Intervention de Jean-Marie Bockel

Notre commission avait déjà adopté, en juillet 2008, un rapport d'information sur la cyberdéfense, présenté par notre ancien collègue M. Roger Romani.

Beaucoup de choses se sont passées depuis quatre ans.

C'est la raison pour laquelle notre commission a souhaité faire à nouveau le point sur cette question et m'a confié ce rapport d'information, notamment dans l'optique de l'élaboration du nouveau Livre blanc sur la défense et la sécurité nationale.

Depuis octobre, j'ai eu de nombreux entretiens avec les principaux responsables chargés de la protection des systèmes d'information au sein des services de l'Etat et des armées.

J'ai également rencontré, en tête-à-tête, le chef d'Etat major particulier du Président de la République, ainsi que les représentants des services de renseignement.

J'ai aussi eu des entretiens avec des dirigeants d'entreprises, dont certaines ont été victimes d'attaques informatiques, à l'image d'AREVA, et même avec ceux qu'on appelle des « pirates informatiques ».

Afin d'avoir une vue comparative, je me suis rendu à Londres et à Berlin, à Tallin et à Washington, ainsi qu'à Bruxelles au siège de l'OTAN et auprès des institutions de l'Union européenne.

Je vous avais d'ailleurs présenté un premier rapport d'étape en février dernier.

Aujourd'hui, je voudrais vous présenter les principales conclusions de mon rapport et vous proposer d'adopter un certain nombre de recommandations.

Mais, tout d'abord, que faut-il entendre par « cyberdéfense » ?

On parle souvent indistinctement de « cybercriminalité », de « cyber menaces », de « cyber attaques » ou de « cyber guerres ». Il faut bien comprendre que les méthodes utilisées à des fins de fraude ou d'escroquerie sur Internet peuvent l'être aussi, à une échelle plus vaste, contre la sécurité et les intérêts essentiels de la Nation.

C'est le cas avec la pénétration de réseaux en vue d'accéder à des informations sensibles ou avec des attaques informatiques visant à perturber ou à détruire des sites largement utilisés dans la vie courante.

Dans mon esprit, la cyberdéfense se distingue de la lutte contre la cybercriminalité. Elle recouvre la politique mise en place par l'Etat pour protéger activement des réseaux et des systèmes d'information essentiels à la vie et à la souveraineté du pays.

Pourquoi s'intéresser de nouveau à cette question ?

Avec le développement de l'Internet, les systèmes d'information constituent désormais les véritables « centres nerveux » de nos sociétés, sans lesquels elles ne pourraient plus fonctionner. Or, depuis les attaques informatiques massives qui ont frappé l'Estonie en avril 2007, la menace s'est concrétisée et accentuée.

Il ne se passe pratiquement pas une semaine sans que l'on signale, quelque part dans le monde, des attaques ciblées contre les réseaux de grands organismes publics ou privés.

La France n'est pas épargnée par ce phénomène.

Comme me l'ont confirmé les représentants des organismes chargés de la protection des systèmes d'information, nos administrations, nos entreprises ou nos opérateurs d'importance vitale (énergie, transports, santé, etc.) sont victimes chaque jour en France de plusieurs millions d'attaques informatiques.

Dans mon rapport, je mentionne trois exemples :

Premier exemple : la perturbation de sites institutionnels, à l'image du site Internet du Sénat, rendu inaccessible fin 2011 lors de la discussion de la loi sur le génocide arménien ; Il s'agit de ce que les spécialistes appellent une attaque par « déni de service » : le site Internet est rendu inaccessible car il est saturé de milliers de requêtes ;

Deuxième exemple : l'attaque informatique massive dont a fait l'objet, fin 2010, le ministère de l'économie et des finances, dans le cadre de la préparation de la présidence française du G8 et du G20 : il s'agit là d'une vaste intrusion informatique à des fins d'espionnage : un logiciel espion est introduit grâce à un « cheval de Troie », qui se présente sous la forme d'une pièce jointe piégée ouvrant une « porte dérobée » ; l'attaquant peut alors surveiller et prendre, à distance et à l'insu de l'utilisateur, le contrôle de son ordinateur, par exemple pour extraire des données, lire ses messages électroniques, et même écouter ses conversations ou filmer sa victime en déclenchant lui-même le micro ou la caméra de l'ordinateur ; il peut ensuite, par rebonds successifs, prendre le contrôle d'autres ordinateurs, voire de la totalité du système ;

Troisième illustration : l'affaire d'espionnage, révélée par la presse, subie par le groupe AREVA : là aussi nous sommes face à une vaste intrusion informatique à des fins d'espionnage mais qui concerne cette fois une grande entreprise française du nucléaire.

