibilises aux enjeux soulevs par lintelligence conomique, notamment par rapport aux entreprises anglosaxonnes, les entreprises franaises ne paraissent pas accorder une attention suffisante cette question. En dehors de quelques grands groupes, on constate un manque dimplication de la direction de lentreprise, une sensibilisation et une formation insuffisante des personnels, une absence de stratgie en matire de protection des systmes dinformation, et des lacunes en matire didentification pertinente des systmes ou des donnes sensibles de lentreprise, une insuffisance des budgets ddis la scurit des systmes dinformation. Ainsi, daprs le dernier rapport1 ralis par le Club de la scurit de linformatique franais (CLUSIF), consacr aux menaces informatiques, fond sur une enqute auprs de 350 entreprises, prs de 80 % des entreprises interroges ne mesurent pas rgulirement leur niveau de scurit li linformation, 46 % ne disposent pas dun responsable de la scurit des systmes dinformation et seulement 53 % dentre-elles ont mis en place une cellule ddie la gestion des incidents de scurit. En particulier, les PME ne disposent souvent pas des ressources ncessaires pour investir dans la scurit des systmes dinformation, ni de personnels forms et comptents dans ce domaine. Or, face lespionnage informatique, la problmatique de la scurit des systmes dinformation des entreprises et notamment de celles des secteurs jugs stratgiques reprsente un enjeu majeur. A limage dAREVA, un grand nombre dentreprises franaises auraient t victimes ces dernires annes de lespionnage informatique. Ainsi, selon une tude de Symantec, fonde sur des enqutes directes, 70 % des entreprises franaises auraient t victimes dune attaque informatique en 2010, chiffre comparable la moyenne mondiale mais prendre toutefois avec prcaution. En effet, les responsables de ces entreprises ont toujours t dune trs grande discrtion, par crainte notamment de mettre en pril les rsultats conomiques, le cours en bourse ou encore limage de leur entreprise.
1

CLUSIF, les Menaces Informatiques et Pratiques de Scurit en France , dition 2012

- 86 -

Enfin, reste la question centrale des oprateurs dimportance vitale. Il nexiste pas de dfinition communment admise au niveau international de ces oprateurs. La Commission europenne propose la dfinition suivante1 : les infrastructures critiques sont des installations physiques et des technologies de linformation, les rseaux, les services et les actifs qui, en cas darrt ou de destruction, peuvent avoir de graves incidences sur la sant, la scurit ou le bien-tre conomique des citoyens ou encore le travail des gouvernements des Etats membres. Les infrastructures critiques se trouvent dans de nombreux secteurs de lconomie, y compris le secteur bancaire et des finances, les transports et la distribution, lnergie, les services de base, la sant, lapprovisionnement en denres alimentaires et les communications, ainsi que certains services administratifs de base . Dans le cas de la France, douze secteurs dimportance vitale ont t identifis, regroupant environ deux cents trente oprateurs ou entreprises, issus du secteur public ou du secteur priv. Indispensables au bon fonctionnement du pays, les oprateurs dimportance vitale reprsentent aujourdhui des cibles particulirement vulnrables aux attaques informatiques. Ainsi, la dcouverte du ver informatique STUXNET en juin 2010 a montr quun code informatique malveillant pouvait porter atteinte des infrastructures critiques totalement isoles dInternet. Or, ces attaques, si elles devaient russir, pourraient avoir des consquences trs graves. Quel serait le moyen le plus simple de provoquer une perturbation majeure dun pays ? Un moyen trs simple serait de sen prendre la distribution dlectricit, aux rseaux de transport ou bien encore aux hpitaux. Dj le ver informatique Conficker avait attir lattention sur la vulnrabilit de nombreux quipements biomdicaux installs dans les hpitaux. La principale difficult tient cependant la trs grande diversit des oprateurs dimportance vitale. On constate, en effet, de fortes diffrences entre les secteurs concerns, quil sagisse de lexistence ou non dune autorit de rgulation, en termes de rglementation ou encore de relations avec la puissance publique. Ainsi, dans certains secteurs, limage du secteur bancaire, de laviation civile ou encore de lnergie nuclaire, les proccupations de scurit ne sont pas absentes et lautorit de rgulation joue un rle important. Mais il nen va pas de mme dans tous les secteurs.
Communication de la Commission europenne sur la protection des infrastructures critiques dans le cadre de la lutte contre le terrorisme , doctobre 2004
1

- 87 -

Or, lANSSI na pas les moyens dassurer la protection de tous les oprateurs dimportance vitale et il est donc indispensable dencourager les oprateurs, sur une base sectorielle, renforcer les mesures de protection de leurs systmes dinformation. De nombreux pays, limage des Etats-Unis ou de lAllemagne, ont fait de la protection des infrastructures dimportance vitale une priorit nationale. A titre dexemple, Isral a cr une agence spcialement ddie la protection des systmes dinformation doprateurs critiques (NISA), qui dispose de pouvoirs dintervention tendus, qui vont de lassistance lors de la conception des systmes la dtection et au traitement des incidents, et deffectifs importants, puisque cette agence compte environ 140 personnes. Une vingtaine de secteurs ont t identifis et il existe des relations suivies avec chacun des oprateurs. Or, dans ce domaine, la France accuse encore un rel retard par rapport nos principaux allis et partenaires. Comme cela a t confirm par lensemble de ses interlocuteurs, les changes entre lANSSI et les oprateurs dimportance vitale sont trs limits et on constate une mconnaissance rciproque. Ensuite, en raison de leur diversit, la protection des systmes dinformation nest clairement pas une priorit pour la plupart de ces oprateurs. Surtout, la plupart des oprateurs dimportance vitale ne sont pas organiss pour rpondre efficacement un grave incident informatique et lANSSI na pas les moyens de faire face une crise gnrale paralysant un secteur entier du pays. Enfin, la diffrence de certains pays comme le Royaume-Uni, la France ne dispose pas de capacits de protection et de systmes permanents de dtection des attaques informatiques lentre des rseaux des oprateurs dimportance vitale. De ce fait, lEtat et les oprateurs eux-mmes ignorent le plus souvent les attaques informatiques dont font lobjet les infrastructures vitales de notre pays. Pour votre rapporteur, linsuffisante scurit des systmes dinformation des oprateurs dimportance vitale constitue aujourdhui la principale lacune du dispositif franais et un vritable Talon dAchille . Il est donc indispensable de faire de cette question une priorit nationale.

- 88 -

IV. FAIRE DE LA PROTECTION ET DE LA DFENSE DES SYSTMES DINFORMATION UNE VRITABLE PRIORIT NATIONALE ET EUROPENNE Si depuis le Livre blanc sur la dfense et la scurit nationale de 2008 des avances importantes ont t ralises par la France pour renforcer la scurit des systmes dinformation, notre pays na sans doute pas encore pris toute la mesure de lampleur des risques et des enjeux soulevs par les attaques informatiques, qui revtent dsormais une dimension stratgique. Dans ce contexte, llaboration du nouveau Livre blanc, ainsi que la rdaction de la future Loi de programmation militaire, reprsentent de relles opportunits pour renforcer la prise de conscience et lefficacit des rponses face ces menaces majeures pour notre dfense et notre scurit, tant au niveau national, qu lchelle europenne. Votre rapporteur estime que la protection et la dfense des systmes dinformation devrait tre rige en vritable priorit nationale, porte au plus haut niveau de lEtat, et faire lobjet dune stratgie et dune action plus rsolue de lUnion europenne.
A. LA NCESSIT DUNE FORTE MOBILISATION AU SEIN DE LETAT

Le renforcement de la protection et de la dfense des systmes dinformation devrait dabord faire lobjet dune plus forte mobilisation au sein de lEtat. Votre rapporteur considre quil faudrait agir sur trois principaux leviers : le renforcement des effectifs et des moyens, de manire les porter la hauteur de ceux dont disposent nos principaux partenaires europens ; un important effort de sensibilisation et la mise en place de mesures de protection au sein des diffrentes administrations, et, enfin, le dveloppement de capacits offensives , car on ne peut se dfendre efficacement que si lon connat les modes dattaques. 1. Renforcer les effectifs et les prrogatives de lANSSI afin de les porter la hauteur de ceux dont disposent nos principaux partenaires europens La cration de lANSSI a permis de doter notre pays dune structure centrale en charge de la scurit des systmes dinformation et dun interlocuteur unique pour les administrations et les entreprises. Comme votre rapporteur a pu le constater lors de ses entretiens en France comme ltranger, lANSSI dispose dune comptence et dune expertise reconnue en matire de protection des systmes dinformation et lensemble des personnalits rencontres, notamment les responsables publics ou privs ayant eu grer des attaques informatiques massives, ont lou les trs grandes qualits de ses personnels et de son directeur gnral.

- 89 -

Ayant pu comparer lors de ses dplacements, le dispositif franais avec les diffrents modles trangers, notamment aux Etats-Unis, au Royaume-Uni ou en Allemagne, votre rapporteur a galement pu constater la pertinence de ce dispositif, qui parat le mieux correspondre lorganisation administrative et la culture de notre pays. Le modle franais se caractrise, en effet, par son caractre centralis et interministriel et par une stricte sparation entre les aspects prventifs et dfensifs, confis lANSSI, et les aspects offensifs, qui relvent des armes et des services spcialiss. Runir dans les mmes mains les aspects dfensifs et le volet offensif, limage des Etats-Unis ou du Royaume-Uni, ne parait pas opportun, car cela loignerait lagence des entreprises et des oprateurs dimportance vitale, les entreprises franaises nayant pas la mme sensibilit lintelligence conomique et au renseignement que leurs homologues dans les pays anglosaxons. Pour sa part, le caractre interministriel de lagence, qui dcoule de son rattachement au Premier ministre, lui confre une lgitimit que beaucoup de nos partenaires trangers nous envient. Aux cts de lagence, dautres acteurs continuent, en effet, de jouer un rle important, quil sagisse des armes et du ministre de la dfense, travers son expertise propre, du ministre de lconomie et des finances, pour le dveloppement de ladministration lectronique, du ministre du redressement productif pour le soutien aux entreprises, ou des services de renseignement, qui disposent dquipements techniques et de personnels spcialiss. Aux yeux de votre rapporteur, la coordination, ncessaire pour veiller la cohrence des actions et des moyens, ne peut relever que de lautorit du Premier ministre, qui il appartient de dfinir les axes stratgiques, de suivre leur mise en uvre et de veiller la bonne rpartition des moyens humains, techniques et financiers. Le rattachement de lANSSI au Secrtaire gnral de la dfense et de la scurit nationale, plutt que directement au Premier ministre ou aux services du Premier ministre, semble galement devoir tre conserv, du moins dans un proche avenir, car sil prsente certains inconvnients, notamment du point de vue des relations avec les entreprises et de la diffusion des informations hors du cercle de la dfense et de la scurit nationale, il a aussi des avantages certains, en particulier en ce qui concerne le poids de lagence lgard des autres ministres. On peut galement sinterroger sur le statut juridique actuel de lANSSI. Le statut de lANSSI repose actuellement sur un simple dcret. Ne serait-il pas utile de renforcer son statut en lui confrant une base lgislative, dans le cadre dune loi gnrale relative la protection des systmes dinformation ?

- 90 -

La principale faiblesse de lagence tient cependant la modestie de ses effectifs et de ses moyens. Comme on la vu prcdemment lANSSI a connu ces dernires annes une augmentation significative de ses personnels, mais le nombre total de ses agents reste encore infrieur de moiti, voire dun tiers, celui des agences homologues de nos partenaires britanniques ou allemands. Mme si lon ne peut pas ngliger les difficults recruter un nombre aussi significatif de personnels spcialiss dans des dlais aussi courts, il semble souhaitable que le prochain Livre blanc fixe des objectifs ambitieux. Pour votre rapporteur, cet objectif doit tre de parvenir progressivement, sur plusieurs annes, un niveau similaire celui des services quivalents de lAllemagne et du Royaume-Uni. Il semble donc souhaitable dlaborer, dans le cadre du nouveau Livre blanc, un plan pluriannuel permettant de poursuivre au mme rythme, voire damplifier, laugmentation des effectifs de lANSSI dans les prochaines annes et de renforcer paralllement leffort dinvestissement. Une croissance rgulire des effectifs de lANSSI de lordre de 80 personnes supplmentaires par an lui permettrait ainsi datteindre 500 personnes la fin de lanne 2015. Les volumes deffectifs et dinvestissements concerns sont au demeurant modestes. Une telle augmentation des effectifs de lANSSI permettrait notamment : - darmer en personnels le centre de surveillance et de dtection, le centre oprationnel et le groupe dintervention rapide afin de renforcer les capacits de lagence en matire de dtection des attaques informatiques et de rponse ; - de poursuivre et dacclrer le dploiement des rseaux de communication scuriss ; - de poursuivre et dacclrer le dveloppement et lacquisition de produits hautement scuriss directement lis la protection de lEtat, notamment en matire de moyens de mobilit ; - de doter lagence des moyens de dvelopper la politique de labellisation de produits et services, en vue de plus largement diffuser ces produits au sein des administrations et du secteur priv ; - de soutenir les services informatiques des administrations dans lintgration des produits et services scuriss, ainsi que dans lintgration des produits agrs et qualifis et de systmes dexploitation durcis ; - de constituer au sein de lagence le rservoir de comptences ; il permettrait de regrouper et de capitaliser lexpertise en vue de la mettre disposition des administrations ou des oprateurs dimportance vitale lors de la conception de leurs systmes dinformation ;

- 91 -

- de renforcer les capacits en matire daudit, dinspection et de ralisation de tests dintrusion, ainsi que de conseil au secteur priv ; - daccentuer les programmes de formation et dlargir le public vis notamment au secteur priv. Il serait notamment utile de crer un centre dentranement o les informaticiens du secteur public et du secteur priv pourraient tre confronts la ralit dune attaque informatique ; - de permettre lagence de mener une politique de communication destine renforcer la sensibilisation des responsables des administrations et des entreprises, ainsi que des utilisateurs. Ce plan devrait saccompagner de linstauration dune politique de ressources humaines au sein des services de lEtat concernant les spcialistes de la scurit informatique, en encourageant le recrutement, la formation, les mobilits et le droulement des carrires au sein et entre les diffrents services de lEtat. Sagissant des prrogatives de lANSSI, elles mriteraient dtre sensiblement renforces. En effet, ces prrogatives ne sauraient se limiter de simples recommandations laisses la libre apprciation des administrations, comme cest malheureusement le cas actuellement, mais elles devraient tre dotes dune force juridiquement contraignante lgard des administrations, pour permettre une mise en uvre effective des prescriptions touchant la scurit de systmes dinformation. Ce renforcement des prrogatives de lagence est dailleurs consubstantiel son rle dautorit nationale en matire de scurit et de dfense des systmes dinformation. LANSSI devrait ainsi tre en mesure : - dans lattente de ldification du Rseau interministriel de lEtat, dimposer aux administrations une rduction du nombre de leurs passerelles vers linternet, et dvelopper les systmes de surveillance de ces passerelles permettant de dtecter les attaques ; - de dsigner les produits de haute scurit que les administrations devront obligatoirement utiliser pour les rseaux les plus sensibles ; - ddicter des prescriptions de scurit pour les autres rseaux sensibles des administrations, et de sassurer, par une procdure de validation, que les solutions retenues par ladministration concerne sy sont bien conformes ; - de veiller, dans le cadre de ces prescriptions et de cette procdure de validation applicable aux rseaux sensibles des administrations, au recours systmatique des produits labelliss, de manire soutenir loffre de ces produits et les rendre ainsi plus accessibles sur le march ;

- 92 -

- de soutenir les services informatiques des administrations dans lintgration de ces produits, ainsi que dans lintgration des produits agrs et qualifis et de systmes dexploitation durcis ; - de rendre obligatoire ladoption par les administrations, pour leurs rseaux sensibles, ainsi que par les oprateurs dimportance vitale, de dispositifs garantissant la continuit du service en cas dattaque majeure, sous la forme par exemple de systmes redondants ; - de rendre obligatoire lapplication de la politique interministrielle de scurit des systmes dinformation et de disposer dun pouvoir de validation des politiques de scurit ministrielles complmentaires et des grands projets sensibles ; - de rendre obligatoire la mise en uvre de ses prconisations la suite des audits, des exercices ou des tests ; - dtendre ses missions dinspection et la ralisation des tests dintrusion aux oprateurs dimportance vitale. 2. Donner plus de force la protection et la dfense des systmes dinformation au sein de chaque ministre Si la France dispose avec lANSSI et la stratgie nationale doutils importants en matire de cyberdfense, il nen demeure pas moins que les ministres restent encore diversement sensibiliss la menace que reprsentent les attaques informatiques. Il existe certes au sein de chaque ministre un fonctionnaire de la scurit des systmes dinformation. Mais on constate souvent que celui-ci noccupe quune faible place hirarchique au sein de lorganigramme du ministre et surtout quil ne parvient pas imposer aux diffrentes directions sectorielles et aux directeurs des systmes dinformation une prise en compte suffisante des proccupations lies la scurit des systmes dinformation. Pour sa part, le haut fonctionnaire de dfense et de scurit, fonction souvent cumule par le secrtaire gnral du ministre, ne peut se consacrer entirement cette tche. Pour votre Rapporteur, la protection des systmes dinformation doit devenir une vritable priorit prise en compte dans laction de chaque ministre. Chaque ministre devrait disposer dune politique en matire de scurit des systmes dinformation. Celle-ci devra dcliner et sappuyer sur la politique de scurit des systmes dinformation de lEtat, vocation interministrielle, actuellement en cours dlaboration par lANSSI. De la mme manire quau niveau interministriel il a t dcid de crer une autorit nationale, lANSSI, avec des prrogatives tendues, il parat ncessaire de rehausser le statut des fonctionnaires de la scurit des systmes dinformation et de renforcer leurs prrogatives par rapport aux responsables des diffrentes directions et notamment par rapport au directeur

- 93 -

des systmes informatiques, afin quils deviennent de vritables directeurs, voire mme des secrtaires gnraux, chargs de la scurit et de la dfense des systmes dinformation, auxquels devront tre soumis pour avis les projets informatiques des administrations. Ainsi, dans le cas du ministre de la dfense, une instruction ministrielle permet au fonctionnaire de la scurit des systmes dinformation de solliciter ponctuellement lavis de la direction gnrale de larmement pour analyser la scurit dun systme dinformation dun projet en cours dlaboration. Il semblerait utile de sen inspirer afin que les fonctionnaires de la scurit des systmes dinformation puissent solliciter une expertise, en interne ou auprs de lANSSI, concernant la scurit des systmes dinformation des projets informatiques de leur administration. Il pourrait galement tre utile de renforcer, sous lgide du ministre de lintrieur, au niveau de chaque zone de dfense et de scurit, la mission et les moyens des observatoires zonaux de la scurit des systmes dinformation (OzSSi), qui jouent un rle important de relais vers ladministration territoriale et hospitalire, les collectivits locales, les oprateurs dimportance vitale au niveau local, ainsi que les acteurs industriels. La direction interministrielle des systmes dinformation et de communication de lEtat (DISIC), qui est saisie par les diffrentes administrations de tout projet informatique dont le cot dpasse un certain montant, ne compte actuellement que 3 spcialistes en matire de scurit des systmes dinformation sur un effectif total dune vingtaine dagents. Elle devrait voir ses effectifs et ses moyens renforcs, et dvelopper ses changes avec lANSSI afin dassurer la prise en compte, le plus en amont possible, de la scurit des systmes dinformation dans les projets informatiques des ministres. Ainsi, on peut se demander sil ne serait pas opportun que la DISIC donne un avis ngatif tout projet informatique important ne disposant pas dune stratgie dhomologation en matire de scurit informatique. Cest notamment ce qui a t prvu rcemment au ministre de la dfense et pour les armes, o, pour viter une pratique courante de ladministration consistant minimiser a priori les besoins de scurit des projets pour viter davoir appliquer la rglementation relative la scurit des systmes dinformations et de communication, il a t dcid que tout systme informatique du ministre devrait dornavant faire lobjet dune homologation. Pourquoi ne pas rserver aussi un pourcentage significatif du montant des projets informatiques (de lordre de 10% du budget informatique pour un projet standard, hors anti-virus, par exemple) la scurit des systmes dinformation ? Par ailleurs, il conviendrait de rendre obligatoire pour chaque ministre la tenue dune cartographie jour de son propre rseau informatique. Cette cartographie devrait relever du fonctionnaire de la

