Le nouveau livre blanc sur la défense et la sécurité nationale qui a été remis au Président de la République le 29 avril 2013 met l’accent sur trois priorités dans la stratégie de défense ; à savoir la protection, la dissuasion et l’intervention et souligne la nécessite de protéger les français contre la cybermenace , qui est désormais classée au rang des principaux risques.
Le cyberespace est aujourd’hui appréhendé comme un terrain de confrontation à part entière et un scénario de guerre informatique n’est désormais plus à exclure. Le cyberespace est officiellement désigné comme le cinquième milieu après la terre, l’air, la mer et l’ espace qui le décrit comme un “champ de confrontation à part entière“.
Il distingue les cybermenaces relevant ou non de la sécurité nationale et propose des définitions pertinentes qui vont contribuer à clarifier le débat et les mesures à prendre en conséquence. Les menaces sont en effet de plusieurs ordres même s‘il existe une porosité évidente entre ces différents phénomènes que sont la cybercriminalité et les cyberrattaques visant les entreprises voire les Etats.
Le Livre blanc de 2008 avait déjà propulsé renseignement et cyberdéfense au rang de priorités nationales et celui de 2013 confirme ces choix stratégiques. Il souligne par exemple que les Etats doivent se mobiliser contre la dissémination de virus informatiques dont les effets peuvent être très nuisibles.
Il souligne la vulnérabilité des systèmes d’information qui peuvent être la cible d’atteintes intentionnelles ou non , étatiques ou non .En outre, la nécessité du développement de relations étroites entre partenaires de confiance au niveau européen est soulignée afin de mettre en place une véritable politique européenne de renforcement de la protection contre le risque cyber des infrastructures vitales et des réseaux de communications électroniques.
Les cyber menaces en première ligne
Les cyber menaces sont clairement identifiées comme une menace majeure pour la sécurité nationale. Elles figurent après les agressions d’un autre Etat contre le territoire national et le terrorisme. Il semble important de souligner que la France n’exagère pas la menace cyber comme les États-Unis le font en plaçant parfois les cyberattaques en risque numéro 1 devant le terrorisme. Les cyber menaces ne sont pas à prendre à la légère : elles sont récurrentes et proviennent souvent d’Etat mais en termes d’impact, il ne s’agit encore que de vols d’informations aussi stratégiques soit elles.
Le livre blanc souligne que les cyberattaques relevant de la sécurité nationale sont constituées par exemple par les tentatives de pénétration de réseaux numériques à des fins d’espionnage visant aussi bien les Etats que les entreprises. Il classe aussi dans cette catégorie par exemple les attaques ayant pour cible la destruction ou la prise de contrôle à distance des systèmes informatisés d’organismes d’importance vitale ( OIV).
Les cyberattaques sont donc désormais prises en compte par la stratégie de défense et de sécurité nationale au même titre que les attaques terroristes, les crises majeures résultant des risques naturels, technologiques et la criminalité organisée dans ses formes les plus graves.
Les risques liés à la cybercriminalité
Le livre blanc ne passe pas sous silence le développement de la cybercriminalité, forme nouvelle de criminalité qui ne relève pas cependant spécifiquement de la sécurité nationale .Ainsi sont cités par exemple le vol d’informations personnelles à des fins de chantage ou de détournements de fonds, l’usurpation d’identité , le trafic de produits prohibés. Il apparaît cependant au vu du développement des cyberattaques et du recours croissant par les délinquants aux outils numériques pour commettre leurs méfaits que les moyens pour lutter contre ce phénomène ne pourront que croître Il convient de noter que la proposition de création d’une juridiction spécialisée pour traiter de telles affaires ainsi que l’avait préconisée le rapport BOCKEL* n’est pas reprise .
Les organismes d’importance vitale
Le livre blanc consacre une bonne partie de la partie cyber aux OIV, ces entreprises publiques ou privées qui exploitent des infrastructures critiques pour notre pays (banques, transport, énergie…). Encore une fois comme prévu le livre blanc ouvre la porte à de nouveaux dispositifs juridiques et réglementaires. Il prévoit d’obliger ces opérateurs d’importance vitale à faire auditer leurs réseaux informatiques et à notifier leurs incidents de sécurité informatique. Tout ça va donner du travail à ces opérateurs, à l’ANSSI et aux prestataires privés labellisés par l’ANSSI.
Les moyens
Le renseignement
Le texte annonce une amélioration de la gouvernance du renseignement, avec des moyens du Parlement renforcés et un coordinateur national du renseignement conforté. Il préconise un effort d’investissement majeur sur les satellites d’imagerie et d’écoute électromagnétique, un recours plus large aux drones et aux moyens techniques d’interception. Il prévoit aussi une mutualisation accentuée des moyens techniques les plus coûteux entre les différents services de renseignement (DGSE, DRM, DCRI, DPSD…)
Le Livre blanc ouvre la voie à la « lutte informatique offensive » et vise l’autonomie dans la production de systèmes de sécurité, envisage de renforcer les effectifs pour ces missions, et annonce la mise en place d’une réserve opérationnelle et d’une réserve citoyenne pour la cyberdéfense. Il est précisé qu’il convient en priorité d’attirer des hommes et des femmes disposés à y servir au minimum vingt jours par an et durant plusieurs années.
Un principe qui implique concrètement, que la France favorise les solutions nationales ou européennes pour sécuriser ses réseaux informatiques. Une nouvelle approche qui fait écho aux préconisations du rapport de 2012 du sénateur BOCKEL** .
Le rôle renforcé de l‘ANSSI et des experts
Les effectifs de l’Agence nationale de sécurité des systèmes d’information*** (ANSSI) avoisine les 500 personnes, ses homologues allemande et britannique ont plus de 700 cyber-experts pour lutter contre les menaces informatiques seront probablement en extension. Le livre blanc annonce la nécessité d’augmenter de façon très significative le niveau de sécurité et les moyens de défense des systèmes d’information. L’ANSSI, dans ses missions défensives, aura donc un grand rôle à jouer pour fournir les renseignements “cyber”(signatures d’attaques, éléments d’attribution, analyses techniques…) aux différents services de renseignement (civils et militaires).
Le livre blanc insiste sur la nécessaire formation d’experts dont le volume doit être accru et préconise que la sécurité informatique soit intégrée à toutes les formations supérieures en informatique.
Des mesures législatives et réglementaires viendront renforcer les obligations qui incombent aux opérateurs de service et d’infrastructure d’importance vitale pour détecter, notifier et traiter tout incident informatique touchant leurs systèmes sensibles.
Une réserve citoyenne
Les réserves sont aussi à l’honneur du livre blanc avec la réserve citoyenne cyberdéfense (RCC) déjà présentée officiellement début avril 2013 et qui va continuer à se développer mais également l’annonce de la création d’une véritable réserve opérationnelle, mobilisable en cas de cyberattaque majeure. C’est notamment le cas de la cyberdéfense, qui fera l’objet d’une composante dédiée au sein de la réserve opérationnelle. Celle-ci constituera un atout au service de la résilience de la Nation et sera prévue et organisée spécifiquement pour permettre au ministère de la Défense de disposer d’une capacité de cyberdéfense démultipliée en cas d’attaque informatique majeure.
*Rapport BOCKEL La cyberdéfense : un enjeu mondial, une priorité nationale site du Sénat :www.senat.fr
**Le rapport d’information n° 681 (2011-2012) de M. Jean-Marie Bockel déjà cité
***Site:www.ssi..gouv.fr