Ces attaques peuvent être menées par des « pirates informatiques », des groupes d'activistes, des organisations criminelles, mais aussi par des entreprises concurrentes, voire par d'autres Etats. Les soupçons se portent souvent vers la Chine ou la Russie, même s'il est très difficile d'identifier précisément les auteurs de ces attaques. Ainsi, dans le cas de Bercy, comme d'AREVA, certains indices peuvent laisser penser que des agences officielles, ou du moins des officines chinoises, sont à l'origine de ces attaques.

Par ailleurs, les révélations du journaliste américain David Sanger sur l'implication des Etats-Unis dans la conception du virus STUXNET, qui a endommagé un millier de centrifugeuses d'enrichissement de l'uranium, retardant ainsi de quelques mois ou quelques années la réalisation du programme nucléaire militaire de l'Iran, ou encore la récente découverte du virus FLAME, vingt fois plus puissant que STUXNET, laissent présager de futures « armes informatiques » aux potentialités encore largement ignorées.

La conclusion que je tire de tout cela est que nous voyons bien s'ouvrir, pour les années qui viennent, un nouveau champ de bataille, avec des stratégies et des effets très spécifiques.

On peut s'interroger sur la nature de cette menace. Peut-on parler de « cyberguerre » et imaginer que les conflits se joueront sur des « cyberattaques », qui se substitueraient aux modes d'action militaires traditionnels ? C'est sans doute une hypothèse assez extrême.

Il me semble acquis en revanche que l'on ne peut guère concevoir désormais de conflit militaire sans qu'il s'accompagne d'attaques sur les systèmes d'information. C'est par exemple ce qui s'est passé en Géorgie en août 2008. Toutes les armées modernes ont commencé à intégrer ce facteur.

Jusqu'à présent, ce type d'attaques n'a généré que des nuisances assez limitées. Mais, à mon sens, il ne faut pas s'illusionner. Les vulnérabilités sont réelles et les savoir-faire se développent. On ne peut pas éviter de telles attaques. Mais on peut en limiter les effets en renforçant les mesures de protection et en prévoyant comment gérer la crise le temps du rétablissement des systèmes.

Lors de mes différents déplacements à l'étranger, j'ai été d'ailleurs frappé de voir que chez nos principaux alliés, la thématique de la cyberdéfense ne cesse de monter en puissance.

C'est le cas aux Etats-Unis. Le Président Barack Obama s'est fortement engagé sur le sujet et a qualifié la cybersécurité de priorité stratégique.

Comme j'ai pu le constater lors de mon déplacement à Washington, il existe plusieurs organismes, au sein du département chargé de la sécurité intérieure et du Pentagone qui interviennent dans ce domaine, comme la NSA ou le Cybercommand, et la coordination entre ces organismes n'est pas toujours optimale.

De 2010 à 2015, le gouvernement américain devrait cependant consacrer 50 milliards de dollars à la cyberdéfense et plusieurs dizaines de milliers d'agents travaillent sur ce sujet.

Au Royaume-Uni, le gouvernement britannique a adopté, en novembre dernier, une nouvelle stratégie en matière de sécurité des systèmes d'information.

Le principal organisme chargé de la cybersécurité est le « Government Communications Headquarters » (GCHQ). Environ 700 agents s'occupent des questions liées à la cyberdéfense.

Malgré la réduction des dépenses publiques, le Premier ministre David Cameron a annoncé en 2010 un effort supplémentaire de 650 millions de livres sur les quatre prochaines années pour la cyberdéfense, soit environ 750 millions d'euros. Ces chiffres peuvent laisser songeur lorsque l'on sait qu'en France le budget de l'agence homologue, l'ANSSI, est de 75 millions d'euros.

En Allemagne, le gouvernement fédéral a élaboré en février 2011 une stratégie en matière de cybersécurité.

La coordination incombe au ministère fédéral de l'Intérieur, auquel est rattaché l'office fédéral de sécurité des systèmes d'information (BSI), situé à Bonn, qui dispose d'un budget annuel de 80 millions d'euros et de plus de 500 agents.