- 94 -

scurit des systmes dinformation, ce qui lui permettrait davoir une vision densemble. Enfin, dans lattente de ldification du Rseau Interministriel de lEtat (RIE), il parat indispensable de contraindre les diffrents ministres rduire le nombre de passerelles entre leurs rseaux et lInternet et de dvelopper les systmes de surveillance de ces passerelles permettant de dtecter les attaques. Compte tenu des risques soulevs par le cloud computing (ou informatique en nuage ) au sein de ladministration, il semble galement impratif de prvoir une obligation de localisation des donnes informatiques administratives sensibles ou celles appartenant au patrimoine informationnel de la Nation sur le territoire franais. Certains acteurs pouvant tre soumis des lgislations autres que nationales, la solution sappuyant sur un cloud souverain , disposant dinfrastructures et services propres lEtat semble la seule prsenter les garanties ncessaires. Sagissant plus particulirement du ministre de la dfense et des armes, lorganisation actuelle mriterait dtre conforte tout en prvoyant, linstar des autres ministres, un rehaussement du statut du fonctionnaire de la scurit des systmes dinformation. Le fonctionnaire de la scurit des systmes dinformation devrait voir sa place renforce au sein de la direction gnrale des systmes dinformation et de communication (DGSIC) et en particulier disposer dune relle autorit sur la sous-direction et les quipes charges de la scurit des systmes dinformation au sein de la DGSIC. Surtout, et en dpit des mesures dj prises ou annonces1, votre rapporteur ne peut que dplorer la faiblesse actuelle des effectifs et les moyens ddis la protection et la dfense des systmes dinformation au sein du ministre de la dfense et des armes. Ainsi, comme cela a t mentionn prcdemment, le CALID ne compte actuellement quune vingtaine de militaires, alors que la structure quivalente au Royaume-Uni en compte 80, soit quatre fois plus. Ses effectifs devraient passer une trentaine en septembre 2012 et quarante en 2013. Mais, dans le mme temps, le champ daction du CALID doit stendre aux systmes tactiques des armes et lensemble de linformatique embarque dans les systmes darmes et les plates-formes de combat. La colocalisation du CALID avec le centre oprationnel de lANSSI (COSSI) au second semestre 2013 devrait certes permettre de renforcer les synergies et la coopration entre les deux entits. Mais il parat indispensable daugmenter sensiblement dans les prochaines annes les ressources humaines et financires consacres la cyberdfense au sein du ministre de la dfense et des armes, comme dailleurs de la DGA et des services spcialiss.
Voir le plan de renforcement lutte informatique defensive/scurit des systmes dinformation 2013-2016 de 2011 et le schma directeur de la cyberscurit 2013-2018 de juin 2012
1

- 95 -

Au demeurant, cette augmentation rgulire des effectifs, de lordre de quelques dizaines par an, ce qui reprsenterait 180 postes supplmentaires dici 2016 et 100 postes supplmentaires lhorizon 2018, soit une progression de 280 postes pour la priode 2012-2018 et cela pour lensemble du volet dfensif, devrait rester modeste au regard du total des effectifs et du budget global du ministre de la dfense, mais aussi au regard des enjeux. Pourquoi ne pas utiliser aussi les comptences de nos rservistes, tant au sein de la rserve oprationnelle que de la rserve citoyenne, pour former une sorte de cyber rserve ? Il semblerait galement utile dencourager et de soutenir le rle de la DGA en matire de conception et de certification de produits de haut niveau de scurit pour les besoins militaires, ainsi que pour les produits civils ou interministriels. Enfin, dune manire plus gnrale, mme si notre pays dispose dune lgislation assez complte et efficace, il parat ncessaire dintroduire, dans le code de la dfense, des modifications lgislatives visant donner les moyens lANSSI, aux armes et aux services spcialiss dexercer leurs missions. Cela concerne notamment les domaines suivants : - lautorisation de la rtroconception, cest--dire la possibilit de dmonter , pour des motifs de scurit, un logiciel ou un systme ayant servi une attaque informatique ; - la possibilit de procder lanalyse de comportement des codes malveillants, de faon suivre leur volution, dtecter leurs cibles dattaque et anticiper leur mutation ; - la possibilit de mettre en place des dispositifs permettant de suivre les actions dun attaquant ; - lidentification et la collecte de vulnrabilits des outils utiliss par lattaquant ; - lidentification et les tests de vulnrabilits concernant les automates connects lInternet. Enfin, pour reprendre lune des prconisations du rapport Lasbordes, il semblerait utile dinstituer un ple juridictionnel spcialis et centralis pour rprimer les atteintes graves aux systmes dinformation. Les ples spcialiss ont fait la preuve de leur efficacit, quil sagisse de la lutte contre le terrorisme ou de la lutte contre le blanchiment. Compte tenu de la complexit des atteintes graves aux systmes dinformation, qui ncessitent souvent de passer par lentraide internationale, il semblerait utile de disposer de magistrats spcialiss, spcialement forms ces questions, regroups au sein dun ple centralis, ce qui permettrait galement de renforcer la coopration entre les services spcialiss de la police et de la gendarmerie et la Justice.

- 96 -

3. Une doctrine publique sur les capacits offensives ? En prsentant le Livre blanc sur la dfense et la scurit nationale, le 17 juin 2008, lancien Prsident de la Rpublique M. Nicolas Sarkozy avait annonc que face aux attaques informatiques, la France serait dote de capacits dfensives et offensives, qui concernent aussi bien toutes les administrations que les services spcialiss et les armes . On peut parler de capacits offensives ds lors quil ne sagit plus de protger le systme attaqu, mais didentifier ladversaire, de mettre jour son mode opratoire, de le neutraliser, voire de lui appliquer des mesures de rtorsion. Il convient de distinguer les missions qui relvent des services de renseignement et la mise en place de capacits spcifiquement militaires. Sagissant des services de renseignement, le Livre blanc de 2008 a prvu un dveloppement des capacits techniques consacres au rseau internet, devenu crucial pour notre scurit . Le renforcement des moyens techniques devant saccompagner dune augmentation du nombre de techniciens et dexperts spcialiss dans ce domaine. En ce qui concerne les forces armes, le Livre blanc de 2008 estimait ncessaire dacqurir une capacit de lutte informatique offensive destine notamment neutraliser les centres doprations adverses. Cette capacit suppose un cadre et une doctrine demploi, le dveloppement doutils spcialiss (armes numriques de rseaux, laboratoires technico-oprationnels), en pralable la ralisation de vritables capacits oprationnelles, et la mise en uvre dune formation adapte et rgulirement actualise des personnels. Le Livre blanc prcise que ce cadre demploi devra respecter le principe de riposte proportionnelle lattaque et viser en priorit les moyens oprationnels de ladversaire. En dpit dincontestables difficults lies par exemple limpossibilit dtablir avec certitude lidentit des agresseurs ou la responsabilit dun Etat dans lagression, votre rapporteur voit au moins trois raisons qui militent en faveur du dveloppement de capacits offensives en matire informatique : - la premire, dordre technique, est que lon se dfend dautant mieux que lon connat les mthodes et les moyens dattaque et que de nombreux outils informatiques peuvent servir aux deux ; - la deuxime, dordre plus stratgique, est quune telle capacit est trs certainement de nature jouer un rle dissuasif vis--vis dagresseurs potentiels ; - enfin, le cyberespace parat invitablement vou devenir un domaine de lutte, au mme type que les autres milieux dans lesquels interviennent nos forces armes ; il est lgitime den tirer les consquences,

- 97 -

une telle capacit pouvant avoir des effets, tant aux niveaux tactique, oprationnel que stratgique. Votre rapporteur est donc favorable la poursuite du dveloppement de capacits offensives , sur la base dun cadre juridique et dune doctrine demploi bien dfinis. Dans le mme temps, il considre indispensable quun contrle parlementaire sexerce sur ces activits, qui, compte tenu de leur caractre trs sensible, ne peut relever que de la dlgation parlementaire au renseignement. Une autre interrogation, qui nest pas sans importance, porte sur le fait de savoir sil est possible et souhaitable pour un Etat de dfinir une doctrine publique, ou du moins de tenir un discours public, sur les capacits offensives . Comme on la vu prcdemment avec le cas de STUXNET, si les autorits amricaines nont jamais reconnu jusqu prsent avoir utilis des armes informatiques, elles reconnaissent en revanche dvelopper de telles capacits et elles nhsitent pas affirmer publiquement quelles pourraient en faire usage, notamment pour rpondre une attaque informatique massive. Une telle doctrine publique sur les oprations dans le cyberespace se retrouve ainsi dans le rapport du dpartement de la dfense au Congrs de novembre 2011 consacr au cyberespace1. Daprs ce document, le Prsident des Etats-Unis se rserve le droit de rpondre par tous moyens, y compris par des capacits cyberntiques, un acte hostile dans le cyberespace dirige contre les Etats-Unis, ses allis ou partenaires ou ses intrts, telle quune attaque informatique . Et, il est indiqu plus loin que le dpartement de la dfense a les capacits de conduire des oprations (offensives) dans le cyberespace pour dfendre la Nation, ses allis et ses intrts . Comme la indiqu votre rapporteur, M. James Lewis, expert du Center for Strategic and International Studies (CSIS), lors de sa visite Washington, la suite des rvlations sur laffaire STUXNET, ladministration prsidentielle amricaine travaillerait actuellement prciser certains points importants. Il sagirait de rpondre aux questions suivantes : Qui peut autoriser une cyberattaque ? Dans quel cas le Prsident doit agir ? Quels devraient tre les rles respectifs du Prsident et des militaires ? Le centre de commandement doit-il intervenir de manire indpendante ou bien tre intgr au sein du centre de planification et de conduite des oprations ? Selon un rapport du CSIS de dcembre 2011, au moins trente-cinq Etats auraient dvelopp une doctrine militaire en matire de cyberguerre .

Department of Defense Cyberspace Policy Report, A Report to Congress Pursuant to the National Defense Authorization Act for fiscal Year 2011, Section 934, november 2011

- 98 -

Ainsi, daprs le Dpartement de la dfense amricain, la Chine a intgr depuis longtemps la lutte informatique comme une partie intgrante de sa stratgie militaire. Elle y voit le moyen de compenser, par des moyens peu coteux, linfriorit de ses moyens conventionnels. Elle dispose cet effet dun immense rservoir humain, et nest donc pas entrave par les limites physiques tenant au nombre doprateurs qui pourraient rendre moins efficaces des attaques de grande ampleur. Bien que lon ne dispose bien videmment daucune source officielle ce sujet, la Chine aurait concentr au sein de lArme populaire de libration la totalit de ses capacits tatiques, tant dfensives quoffensives. Toujours selon les militaires amricains, les planifications dun ventuel conflit avec Tawan intgreraient le ciblage des systmes dinformation, notamment ceux utiliss pour les flux logistiques, moins protgs que les systmes oprationnels. Si larme chinoise semble disposer dun dpartement spcialis dot de moyens consquents, on ne peut exclure que le gouvernement chinois sappuie galement sur les nombreux groupes de pirates informatiques. Dautres pays, limage du Japon, de lInde ou dIsral1 par exemple, reconnaissent publiquement dvelopper des capacits offensives, mme sils dclarent gnralement limiter lusage de ces capacits une riposte en cas dattaque, ce que lon peut toutefois qualifier de palinodie. Certes, il ne faut pas ngliger les inconvnients pour notre pays quil y aurait voquer publiquement ce sujet, qui tiennent essentiellement la crainte de donner une sorte de lgitimit aux attaques informatiques dorigine tatique et dencourager ainsi les autres pays dvelopper et utiliser de telles capacits, ainsi que le risque de dvoiler aux yeux de tous ltendue de notre expertise dans ce domaine, ce qui pourrait conduire affaiblir la porte de ces capacits. Il ne parat pas vident en effet pour un Etat de reconnatre publiquement vouloir se doter darmes informatiques, tant donn que toute intrusion dans un systme informatique est gnralement condamne par la loi, surtout lorsque ces mmes pays nhsitent pas dnoncer publiquement les attaques informatiques dont ils sont victimes, en particulier lorsquelles proviennent dautres Etats. Toutefois, le silence absolu des autorits franaises sur cette question depuis le Livre blanc de 2008 parat quelque peu en dcalage avec lvolution de la menace, les communications publiques de nos principaux partenaires, et il pourrait mme tre de nature entretenir des fantasmes dans lopinion publique.

Le ministre isralien de la dfense a ainsi rendu public sur le site Internet de larme une doctrine sur la cyberguerre prcisant les mthodes et les objectifs des oprations militaires dans le cyberespace, considr comme un nouveau champ de bataille , ct des autres milieux de la terre, de la mer, de lair et de lespace

- 99 -

Surtout, le dveloppement de capacits offensives ncessite une anticipation oprationnelle, une prparation technique et un travail trs important, portant non seulement sur larme informatique elle-mme, mais aussi sur le recueil de renseignement, la dsignation de cibles potentielles, lanalyse des systmes dinformation ainsi que leur environnement, lidentification des vulnrabilits, avec la ncessit de procder des entranements en liaison troite avec dautres modes dinterventions (armes conventionnelles, missiles balistiques, etc.) ou encore un travail sur la dfinition mme dune arme informatique et les conditions de son emploi dans le cadre du droit des conflits arms. Ds lors, votre rapporteur est plutt enclin penser quil serait souhaitable que les autorits franaises lancent une rflexion sur llaboration dune ventuelle doctrine ou du moins dun discours ayant vocation tre rendu publics sur les capacits offensives . Une telle doctrine ou un tel discours prsenteraient le mrite, en particulier sils taient ports au plus haut niveau de lEtat, de donner un fondement incontestable ces capacits et, dans le mme temps, de prciser lopinion publique certaines rgles demploi. Il ne faut pas ngliger non plus leffet dissuasif quils pourraient avoir sur de potentiels adversaires. Pour ces raisons, votre rapporteur souhaite que dans le contexte de llaboration du futur Livre blanc une rflexion sengage sur lintrt et le contenu dune telle doctrine, afin que, si cette ide recueille un large assentiment, cette doctrine soit reprise dans le contenu du nouveau Livre blanc. Peut-on pour autant dresser un parallle avec la dissuasion nuclaire et considrer que le dveloppement de capacits offensives participe une sorte de dissuasion dans le cyberespace ? Votre rapporteur ne le pense pas. En effet, larme informatique prsente au moins trois diffrences avec larme nuclaire : - la diffrence dune attaque nuclaire, il est trs difficile, voire impossible, didentifier prcisment et de faon certaine lauteur dune attaque informatique qui cherche rester discret ; - la dissuasion nuclaire repose sur une relation dEtat Etat, qui est inoprante face une menace asymtrique comme les attaques informatiques, qui sont le plus souvent luvre de pirates informatiques ou dorganisations, mme si ces attaques peuvent aussi parfois tre instrumentalises ou mme tre diriges par des Etats ; - enfin et surtout, larme nuclaire est une arme de non emploi, alors que les attaques informatiques sont une ralit concrte et quotidienne. Aux yeux de votre rapporteur, il est donc prfrable, afin dviter toute confusion, de ne pas employer le terme de cyberdissuasion et dviter la comparaison avec la dissuasion nuclaire.

- 100 -

B. RENFORCER LE PARTENARIAT AVEC LENSEMBLE DES ACTEURS

La coopration avec le secteur priv est encore insuffisamment dveloppe en France alors quelle constitue une dimension essentielle, comme en tmoigne la place minente accorde ce volet dans les stratgies cyber mises en place aux Etats-Unis, au Royaume-Uni ou en Allemagne. Pour votre rapporteur, il importe daccentuer nos efforts dans trois directions : le dveloppement du partenariat avec le secteur conomique, le renforcement des relations avec les oprateurs dimportance vitale, et, enfin, en matire de formation, de recherche, de sensibilisation et de communication. 1. Dvelopper le partenariat avec le secteur conomique La sensibilisation des entreprises, et singulirement de leurs dirigeants, aux enjeux lis la scurit des systmes dinformation mriterait tout dabord dtre fortement renforce. Assurer la scurit des systmes dinformation des entreprises nest pas seulement un enjeu technique. Cest aussi un double enjeu conomique et stratgique, puisquil sagit de protger lensemble des maillons de la chane de valeur des entreprises, notre savoir-faire technologique comme nos parts de march, dans la vritable guerre conomique que nous connaissons aujourdhui, voire un enjeu politique, lorsque les intrts de la Nation sont en jeu. Or, avec lespionnage informatique, notre pays, comme dautres pays, est aujourdhui menac par un pillage systmatique de son patrimoine diplomatique, culturel, scientifique et conomique. Ainsi, les efforts consentis par les entreprises franaises pour augmenter leur comptitivit via des investissements importants en matire de systme dinformation se rvlent, en cas despionnage, servir leurs concurrents. Cest lun des aspects masqus dune mondialisation dloyale quil faut rendre plus visible. Et ce danger ne peut que saccentuer avec le dveloppement dans les entreprises de pratiques comme le BYOD ( Bring Your Own Device ), le cloud computing ( informatique en nuage )1 ou encore lutilisation des rseaux sociaux, qui prsentent des risques majeurs du point de vue de la scurit des systmes dinformation. La protection des systmes dinformation devrait tre une vritable priorit en matire de management des entreprises. Les dirigeants des entreprises, les membres du conseil dadministration devraient tre davantage sensibiliss. Cet aspect mriterait dtre pris en compte dans le bilan annuel, le rapport de gestion et dans les discussions au sein du conseil dadministration2.
Voir le glossaire qui figure en annexe On peut cet gard mentionner lobligation pour les entreprises amricaines de publier les incidents et les risques majeurs dans les bilans boursiers trimestriels
2 1

- 101 -

Le niveau hirarchique, les responsabilits et le rle des responsables de la scurit informatique devraient galement tre rehausss au sein des entreprises. Faut-il aller plus loin et recourir la loi pour poser un certain nombre de rgles ou de principes ? Faut-il ainsi prvoir une dclaration obligatoire ou systmatique lANSSI en cas dattaque importante contre les systmes dinformation des entreprises, en sinspirant des mesures mises en place ou ltude chez certains de nos partenaires ? Est-il rellement utile de rendre publiques ces attaques, limage de ce qui existe aux Etats-Unis ? Cette obligation doit-elle tre assortie de sanctions et de quelle nature ? Et, comment mettre en place une procdure permettant de contrler le respect de cette prescription ? Ne serait-il pas plus opportun dinciter les entreprises faire une telle dclaration au moyen de mesures incitatives ? Votre rapporteur, rserv lgard de l inflation lgislative et soucieux de ne pas alourdir les charges administratives qui psent sur les entreprises, a beaucoup hsit sur cette question. En dfinitive, aprs avoir beaucoup consult, votre rapporteur a acquis la conviction quune telle obligation de notification serait de nature renforcer la sensibilisation des entreprises la menace et quelle permettrait lEtat dtre rellement inform de ces attaques. Naturellement, une telle dclaration ne peut se concevoir que dans le cadre dune stricte confidentialit de la part des services de lEtat, comptetenu des craintes lgitimes des entreprises pour leur image, mais aussi des consquences conomiques potentielles dune ventuelle rvlation publique. Votre rapporteur est donc convaincu de lintrt de prvoir une dclaration obligatoire (et confidentielle) des entreprises en cas dattaque importante sur leurs systmes dinformation. Dans le mme temps, votre rapporteur considre quune telle obligation ne devrait pas ncessairement saccompagner de sanctions mais plutt de mesures incitatives afin dinciter les entreprises renforcer la protection de leurs systmes dinformation. Dans certains pays, comme les Etats-Unis, des modifications ont t introduites dans la lgislation pour inciter les entreprises renforcer la protection de leurs systmes dinformation, au moyen dune limitation de responsabilit pour les entreprises dont le respect des bonnes pratiques est confirm par des audits rguliers ou encore dune prfrence dans le cadre des marchs publics pour les entreprises qui souscrivent aux recommandations de ladministration concernant la protection de leurs systmes dinformation. Pour votre rapporteur, il semblerait utile dengager en France une rflexion avec les compagnies dassurance sur la prise en charge des

- 102 -

oprations de traitement dune cyberattaque. La compagnie dassurance pourrait sengager compenser en tout ou partie les pertes financires rsultant du traitement dune attaque informatique condition que lentreprise concerne ait mis en place des mesures dans ce domaine (moyennant un certain niveau de scurit initial, lutilisation dquipements labelliss, lexistence dune politique en matire de scurit des systmes dinformation ou encore un audit annuel par exemple). Pourquoi ne pas imaginer aussi un systme de notation, limage de ce qui existe en matire financire ou de respect de lenvironnement ? Linconvnient dun tel systme rsiderait toutefois dans le fait quil pourrait donner lieu une sorte d appel au dfi lanc aux pirates informatiques dsireux de prouver quils sont en mesure de contourner les mesures de protection juges les plus robustes. Dune manire plus gnrale, les entreprises les plus concernes par la scurit des systmes dinformation (oprateurs dimportance vitale, entreprises intervenant dans des domaines sensibles) attendent, votre rapporteur la constat lors de ses auditions, des changes dinformations beaucoup plus fournis et des contacts beaucoup plus frquents avec les services de lEtat. LANSSI devrait ainsi tre en mesure de rpondre aux demandes des entreprises, en matire dexpertise, de conseils, dassistance et doffre de produits labelliss. Le partenariat avec le secteur priv doit galement contribuer au soutien la base industrielle et technologique en matire de produits et de services de scurit des systmes dinformation, notamment lgard des PME-PMI du secteur, et plus largement, dans le secteur des technologies de linformation et de la communication. De mme quil existe en France une base industrielle et technologique de dfense (BITD), votre rapporteur considre quil devrait exister une base industrielle et technologique en matire cyber (BITC). La France dispose datouts importants avec des grandes entreprises, limage de Cassidian, la division dfense et scurit du groupe EADS, de THALES, de BULL, de SOGETI ou dALCATEL-LUCENT, spcialises et renommes pour leur expertise dans le domaine de la scurit des systmes dinformation. On trouve galement en France un tissu de PME-PMI innovantes, limage de Netasq et dArkoon en matire de logiciels et produits de scurit ou de Sysdream, dAtheos et de DevoTeam en matire de services. Notre pays dispose ainsi de vritables trsors nationaux dans certains domaines cls pour la dfense et la scurit des systmes dinformation, comme la cryptologie ou les cartes puces.

