Intervention de Patrick Pailloux

Je souhaite vous entretenir des menaces auxquelles la France est confrontée, mais aussi des actions que nous entreprenons afin d'y faire face et des suites qui seront données au nouveau Livre blanc sur la défense et la sécurité nationale, notamment dans le cadre de la Loi de programmation militaire.

S'agissant des menaces, autant le dire tout de suite, la situation n'est pas bonne. La première menace à laquelle nous sommes confrontés est l'espionnage. Le patrimoine de notre nation est littéralement pillé par voie informatique. Il s'agit non seulement des réseaux de nos administrations, mais surtout de nos grandes entreprises. Les pirates informatiques s'introduisent dans nos réseaux et sont capables d'y rester sans être détectés pendant des semaines, des mois, voire des années. Ils pillent les correspondances, les données, les prospects et les projets. Nous n'avons jamais connu dans l'histoire, je crois, une telle situation de pillage organisé à grande échelle.

La seconde menace est la déstabilisation. Chaque fois que vous avez un conflit, vous êtes sûr d'en retrouver les traces sur Internet. Ce fût le cas évidemment en Libye et au Mali où nous avons subi des attaques informatiques (de très faible ampleur). Mais c'est aussi le cas pour des conflits franco-français, je pense en particulier au projet d'aéroport de Notre-Dame des Landes et à une attaque informatique subséquente contre le blog du Premier ministre. Ces attaques peuvent viser à modifier le contenu des sites Internet attaqués, à en bloquer l'accès ou encore à voler les informations qu'ils contiennent et à les rendre publiques.

La dernière menace, celle qui nous inquiète le plus actuellement, est le sabotage des réseaux des opérateurs d'importance vitale, de type électrique, ferroviaire, distribution d'eau, hôpitaux, etc. Ce n'est plus de la science-fiction. Tout le monde connaît les attaques menées avec le ver Stuxnet contre l'Iran ou bien contre le pétrolier saoudien Aramco. Plus récemment, lors des tensions entre la Corée du sud et la Corée du nord, les banques de la Corée du sud ont été attaquées et les données de certains clients effacées. On imagine les effets de telles attaques compte tenu du rôle d'Internet pour le fonctionnement même de notre société.

Nous sommes donc confrontés à ces trois types de menace. Parmi celles-ci la plus importante est celle de l'espionnage. Il y a des tentatives de déstabilisation et, à l'échelle de la planète, quelques tentatives de sabotage. Est-ce que la France est suffisamment protégée contre ces menaces ? Évidemment, non. C'est la raison pour laquelle, le nouveau Livre blanc y consacre de longs développements. Déjà le Livre blanc de 2008 en avait fait une priorité. L'ANSSI a été créée en 2009 avec une centaine de personnes et ses effectifs ont depuis été multipliés par trois. La loi nous a assigné deux missions.

La première est une mission de prévention. Nous aidons toutes les organisations vitales pour la France à se protéger, dans le secteur public comme dans le secteur privé. Nous produisons des règles, éditons des guides et nous apportons une aide concrète. Par exemple nous avons aidé l'organisation de l'élection des députés élus par les Français de l'étranger par vote électronique. Nous labellisons des produits, par exemple les cartes bancaires et vérifions les niveaux de sécurisation.

Notre seconde mission est celle que nous exerçons en tant qu'autorité de défense des systèmes d'information : il s'agit de piloter la réponse nationale en cas d'attaque informatique de grande ampleur et d'aider une institution ou une entreprise victime. Nous avons un centre opérationnel (COSSI), disponible 24 h sur 24, qui vient d'ailleurs de déménager et colocalisé avec le centre équivalent des armées (CALID).

Concernant les enjeux à venir, c'est-à-dire les traductions du nouveau Livre blanc dans la Loi de programmation militaire, je dirais que le premier enjeu est celui de la protection des opérateurs d'importance vitale, comme l'énergie, les transports ou la santé. Il y a des acteurs potentiellement agressifs, qui peuvent en vouloir à la France et qui s'attaquent à nos infrastructures critiques. Comment fait-on pour se protéger ? Premièrement, il appartient à l'Etat de fixer des règles, par exemple d'ordonner à tel type d'opérateur de ne pas connecter tel type de système à l'Internet. Une autre de ces règles pourrait être d'associer des dispositifs de détection d'attaque informatique aux systèmes d'information les plus critiques des opérateurs. En effet, notre capacité à parer des attaques dépend étroitement de notre capacité à les détecter. C'est une question de souveraineté, au même titre que le chiffrement. Pourquoi ? Tout simplement parce que celui qui met en place les moyens de détecter les attaques, sait aussi comment les contourner. Il faudra donc que l'Etat puisse avoir une grande confiance dans les équipements de sécurité qui seront utilisés comme dans les personnes qui les exploiteront. Ainsi certaines de ces règles auront des conséquences en matière de politique industrielle et de labellisation de prestataires de service. Deuxièmement, les opérateurs d'importance vitale devront déclarer les incidents informatiques les plus importants, selon la nature de leur activité. Bien évidemment nous définirons avec eux quels incidents doivent être déclarés. Troisièmement, l'Etat devra avoir la possibilité de vérifier que ses opérateurs d'importance vitale ont un niveau de sécurité informatique suffisant et appliquent les règles édictées. Enfin, il s'agira pour l'Etat de pouvoir donner des ordres en cas de crise informatique majeure tels que : « déconnectez votre réseau d'Internet, nous assumons le fait que vous ne fournirez plus le service que vous vous êtes contractuellement engagés à fournir ».

Ces dispositions sont d'ailleurs dans l'esprit du projet de directive européenne présenté par la Commission européenne et qui a fait l'objet d'une résolution du Sénat.

Enfin, il y a tout ce qui relève de la formation et de la sensibilisation. Si vous me permettez l'analogie, nous sommes un peu dans la situation de Pasteur qui découvre qu'il y a des microbes, que leur propagation peut tuer et qu'il faut édicter des règles d'hygiène. Nous avons découvert qu'il y avait des « microbes », des « virus » informatiques et nous devons maintenant éduquer les utilisateurs, les décideurs et tous nos ingénieurs informatiques sur l'importance de règles de sécurité informatique.

Un mot sur PRISM, puisque vous m'y invitez. Les Etats-Unis, comme de nombreux pays, ont des services d'espionnage. Ces services ont des moyens. Ils les utilisent, au demeurant apparemment en conformité avec leur loi nationale. Il n'y a aucune surprise technique à cela. Je m'étonne même que les gens soient surpris. Nous pouvons et nous devons nous protéger. Il faut éduquer les gens à cela. Il est ainsi souhaitable que toutes les personnes qui produisent des informations ou de la connaissance et qui participent à la compétitivité de notre pays, dans les entreprises comme dans l'Etat, protègent ces informations et ne les fassent pas systématiquement circuler via Internet ou par leurs équipements personnels ou ne les stockent pas dans n'importe quel « nuage » par exemple.