Toujours sur ce volet international, les cyberattaques sont désormais une menace prise en compte dans le nouveau concept stratégique de l'Alliance atlantique, adopté lors du Sommet de Lisbonne en novembre 2010.

L'OTAN s'est dotée en juin 2011 d'une politique et d'un concept en matière de cyberdéfense. Une autorité de gestion de la cyberdéfense, ainsi qu'un centre d'excellence sur la cyberdéfense situé à Tallin en Estonie ont été créés.

Pour autant, l'OTAN n'est pas complètement armée face à cette menace.

Ainsi, la principale unité informatique de l'Alliance n'est toujours pas opérationnelle 24 heures sur 24, 7 jours sur 7 et elle n'assure pas encore la sécurité de tous les réseaux de l'OTAN.

D'ailleurs, l'OTAN a été la cible de plusieurs attaques informatiques l'été dernier, attaques attribuées à la mouvance Anonymous et même l'ordinateur personnel du Secrétaire général de l'OTAN a été « piraté ».

Plus généralement, l'OTAN doit encore déterminer quelle attitude adopter pour répondre à des cyberattaques lancées contre l'un des Etats membres. Peut-on invoquer l'article 5 du traité de Washington en cas de cyberattaque ? Les mesures de rétorsion doivent-elles se limiter à des moyens cybernétiques, ou bien peut-on également envisager des frappes militaires conventionnelles ?

Il n'y a pas encore de réponses claires à ces questions, comme j'ai pu le constater lors de mes entretiens au siège de l'OTAN.

L'Union européenne a aussi un grand rôle à jouer, car une grande partie des règles qui régissent les réseaux de communications électroniques relèvent de sa compétence.

Elle peut donc agir pour l'harmonisation de certaines dispositions techniques au niveau européen qui sont importantes du point de vue de la cyberdéfense.

Toutefois, la Commission européenne et de nombreux pays européens ne semblent pas encore avoir pris la mesure des risques et des enjeux liés à la cyberdéfense.

Ainsi, l'agence européenne chargée de la sécurité des réseaux et de l'information, ENISA, créée en 2004 et dont le siège est situé à Héraklion, en Crète, ne dispose que d'un rôle de recommandation et son efficacité apparaît assez limitée.

Ceci m'amène à évoquer la situation de la France.

Le constat que notre commission avait dressé dans son rapport il y a quatre ans était assez brutal : face à cette menace réelle et croissante, la France n'était ni bien préparée, ni bien organisée.

Il serait injuste de dire que rien n'avait été fait. Je pense au réseau gouvernemental ISIS pour l'information confidentiel défense.

Néanmoins, les lacunes restaient criantes. En d'autres termes, il paraissait absolument indispensable d'accélérer la prise de conscience des autorités politiques, de clarifier les responsabilités au sein de l'Etat et de renforcer résolument les moyens techniques et humains nécessaires à une vraie politique de cyberdéfense.

Le Livre blanc sur la défense et la sécurité nationale de 2008 a identifié ce besoin et donné une réelle impulsion à cette politique.

En termes d'organisation, le Livre blanc a permis à cette politique d'être clairement identifiée, avec la création, en juillet 2009, de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, qui est dirigée par M. Patrick Pailloux, et dont les compétences sont reconnues par tous en France comme à l'étranger.

En février 2011, l'ANSSI a rendu publique la stratégie de la France en matière de cyberdéfense. Il a été également décidé de faire de l'ANSSI l'autorité nationale de défense des systèmes d'information.

La France dispose, avec cette stratégie et avec l'ANSSI, d'outils importants en matière de cyberdéfense. Pour autant, beaucoup reste à faire dans ce domaine.

Ainsi, avec des effectifs de 230 personnes et un budget de l'ordre de 75 millions d'euros, les effectifs et les moyens de l'ANSSI sont encore très loin de ceux dont disposent les services similaires de l'Allemagne ou du Royaume-Uni, qui comptent entre 500 et 700 personnes.

Pour accroître sa capacité d'intervention et de soutien, le gouvernement de François Fillon avait d'ailleurs décidé, en mai dernier, d'accélérer l'augmentation des effectifs et des moyens de l'ANSSI, afin de porter ses effectifs à 360 d'ici 2013.

De plus, si les armées et le ministère de la défense ont pris des mesures, les autres ministères, les entreprises et les opérateurs d'importance vitale restent différemment sensibilisés à cette menace.