- 103 -

Si le march mondial est aujourdhui domin par des socits amricaines et israliennes, et, demain, par des socits chinoises, russes et indiennes, la France pourrait, si elle en a la volont, dvelopper une industrie complte et souveraine dans le domaine de la scurit des systmes dinformation, la fois dans les secteurs des matriels, des logiciels et des services. Aux yeux de votre rapporteur, il est crucial pour notre pays de conserver une autonomie stratgique dans un domaine qui joue un rle de plus en plus important dans les domaines de la dfense et de la scurit. Afin de garantir la souverainet des oprations stratgiques ou vitales, il est indispensable de sassurer de la matrise de certaines technologies fondamentales, dans des domaines comme la cryptologie, larchitecture matrielle ou logicielle des quipements de scurit ou encore les systmes dexploitation. On ne doit pas ngliger non plus les enjeux conomiques et en matire demplois dans un secteur en forte croissance et qui participe la comptitivit dun pays. Toutefois, le secteur des fournisseurs franais de solutions en scurit des systmes dinformation souffre aujourdhui de plusieurs lacunes : - une trop grande fragmentation, qui entrane souvent une concurrence destructrice entre les entreprises franaises et entrave le dveloppement des PME et lmergence dentreprises de taille intermdiaire ; - une difficult daccs la commande publique pour les PMEPMI ; - un problme majeur daccs au financement pour les PME, qui ne peuvent recourir lemprunt bancaire ; - un positionnement trop franco-franais pour assurer le dveloppement de groupes solides, exporter et gagner des parts de march ltranger ou nouer des partenariats lchelle europenne ou mondiale. LEtat devrait donc soutenir, par une politique industrielle volontariste, le tissu industriel des entreprises franaises, notamment des PME, proposant des produits ou des services importants pour la scurit informatique. LEtat devrait ainsi encourager une consolidation structurelle et capitalistique du secteur, en impliquant les PME avec des positionnements complmentaires et une volont partage, les financeurs publics (comme la caisse des dpts et consignations ou encore la banque publique des PME) et privs (fonds dinvestissements), ainsi que la puissance publique. Lobjectif serait de favoriser lmergence de champions nationaux ou europens. Il parat galement souhaitable de privilgier, dans le cadre de la commande publique, les solutions et socits franaises, via les certifications et valuations de scurit ralises par lANSSI.

- 104 -

Ne pourrait-on pas envisager galement que les PME se regroupent ou sassocient, ventuellement autour de grands groupes, pour mutualiser leurs solutions en produits scuriss ? Lallgement de la procdure de certification, la rduction des cots et le raccourcissement des dlais constituent galement de fortes attentes des entreprises du secteur. Les entreprises attendent aussi de lEtat un renforcement du soutien la promotion et lexport concernant les produits de scurit informatique. LEtat devrait encourager le regroupement des entreprises lexport, notamment entre les grandes entreprises et les PME, dans le cadre dune chasse en meute ou dun partenariat plus intgr, et leur apporter un soutien, par exemple en leur fournissant des informations sur les marchs dexport, les entreprises trangres concurrentes ou les partenaires potentiels, en les accompagnant dans leurs dmarches et dans la promotion de leurs offres ltranger, etc. De mme quil existe des salons de larmement , limage du salon du Bourget ou dEurosatory, pourquoi ne pas imaginer de crer en France un salon spcialis sur la cyberscurit, afin de donner plus de visibilit aux entreprises franaises de ce secteur ? Le financement public de la recherche-dveloppement en matire de scurit des systmes dinformation doit aussi tre accentu et cette recherche partage entre les diffrents acteurs publics. Le fonds interministriel de soutien linnovation que le plan de renforcement de la scurit des systmes dinformation avait prconis na pas t mis en place et les diffrentes sources de financement restent disperses. Il existe certes des instruments importants comme le crdit-impt recherche, le dispositif davance remboursable dOSEO ou encore le label jeune entreprise innovante . Mais les entreprises, et en particulier les PME qui souhaitent dvelopper leur activit, rencontrent encore de fortes difficults en matire daccs au financement. Ainsi, dans le cadre du crdit-impt recherche, la tendance en France est de considrer que seules les dpenses lies la recherche et dveloppement sont ligibles, alors que les dpenses de marketing et de dveloppement commercial, notamment linternational, sont souvent ngliges, alors mme quelles dterminent en grande partie la russite du projet. Le financement de lamorage, limage du Business Angels aux Etats-Unis, nexiste quasiment pas en France, et le capital-risque est quasiment inexistant dans ce secteur. Ce dispositif doit donc tre clarifi, en vue notamment den faciliter laccs par les PME-PMI innovantes dans le domaine de la scurit des systmes dinformation.

- 105 -

Afin de clarifier ce dispositif on pourrait imaginer la cration dun fonds public spcialis dans la scurit et la confiance numrique, dans le cadre du Fonds national pour la socit numrique (FSN), et qui serait notamment charg de lamorage et du capital risque. Dune manire gnrale, les changes dinformation entre lANSSI et les entreprises franaises du secteur de la scurit des systmes dinformation mriteraient dtre sensiblement renforcs. En sinspirant du programme lanc par le dpartement de la dfense aux Etats-Unis, on pourrait mettre en place entre lANSSI et les entreprises du secteur de la scurit des systmes dinformation, une sorte de club , un rseau des prestataires de confiance, afin de dvelopper les changes entre le secteur public et le secteur priv. Un tel rseau pourrait notamment jouer un rle utile en matire de ressources humaines, pour encourager la formation et la mobilit des ingnieurs spcialiss dans la protection des systmes dinformation, ou encore pour changer des informations sur les vulnrabilits de certains produits et les moyens de sen protger. Il pourrait galement tre activ en cas de dtection de cyberattaque cible, pour aider les entreprises mettre en place les contre-mesures ncessaires. 2. Assurer la protection des systmes oprateurs dimportance vitale dinformation des

Dans un rapport remis au Secrtaire gnral de la dfense et de la scurit nationale, portant sur les rponses aux nouvelles cybermenaces sur les systmes dinformation, de communication et de production dimportance vitale , davril 2011, le Conseil gnral de lindustrie, de lnergie et des technologies (CGIET), rebaptis depuis Conseil gnral de l'conomie, de l'industrie, de l'nergie et des technologies (CGEIET), organisme rattach au ministre de lconomie et des finances, a formul une srie de recommandations afin de renforcer la protection des oprateurs dimportance vitale, prconisations qui nont pas t rendues publiques. Votre rapporteur, qui sest longuement entretenu avec les auteurs de ce rapport, estime que la scurit des systmes dinformation des oprateurs dimportance vitale constitue aujourdhui la principale lacune du dispositif franais et quil est indispensable quelle soit rige en vritable priorit nationale. Il importe dabord de renforcer les changes entre lANSSI et les oprateurs dimportance vitale, sur une base sectorielle. Les oprateurs dimportance vitale attendent, en effet, de lEtat des informations sur ltat de la menace, les vulnrabilits et les moyens de protection, alors que lANSSI a besoin de connatre ltat de la situation.

- 106 -

Pour votre rapporteur, il conviendrait de rendre obligatoire pour tous les oprateurs dimportance vitale : - une dclaration dincident lANSSI ds la dtection dun incident informatique susceptible de relever dune attaque contre les systmes dinformation ; - le maintien dune cartographie jour des systmes dinformation ; - une dclaration lANSSI de systmes de contrle des processus ou des automates industriels (SCADA) connects lInternet ; - un audit annuel en matire de scurit des systmes dinformation, dont les rsultats devraient tre tenus la disposition de lautorit nationale de dfense des systmes dinformation ; - la rduction du nombre de passerelles entre les rseaux et lInternet et le dploiement de systmes de surveillance des flux permettant de dtecter les attaques informatiques, agr par lANSSI et favoriser le groupement doprateurs dimportance vitale autour de systmes de dtection partags, oprationnels 24 heures sur 24, 7 jours sur 7. 3. Encourager la formation, soutenir la recherche et accentuer la sensibilisation Il existe en France peu dingnieurs spcialiss dans la protection des systmes dinformation et les administrations ainsi que les entreprises rencontrent des difficults pour en recruter. Daprs les informations recueillies par votre rapporteur, il y aurait dans ce domaine quatre cinq fois plus doffres demplois disponibles, dans les administrations ou les entreprises, que dingnieurs spcialement forms la scurit informatique sortant des coles dingnieurs. Il apparat donc indispensable dencourager les coles dingnieurs dvelopper des formations en matire de scurit des systmes dinformation. Plus gnralement, la protection des systmes dinformation devrait tre une tape oblige dans le cursus de lensemble des formations dingnieurs ou dinformatique, avec un module spcifique. Trop dingnieurs ou dinformaticiens sortent, en effet, des coles dingnieurs ou dinformatique sans avoir t jamais sensibiliss limportance dassurer la protection des systmes dinformation. De manire plus gnrale, il semblerait utile dinclure une sensibilisation obligatoire dans les coles formant les cadres de ladministration (comme lENA par exemple) et de proposer une telle sensibilisation aux formations de management destines aux entreprises. Une autre priorit concerne le soutien la recherche.

- 107 -

Si la France dispose de centres dexcellence reconnus dans certains domaines cls pour la dfense et la scurit des systmes dinformation, comme celui de la cryptologie ou des cartes puces, de manire gnrale, la recherche semble insuffisamment dveloppe en France. Cela concerne en premier lieu les filires scientifiques, comme linformatique, mais aussi dautres disciplines, comme les sciences humaines ou sociales, le droit, la gostratgie, etc. Notre pays manque ainsi cruellement de laboratoires travaillant sur des sujets cls, essentiels une relle matrise des enjeux nationaux en termes de scurit des systmes dinformation. En dehors de certaines initiatives rcentes, telles que la cration par lInstitut des hautes tudes de la dfense et de la scurit nationale (IHEDN), avec le soutien de EADS Cassidian, dune chaire Castex de cyberstratgie dirige par le professeur M. Franois Gr, lorganisation dun sminaire consacr la scurit numrique par lInstitut national des hautes tudes de la scurit et de la justice (INHESJ) anim par M. Nicolas Arpagian ou encore linauguration, le 2 juillet dernier, de la chaire cyberdfense des coles de Saint-Cyr Cotquidan, en partenariat avec Sogeti et Thales, ce sujet ne semble pas susciter lattention quil mrite de la part des universits, des grandes coles ou des centres de recherche. Ainsi, on dnombre peu de chercheurs ou de spcialistes de ces questions, mme sil existe quelques experts reconnus, comme MM. Nicolas Arpagian, Olivier Kempf et Daniel Ventre, avec lesquels votre rapporteur sest dailleurs entretenu. Par ailleurs, notre pays souffre dun manque de stratgie commune et de lparpillement des diffrents organismes publics de recherche (CNRS, INRIA, CEA-LETI), qui signorent le plus souvent et dune coopration insuffisante de ces organismes avec lANSSI ou la DGA. Afin de renforcer la cohrence et lefficacit de notre dispositif, il semblerait utile que lEtat fixe des objectifs en matire de recherche et dveloppement en matire de cyberscurit lANSSI, la direction gnrale de larmement ainsi quaux autres organismes de lEtat. On pourrait galement envisager la cration dun budget spcifique de recherche et dveloppement dans ce secteur, de type budget civil de recherche et dveloppement (BCRD), qui regroupe lensemble des crdits publics consacrs la recherche civile et au dveloppement technologique, limage de ce qui a t fait pour soutenir le Centre national dtudes spatiales (CNES). De mme quil existe un comit mixte sur larmement nuclaire, regroupant le Commissariat de lnergie atomique et les armes, il pourrait tre utile de rapprocher lANSSI, la DGA, lINRIA, le CEA-LETI et les laboratoires concerns du CNRS, en crant un comit mixte sur la recherche en matire de protection et de dfense des systmes dinformation, ou du moins un comit stratgique visant coordonner les efforts.

- 108 -

Afin de renforcer la recherche et de rapprocher les diffrents acteurs publics, mais aussi lEtat, les entreprises, les universits et les centres de recherches, la cration dune fondation serait actuellement ltude. Cette fondation doit se former sur la base dun partenariat entre le secteur public et le secteur priv avec un financement mixte provenant de fonds publics et privs. Elle devrait avoir comme premier objectif didentifier les laboratoires ayant une relle expertise dans les domaines qui semblent aujourdhui insuffisamment pilots et partags. Cette fondation pourrait galement encourager la recherche dans des domaines dlaisss jusqu prsent au niveau national, notamment par le financement de chaires, de bourses de thses et de post-doctorat, de centres de recherches, de laboratoires, et par la valorisation de cette recherche au travers de sminaires, de formations ou de stages, et de la publication des rsultats de ces travaux, le tout dans une optique pluridisciplinaire. Pour votre rapporteur, la cration dune telle fondation apparat, en effet, souhaitable, car elle participe la construction dune vision prospective, au niveau national, une meilleure valuation des risques et des menaces et au renforcement des mesures permettant dy faire face. Elle contribuera aussi renforcer la prsence et linfluence de la France au niveau international dans un domaine largement domin actuellement par des laboratoires situs outre-Atlantique. Il semble galement souhaitable dencourager et de dvelopper le rle des socits prives de conseil et dassistance en matire de scurit informatique. Comme cela a t confirm votre rapporteur lors de ses auditions, lactivit des socits prives de conseil et dassistance en matire de scurit informatique nest pas encore suffisamment reconnue en France et se heurte toujours des difficults juridiques. La France dispose pourtant de socits de conseil en scurit informatique aux comptences reconnues, limage de Sysdream, qui ralise notamment des formations et des audits pour le ministre de la dfense et pour de grandes entreprises et dont votre rapporteur a rencontr des reprsentants. Comment expliquer, par exemple, que la lgislation franaise interdit la communication, mme des fins de conseils aux entreprises ou de recherche, de failles dans les systmes dinformation dceles lors dune intrusion informatique ? Cest pourtant le meilleur moyen de sensibiliser une entreprise assurer une plus grande protection de ses systmes dinformation. Dailleurs, certaines entreprises amricaines, limage de Microsoft ou de Facebook, ne sy sont pas trompes, en lanant un appel public tous les hackers pour dceler les vulnrabilits de leurs systmes informatiques, ralisant ainsi gratuitement et lchelle mondiale un audit de leur scurit informatique.

- 109 -

Il semble donc souhaitable de reconnatre, par un systme dagrment ou de label, et dencourager lactivit de ces socits prives de conseil et dassistance en matire de scurit informatique, en soutenant leur activit, notamment auprs des entreprises, et en adaptant notre lgislation. Plus largement, il conviendrait de renforcer les liens avec la communaut de hackers prsente en France. Daprs les informations recueillies par votre rapporteur, la communaut des hackers serait estime en France environ 4 000 personnes. Nombre dentre eux seraient dsireux de mettre leurs comptences et leurs talents au service de notre pays. Ainsi, selon M. Eric Filiol, directeur du laboratoire de scurit informatique de lEcole suprieure internationale dadministration des entreprises (ESIAE), il faut chercher les ressources l o elles sont. Chez les hackers que lon a tendance diaboliser lexcs 1. Aux Etats-Unis, les communauts de hackers sont dailleurs largement reconnues et entretiennent des relations troites avec les autorits charges de la scurit des systmes dinformation. On peut ainsi mentionner la communaut de hackers Defcon , qui compte plus de 12 000 membres aux Etats-Unis et qui entretient des relations avec le dpartement de la dfense et lagence de scurit nationale (NSA). La plupart de ces hackers ne sont pas, en effet, des cybercriminels ou chapeaux noirs , mais des personnes capables danalyser en profondeur un systme informatique afin dy dceler dventuelles vulnrabilits. Leur objectif est de dceler des failles ou vulnrabilits dans les systmes dinformation, non pas dans une intention malveillante, mais au contraire dans un souci de corriger ces failles et renforcer ainsi la scurit. La principale motivation de ces chapeaux blancs ou chapeaux gris est, en effet, la renomme quils peuvent acqurir au sein de leur communaut et auprs du public en publiant le rsultat de leurs investigations. Or, actuellement, notre lgislation ne permet pas la publication, mme des fins scientifiques, de vulnrabilits dceles la suite dintrusions dans les systmes informatiques, ce qui oblige les pirates informatiques franais publier le rsultat de leurs recherches dans les revues dautres pays, notamment aux Etats-Unis, ou lors de confrences de hackers . Comme le souligne M. Eric Filiol, depuis quatre ans, les avances majeures en matire de cryptanalyse ne sont plus publies dans les confrences acadmiques mais dans les confrences de hackers . ses yeux, il existe une vritable fracture en France entre un monde danciens qui

Valery Marchive, Cyberguerre : limprparation reste la norme , lemagit, 20 septembre 2011

- 110 -

administrent mais qui ne comprennent rien la technique et de jeunes hackers qui matrisent mais qui nadministrent pas . Enfin, la sensibilisation des usagers et du grand public mriterait dtre renforce, car, en dfinitive, la scurit des systmes dinformation repose pour une large part sur un ensemble de rgles de comportements qui relvent des utilisateurs. Or, ces rgles, que le directeur gnral de lANSSI, M. Patrick Pailloux, qualifie souvent de rgles dhygine lmentaires, sont le plus souvent largement ignores par la plupart des utilisateurs qui les considrent comme autant de contraintes. Ainsi, des rgles lmentaires, comme le choix de mots de passe robustes, la non utilisation dquipements informatiques personnels, comme des ordinateurs portables, des cls USB, des ordiphones ou des tablettes, dans un cadre professionnel, la prudence lgard des liens et des pices jointes contenus dans les courriels, ne sont pas respectes alors quelles reprsentent des conditions essentielles pour la scurit des systmes dinformation. Il importe donc de renforcer les mesures de sensibilisation destination des acteurs, comme du grand public. LANSSI a certes dvelopp une politique de communication, avec, par un exemple un portail Internet consacr la scurit informatique1, un petit guide de scurit informatique destin aux collaborateurs des cabinets ministriels ou encore un guide sur la scurit informatique des systmes industriels. On peut galement mentionner la cration dun logo spcifique2, qui vise renforcer la visibilit de lANSSI lextrieur :

http://www.securite-informatique.gouv.fr/ A titre anecdotique, le logo de lANSSI contient un code cach sous forme de chiffres et de lettres que les spcialistes peuvent samuser dchiffrer
2

- 111 -

Mais, ces mesures restent trs insuffisantes. Si la comptence et lefficacit de lAgence nationale de scurit des systmes dinformation sont unanimement reconnues, en France comme ltranger, comme votre rapporteur a pu lui-mme le constater lors de ses diffrents dplacements, en revanche, sa notorit est notoirement insuffisante et sa politique de communication est largement inaudible. Ainsi, nest-il pas paradoxal que le portail de la scurit informatique ou le site Internet de lagence franaise de scurit des systmes dinformation soient aussi ternes et peu attractifs pour les internautes, avec notamment labsence de tout moteur de recherche et des mises jour alatoires ? Les informaticiens de lagence sont pourtant rputs tre les meilleurs de leur spcialit. Il devrait tre relativement simple de rendre le site Internet de lANSSI et le portail plus attractifs et plus dynamiques, limage de ce qui existe dailleurs chez la plupart de nos partenaires trangers. De mme, on peut regretter labsence de toute politique de communication de lagence dirige spcialement vers les PME, alors mme quelles sont les plus vulnrables aux attaques informatiques. LAgence pourrait, en liaison avec le ministre dlgu charg des PME, de linnovation et de lconomie numrique, travailler avec les chambres de commerce et dindustrie, relais traditionnels vers les PME. LAgence devrait donc amliorer sa politique de communication quil sagisse des responsables politiques, des administrations, des entreprises ou du grand public. Ainsi, pourquoi ne pas diffuser plus largement la synthse dactualit de lANSSI sur les incidents informatiques, qui est actuellement envoye un nombre trs restreint de personnes ? Les mesures de sensibilisation des utilisateurs mriteraient galement dtre fortement accentues. Cela passe notamment par ltablissement de chartes lusage des utilisateurs au sein des entreprises comme des administrations, par un dveloppement de la communication et de la formation, etc. Ainsi, il semblerait utile de dvelopper le programme de formation de lANSSI et de llargir dautres publics, notamment issu du secteur priv. La politique de sensibilisation destination du grand public ne doit pas non plus tre nglige. De mme quil existe un plan national de prvention en matire de scurit routire, pourquoi ne pas imaginer galement un plan de communication en matire de scurit des systmes dinformation ?

