Intervention de Pascal Chauve

Ma tâche est à la fois facile et difficile. Parler de la menace est certes toujours plus facile que d'évoquer les réponses qui peuvent lui être apportées, mais je dois aussi, dans un contexte particulièrement inquiétant, me garder de faire trop peur et veiller à donner la juste mesure de cette menace. Mon point de vue est celui du SGDSN : il s'attache à des problématiques et à des enjeux de sécurité nationale.

Lorsqu'on évoque la menace informatique, on pense d'emblée à ce qui nous affecte dans notre vie quotidienne, par exemple les virus qui viennent « écraser » les photos des enfants sur le disque dur de l'ordinateur, ou encore la cybercriminalité qui touche les individus - vol de données bancaires, utilisation frauduleuse des moyens de paiement, accès à nos comptes en ligne - et qui appelle des réponses de nature policière.

Mais la menace informatique ne vise pas que les individus, et n'a pas pour seul objectif l'appât du gain. Elle peut revêtir une tout autre dimension, qui dépasse la cybercriminalité, et viser des activités critiques pour le fonctionnement d'une nation, qui relèvent pleinement d'une problématique de sécurité nationale. Des exemples viennent d'en être donnés.

S'il fallait dresser une typologie des menaces auxquelles une Nation peut être exposée, je distinguerais trois domaines. Le premier est celui de la simple revendication, dans lequel les attaquants vont afficher des messages sur des sites officiels ou gouvernementaux en réponse à une politique à laquelle ils sont opposés - c'est ce que l'on appelle la défiguration de site. Ils utilisent les vulnérabilités habituelles des serveurs web pour s'y introduire. Récemment, lors de l'opération Serval au Mali, des groupes d'activistes se sont ainsi attaqués à des sites web plus ou moins officiels, sans toutefois causer de dommages particuliers, pour afficher leurs revendications.

La deuxième forme de menace informatique qui peut revêtir des enjeux nationaux est bien sûr le cyber-espionnage. Je ne parle pas du vol d'informations personnelles à des individus, mais du cyber-espionnage à grande échelle, qui peut toucher des entreprises, notamment celles qui travaillent dans les secteurs sensibles, ou des opérateurs relevant de ce que nous appelons les secteurs d'activité d'importance vitale, parmi lesquels figurent la banque, l'énergie, les transports ou la défense. Il y a là des acteurs économiques et des opérateurs qui détiennent des secrets de fabrication ou des secrets de fonctionnement d'une autre société. L'espionnage dont a été victime la société AREVA figure dans le rapport sur la cyberdéfense du sénateur Bockel, ainsi que celui qui a touché Bercy. Si vous avez lu la presse des derniers jours, vous avez appris que la société américaine Mandiant aurait trouvé l'origine d'une campagne d'espionnage informatique systématique conduite chez des industriels américains - 141 cas ont été rapportés. Ce pillage de secrets industriels aurait une origine étatique - je vous laisse découvrir laquelle.

S'agissant de cyber espionnage, la presse ne révèle cependant que la partie émergée de l'iceberg. Le SGDSN, avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI), traite de très nombreux cas qui sont couverts par le secret, les opérateurs ne souhaitant pas que l'on fasse état des atteintes qu'ils subissent. Je vous confirme que cette menace n'est pas potentielle, mais quasi systématique.

La nouvelle forme de menace informatique qui touche les intérêts souverains est le cyber-sabotage. La transition entre le cyber-espionnage et le cyber-sabotage est désormais consommée. Vous vous souvenez sans doute du ver Slammer, qui avait semé « la pagaille » dans le système informatique de distribution d'électricité de l'Ohio et entraîné un blackout touchant 50 millions d'abonnés américains en 2003. Telle n'était peut-être pas l'intention de départ, mais toujours est-il qu'il est possible de toucher, par des moyens informatiques, des secteurs d'activité d'importance vitale dans leur fonctionnement, mettant ainsi en péril des fonctions vitales de la nation.

Comment a-t-on pu passer d'une menace potentielle, qui n'occupait que les esprits des spécialistes, à une menace réelle ? La technologie et les usages nous exposent de plus en plus à ces menaces. D'une part nous faisons face à un empilement de technologies de plus en plus chancelant ; il faut rétablir la chaîne de la confiance entre des systèmes d'exploitation du matériel, des applications, des middleware, qui vivent chacun sur une couche d'abstraction de la couche qui est en dessous, interprètent les commandes, et laissent finalement autant d'interstices à l'attaquant pour s'infiltrer dans les systèmes. D'autre part, c'est le problème de la confiance dans la chaîne d'approvisionnement de nos systèmes informatiques et de la maîtrise technologique qui est posé. Je vous rappellerai à cet égard le bon mot fait par Ken Thompson, gourou de la sécurité informatique, en 1984 : « Vous ne pouvez pas faire confiance à un code dont vous n'êtes pas totalement l'auteur, surtout si vous faites appel à des sociétés qui emploient des gens comme moi. » La confiance dans la chaîne d'approvisionnement est vitale. Asseoir cette confiance mérite donc la mise en oeuvre d'une politique industrielle à l'échelle nationale.

L'usage moderne des technologies de l'information est désormais de tout interconnecter avec tout, et donc d'offrir autant de voies d'attaque à des agents menaçants. Il est aussi caractérisé par la mobilité, qui fait circuler les technologies, les informations et les virus d'un système à l'autre, et par l'introduction de systèmes informatiques à vocation personnelle dans des applications professionnelles. Je pense au bring your own device (BYOD), qui fait que certains d'entre nous travaillent avec leurs terminaux personnels, qui sont autant de vecteurs d'infection, infection à l'échelle de l'individu mais qui peut ensuite se propager à l'échelle nationale.