- 112 -

Un exemple de mesure de sensibilisation : Les 10 commandements de la scurit sur linternet - Tu passeras tes supports amovibles sur une station blanche et tu ne connecteras pas de supports personnels sur une station professionnelle - Tu effaceras toutes les donnes sensibles inutiles de tes cls USB avant de voyager - Tu rendras compte de toute dtection virale aux organismes comptents - Tu vrifieras rgulirement quaucun quipement anormal nest connect sur ta station professionnelle - Tu utiliseras des mots de passe robustes - Tu ne laisseras pas ton mot de passe accessible - Tu ne communiqueras ton adresse mail professionnelle qu des personnes de confiance - Tu vrifieras lexpditeur des mails que tu reois - Tu seras vigilant avant douvrir des pices jointes un courriel - Tu nenverras pas de fichier sensible par Internet sans protection

Enfin, il semblerait souhaitable, aux yeux de votre rapporteur, que les responsables politiques de notre pays, y compris au plus haut niveau de lEtat, se saisissent des enjeux lis la scurit des systmes dinformation afin que ces questions soient portes publiquement et quelles ne soient plus rserves uniquement un petit cercle de spcialistes. Comme on la vu aux Etats-Unis, le Prsident Barack Obama a fait de la cyberscurit une priorit de son mandat et il sest fortement investi sur ce sujet en consacrant plusieurs discours aux enjeux lis la scurit des systmes dinformation. De mme, au Royaume-Uni, le Premier ministre M. David Cameron est galement intervenu de nombreuses reprises sur ce thme. Il a notamment reu personnellement les reprsentants des principaux oprateurs dimportance vitale pour les inciter renforcer la coopration entre le secteur public et le secteur priv et il a pris linitiative de runir une grande confrence internationale Londres consacre la cyberscurit, en novembre dernier. Pour votre rapporteur, limportance des enjeux lis la protection et la dfense des systmes dinformation justifie que ces questions fassent lobjet dune vritable priorit nationale, porte au plus haut niveau de lEtat.

- 113 -

C. POUR UNE VRITABLE POLITIQUE DE CYBERSCURIT DE LUNION EUROPENNE

Comme on la vu prcdemment, lUnion europenne a un rle important jouer en matire de protection des systmes dinformation, car une grande partie des rgles dans ce domaine relvent de ses comptences. Or, lUnion europenne na pas encore pris rellement la mesure des enjeux lis la protection des systmes dinformation. Avant toute chose, il semble indispensable que lUnion europenne se dote dune vritable stratgie europenne qui englobe lensemble des questions lies au cyberespace, quil sagisse de la scurit et de la rsilience des systmes dinformation, en particulier des oprateurs dinfrastructures dinformations critiques, de la cyberdfense, de la lutte contre la cybercriminalit ou encore des enjeux lis la libert dexpression, aux effets dInternet sur le dveloppement conomique ou encore la gouvernance dInternet. Une telle stratgie devrait notamment permettre dassurer une meilleure coordination entre les diffrentes entits charges de ces questions lchelle europenne et une plus grande cohrence densemble. Afin de lui confrer un poids politique suffisant, cette stratgie devrait, aux yeux de votre rapporteur, tre adopte par le Conseil europen. Si la protection des systmes dinformation doit demeurer avant tout une comptence nationale, car elle touche directement la souverainet de chaque Etat, lUnion europenne pourrait intervenir dans deux domaines : Dune part, concernant laspect prventif, en soutenant les mesures de scurit, de confiance et de rsilience en Europe. Dautre part, sagissant de laspect dfensif, en encourageant les capacits en matire de cyberscurit au niveau de chaque Etat membre et au sein des institutions europennes. 1. Encourager la scurit, la confiance et la rsilience lchelle europenne LUnion europenne se doit dabord dencourager le dveloppement de mesures de scurit, de confiance et de rsilience lchelle europenne. Ainsi, lUnion europenne pourrait jouer un rle plus actif en matire de normes, car une grande partie des rgles applicables aux oprateurs de rseaux relvent de ses comptences. Dans le cadre du Paquet tlcom , lUnion europenne a impos aux oprateurs de tlcommunications la mise en uvre de mesures minimales en matire de protection des systmes dinformation. Une disposition a galement t introduite afin de contraindre les oprateurs de

- 114 -

tlcommunications notifier aux autorits nationales comptentes toute atteinte la scurit ou la perte dintgrit ayant eu un impact significatif sur le fonctionnement des rseaux ou des services. Il semble souhaitable dtendre ces mesures et cette dclaration obligatoire dincident dautres secteurs. Plus gnralement, lUnion europenne devrait dfinir des rgles ou garanties minimales lchelle europenne en matire de scurit informatique applicables lensemble des acteurs et des rseaux concerns afin den accrotre trs fortement la rsilience. Lagence europenne ENISA a certes publi des recommandations ou des guides de bonnes pratiques concernant les rgles minimales de scurit informatique, mais ces instruments nont pas de porte contraignante. On pourrait donc sappuyer sur la directive cadre du Paquet tlcom , qui impose aux Etats membres la mise en uvre de mesures minimales en matire de protection des systmes dinformation, pour renforcer ces mesures en fixant au niveau europen de vritables rgles ou garanties minimales en matire de scurit informatique. LUnion europenne pourrait aussi dvelopper la coopration et le travail en commun entre les diffrents acteurs, cest--dire les Etats, les oprateurs, les rgulateurs et les industriels. Ainsi, on pourrait mettre en place au sein de lUnion des mesures visant soutenir le secteur priv afin damliorer la prise en compte de la scurit dans les produits et services informatiques. A cet gard, la scurit informatique devrait occuper une place plus importante dans les travaux de standardisation et de certification lchelle europenne, en particulier concernant les quipements utiliss dans les rseaux de communications lectroniques, mais aussi, plus largement, de lensemble des produits. Le dveloppement des activits de sensibilisation auprs des entreprises europennes comme des consommateurs mriterait aussi dtre encourag. Des mesures de nature renforcer la confiance dans la chane dapprovisionnement des lments dimportance critique devraient galement tre tudies. Pour votre rapporteur, lUnion europenne devrait aussi encourager une politique industrielle volontariste lchelle europenne, en soutenant les entreprises, notamment les PME, qui proposent des produits ou des conseils en matire de scurit informatique. LUnion europenne pourrait champions nationaux ou europens. ainsi favoriser lmergence de

Pourquoi ne pas envisager un Small business Act lchelle europenne, pour soutenir les PME qui proposent des produits ou des services importants du point de vue de la scurit informatique ?

- 115 -

Plus largement, lUnion europenne devrait soutenir davantage lindustrie europenne des technologies de linformation et de la communication. Le secteur des technologies de linformation et de la communication prsente une importance cruciale pour lEurope, la fois du point de vue stratgique, mais aussi conomique. Ce secteur est aujourdhui domin par des grandes entreprises nordamricaines mais aussi, de plus en plus, menac par la concurrence dentreprises asiatiques, chinoises ou corennes. Quant lindustrie europenne, elle a pratiquement disparu de ce secteur et il ne subsiste encore en Europe que quelques niches, assez fragiles. Or, les grands quipements informatiques, limage des routeurs de cur de rseaux qui grent les flux de communication, prsentent un caractre hautement sensible du point de vue de la scurit nationale. Compte tenu des montants financiers en jeu, seule une coopration industrielle lchelle europenne permettrait aux pays europens de ne pas dpendre uniquement dquipements dorigine amricaine ou asiatique. Pourquoi ne pas utiliser les fonds structurels et les fonds de cohsion pour renforcer la scurit informatique des infrastructures de tlcommunications en Europe ? Votre rapporteur appelle donc de ses vux une vritable politique industrielle lchelle europenne dans ce secteur sensible. Rendre laction de lUnion europenne en matire de recherche et de dveloppement plus efficace constitue aussi une priorit. Dans le cadre du programme cadre de recherche et de dveloppement (PCRD) ou du programme comptitivit et innovation (CIP), lUnion europenne dispose certes de financements importants destins soutenir la recherche et linnovation dans le domaine des technologies de linformation et de la communication. Toutefois, ces instruments souffrent des dfauts souvent constats propos de la plupart des programmes europens : absence de vritables priorits, dispersion des moyens, difficult trouver des co-financements, longueur et lourdeur de la procdure et de la gestion, etc. Il convient donc damliorer lefficacit et la coordination des programmes europens afin de permettre dencourager la recherche et le dveloppement en matire de scurit des systmes dinformation et, plus largement, dans le domaine des technologies de linformation et de la communication. Enfin, lUnion europenne a un rle important jouer en matire de sensibilisation de tous les acteurs, quil sagisse des Etats, des entreprises, des oprateurs et industriels ou des citoyens europens.

- 116 -

2. Renforcer les capacits de cyberdfense des Etats membres et des institutions europennes LUnion europenne devrait aussi encourager la mise en place de capacits de cyberdfense au sein des diffrents Etats-membres et renforcer la protection de ses propres systmes dinformation et de communication Ainsi, lUnion europenne devrait se fixer comme objectif dacclrer le dveloppement des capacits de cyberscurit au sein des diffrents Etats membres, en particulier concernant les pays les moins avancs dans le domaine de la protection des systmes dinformation, et renforcer la coopration entre les Etats, notamment en matire de prparation et de rponse aux crises. Actuellement, de nombreux pays europens restent encore insuffisamment sensibiliss aux menaces pesant lencontre des systmes dinformation. La comptence oprationnelle de rponse aux incidents de scurit informatique relevant entirement de la comptence nationale, le rle de lUnion europenne devrait principalement consister encourager le dveloppement de capacits nationales, en incitant par exemple les Etats mettre en place des autorits nationales charges de la protection des systmes dinformation ou crer un CERT gouvernemental. Les institutions europennes, et lENISA en particulier, ont galement un rle important jouer en matire danalyse des risques, dchanges dinformation ou pour lorganisation dexercices lchelle europenne de crises cyber. Ainsi, lENISA pourrait apporter un soutien la mise en place dun rseau fonctionnel de CERT nationaux en Europe bnficiant de moyens de communication scuriss. Il parat galement ncessaire de renforcer de manire significative la protection des systmes dinformation des institutions europennes et des diffrentes structures qui leur sont rattaches. Les capacits de lUnion europenne devraient tre accrues afin que lEurope soit en mesure dassurer une protection effective de ses propres rseaux et systmes dinformation et une veille oprationnelle. Enfin, lUnion europenne pourrait saffirmer sur ces questions comme un acteur au niveau international face aux Etats-Unis, la Chine, la Russie ou aux autres puissances mergentes. Il existe dj un groupe de travail conjoint entre lUnion europenne et les Etats-Unis, qui permet dchanger avec nos amis amricains sur diffrents sujets, comme la lutte contre la cybercriminalit. On peut regretter cependant que les Etats membres ne soient pas davantage associs ce groupe de travail, alors que ces sujets relvent avant tout de leurs comptences.

- 117 -

Plus gnralement, la place de lUnion europenne dans les diffrentes enceintes internationales qui traitent de ces aspects, limage des Nations Unies ou de lUnion internationale des tlcommunications, mriterait dtre renforce car cela permettrait aux pays europens de parler dune seule voix face aux Etats-Unis ou aux puissances mergentes. Pourquoi ne pas encourager aussi lUnion europenne favoriser un dialogue avec certains pays, comme la Chine ou la Russie, sur ces sujets ? 3. Un enjeu majeur : Pour une interdiction totale sur le territoire europen des routeurs de cur de rseaux et autres quipements informatiques sensibles dorigine chinoise Selon un article rcent du Financial Times1, la Commission europenne serait sur le point de lancer une procdure dinfraction pour non respect des rgles europennes de la concurrence lencontre des entreprises chinoises Huawei et ZTE, qui proposent des grands quipements informatiques, limage des routeurs de cur de rseaux . La Commission europenne souponne, en effet, ces entreprises de bnficier de subventions du gouvernement chinois et de vendre leurs produits en dessous des cots de production.
Quest-ce quun routeur ? La connexion dun site lInternet ou des rseaux repose sur les routeurs . Les routeurs de cur de rseaux sont des grands quipements d'interconnexion de rseaux informatiques utiliss par les oprateurs de tlcommunications qui permettent d'assurer le flux des paquets de donnes entre deux rseaux ou plus afin de dterminer le chemin qu'un paquet de donnes va emprunter. La fiabilit des routeurs doit tre toute preuve, leur scurisation renforce et leur surveillance assure. En effet, toute perturbation du routeur peut isoler un site du reste du monde ou engendrer une compromission de lintgralit des donnes transitant par cet quipement. Actuellement, le march mondial est nettement domin par des entreprises amricaines, comme Cisco, mais on relve une forte volont de pntration des entreprises chinoises Huawei et ZTE, sur le march amricain et europen. Huawei a ainsi investi significativement le march britannique des tlcommunications. Elle a pass un contrat avec loprateur de tlphonie mobile Telefonica pour planifier, implmenter et grer la majorit de leur activit. Pour sa part, ZTE a prsent un nouvel quipement pour rseaux en fibres optiques, capable de supporter un trs haut dbit et souhaite figurer parmi les premiers fabricants dordiphones au monde.

Financial Times, Beijing Faces Brussels Action on Telecoms Aid, 29 mai 2012

- 118 -

Si une telle procdure dinfraction serait principalement motive par le respect des rgles europennes de la concurrence et les soupons pesant sur ces deux entreprises chinoises en matire de concurrence dloyale, elle ne serait toutefois pas trangre des proccupations lies la scurit nationale. Selon les informations recueillies par votre rapporteur lors de ses entretiens Bruxelles, cette question ferait actuellement lobjet de fortes discussions au niveau europen, en raison des divergences entre les Etats membres et au sein de la Commission europenne et des fortes pressions des industriels et des oprateurs de tlcommunications, dont certains seraient sensibles aux avantages conomiques de ces quipements proposs par les entreprises chinoises moindre cots. Or, les routeurs de rseaux sont des quipements hautement sensibles du point de vue de la scurit des systmes dinformation. Rien nempcherait, en effet, un pays producteur de ce type dquipements dy placer un dispositif de surveillance, dinterception, voire un systme permettant dinterrompre tout moment lensemble des flux de communication. Le fait de placer un tel dispositif de surveillance directement au cur du routeur de rseaux rendrait ce dispositif presque totalement invisible et indtectable. Et il nest pas indiffrent de savoir que de forts soupons psent sur la Chine en matire de provenance des attaques informatiques, notamment des fins despionnage conomique. Aux Etats-Unis, les autorits ont dailleurs pris ces dernires annes plusieurs mesures afin de limiter la pntration des quipementiers chinois Huawei et ZTE sur le march amricain pour des raisons lies la scurit nationale. Ainsi, ds 2008, le gouvernement amricain a dcid de bloquer la vente de la socit amricaine 3Com Huawei pour des motifs de scurit nationale. En 2011, les autorits amricaines ont galement dcourag loprateur Sprint Nextel dutiliser des composants fabriqus par Huawei pour la construction de son rseau 4G pour des raisons identiques. Comme la dclar le porte-parole du dpartement du commerce amricain, Huawei ne fera pas partie des constructeurs du rseau sans fil durgence amricain cause dinterrogations du gouvernement amricain au sujet de la scurit nationale . Les autorits amricaines souponnent que les puces, routeurs et autres quipements informatiques chinois soient quips de portes drobes permettant au gouvernement chinois daccder des informations sensibles transitant par ces quipements. Elles sappuient sur un rapport du Pentagone, qui indique que Huawei continue maintenir dtroites relations avec larme de libration du peuple chinoise .

- 119 -

Daprs un rcent article du Wall Street Journal1, plusieurs parlementaires amricains, membres de la commission du renseignement de la Chambre des reprsentants, ont dailleurs lanc une enqute sur les activits de Huawei et de ZTE aux Etats-Unis et les relations de ces socits avec le gouvernement chinois et le comit central du parti communiste chinois, dans le cadre des soupons despionnage en provenance de Chine. Comme la indiqu lun de ces parlementaires, M. Dutch Ruppersberger : nous sommes trs inquiets par les attaques informatiques menes par le gouvernement chinois lencontre de nos rseaux nationaux. Notre inquitude porte sur la possibilit pour le gouvernement chinois daccder par lintermdiaire des quipements Huawei ou ZTE aux conversations tlphoniques ou aux e-mails, et quil puisse interrompre ou dtruire les systmes de communications . De mme, en Australie, les autorits ont interdit aux oprateurs de tlcommunications lutilisation de routeurs chinois pour quiper les rseaux sur leur territoire en raison des soupons de cyberattaques en provenance de Chine2. Comme la dclar le porte-parole du gouvernement, nous avons la responsabilit de faire le maximum pour protger lintgrit des rseaux nationaux et des informations qui y circulent . Selon un autre article3, ces soupons semblent avoir t confirms de manire involontaire par les reprsentants de lentreprise chinoise Huawei eux-mmes, lors dune prsentation devant une confrence organise Duba en fvrier dernier. En effet, dans leur prsentation, ils auraient indiqu que, pour mieux assurer la scurisation des flux de ses clients, Huawei analysait (grce aux techniques dites de deep packet inspection ou DPI), lensemble des flux de communications (courriers lectroniques, conversations tlphoniques, etc.) qui transitaient par ses quipements. Si les reprsentants de lentreprise voulaient dmontrer avant tout les capacits de leurs routeurs en matire de dtection de logiciels malveillants , ils ont ainsi confirm, comme cela a dailleurs t relev par plusieurs participants cette confrence, les capacits potentielles de ces routeurs analyser, intercepter et extraire des donnes sensibles, voire les altrer ou les dtruire. Il est donc crucial que lUnion europenne adopte une position ferme dune totale interdiction concernant le dploiement et lutilisation des routeurs chinois sur le territoire europen, ou dautres grands quipements informatiques dorigine chinoise ne prsentant pas toutes les garanties en matire de scurit informatique.

1 2

The Wall Street Journal, China Firms Under Fire , 13 juin 2012 The Australian Financial Review, Chinas Huawei banned from NBN , 24 mars 2012 3 WND, China tech company brags : we hacked U.S. Telecoms , 6/14/2012

- 120 -

A terme, votre rapporteur considre quil serait souhaitable de lancer une coopration industrielle entre la France et lAllemagne ou lchelle europenne afin de dvelopper des routeurs de cur de rseaux ou dautres grands quipements informatiques europens, et de ne plus dpendre uniquement de produits amricains ou asiatiques. Les illustrations dun routeur de cur de rseau

Le rseau mondial dimplantation de routeurs et dquipements de Huawei

Le mode danalyse du trafic par Huawei

- 121 -

CONCLUSION
Face au rle central des systmes dinformation et de communication et lextrme dpendance de nos socits, qui ne pourra que saccrotre lavenir avec le dveloppement des nouvelles technologies dinformation et de tlcommunications, leur interconnexion croissante et la gnralisation de lutilisation dans notre vie quotidienne dobjets connects, le renforcement de la protection et de la dfense des systmes dinformation reprsente un enjeu majeur de scurit nationale. Certes, il ne sagit pas de prtendre une protection absolue. Cela serait assez illusoire. Le propre des attaques informatiques est dexploiter les failles, de se porter l o les parades nont pas encore t mises en place. A limage de la course perptuelle entre la lance et le bouclier, les techniques voluent sans cesse et il nexiste pas de scurit absolue dans le cyberespace . Mais on peut amliorer la scurit des rseaux et des infrastructures les plus sensibles, mettre en place des systmes danalyse permettant de dtecter les attaques, un ensemble de mesures pour tre capable de faire face une crise et de rtablir les systmes, sensibiliser les concepteurs, les gestionnaires et les utilisateurs des systmes dinformation adopter des rgles d hygine lmentaires et renforcer leur rsilience. Malgr une prise de conscience tardive, notamment par rapport aux Etats-Unis et nos principaux allis europens, la France a ralis, grce limpulsion donne par le Livre blanc sur la dfense et la scurit nationale de 2008, dimportants efforts dans ce domaine. Une agence nationale de la scurit des systmes dinformation a t institue et notre pays sest dot dune stratgie de cyberdfense. Pour autant, face la forte augmentation et la diversification des attaques informatiques diriges contre notre pays et nos intrts conomiques ou stratgiques, beaucoup reste encore faire pour renforcer la prise en compte des enjeux lis la scurit des systmes dinformation au sein de lEtat, des entreprises ou des oprateurs dimportance vitale et sensibiliser davantage les utilisateurs ces questions. Aux yeux de votre rapporteur, compte tenu de limportance des enjeux, le renforcement de la protection et de la dfense des systmes dinformation devrait faire lobjet dune priorit nationale, porte au plus haut niveau de lEtat, et dune vritable stratgie de lUnion europenne. Soucieux que les orientations qui figurent dans ce rapport puissent tre reprises ou du moins servir dinspiration, notamment dans le contexte du nouveau Livre blanc sur la dfense et la scurit nationale et de la future loi de programmation militaire, votre rapporteur a pens utile de prsenter ses prconisations sous la forme de 10 priorits, assorties de 50 recommandations concrtes.

- 122 -

LISTE DES 50 RECOMMANDATIONS

1) Au niveau de lEtat

Recommandation n1 : Faire de la cyberdfense et de la protection des systmes

dinformation une priorit nationale, porte au plus haut niveau de lEtat, notamment dans le contexte du nouveau Livre blanc et de la future loi de programmation militaire. Rendre la politique nationale plus lisible .

> LANSSI : Recommandation n2 : Conforter le modle franais reposant sur lANSSI tout
en dveloppant ses relations avec les armes, la DGA et les services spcialiss. Poursuivre, voire amplifier, laugmentation des effectifs et des moyens de lANSSI dans les prochaines annes, au moyen dun programme pluriannuel, rvalu rgulirement

Recommandation n3 : Introduire des modifications lgislatives pour donner les

moyens lANSSI, aux armes et aux services spcialiss dexercer leurs missions, notamment en autorisant la rtroconception des fins de scurit, en prvoyant la possibilit de procder lanalyse de comportement des codes malveillants, la possibilit de mettre en place des dispositifs permettant de suivre les actions dun attaquant ou encore lidentification et la collecte de vulnrabilits des outils utiliss par lattaquant.

Recommandation n4 : Donner rellement lANSSI les pouvoirs affrents

son rle d autorit nationale en lui confrant un vritable pouvoir dimposition en ce qui concerne la politique de scurit des systmes dinformation des acteurs publics et des oprateurs dimportance vitale

Recommandation n5 : Dvelopper le rle de lANSSI en matire de

labellisation et de certification de produits scuriss et lui donner les moyens de soutenir les services informatiques des administrations pour lacquisition et lintgration de ces produits, ainsi que pour lintgration des produits agrs et qualifis et pour lintgration de systmes dexploitation durcis

Recommandation n6 : Instaurer une politique des ressources humaines au sein

des services de lEtat concernant les spcialistes de la scurit informatique en encourageant le recrutement, la formation, les mobilits et le droulement des carrires au sein et entre les services de lEtat

> Le ministre de la Dfense : Recommandation n7 : Poursuivre et amplifier les moyens techniques et

humains consacrs la cyberdfense au sein des armes, de la DGA et des services spcialiss. Promouvoir une cyber rserve au sein de la rserve citoyenne et oprationnelle.

- 123 -

Recommandation n8 : Conforter et approfondir la nouvelle organisation de

cyberscurit mise en place au sein du ministre de la dfense en renforant le rle du fonctionnaire de la scurit des systmes dinformation (FSSI) et en rvisant son positionnement au sein de la Direction gnrale des systmes dinformation et de communication (DGSIC)

Recommandation n9 : Encourager et soutenir le rle de la DGA en matire de

conception et de certification de produits de haut niveau de scurit pour les besoins militaires, civils et interministriels

Recommandation n10 : Poursuivre le dveloppement de capacits offensives au

sein des armes et des services spcialiss. Renforcer le suivi de ces capacits par la dlgation parlementaire au renseignement. Sinterroger sur la pertinence dun discours public, voire dune doctrine publique, sur les capacits offensives

> Lensemble des ministres : Recommandation n11 : Faire de la protection des systmes dinformation une
vritable priorit prise en compte dans laction de chaque ministre, rserver un pourcentage significatif du montant des projets la scurit informatique

Recommandation n12 : Rendre obligatoire pour chaque ministre la tenue

dune cartographie jour de son propre rseau et de son systme dinformation. Dans lattente de ldification du Rseau Interministriel de lEtat (RIE), rduire le nombre de passerelles entre les rseaux des ministres et lInternet et dvelopper les systmes de surveillance de ces passerelles permettant de dtecter les attaques

Recommandation n13 : Rehausser lautorit et le rle des fonctionnaires de la

scurit des systmes dinformation (FSSI) afin quils deviennent au sein de chaque ministre de vritables directeurs ou secrtaires gnraux de la scurit et de la dfense des systmes dinformation (DSSI ou SGSSI) auxquels devront tre soumis pour avis les projets informatiques des administrations

Recommandation n14 : Renforcer les effectifs et les moyens de la direction

interministrielle des systmes dinformation et de communication de lEtat (DISIC) en matire de scurit des systmes dinformation et poursuivre la mise en place du Rseau Interministriel de lEtat

Recommandation n15 : Accrotre les efforts de sensibilisation des personnels

des administrations, tous les chelons, notamment par la signature de charte dutilisation des systmes dinformation

Recommandation n16 : Instituer un ple juridictionnel spcialis comptence

nationale, sur le modle du ple de lutte contre le terrorisme ou du ple financier, pour rprimer les atteintes graves aux systmes dinformation. Former les magistrats de ce ple

- 124 -

2) Concernant les entreprises et les oprateurs dimportance vitale

> Les entreprises : Recommandation n17 : Rendre obligatoire une dclaration dincident
lANSSI en cas dattaque importante contre les systmes dinformation et encourager les mesures de protection par des mesures incitatives

Recommandation n18 : Faire de la protection des systmes dinformation une

vritable priorit en matire de management des entreprises en sensibilisant les dirigeants des entreprises et en rehaussant le niveau hirarchique et le rle des responsables de la scurit informatique

Recommandation n19 : Engager une rflexion avec les compagnies dassurance

sur la prise en charge des oprations de traitement dune cyberattaque moyennant un certain niveau de scurit initial et la ralisation dun audit annuel

Recommandation n20 : Renforcer les changes entre lANSSI et les entreprises

spcialises dans la conception de produits ou de services de scurit informatique en mettant en place un rseau de prestataires de confiance

Recommandation n21 : Encourager par une politique industrielle volontariste le

tissu industriel des entreprises franaises, notamment des PME, spcialises dans la conception de certains produits ou services importants pour la scurit informatique

Recommandation n22 : Encourager et dvelopper le rle des socits prives

de conseil et dassistance en matire de scurit informatique, par un systme dagrment ou de label, des modifications lgislatives et des mesures incitatives

Recommandation n23 : Amliorer et renforcer le soutien lexport des

entreprises franaises proposant des produits de scurit informatique

> Les oprateurs dimportance vitale : Recommandation n24 : Rendre obligatoire pour les oprateurs dimportance
vitale une dclaration dincident lANSSI ds la dtection dun incident informatique susceptible de relever dune attaque contre les systmes dinformation et pouvant porter atteinte au patrimoine informationnel ou lexercice des mtiers de loprateur, et encourager les mesures de protection par des mesures incitatives

Recommandation n25 : Rduire le nombre de passerelles entre les rseaux et

lInternet et introduire un systme de surveillance des flux permettant de dceler les attaques informatiques, agr par lANSSI et favoriser le groupement doprateurs dimportance vitale autour de systme de dtection partags oprationnels 24/24

- 125 -

Recommandation n26 : Encourager la coopration et les changes entre

lANSSI et les oprateurs dimportance vitale dans le cadre dune dmarche sectorielle. Rendre obligatoire le maintien dune cartographie jour des systmes dinformation, un audit annuel en matire de scurit des systmes dinformation, ainsi quune dclaration lANSSI de systmes de contrle des processus ou des automates industriels (SCADA) connects lInternet

> Les universits et centres de recherches Recommandation n27 : Encourager la formation dingnieurs spcialiss dans
la protection des systmes dinformation et prvoir un module consacr la protection des systmes dinformation dans toutes les formations dingnieurs, dans les grandes coles dingnieurs, les universits et lenseignement technique. Inclure une sensibilisation obligatoire dans les coles formant les cadres de ladministration (comme lENA par exemple) et proposer une telle sensibilisation aux formations de management destines aux entreprises

Recommandation n28 : Accentuer la recherche et dveloppement en matire de

scurit des systmes dinformation et renforcer les relations des acteurs publics avec les universits et les centres de recherche

> Le grand public Recommandation n29 : Amliorer la sensibilisation du public par un plan de
communication inspir du plan de prvention de la scurit routire 3) Concernant les relations internationales

> Les changes bilatraux Recommandation n30 : Poursuivre et dvelopper la coopration en termes
quantitatifs et qualitatifs avec les CERT gouvernementaux et militaires

Recommandation n31 : Poursuivre et renforcer la coopration bilatrale avec le

Royaume-Uni, autour des capacits techniques et oprationnelles, notamment au profit du domaine militaire et de la scurit des oprateurs dinfrastructures vitales communs

Recommandation n32 : Poursuivre et renforcer la coopration bilatrale avec

lAllemagne, notamment sur les projets industriels et de recherche conjoints, ainsi quau profit de la scurit des oprateurs dinfrastructures vitales communs

- 126 -

Recommandation n33 : Dvelopper notre influence en renforant les relations

bilatrales avec des pays ayant mis en place, ou souhaitant mettre en place, une organisation nationale de gestion de la cyberscurit, afin de promouvoir le modle franais de gouvernance en matire de cyberscurit, de promouvoir lindustrie franaise, et de dvelopper une communaut de vue la plus large possible sur les questions internationales en matire de cyberscurit afin de peser plus efficacement dans les enceintes internationales

Recommandation n34 : Favoriser le dialogue : mettre en place des dialogues

stratgiques bilatraux avec les pays pouvant jouer un rle particulier en matire de cyberattaques lencontre de nos intrts nationaux, afin de dvelopper progressivement la confiance, via lamlioration de la connaissance mutuelle de nos organisations et de nos postures stratgiques, ainsi que sur lentraide internationale en matire de cybercriminalit

> Les enceintes multilatrales

LOTAN :

Recommandation n35 : Concentrer le rle de lOTAN sur la protection des

systmes dinformation et de communication propres lAlliance et poursuivre le dveloppement de capacits oprationnelles de lOTAN (centre oprationnel 24h/24 7jours/7)

Recommandation n36 : Encourager la coopration OTAN/Union europenne,

en sappuyant sur la complmentarit de leurs approches, notamment en matire dinfrastructures critiques

Recommandation n37 : Poursuivre les discussions afin dlaborer une doctrine

au sein de lOTAN (recours larticle V en cas de cyberattaque)

Recommandation n38 : Prvoir une prsence franaise au sein du centre

dexcellence de Tallinn LUnion europenne :

Recommandation n39 : Promouvoir une vritable stratgie globale europenne

en matire de protection des systmes dinformation au sein de lUnion europenne. Rendre laction de lUE plus lisible .

Recommandation n40 : Rformer fondamentalement lagence europenne

ENISA afin den faire vritablement un outil de soutien rellement efficace aux Etats membres

- 127 -

Recommandation n41 : Inciter lUnion europenne assurer la protection de

ses propres rseaux en renforant le rle du CERT des institutions de lUnion europenne, notamment auprs des organismes dpendants de lUnion europenne

Recommandation n42 : Renforcer la coopration industrielle europenne en

matire de conception de produits informatiques ou de scurit informatique, et soutenir lindustrie europenne des technologies de linformation et de la communication afin den assurer la comptitivit et la prennit, notamment grce des financements ou des mcanismes innovants (programme comptitivit et innovation par exemple) en priorit dans le domaine des tlcommunications (routeurs et quipements cur de rseau) mais galement dans des domaines comme llectronique (processeurs, PC), les systmes dexploitation ou les environnements scuriss. Encourager la recherche au niveau europen par le biais du programme cadre de recherche et dveloppement.

Recommandation n43 : Dvelopper le rle de lUnion europenne en matire

de normes juridiques afin de renforcer la protection des systmes dinformation des entreprises et des infrastructures critiques au niveau europen, notamment la protection des infrastructures critiques europennes et les infrastructures dinformation (en posant notamment des garanties minimales lchelle europenne en matire de scurit informatique).

Recommandation n44 : Interdire sur le territoire national et europen le

dploiement et lutilisation de routeurs ou dquipements de cur de rseaux qui prsentent un risque pour la scurit nationale, en particulier les routeurs ou dautres quipements informatiques dorigine chinoise LONU :

Recommandation n45 : Dfendre lide dun code de bonne conduite ou de

mesures de confiance au niveau international et sparant clairement les lments lis aux contenants techniques de ceux lis aux informations, plutt quun trait international ou dun texte international juridiquement contraignant

Recommandation n46 : Encourager un dialogue franc et ouvert avec la Chine et

la Russie sur ces sujets LUIT :

Recommandation n47 : Encourager le rle daide au dveloppement de

capacits nationales, notamment des pays en voie de dveloppement, de lUIT, tout en sopposant la reconnaissance dun fondement juridiquement contraignant laction de lUIT sur la cyberscurit (hors du trait des tlcommunications) et un rle oprationnel en ce domaine

- 128 -

LOCDE :

Recommandation n48 : Utiliser lOCDE pour sinformer sur les visions

promues par les autres Etats et comme enceinte dinfluence pour valuer et promouvoir les visions dveloppes au niveau national LOSCE :

Recommandation n49 : Encourager au sein de lOSCE le dveloppement et

lexprimentation de mesures favorisant la confiance avec la Russie, en parallle des travaux mens lONU

> LInfluence sur les standards techniques et la participation dans les

enceintes de normalisation :

Recommandation n50 : Engager une activit de veille sur les enjeux de scurit
des systmes dinformation et de cyberscurit soulevs par les standards techniques en cours de dveloppement, au sein ou en dehors de groupes de normalisation, afin de les identifier prcocement, sassurer du dveloppement de positions nationales, et les faire porter par les reprsentants franais ou nos allis, publics ou privs

- 129 -

EXAMEN EN COMMISSION
La commission des affaires trangres, de la dfense et des forces armes a examin le prsent rapport dinformation lors de sa sance du 18 juillet 2012. M. Jean-Louis Carrre, prsident Aprs avoir examin les questions relatives lavenir des forces nuclaires, aux capacits industrielles souveraines, au format des forces aprs 2014 et la maritimisation , nous allons procder maintenant lexamen du dernier des cinq rapports dinformation qui sinscrivent dans le cadre des travaux de notre commission lancs dans loptique de llaboration du nouveau Livre blanc sur la dfense et la scurit nationale. Ce rapport, prsent par notre collgue M. Jean-Marie Bockel, est consacr un sujet assez peu connu, mais qui prend aujourdhui une importance croissante : le thme de la cyberdfense. Je laisse donc la parole notre collgue. M. Jean-Marie Bockel, rapporteur Notre commission avait dj adopt, en juillet 2008, un rapport dinformation sur la cyberdfense, prsent par notre ancien collgue M. Roger Romani. Beaucoup de choses se sont passes depuis quatre ans. Cest la raison pour laquelle notre commission a souhait faire nouveau le point sur cette question et ma confi ce rapport dinformation, notamment dans loptique de llaboration du nouveau Livre blanc sur la dfense et la scurit nationale. Depuis octobre, jai eu de nombreux entretiens avec les principaux responsables chargs de la protection des systmes dinformation au sein des services de lEtat et des armes. Jai galement rencontr, en tte--tte, le chef dEtat major particulier du Prsident de la Rpublique, ainsi que les reprsentants des services de renseignement. Jai aussi eu des entretiens avec des dirigeants dentreprises, dont certaines ont t victimes dattaques informatiques, limage dAREVA, et mme avec ceux quon appelle des pirates informatiques . Afin davoir une vue comparative, je me suis rendu Londres et Berlin, Tallin et Washington, ainsi qu Bruxelles au sige de lOTAN et auprs des institutions de lUnion europenne. Je vous avais dailleurs prsent un premier rapport dtape en fvrier dernier. Aujourdhui, je voudrais vous prsenter les principales conclusions de mon rapport et vous proposer dadopter un certain nombre de recommandations.

- 130 -

Mais, tout dabord, que faut-il entendre par cyberdfense ? On parle souvent indistinctement de cybercriminalit , de cyber menaces , de cyber attaques ou de cyber guerres . Il faut bien comprendre que les mthodes utilises des fins de fraude ou descroquerie sur Internet peuvent ltre aussi, une chelle plus vaste, contre la scurit et les intrts essentiels de la Nation. Cest le cas avec la pntration de rseaux en vue daccder des informations sensibles ou avec des attaques informatiques visant perturber ou dtruire des sites largement utiliss dans la vie courante. Dans mon esprit, la cyberdfense se distingue de la lutte contre la cybercriminalit. Elle recouvre la politique mise en place par lEtat pour protger activement des rseaux et des systmes dinformation essentiels la vie et la souverainet du pays. Pourquoi sintresser de nouveau cette question ? Avec le dveloppement de lInternet, les systmes dinformation constituent dsormais les vritables centres nerveux de nos socits, sans lesquels elles ne pourraient plus fonctionner. Or, depuis les attaques informatiques massives qui ont frapp lEstonie en avril 2007, la menace sest concrtise et accentue. Il ne se passe pratiquement pas une semaine sans que lon signale, quelque part dans le monde, des attaques cibles contre les rseaux de grands organismes publics ou privs. La France nest pas pargne par ce phnomne. Comme me lont confirm les reprsentants des organismes chargs de la protection des systmes dinformation, nos administrations, nos entreprises ou nos oprateurs dimportance vitale (nergie, transports, sant, etc.) sont victimes chaque jour en France de plusieurs millions dattaques informatiques. Dans mon rapport, je mentionne trois exemples : Premier exemple : la perturbation de sites institutionnels, limage du site Internet du Snat, rendu inaccessible fin 2011 lors de la discussion de la loi sur le gnocide armnien ; Il sagit de ce que les spcialistes appellent une attaque par dni de service : le site Internet est rendu inaccessible car il est satur de milliers de requtes ; Deuxime exemple : lattaque informatique massive dont a fait lobjet, fin 2010, le ministre de lconomie et des finances, dans le cadre de la prparation de la prsidence franaise du G8 et du G20 : il sagit l dune vaste intrusion informatique des fins despionnage : un logiciel espion est introduit grce un cheval de Troie , qui se prsente sous la forme dune pice jointe pige ouvrant une porte drobe ; lattaquant peut alors surveiller et prendre, distance et linsu de lutilisateur, le contrle de son ordinateur, par exemple pour extraire des donnes, lire ses messages

- 131 -

lectroniques, et mme couter ses conversations ou filmer sa victime en dclenchant lui-mme le micro ou la camra de lordinateur ; il peut ensuite, par rebonds successifs, prendre le contrle dautres ordinateurs, voire de la totalit du systme ; Troisime illustration : laffaire despionnage, rvle par la presse, subie par le groupe AREVA : l aussi nous sommes face une vaste intrusion informatique des fins despionnage mais qui concerne cette fois une grande entreprise franaise du nuclaire. Ces attaques peuvent tre menes par des pirates informatiques , des groupes dactivistes, des organisations criminelles, mais aussi par des entreprises concurrentes, voire par dautres Etats. Les soupons se portent souvent vers la Chine ou la Russie, mme sil est trs difficile didentifier prcisment les auteurs de ces attaques. Ainsi, dans le cas de Bercy, comme dAREVA, certains indices peuvent laisser penser que des agences officielles, ou du moins des officines chinoises, sont lorigine de ces attaques. Par ailleurs, les rvlations du journaliste amricain David Sanger sur limplication des Etats-Unis dans la conception du virus STUXNET, qui a endommag un millier de centrifugeuses denrichissement de luranium, retardant ainsi de quelques mois ou quelques annes la ralisation du programme nuclaire militaire de lIran, ou encore la rcente dcouverte du virus FLAME, vingt fois plus puissant que STUXNET, laissent prsager de futures armes informatiques aux potentialits encore largement ignores. La conclusion que je tire de tout cela est que nous voyons bien souvrir, pour les annes qui viennent, un nouveau champ de bataille, avec des stratgies et des effets trs spcifiques. On peut sinterroger sur la nature de cette menace. Peut-on parler de cyberguerre et imaginer que les conflits se joueront sur des cyberattaques , qui se substitueraient aux modes daction militaires traditionnels ? Cest sans doute une hypothse assez extrme. Il me semble acquis en revanche que lon ne peut gure concevoir dsormais de conflit militaire sans quil saccompagne dattaques sur les systmes dinformation. Cest par exemple ce qui sest pass en Gorgie en aot 2008. Toutes les armes modernes ont commenc intgrer ce facteur. Jusqu prsent, ce type dattaques na gnr que des nuisances assez limites. Mais, mon sens, il ne faut pas sillusionner. Les vulnrabilits sont relles et les savoir-faire se dveloppent. On ne peut pas viter de telles attaques. Mais on peut en limiter les effets en renforant les mesures de protection et en prvoyant comment grer la crise le temps du rtablissement des systmes. Lors de mes diffrents dplacements ltranger, jai t dailleurs frapp de voir que chez nos principaux allis, la thmatique de la cyberdfense ne cesse de monter en puissance.

- 132 -

Cest le cas aux Etats-Unis. Le Prsident Barack Obama sest fortement engag sur le sujet et a qualifi la cyberscurit de priorit stratgique. Comme jai pu le constater lors de mon dplacement Washington, il existe plusieurs organismes, au sein du dpartement charg de la scurit intrieure et du Pentagone qui interviennent dans ce domaine, comme la NSA ou le Cybercommand, et la coordination entre ces organismes nest pas toujours optimale. De 2010 2015, le gouvernement amricain devrait cependant consacrer 50 milliards de dollars la cyberdfense et plusieurs dizaines de milliers dagents travaillent sur ce sujet. Au Royaume-Uni, le gouvernement britannique a adopt, en novembre dernier, une nouvelle stratgie en matire de scurit des systmes dinformation. Le principal organisme charg de la cyberscurit est le Government Communications Headquarters (GCHQ). Environ 700 agents soccupent des questions lies la cyberdfense. Malgr la rduction des dpenses publiques, le Premier ministre David Cameron a annonc en 2010 un effort supplmentaire de 650 millions de livres sur les quatre prochaines annes pour la cyberdfense, soit environ 750 millions deuros. Ces chiffres peuvent laisser songeur lorsque lon sait quen France le budget de lagence homologue, lANSSI, est de 75 millions deuros. En Allemagne, le gouvernement fdral a labor en fvrier 2011 une stratgie en matire de cyberscurit. La coordination incombe au ministre fdral de lIntrieur, auquel est rattach loffice fdral de scurit des systmes dinformation (BSI), situ Bonn, qui dispose dun budget annuel de 80 millions deuros et de plus de 500 agents. Toujours sur ce volet international, les cyberattaques sont dsormais une menace prise en compte dans le nouveau concept stratgique de lAlliance atlantique, adopt lors du Sommet de Lisbonne en novembre 2010. LOTAN sest dote en juin 2011 dune politique et dun concept en matire de cyberdfense. Une autorit de gestion de la cyberdfense, ainsi quun centre dexcellence sur la cyberdfense situ Tallin en Estonie ont t crs. Pour autant, lOTAN nest pas compltement arme face cette menace. Ainsi, la principale unit informatique de lAlliance nest toujours pas oprationnelle 24 heures sur 24, 7 jours sur 7 et elle nassure pas encore la scurit de tous les rseaux de lOTAN.

- 133 -

Dailleurs, lOTAN a t la cible de plusieurs attaques informatiques lt dernier, attaques attribues la mouvance Anonymous et mme lordinateur personnel du Secrtaire gnral de lOTAN a t pirat . Plus gnralement, lOTAN doit encore dterminer quelle attitude adopter pour rpondre des cyberattaques lances contre lun des Etats membres. Peut-on invoquer larticle 5 du trait de Washington en cas de cyberattaque ? Les mesures de rtorsion doivent-elles se limiter des moyens cyberntiques, ou bien peut-on galement envisager des frappes militaires conventionnelles ? Il ny a pas encore de rponses claires ces questions, comme jai pu le constater lors de mes entretiens au sige de lOTAN. LUnion europenne a aussi un grand rle jouer, car une grande partie des rgles qui rgissent les rseaux de communications lectroniques relvent de sa comptence. Elle peut donc agir pour lharmonisation de certaines dispositions techniques au niveau europen qui sont importantes du point de vue de la cyberdfense. Toutefois, la Commission europenne et de nombreux pays europens ne semblent pas encore avoir pris la mesure des risques et des enjeux lis la cyberdfense. Ainsi, lagence europenne charge de la scurit des rseaux et de linformation, ENISA, cre en 2004 et dont le sige est situ Hraklion, en Crte, ne dispose que dun rle de recommandation et son efficacit apparat assez limite. Ceci mamne voquer la situation de la France. Le constat que notre commission avait dress dans son rapport il y a quatre ans tait assez brutal : face cette menace relle et croissante, la France ntait ni bien prpare, ni bien organise. Il serait injuste de dire que rien navait t fait. Je pense au rseau gouvernemental ISIS pour linformation confidentiel dfense. Nanmoins, les lacunes restaient criantes. En dautres termes, il paraissait absolument indispensable dacclrer la prise de conscience des autorits politiques, de clarifier les responsabilits au sein de lEtat et de renforcer rsolument les moyens techniques et humains ncessaires une vraie politique de cyberdfense. Le Livre blanc sur la dfense et la scurit nationale de 2008 a identifi ce besoin et donn une relle impulsion cette politique. En termes dorganisation, le Livre blanc a permis cette politique dtre clairement identifie, avec la cration, en juillet 2009, de lANSSI, lAgence nationale de la scurit des systmes dinformation, qui est dirige

- 134 -

par M. Patrick Pailloux, et dont les comptences sont reconnues par tous en France comme ltranger. En fvrier 2011, lANSSI a rendu publique la stratgie de la France en matire de cyberdfense. Il a t galement dcid de faire de lANSSI lautorit nationale de dfense des systmes dinformation. La France dispose, avec cette stratgie et avec lANSSI, doutils importants en matire de cyberdfense. Pour autant, beaucoup reste faire dans ce domaine. Ainsi, avec des effectifs de 230 personnes et un budget de lordre de 75 millions deuros, les effectifs et les moyens de lANSSI sont encore trs loin de ceux dont disposent les services similaires de lAllemagne ou du Royaume-Uni, qui comptent entre 500 et 700 personnes. Pour accrotre sa capacit dintervention et de soutien, le gouvernement de Franois Fillon avait dailleurs dcid, en mai dernier, dacclrer laugmentation des effectifs et des moyens de lANSSI, afin de porter ses effectifs 360 dici 2013. De plus, si les armes et le ministre de la dfense ont pris des mesures, les autres ministres, les entreprises et les oprateurs dimportance vitale restent diffremment sensibiliss cette menace. Quel serait aujourdhui le moyen le plus simple de provoquer une perturbation majeure de notre pays par le biais dune attaque informatique ? Un moyen trs simple serait de sen prendre aux systmes de distribution dnergie, aux transports ou aux hpitaux. Lexemple du virus STUXNET, ou du ver Conficker qui a perturb le fonctionnement de plusieurs hpitaux en France et dans le monde, montrent que cela nest pas une hypothse dcole. Il ne sagit pas de prtendre une protection absolue. Ce serait assez illusoire. Le propre des attaques informatiques est dexploiter des failles, de se porter l o les parades nont pas encore t mises en place. Mais on peut renforcer la scurit des rseaux et des infrastructures les plus sensibles, et amliorer leur rsilience. Jen viens aux 10 priorits proposes dans mon rapport. Premirement, il me semble que la protection et la dfense des systmes dinformation devrait faire lobjet dune vritable priorit nationale, porte au plus haut niveau de lEtat, notamment dans le contexte du nouveau Livre blanc et de la future loi de programmation militaire. Il me parat ainsi indispensable de renforcer les effectifs et les moyens de lANSSI au moyen dun plan pluriannuel, afin de les porter progressivement la hauteur de ceux dont disposent nos principaux partenaires europens.

- 135 -

Cette augmentation, de lordre de quelques 80 agents par an, devrait au demeurant rester modeste. Deuximement, il me semble que beaucoup reste faire pour sensibiliser les administrations, le monde de lentreprise, notamment les PME, et les oprateurs dimportance vitale. Assurer la scurit des systmes dinformation des entreprises nest pas seulement un enjeu technique. Cest aussi un enjeu conomique, puisquil sagit de protger la chane de valeur, notre savoir-faire technologique dans la vritable guerre conomique que nous connaissons aujourdhui, voire un enjeu politique, lorsque les intrts de la nation sont en jeu. Or, avec lespionnage informatique, notre pays, comme les autres pays occidentaux, est aujourdhui menac par un pillage systmatique de son patrimoine diplomatique, culturel et conomique. LANSSI sefforce dinciter les entreprises respecter des rgles lmentaires de scurit, rgles que son directeur gnral, M. Patrick Pailloux, assimile des rgles dhygine numrique lmentaires, mais qui sont souvent considres comme autant de contraintes par les utilisateurs. Faut-il aller plus loin et passer par la loi pour fixer un certain nombre de rgles ou de principes ? Aprs avoir beaucoup consult, je crois quil est ncessaire de prvoir une obligation de dclaration en cas dattaques informatiques qui sappliquerait aux entreprises et aux oprateurs des infrastructures vitales, afin que lEtat puisse tre rellement inform de telles attaques. Je pense aussi que lEtat a un rle important jouer pour soutenir le tissu industriel, et notamment les PME, qui dveloppent en France des produits ou des services de scurit informatique, pour ne pas dpendre uniquement de produits amricains ou asiatiques. Je plaide ainsi dans mon rapport pour une politique industrielle volontariste, lchelle nationale et europenne, pour faire merger de vritables champions nationaux ou europens. A cet gard, jinsiste dans mon rapport sur la question des routeurs de cur de rseaux , sujet qui a t voqu trs souvent par mes diffrents interlocuteurs, franais ou trangers. Ces routeurs sont de grands quipements informatiques utiliss par les oprateurs de tlcommunications pour grer les flux de communications (comme les messages lectroniques ou les conversations tlphoniques) qui transitent par lInternet. Ils reprsentent des quipements hautement sensibles car ils ont la capacit dintercepter, danalyser, dexfiltrer, de modifier ou de dtruire toutes les informations qui passent par eux.

- 136 -

Actuellement, le march des routeurs est domin par des entreprises amricaines, comme Cisco, mais, depuis quelques annes, des entreprises chinoises, limage de Huawei et ZTE, font preuve dune forte volont de pntration sur le march mondial et en Europe. Cette stratgie est dailleurs encourage par certains oprateurs de tlcommunications, car les routeurs chinois sont environ 20 % moins chers que les routeurs amricains ou europens. Or, comme cela ma t confirm plusieurs reprises lors de mes entretiens, cette stratgie soulve de fortes proccupations, en raison des liens de ces entreprises avec le gouvernement chinois et des soupons despionnage informatique qui psent sur la Chine. Ainsi, les autorits amricaines, comme dailleurs les autorits australiennes, ont refus lutilisation de routeurs chinois sur leur territoire pour des raisons lies la scurit nationale. En Europe, une telle interdiction semble plus dlicate mais la Commission europenne sapprterait lancer une procdure dinfraction lencontre de ces entreprises, souponnes de concurrence dloyale. Pour ma part, je considre quil est indispensable que lUnion europenne, limage des Etats-Unis ou de lAustralie, interdise lutilisation des routeurs ou autres quipements informatiques sensibles dorigine chinoise sur son territoire. Il sagit l dun vritable enjeu de scurit nationale. Se pose galement la question des ressources humaines. Il existe aujourdhui peu dingnieurs spcialiss dans la protection des systmes dinformation et les entreprises ont du mal en recruter. Nous devrions mettre laccent sur la formation et dvelopper les liens avec les universits et les centres de recherche. A cet gard, pourquoi ne pas renforcer aussi les liens avec la communaut de hackers franais, dont la plupart sont dsireux de mettre leurs comptences et leurs talents au service de leur pays ? Il parat galement ncessaire de renforcer la sensibilisation des utilisateurs. De mme quil existe un plan de prvention en matire de scurit routire, pourquoi ne pas imaginer une campagne de communication en matire de scurit informatique ? Face une menace qui saffranchit des frontires, la coopration internationale sera dterminante. Elle existe dores et dj entre les cellules gouvernementales spcialises ou de manire bilatrale, notamment avec nos partenaires britanniques ou allemands.

- 137 -

Elle arrive lordre du jour denceintes internationales comme lOTAN ou lUnion europenne, qui pourrait simpliquer plus activement, par exemple pour imposer un certain nombre de normes de scurit aux oprateurs de rseaux. Pour autant, si la coopration internationale est indispensable, notamment avec nos partenaires britanniques et allemands, il ne faut pas se faire trop dillusions. La cyberdfense est une question qui touche la souverainet nationale et il nexiste pas rellement dallis dans le cyberespace. Enfin, je pense quil faut nous poser la question dlicate des capacits offensives. Il existe sur ce sujet en France un vritable tabou , comme jai pu moi-mme le constater lors de mes diffrents entretiens. A linverse, dautres pays, comme les Etats-Unis ou le Japon, nhsitent pas affirmer quils rpondront une attaque informatique. Pour ma part, je pense quon ne peut pas se dfendre si lon ne connat pas les modes dattaque. La lutte informatique offensive est prvue par le Livre blanc et la loi de programmation militaire. Mais toutes ses implications ne sont pas aujourdhui clarifies. Comment savoir si une attaque se prpare ou est en cours ? Comment tablir l'identit des agresseurs ou la responsabilit d'un Etat ? Quelle doctrine demploi adopter ? Il faudra que nos experts trouvent des rponses ces questions. Dans mon rapport, je minterroge donc sur lopportunit de dfinir une doctrine publique sur les capacits offensives, qui pourrait tre reprise par le nouveau Livre blanc sur la dfense et la scurit nationale. Je ne sais pas si lon verra lavenir des cyberguerres. Mais je suis certain que notre dfense et notre scurit se joueront aussi sur les rseaux informatiques et au sein de nos systmes dinformation dans les annes futures. Je vous remercie de votre attention et je suis dispos rpondre vos questions. A la suite de cette prsentation, un dbat sest engag au sein de la commission. M. Jean-Louis Carrre, prsident Je vous remercie pour votre excellent rapport qui marque la conclusion des travaux de notre commission consacrs la prparation de la rvision du Livre blanc sur la dfense et la scurit nationale. Je laisse tout de suite la parole nos collgues qui auront certainement beaucoup de questions vous poser.

- 138 -

Mme Nathalie Goulet. Vous avez insist dans votre prsentation sur limportance de la formation dingnieurs spcialiss et les difficults rencontres par les entreprises ou les administrations pour en recruter, et je men flicite. Je souhaiterais vous interroger au sujet du rle des hauts fonctionnaires de dfense et de scurit qui sont prsents au sein de chaque ministre et de leurs relations avec lANSSI et le SGDSN. Jai pu constater, en effet, que la mission de ces hauts fonctionnaires de dfense et de scurit et leur coordination ntaient pas toujours optimales et je pense quil serait utile davoir une rflexion concernant le rle des hauts fonctionnaires de dfense et de scurit au sein de chaque ministre. Par ailleurs, je minterroge au sujet de lorganisation institutionnelle en matire de protection et de dfense des systmes dinformation et notamment de la coordination interministrielle dans ce domaine. Le modle actuel vous semble-t-il pertinent et la coordination interministrielle fonctionne-t-elle de manire satisfaisante, notamment entre lANSSI et le ministre de la dfense ? Cette coordination doit-elle daprs vous relever du Prsident de la Rpublique, du Premier ministre, du SGDSN ou bien tre rattache au ministre de la dfense ? M. Yves Pozzo di Borgo. Je partage galement votre sentiment concernant limportance de la formation dingnieurs spcialiss dans la scurit des systmes dinformation. Comment, daprs vous, inciter les tudiants suivre ce type de formation et comment inciter les coles dingnieurs ou dinformatique former davantage de spcialistes dans ce domaine ? Il me semble aussi que la recherche nest pas suffisamment dveloppe en France et que nous manquons de laboratoires ou de centres de recherche dans certains domaines cls pour la scurit des systmes dinformation, notamment par rapport ce qui existe aux Etats-Unis. Quelles sont vos prconisations concernant le renforcement de la recherche dans ces domaines ? Par ailleurs, vous avez mentionn la communaut de hackers en soulignant quil serait utile de renforcer les liens avec cette communaut tant donn que la plupart de ces hackers disposent de trs grandes comptences dans ces domaines et que la plupart dentre eux seraient dsireux de mettre leurs talents au service de notre pays. Mais sagit-il pour les services de lEtat de recruter des hackers ? Comment concrtement renforcer les liens avec cette communaut ? Enfin, quelles sont les raisons pour lesquelles il est trs difficile didentifier prcisment les auteurs des attaques contre les systmes dinformation ? Est-ce que cela rsulte de difficults techniques ou bien plutt dune coopration internationale insuffisante ? Il semblerait que les attaques informatiques importantes ne soient plus, comme auparavant, le fait de pirates

- 139 -

informatiques individuels, particulirement dous, mais de vritables organisations, voire de services tatiques. M. Didier Boulaud. Je considre quil est trs important que notre commission suive avec une grande attention les questions relatives la protection et la dfense des systmes dinformation et je pense que ce rapport, qui intervient aprs lexcellent rapport de notre ancien collgue M. Roger Romani, permettra de renforcer la sensibilisation de lensemble des acteurs mais aussi de lopinion limportance des enjeux. Concernant toutefois les capacits offensives, je men tiendrai, pour ma part, la plus grande prudence et jappliquerai le proverbe selon lequel moins on en parle, mieux on se porte . Je suis donc rserv sur votre proposition concernant llaboration dune doctrine publique sur les capacits offensives. Comment, en effet, reconnatre publiquement que lon dveloppe des capacits offensives , alors que toute intrusion dans les systmes dinformation est illgale au regard de notre lgislation ? M. Jean-Marie Bockel, rapporteur. Je vous remercie pour vos observations. Il existe certes au sein de chaque ministre un haut fonctionnaire de dfense et de scurit (HFDS), mais cette fonction est souvent cumule par le secrtaire gnral du ministre concern, ce qui ne lui permet pas de se consacrer entirement cette tche. Il existe aussi au sein de chaque ministre un fonctionnaire de la scurit des systmes dinformation (FSSI). Mais on constate que celui-ci noccupe souvent quune faible place hirarchique au sein de lorganigramme et surtout quil ne parvient pas imposer aux diffrentes directions sectorielles et aux directeurs des systmes dinformation une prise en compte suffisante des proccupations lies la scurit des systmes dinformation. Cest la raison pour laquelle je propose, dans mon rapport, de rehausser le statut des fonctionnaires de la scurit des systmes dinformation et de renforcer leurs prrogatives par rapport aux responsables des diffrentes directions. Les fonctionnaires de la scurit des systmes dinformation devraient, mes yeux, devenir de vritables directeurs, voire mme des secrtaires gnraux, chargs de la scurit et de la dfense des systmes dinformation au sein de chaque ministre. Ainsi, pour prendre lexemple du ministre de la dfense, je propose de rehausser le statut du fonctionnaire de la scurit des systmes dinformation, afin que celui-ci dispose en particulier dune relle autorit sur la sous-direction et les quipes charges de la scurit des systmes dinformation au sein de la direction gnrale des systmes dinformation et de communication (DGSIC). Ayant pu comparer le dispositif franais avec les diffrents modles trangers, notamment aux Etats-Unis, au Royaume-Uni et en Allemagne, je considre que lorganisation institutionnelle franaise en matire de protection et de dfense des systmes dinformation est la plus pertinente car elle

- 140 -

correspond le mieux lorganisation administrative et la culture de notre pays. Notre modle se caractrise, en effet, par son caractre centralis et interministriel, puisque lagence nationale de la scurit des systmes dinformation est une agence rattache au Secrtaire gnral de la dfense et de la scurit nationale, ce qui lui confre une lgitimit interministrielle vis-vis des autres ministres. Le ministre de la dfense et les armes, comme dautres ministres, ont certes un rle spcifique jouer, mais, comme jai pu moi-mme le constater, les relations entre lANSSI et le ministre de la dfense sont excellentes, comme en tmoigne la coopration troite entre le directeur gnral de lANSSI, M. Patrick Pailloux, et lofficier gnral cyberdfense ltat-major des armes, le Contre-amiral Arnaud Coustillire, dont les comptences sont unanimement apprcies. Je considre aussi que le rattachement de lANSSI au Secrtaire gnral de la dfense et de la scurit nationale, qui dpend du Premier ministre, est une bonne chose. La coordination ne peut relever, daprs moi, que de lautorit du Premier ministre, qui il appartient de dfinir les axes stratgiques, de suivre leur mise en uvre et de veiller la bonne rpartition des moyens humains, techniques et financiers. Notre modle se caractrise galement par une stricte sparation entre les aspects prventifs et dfensifs, confis lANSSI, et les aspects offensifs, qui relvent des armes et des services spcialiss, ce qui me parat galement prfrable, tant donn la ncessit dtablir des liens troits entre lANSSI et le secteur priv. Comme le souligne trs bien notre collgue M. Yves Pozzo di Borgo, il existe en France peu dingnieurs spcialiss dans la protection des systmes dinformation et les entreprises, ainsi que les administrations, ont du mal en recruter. Il semblerait quil y ait quatre cinq fois plus doffres demplois disponibles, dans les administrations ou les entreprises, que dingnieurs spcialement forms la scurit informatique sortant des coles dingnieurs. Je considre donc quil serait souhaitable dencourager les coles dingnieurs dvelopper les formations en matire de scurit des systmes dinformation. Plus gnralement, la protection des systmes dinformation devrait tre une tape oblige dans le cursus de lensemble des formations dingnieur ou dinformatique et il me semblerait utile dinclure une sensibilisation obligatoire dans les coles formant les cadres de ladministration, comme lENA par exemple, et de proposer une telle sensibilisation aux formations de management destine aux entreprises. Une autre priorit concerne effectivement la recherche.

- 141 -

Si notre pays dispose de centres dexcellences reconnus dans certains domaines cls pour la dfense et la scurit des systmes dinformation, comme celui de la cryptologie ou des cartes puces, de manire gnrale, la recherche semble insuffisamment dveloppe en France, notamment par rapport ce qui existe aux Etats-Unis. Ainsi, notre pays manque ainsi cruellement de laboratoires travaillant sur des sujets cls, essentiels une relle matrise des enjeux nationaux en termes de scurit des systmes dinformation. Par ailleurs, notre pays souffre dun manque de stratgie commune et de lparpillement des diffrents organismes publics de recherche (CNRS, INRIA, CEA-LETI), qui signorent le plus souvent, et dune coopration insuffisante de ces organismes avec lANSSI et la DGA. Dans mon rapport, je suggre plusieurs pistes damlioration, comme la cration dun budget spcifique de recherche et dveloppement dans ce secteur, la mise en place dun comit mixte limage de ce qui a t fait dans le domaine du nuclaire, ou du moins dun comit stratgique afin de rapprocher les diffrents acteurs publics. Par ailleurs, afin de renforcer la recherche et de rapprocher les diffrents acteurs publics mais aussi lEtat, les entreprises, les universits et les centres de recherches, la cration dune fondation est actuellement ltude et me parat devoir tre encourage. Concernant le renforcement des liens avec la communaut de hackers , il ne sagit pas, dans mon esprit, de recourir des pirates informatiques pour lancer des attaques. Mais on pourrait reconnatre et encourager davantage lactivit des socits prives de conseil en scurit informatique, de manire encadre, par un systme dagrment ou de label, et envisager des modifications lgislatives, par exemple concernant la communication ou la publication des failles ou vulnrabilits des systmes dinformation des fins de conseil ou de recherche. Enfin, il est trs difficile didentifier prcisment le commanditaire dune attaque informatique car les pirates informatiques ont trs souvent recours des botnets , cest--dire des rseaux de machines compromises (ou machines zombies ), situes partout dans le monde. Le botnet est constitu de machines infectes par un virus informatique contract lors de la navigation sur internet, lors de la lecture dun courrier lectronique (notamment les spams) ou lors du tlchargement de logiciels. Ce virus a pour effet de placer la machine, linsu de son propritaire, aux ordres de lindividu ou du groupe situ la tte du rseau. On estime aujourdhui que le nombre de machines infectes passes sous le contrle de pirates informatiques est considrable. Le dtenteur du rseau est rarement le commanditaire de lattaque. Il monnaye sa capacit denvoi massive des clients anims de proccupations diverses. Enfin, concernant les capacits offensives , je comprends les rserves de notre collgue M. Didier Boulaud. Certes, il ne faut pas ngliger

- 142 -

les inconvnients pour notre pays quil y aurait voquer publiquement ce sujet, qui tiennent essentiellement la crainte de donner une sorte de lgitimit aux attaques informatiques dorigine tatique et dencourager ainsi les autres pays dvelopper et utiliser de telles capacits, ainsi que le risque de dvoiler aux yeux de tous ltendue de notre expertise dans ce domaine, ce qui pourrait conduire affaiblir la porte de ces capacits. Il ne parat pas vident en effet pour un Etat de reconnatre publiquement vouloir se doter d armes informatiques , tant donn que toute intrusion dans un systme informatique est gnralement condamne par la loi. On le voit bien avec la polmique suscite par les rvlations du journaliste amricain David Sanger sur limplication des Etats-Unis dans la conception du virus STUXNET. Toutefois, je voudrais rappeler que les capacits offensives taient dj voques dans le Livre blanc sur la dfense et la scurit nationale de 2008. Le silence absolu des autorits franaises sur cette question depuis le Livre blanc de 2008 parat donc quelque peu en dcalage avec lvolution de la menace, les communications publiques de nos principaux partenaires, et il pourrait mme tre de nature entretenir des fantasmes dans lopinion publique. Surtout, le dveloppement de capacits offensives ncessite une anticipation oprationnelle, une prparation technique et un travail trs important, portant non seulement sur larme informatique elle-mme, mais aussi sur le recueil de renseignement, la dsignation de cibles potentielles, lanalyse des systmes dinformation ainsi que leur environnement, lidentification des vulnrabilits, avec la ncessit de procder des entranements en liaison troite avec dautres modes dinterventions (armes conventionnelles, missiles balistiques, etc.) ou encore un travail sur la dfinition mme dune arme informatique et les conditions de son emploi dans le cadre du droit des conflits arms. Il me semble donc quil serait souhaitable que les autorits franaises lancent une rflexion sur llaboration dune ventuelle doctrine ou du moins dun discours ayant vocation tre rendu publics sur les capacits offensives , notamment dans le cadre du nouveau Livre blanc sur la dfense et la scurit nationale. M. Robert del Picchia. Je partage votre sentiment concernant lutilit de renforcer les liens avec la communaut de hackers . Mais, est-ce que les services de lEtat, comme lANSSI ou dautres services, recrutent des hackers ? M. Jean-Marie Bockel, rapporteur. Il existe plusieurs catgories de hackers . On distingue, en effet, les chapeaux blancs ( white hats ), qui sont les administrateurs ou les cyberpoliciers, qui recherchent les

- 143 -

logiciels malveillants et qui se caractrisent par leur sens de lthique et de la dontologie. Les chapeaux gris ( grey hats ) pntrent dans les systmes sans y tre autoriss, pour faire la preuve de leur habilet ou pour alerter lorganisme vis des vulnrabilits de ses systmes, mais ils ne sont pas anims par des intentions malveillantes ou criminelles. Enfin, les chapeaux noirs ( black hats ) regroupent les cybercriminels , les cyberespions ou les cyberterroristes . Ce sont eux qui rpandent volontairement les virus informatiques. Ils sont essentiellement motivs par lappt du gain. Ces individus ou ces groupes mettent au point des outils quils peuvent exploiter directement ou offrir sur le march des clients tels que des organisations criminelles ou mafieuses, des officines despionnage conomique, des entreprises ou encore des services de renseignement. M. Robert del Picchia. Vous avez mentionn les risques qui psent sur la scurit informatique des entreprises ou des oprateurs dimportance vitale et je partage vos proccupations. Je suis notamment proccup par le risque de divulgation des donnes personnelles. Sommes-nous rellement labri dun risque de pntration dans les systmes dinformation dun organisme comme la CNIL par exemple ? Un autre risque majeur tient aux oprateurs dimportance vitale. Il y a quelques jours, le rseau de loprateur Orange a t fortement perturb en France pendant plusieurs heures la suite, semble-t-il, dune panne informatique. Mais, comment ne pas imaginer les effets catastrophiques dune attaque informatique massive contre les oprateurs de tlcommunications, le systme bancaire, les rseaux de transport ou encore la distribution dnergie ? Enfin, quen est-il des entreprises franaises spcialises dans la conception de produits ou loffre de services en matire de scurit informatique ? M. Daniel Reiner. Je vous remercie galement pour votre rapport trs intressant et je me flicite que notre commission ait jug utile de se pencher nouveau sur ce sujet, qui prsente une grande importance pour notre dfense et notre scurit. Ce rapport intervient galement au bon moment et jespre quil sera pris en compte, comme les prcdents rapports de notre commission, dans le cadre des rflexions de la commission charge de la prparation du nouveau Livre blanc sur la dfense et la scurit nationale. Je voudrais faire deux observations. La premire observation concerne les relations entre lEtat et les entreprises. Dans le cadre de lassemble parlementaire de lOTAN, nous avions assist, lors dune runion Bruxelles, en fvrier dernier, une prsentation trs intressante dun reprsentant de Microsoft, qui nous avait expliqu que son entreprise faisait lobjet dun grand nombre dattaques informatiques et quelle consacrait des moyens financiers trs levs au renforcement de la scurit de ses propres produits informatiques. Ne serait-il pas utile de prconiser, non seulement un renforcement des relations, mais une vritable coopration entre le secteur public et le secteur priv en matire de

- 144 -

protection et de dfense des systmes dinformation ? Je pense que vous pourriez insister sur ce point dans vos recommandations. Ma deuxime observation porte sur les routeurs de cur de rseaux . Vous prconisez, dans votre rapport, dinterdire sur le territoire national et lchelle europenne le dploiement et lutilisation de routeurs ou dautres quipements de cur de rseaux qui prsentent un risque pour la scurit nationale, en particulier les routeurs et certains quipements dorigine chinoise. Pour ma part, je ne vois pas lutilit de ce deuxime membre de phrase et je serai plutt favorable lide de le supprimer, car ds lors quun quipement prsente un risque pour la scurit nationale, quelle que soit son origine, son utilisation devrait tre interdite sur notre territoire. Comme vous le savez certainement, les autorits amricaines procdent actuellement une vaste expertise de leurs quipements et rseaux informatiques, car ils ont dcouvert rcemment que ces quipements et systmes, y compris les plus sensibles, comprenaient de nombreux composants informatiques dorigine chinoise dont ils ne souponnaient pas lexistence et dont ils voudraient tre certains quils prsentent toutes les garanties en matire de scurit informatique. Ne serait-il pas utile de prconiser de lancer une telle expertise aussi dans notre pays ? Mme Jolle Garriaud-Maylam. Je voudrais remercier notre rapporteur pour la qualit de son rapport. Je partage en particulier lide de promouvoir une plus grande sensibilisation des utilisateurs, qui me parat trs importante, et je souscris votre ide dune campagne dinformation inspire de la prvention routire. Je pense, en effet, que beaucoup reste faire en matire de sensibilisation des utilisateurs, notamment face aux risques soulevs par la cybercriminalit, comme lillustrent les nombreuses tentatives descroquerie par Internet, que nous recevons chaque jour sur notre messagerie. A cet gard, que pensez vous du portail Internet consacr la scurit informatique : http://www.securite-informatique.gouv.fr/ ? Est-ce un instrument rellement utile en matire de sensibilisation du grand public ? M. Jeanny Lorgeoux. Quen est-il exactement de la coopration avec nos partenaires europens dans ce domaine et quel est votre sentiment au sujet de lorganisation et des moyens mis en place aux Etats-Unis ? M. Jean-Marie Bockel, rapporteur. Je partage entirement lanalyse de notre collgue M. Daniel Reiner, concernant la ncessit dun renforcement de la coopration entre lEtat et le secteur priv. Jaccepte donc volontiers de modifier la rdaction de mon rapport sur ce point. Concernant les routeurs de cur de rseaux , je rappelle quil sagit de grands quipements d'interconnexion de rseaux informatiques utiliss par les oprateurs de tlcommunications qui permettent d'assurer le

- 145 -

flux des paquets de donnes entre deux rseaux ou plus afin de dterminer le chemin qu'un paquet de donnes va emprunter. La fiabilit de ces routeurs doit tre toute preuve, leur scurisation renforce et leur surveillance assure car toute perturbation du routeur peut isoler un site du reste du monde ou engendrer une compromission de lintgralit des donnes transitant par cet quipement. De plus, rien nempcherait un pays producteur de ce type dquipements dy placer un dispositif de surveillance, dinterception, voire un systme permettant dinterrompre tout moment lensemble des flux de communication. Le fait de placer un tel dispositif de surveillance directement au cur du routeur de rseaux rendrait ce dispositif presque totalement invisible et indtectable. Et il nest pas indiffrent de savoir que de forts soupons psent sur la Chine en matire de provenance des attaques informatiques, notamment des fins despionnage conomique. Aux Etats-Unis, les autorits ont dailleurs pris ces dernires annes plusieurs mesures afin de limiter la pntration des quipementiers chinois Huawei et ZTE sur le march amricain pour des raisons lies la scurit nationale. Les autorits amricaines souponnent que les puces, routeurs et autres quipements informatiques chinois soient quips de portes drobes permettant au gouvernement chinois daccder des informations sensibles transitant par ces quipements. Les autorits australiennes ont galement interdit lutilisation des routeurs dorigine chinoise sur leur territoire, pour des raisons lies la scurit nationale. Ces soupons semblent dailleurs avoir t confirms rcemment, de manire involontaire, par les reprsentants de lentreprise chinoise Huawei eux-mmes, lors dune prsentation devant une confrence organise Duba en fvrier dernier. En effet, dans leur prsentation, ils auraient indiqu que, pour mieux assurer la scurisation des flux de ses clients, Huawei analysait (grce aux techniques dites de deep packet inspection ou DPI), lensemble des flux de communications (courriers lectroniques, conversations tlphoniques, etc.) qui transitaient par ses quipements. Si les reprsentants de lentreprise voulaient dmontrer avant tout les capacits de leurs routeurs en matire de dtection de logiciels malveillants , ils ont ainsi confirm, comme cela a dailleurs t relev par plusieurs participants cette confrence, les capacits potentielles de ces routeurs analyser, intercepter et extraire des donnes sensibles, voire les altrer ou les dtruire. Il est donc crucial que lUnion europenne adopte une position ferme dune totale interdiction concernant le dploiement et lutilisation des

- 146 -

routeurs chinois sur le territoire europen, ou dautres grands quipements informatiques dorigine chinoise ne prsentant pas toutes les garanties en matire de scurit informatique. Je prconise aussi, dans mon rapport, de lancer une coopration industrielle entre la France et lAllemagne ou lchelle europenne pour dvelopper des routeurs de cur de rseaux ou dautres grands quipements informatiques europens, afin de ne plus dpendre uniquement de produits amricains ou asiatiques. En rponse notre collgue M. Robert del Picchia, je voudrais souligner que jinsiste dans mon rapport sur limportance dassurer la protection des oprateurs dimportance vitale. Il sagit, mes yeux, dun vritable enjeu de scurit nationale. Or, dans ce domaine, notre pays a pris un certain retard, notamment par rapport nos principaux allis. Je propose ainsi de prvoir une obligation de dclaration dincident pour les entreprises et les oprateurs dimportance vitale, afin que lEtat puisse tre rellement inform en cas dattaque informatique importante. Concernant les systmes dinformation de lEtat, je crois utile dinsister sur la mise en place du rseau interministriel de lEtat (RIE), qui devrait regrouper lensemble des rseaux des ministres et qui permettra de rduire le nombre de passerelles dinterconnexion lInternet, et dont le dploiement devrait commencer en 2013. Enfin, je plaide dans mon rapport pour une politique industrielle volontariste de lEtat afin de soutenir le tissu des entreprises, notamment des PME, qui proposent des produits ou des services en matire de scurit informatique et ltablissement dun rseau de confiance entre lEtat et ces entreprises. Comme notre collgue Mme Jolle Garriaud Maylam, je considre quil importe de renforcer les mesures de sensibilisation destination des acteurs, comme du grand public. LANSSI a certes dvelopp une politique de communication, avec, par un exemple un portail Internet consacr la scurit informatique, un petit guide de scurit informatique destin aux collaborateurs des cabinets ministriels ou encore un guide sur la scurit informatique des systmes industriels. Mais, ces mesures restent trs insuffisantes. Si la comptence et lefficacit de lAgence nationale de scurit des systmes dinformation sont unanimement reconnues, en France comme ltranger, comme jai pu le constater lors de mes diffrents dplacements, en revanche, sa notorit est notoirement insuffisante et sa politique de communication est largement inaudible. Ainsi, nest-il pas paradoxal que le portail de la scurit informatique ou le site Internet de lagence franaise de scurit des systmes dinformation soient aussi ternes et peu attractifs pour les internautes, avec notamment labsence de tout moteur de recherche et des mises jour alatoires ?

- 147 -

Les informaticiens de lagence sont pourtant rputs tre les meilleurs de leur spcialit. Il devrait tre relativement simple de rendre le site Internet de lANSSI et le portail plus attractifs et plus dynamiques, limage de ce qui existe dailleurs chez la plupart de nos partenaires trangers. De mme, on peut regretter labsence de toute politique de communication de lagence dirige spcialement vers les PME, alors mme quelles sont les plus vulnrables aux attaques informatiques. LAgence pourrait, en liaison avec le ministre dlgu charg des PME, de linnovation et de lconomie numrique, travailler avec les chambres de commerce et dindustrie, relais traditionnels vers les PME. LAgence devrait donc amliorer sa politique de communication quil sagisse des responsables politiques, des administrations, des entreprises ou du grand public. Ainsi, pourquoi ne pas diffuser plus largement la synthse dactualit de lANSSI sur les incidents informatiques, qui est actuellement envoye un nombre trs restreint de personnes ? Les mesures de sensibilisation des utilisateurs mriteraient galement dtre fortement accentues. Cela passe notamment par ltablissement de chartes lusage des utilisateurs au sein des entreprises comme des administrations, par un dveloppement de la communication et de la formation. Ainsi, il semblerait utile de dvelopper le programme de formation de lANSSI et de llargir dautres publics, notamment issu du secteur priv. La politique de sensibilisation destination du grand public ne doit pas non plus tre nglige. De mme quil existe un plan national de prvention en matire de scurit routire, pourquoi ne pas imaginer galement un plan de communication en matire de scurit des systmes dinformation ? Enfin, il faudrait qu limage de ce qui existe aux Etats-Unis ou au Royaume-Uni, les responsables politiques de notre pays, y compris au plus haut niveau de lEtat, se saisissent des enjeux lis la scurit des systmes dinformation afin que ces questions soient portes publiquement et quelles ne soient plus rserves uniquement un petit cercle de spcialistes. Pour rpondre notre collgue M. Jeanny Lorgeoux, il existe de nombreux organismes aux Etats-Unis, au sein du Pentagone ou du dpartement charg de la scurit nationale, qui interviennent dans ce domaine, comme lAgence de scurit nationale (NSA) ou encore le Cybercommand, inaugur en 2010 et qui est charg plus particulirement de protger les rseaux militaires amricains, et la coordination nest pas toujours optimale entre ces diffrentes entits. De 2010 2015, le gouvernement amricain devrait consacrer 50 milliards de dollars la cyberdfense et plusieurs dizaines de milliers dagents travaillent sur ce sujet. Si, face une menace qui saffranchit des frontires, la coopration internationale est une ncessit, cette coopration se heurte toutefois en pratique de nombreux obstacles.

- 148 -

Un premier frein tient au manque de confiance qui existe au niveau international. Etant donn la difficult didentifier prcisment lorigine des attaques informatiques et les soupons qui psent sur limplication de certains Etats, la plupart des pays sont rticents partager des informations ou des connaissances. Une seconde limite sexplique par les proccupations partages par la plupart des Etats de prserver leur souverainet nationale. Cela est particulirement vrai concernant la conception des produits de scurit informatique, notamment ceux destins protger linformation de souverainet. Ainsi, on constate que de nombreux Etats privilgient les cooprations bilatrales avec leurs proches allis et hsitent voquer ces sujets dans un cadre multilatral. Pour sa part, notre pays a une coopration trs troite avec nos partenaires britanniques et allemands. LANSSI a galement sign un accord de coopration avec lagence estonienne. La coopration avec les Etats-Unis existe, mme si celle-ci est plus difficile, notamment en raison du trs grand nombre dorganismes qui interviennent dans ce domaine et de la forte disproportion de moyens. La commission adopte le rapport dinformation lunanimit.

- 149 -

ANNEXE I LISTE DES PERSONNES AUDITIONNES

Prsidence de la Rpublique
Gnral Benot PUGA, Chef dtat-major particulier du Prsident de la Rpublique

Premier ministre Secrtariat gnral de la dfense et de la scurit nationale (SGDSN)

M. Francis DELON, Secrtaire gnral de la dfense et de la scurit nationale

Agence nationale de la scurit des systmes dinformation (ANSSI)

M. Patrick PAILLOUX, Directeur gnral M. Christian DAVIOT, Charg de mission Stratgie lANSSI

Secrtariat gnral du gouvernement (SGG)

M. Jrme FILIPPINI, Directeur de la direction interministrielle des systmes dinformation et de communication de lEtat (DISIC) et Mme Hlne BRISSET, directrice du programme Rseau Interministriel de lEtat (RIE)

Ministre de la dfense
Contre-amiral Arnaud COUSTILLIRE, Officier gnral cyberdfense ltat-major des armes Amiral Christian PNILLARD, directeur gnral dinformation et de communication des systmes

M. Guillaume POUPARD, chef du ple scurit des systmes dinformation la Direction gnrale de larmement M. Christian PROTAR, Contrleur des armes

- 150 -

Ministre des Affaires trangres et europennes

M. Jean-Franois BLAREL, Secrtaire gnral adjoint M. Thomas BONDIGUEL, direction des affaires stratgiques

Ministre de lconomie et des finances

M. Dominique LAMIOT, Secrtaire gnral M. Jean-Pierre DARDAYROL, Ingnieur gnral des mines, membre du Conseil gnral de lconomie, de lindustrie, de lnergie et des technologies (CGEIET) Mme Claudine DUCHESNE, Contrleur gnral conomique et financier, membre du CGEIET

Ministre de lintrieur
M. Stphane TIJARDOVIC, Sous-directeur, direction gnrale de la police nationale

Entreprises
- AREVA : M. Bernard CARDEBAT, Responsable de la scurit des systmes dinformation M. Ahmed BENNOUR, Directeur des systmes dinformation - EADS Cassidian M. Herv GUILLOU, Prsident directeur gnral M. Sbastien HEON, directeur des relations institutionnelles du Cyber Center M. Bndicte SUZAN, Senior Analyst

- CEIS :
M. Guillaume TISSIER, directeur gnral M. Rmi PAUTRAT, ancien Prfet - SOGETI : M. Luc-Franois SALVADOR, Prsident-directeur gnral

- 151 -

- SYSDREAM : M. Olivier FRANCHI, Directeur associ M. Guillaume oprationnel - THALES : Mme Pascale SOURISSE, Prsident-directeur gnral de Thales communications et technologies M. Stanislas de MAUPEOU, responsable cyberdfense Mme Isabelle CAPUTO, Directeur des relations parlementaires et politiques VASSAULT-HOULIERE, Directeur technique et

Experts
M. Nicolas ARPAGIAN, Directeur scientifique du cycle "Scurit Numrique" l'Institut National des Hautes tudes de la Scurit et de la Justice (INHESJ) M. Olivier KEMPF, matre de confrences lInstitut dtudes politiques de Paris M. Daniel VENTRE, ingnieur CNRS, titulaire de la chaire cyberdfense et cyberscurit des coles de Saint-Cyr Cotquidan

- 152 -

ANNEXE II LISTE DES DPLACEMENTS

Berlin (le 19 janvier 2012) M. HEISS, directeur la chancellerie fdrale, en charge du contrle politique et administratif du service de renseignement extrieur (BND) et coordinateur du renseignement au niveau fdral Mme Cornelia REGALL-GROTHE, Secrtaire d'tat du ministre fdral de l'intrieur (BMI), charge de mission gouvernementale des systmes d'information Son Exc. M. Maurice GOURDAULT-MONTAGNE, Ambassadeur de France en Allemagne Gnral Philippe CHALMEL, attach de dfense, M. Patrick LEFORT, attach de dfense adjoint et lieutenant-colonel de gendarmerie CHAMBON, attach de scurit intrieur adjoint Londres (le 31 janvier-1er fvrier 2012) M. Gerald HOWARTH, membre du Parlement, Secrtaire dEtat auprs du ministre de la Dfense, ministre charg de la stratgie internationale de scurit M. James ARBUTHNOT, membre du Parlement, Prsident de la commission de la dfense de la Chambre des Communes ; Lord TEVERSON, membre du Parlement, Prsident de la souscommission des affaires europennes, des affaires trangres, de la dfense et de la coopration de la Chambre des Lords ; Mme Pauline NEVILLE-JONES, ancien ministre de la Scurit M. James QUINAULT, Director of Cyber Security & Information Assurance et M. Martin HOWARD, Deputy Information, Security and Assurance (CESG/GCHQ) Amiral Alan William John WEST, Ancien ministre de la Scurit Son Exc. M. Bernard EMIE, Ambassadeur de France au Royaume-Uni ; Vice-amiral Charles-Edouard de CORIOLIS, attach de dfense M. Antoine ANFRE, Ministre-conseiller et M. Xavier CHATEL, Premier Secrtaire lambassade de France Londres

- 153 -

Bruxelles, auprs de lOTAN (le 13 fvrier 2012) M. Gabor IKLODY, Secrtaire gnral adjoint de lOTAN pour les dfis mergents de scurit, en charge notamment des questions de cyberscurit, et M. Suleyman ANIL, spcialiste de la cyberdfense lOTAN Lieutenant gnral Kurt HERRMANN, directeur de lagence de lOTAN pour les systmes de services dinformation et de communication (NCSA) M. Jim SIMON, Microsoft. Son Exc. M. Philippe ERRERA, Ambassadeur, Reprsentant permanent de la France auprs de lOTAN ; Mme Paola DEBRIL-LOISEAU, conseillre des affaires trangres et M. Jean-Christophe LENFANT, ingnieur en chef de l'armement, chargs de la cyberdfense la reprsentation permanente de la France auprs de lOTAN Tallinn, en Estonie (le 28 mai 2012) M. Mikk MARRAN, Secrtaire gnral du Ministre de la Dfense M. Jaan PRIISALU, Directeur de lAgence nationale des systmes dinformation (RIA) colonel Ilmar TAMM, Commandant du Centre dexcellence pour la cyberdfense en coopration Tallinn Son Exc. M. Frdric BILLET, Ambassadeur de France en Estonie Mme Hlne ROOS, Adjointe du chef de poste Bruxelles, auprs de lUnion europenne (le 13 juin 2012) Gnral Ton VAN OSCH, directeur gnral de lEtat-major de lUnion europenne ; M. Robert MADELIN, Directeur gnral de la DG Socit de linformation et mdias de la Commission europenne ; Son Exc. M. Jean-Louis FALCONI, Ambassadeur, Reprsentant permanent de la France auprs du COPS ; Son Exc. M. Philippe ETIENNE, Ambassadeur, Reprsentant permanent de la France auprs de lUnion europenne ; Mme Natacha WAKSMAN, M. Romain BONENFANT et M. Ziad KHOURY, conseillers la reprsentation permanente de la France auprs de lUnion europenne ;

- 154 -

Washington (les 18 et 19 juin 2012) M. Steven SCHLEIEN, Principal Director cyber policy, Office of Secretary of Defense (OSD), dpartement de la dfense (Department of Defense) Mme Jordana SIEGEL, Directeur des affaires stratgiques et internationales du National Protection and Programs Division et M.Amit KHOSLA, agent du National and Cybersecurity and Communication Integration Center (NCCIC), du Dpartement de la scurit intrieure (Department of Homeland Security) M. James LEWIS, Director and Senior Fellow, Technology and Public Policy Program, expert au Center for Strategic and International Studies (CSIS) M. Christopher PAINTER, Coordonnateur Cyber au Dpartement dEtat Visite du Defense Cyber Crime Center (DC3) du dpartement de la dfense et entretien avec M. Steven SHIRLEY, Executive Director, et M. James CHRISTY, chef de division Visite de lAgence de scurit nationale (National Security Agency) (NSA) et entretien avec M. Dennis BARTKO, Directors special Assistant for Cyber et M. Adrian LAPOINTE, Special Assistant to the Director of Foreign Affairs for Cyber M. Ted DEUTCH, reprsentant (dmocrate) de Floride, membre de la commission des affaires trangres, M. Alcee HASTINGS, reprsentant (dmocrate) de Floride, M. Jim LANGEVIN, reprsentant (dmocrate) de Rhodes-Island, co-prsident de la commission parlementaire sur la cyberscurit, M. Roscoe BARTLETT, reprsentant (rpublicain) du Maryland, membre de la commission parlementaire sur la cyberscurit, M. Eliot ENGEL, reprsentant (dmocrate) de New-York, membres de la Chambre des reprsentants du Congrs des Etats-Unis Son Exc. M. Franois DELATTRE, Ambassadeur de France aux EtatsUnis, Gnral Bruno CATUCOLI, attach de dfense, colonel Michel DUPONT, attach de dfense adjoint, commandant Arnaud BALESTE, attach de scurit adjoint, M. Eric KOBAK, attach de larmement adjoint, Mme Emmanuelle PAVILLON, chef de cabinet et Mme Pia DECARSIN, rdactrice au service de presse et de communication de lambassade de France aux Etats-Unis Dner de travail sur la cyberdfense, organis par le German Marshall Fund, en prsence de reprsentants des autorits, dexperts et duniversitaires

- 155 -

ANNEXE III - GLOSSAIRE

1. Termes techniques
botnet : un botnet, autrement dit un rseau de robots , est un rseau
dquipements compromis (ordinateurs, serveurs, ordiphones, etc.) la disposition dun individu malveillant (le matre). Ce rseau est structur de faon permettre son propritaire de transmettre des ordres tout ou partie des machines du botnet et de les actionner sa guise, par exemple pour envoyer des courriers lectroniques non dsirs ou pour lancer des attaques par dni de service

BY OD (bring your own device ou apporter son propre terminal) : pratique consistant utiliser son ordinateur personnel, sa tablette ou son ordiphone dans un cadre professionnel.
bombe programme, bombe logique (logic bomb) : logiciel malveillant conu pour causer des dommages un systme informatique et qui est dclench lorsque certaines conditions sont runies. canal cach (covert chanel) : canal de communication qui permet un processus malveillant de transfrer des informations dune manire dissimule. cheval de Troie : dans le domaine informatique, le cheval de Troie ouvre un accs dissimul qui permet un utilisateur malveillant de prendre le contrle de lordinateur compromis et de sen servir linsu de propritaire.

cloud computing ou informatique en nuage : pratique consistant dporter sur des serveurs distants des stockages et des traitements informatiques traditionnellement localiss sur des serveurs locaux ou sur le poste de l'utilisateur. Ce systme permet notamment des utilisateurs et des entreprises de dlocaliser et de mutualiser la gestion de leur systme informatique.
code malveillant (malware) : tout programme dvelopp dans le but de nuire ou au moyen dun systme informatique ou dun rseau. Les virus, les vers ou les chevaux de Troie sont des types de codes malveillants.

defacement : voir dfiguration.

dfiguration (defacement) : rsultat dune activit malveillante qui a modifi lapparence ou le contenu dun serveur internet, et a donc viol lintgrit des pages en les altrant. dni de service : action ayant pour effet dempcher ou de limiter fortement la capacit dun systme fournir le service attendu. dni de service distribu : action ne dni de service lance depuis plusieurs sources. DDoS (Distributed denial of service) : voir dni de service distribu. DoS (Denial of service) : voir dni de service. lvation de privilge (privilege escalation) : obtention de privilge suprieur par exploitation dune vulnrabilit. Des codes malveillants peuvent ainsi se faire attribuer des facults dadministration enregistreur de frappe (keylogger) : logiciel ou matriel employ par un utilisateur malveillant pour capturer ce quune personne saisi partir de son clavier.

- 156 -

firewall : voir pare-feu. hacker : pirate informatique.

IP ou internet protocol : la communication sur linternet est fonde sur un protocole appel IP pour internet protocol qui permet aux ordinateurs de communiquer entre eux. Ce protocole utilise des adresses numriques pour distinguer ces machines et trononne la communication en paquets comportant chacun une adresse de source et une adresse de destination.

keylogger : voir enregistreur de frappe.

logiciel espion (spyware) : logiciel dont lobjectif est de collecter et de transmettre des tiers des informations sur lenvironnement sur lequel il est install, sur les usages habituels des utilisateurs du systme, linsu du propritaire et de lutilisateur.

mail bombing : bombardement de courriels : envoi dune grande quantit de courriels un destinataire unique dans une intention malveillante. malware : voir code malveillant. man-in-the-middle : homme-au-milieu : catgorie dattaque o une personne malveillante sinterpose dans une session de communication de manire transparente pour les utilisateurs ou les systmes.
outil de dissimulation dactivit (rootkit) : tout programme ou ensemble de programmes plac au plus prs du systme dexploitation et permettant de dissimuler une activit, malveillante ou non, sur une machine. Par extension, tout programme ou ensemble de programmes permettant une personne malveillante de maintenir un contrle illgitime du systme dinformation en y dissimulant ses activits. pare-feu (firewall) : un pare-feu est un logiciel ou un quipement permettant de protger un ordinateur ou un ensemble dordinateurs connects un rseau ou linternet. Il protge dattaques externes (filtrage entrant) et souvent de connexions illgitimes destination de lextrieur (filtrage sortant) initialises par des programmes ou des personnes. pourriel (spam) : tout courrier lectronique non sollicit par le destinataire. porte drobe (backdoor) : accs dissimul qui permet un utilisateur malveillant de se connecter une machine de manire furtive. Des portes drobes peuvent exister dans les logiciels (systmes dexploitation ou applications) ou dans les composants dun quipement (ordinateurs, ordiphones, etc.) rtroconception : processus d'analyse dun composant informatique, par exemple un logiciel, visant en reconstruire les spcifications techniques et fonctionnelles. routeur : Les routeurs sont des grands quipements d'interconnexion de rseaux informatiques utiliss notamment par les oprateurs de tlcommunications qui permettent d'assurer le flux des paquets de donnes entre deux rseaux ou plus afin de dterminer le chemin qu'un paquet de donnes va emprunter.

rootkit : voir outil de dissimulation dactivit. spam : voir pourriel. spyware : voir logiciel espion.

- 157 -

ver : logiciel malveillant indpendant, cherchant propager son code au plus grand nombre de cibles, puis lexcuter sur ces mmes cibles. Il perturbe le fonctionnement des systmes concerns en sexcutant linsu des utilisateurs. Les vers sont des catgories de virus, qui se propagent de manire quasi-autonome et dont le vecteur primaire de propagation reste le rseau. Ils peuvent tre galement transmis par clUSB (comme les vers Conficker ou Stuxnet). virus : programme ou morceau de programme malveillant dont le but est de survivre sur un systme informatique (ordinateur, serveur, appareil mobile, etc.) et souvent den atteindre ou den parasiter les ressources (donnes, mmoire, rseau). zombie : quipement informatique (ordinateur, serveur, etc.) compromis inclus dans un rseau (botnet) contrl par un individu malveillant.

2. Sigles et abrviations
ANSSI : Agence nationale de la scurit des systmes dinformation (Premier ministre) AQSSI : autorit qualifie en scurit des systmes dinformation BSI : Bundesamt fr Sicherheit in des Informationstechnik (service homologue de lANSSI en Allemagne) CALID : Centre danalyse de lutte informatique dfensive (ministre de la dfense) CDMA : NATO Cyber Defense Management Authority (OTAN) CERT Computer emergency response team (quipe de rponse aux attaques informatiques) CESG : Communications and electronic security group (service correspondant de lANSSI au Royaume-Uni) COSSI : Centre oprationnel de la scurit des systmes dinformation (ANSSI) DISIC : Direction interministrielle des systmes dinformation et de communication de lEtat (Premier ministre) DGSIC : Direction gnrale des systmes dinformation et de communication (ministre de la dfense) EGC : European Government Computer Security Incident Response Teams (groupe runissant huit CERT gouvernementaux europens) ENISA : European Network and Information Security Agency (agence de lUnion europenne en charge de la scurit des systmes dinformation FIRST : Forum of incident response and security teams (enceinte internationale regroupant les CERT) FSSI : fonctionnaire de scurit des systmes dinformation IVBB : Informationverbund gouvernemental allemand) Berlin-Bonn (rseau de communication

ISIS : intranet scuris interministriel pour la synergie gouvernementale

- 158 -

NCIRC : NATO Computer incident response capability (OTAN) OCLCTIC : Office central de lutte contre la criminalit lie aux technologies de linformation et de la communication (ministre de lintrieur direction centrale de la police judiciaire)

OIV : oprateur dimportance vitale

OPVAR : organisation permanente veille, alerte, rponse

RGS : rfrentiel gnral de scurit

RIE : Rseau interministriel de lEtat RGS : Rfrentiel gnral de scurit

RSSI : responsable de la scurit des systmes dinformation

SCADA : Supervisory, control and data acquisition (systmes de supervision et de rgulation)