Quel serait aujourd'hui le moyen le plus simple de provoquer une perturbation majeure de notre pays par le biais d'une attaque informatique ? Un moyen très simple serait de s'en prendre aux systèmes de distribution d'énergie, aux transports ou aux hôpitaux.

L'exemple du virus STUXNET, ou du ver Conficker qui a perturbé le fonctionnement de plusieurs hôpitaux en France et dans le monde, montre que cela n'est pas une hypothèse d'école.

Il ne s'agit pas de prétendre à une protection absolue. Ce serait assez illusoire. Le propre des attaques informatiques est d'exploiter des failles, de se porter là où les parades n'ont pas encore été mises en place. Mais on peut renforcer la sécurité des réseaux et des infrastructures les plus sensibles, et améliorer leur résilience.

J'en viens aux 10 priorités proposées dans mon rapport.

Premièrement, il me semble que la protection et la défense des systèmes d'information devrait faire l'objet d'une véritable priorité nationale, portée au plus haut niveau de l'Etat, notamment dans le contexte du nouveau Livre blanc et de la future loi de programmation militaire.

Il me paraît ainsi indispensable de renforcer les effectifs et les moyens de l'ANSSI au moyen d'un plan pluriannuel, afin de les porter progressivement à la hauteur de ceux dont disposent nos principaux partenaires européens.

Cette augmentation, de l'ordre de quelques 80 agents par an, devrait au demeurant rester modeste.

Deuxièmement, il me semble que beaucoup reste à faire pour sensibiliser les administrations, le monde de l'entreprise, notamment les PME, et les opérateurs d'importance vitale.

Assurer la sécurité des systèmes d'information des entreprises n'est pas seulement un enjeu technique. C'est aussi un enjeu économique, puisqu'il s'agit de protéger la chaîne de valeur, notre savoir-faire technologique dans la véritable guerre économique que nous connaissons aujourd'hui, voire un enjeu politique, lorsque les intérêts de la nation sont en jeu.

Or, avec l'espionnage informatique, notre pays, comme les autres pays occidentaux, est aujourd'hui menacé par un « pillage » systématique de son patrimoine diplomatique, culturel et économique.

L'ANSSI s'efforce d'inciter les entreprises à respecter des règles élémentaires de sécurité, règles que son directeur général, M. Patrick Pailloux, assimile à des règles d'hygiène numérique élémentaires, mais qui sont souvent considérées comme autant de contraintes par les utilisateurs.

Faut-il aller plus loin et passer par la loi pour fixer un certain nombre de règles ou de principes ?

Après avoir beaucoup consulté, je crois qu'il est nécessaire de prévoir une obligation de déclaration en cas d'attaques informatiques qui s'appliquerait aux entreprises et aux opérateurs des infrastructures vitales, afin que l'Etat puisse être réellement informé de telles attaques.

Je pense aussi que l'Etat a un rôle important à jouer pour soutenir le tissu industriel, et notamment les PME, qui développent en France des produits ou des services de sécurité informatique, pour ne pas dépendre uniquement de produits américains ou asiatiques.

Je plaide ainsi dans mon rapport pour une politique industrielle volontariste, à l'échelle nationale et européenne, pour faire émerger de véritables « champions » nationaux ou européens.

A cet égard, j'insiste dans mon rapport sur la question des « routeurs de coeur de réseaux », sujet qui a été évoqué très souvent par mes différents interlocuteurs, français ou étrangers.

Ces « routeurs » sont de grands équipements informatiques utilisés par les opérateurs de télécommunications pour gérer les flux de communications (comme les messages électroniques ou les conversations téléphoniques) qui transitent par l'Internet.

Ils représentent des équipements hautement sensibles car ils ont la capacité d'intercepter, d'analyser, d'exfiltrer, de modifier ou de détruire toutes les informations qui passent par eux.

Actuellement, le marché des routeurs est dominé par des entreprises américaines, comme Cisco, mais, depuis quelques années, des entreprises chinoises, à l'image de Huawei et ZTE, font preuve d'une forte volonté de pénétration sur le marché mondial et en Europe.

Cette stratégie est d'ailleurs encouragée par certains opérateurs de télécommunications, car les routeurs chinois sont environ 20 % moins chers que les routeurs américains ou européens.

Or, comme cela m'a été confirmé à plusieurs reprises lors de mes entretiens, cette stratégie soulève de fortes préoccupations, en raison des liens de ces entreprises avec le gouvernement chinois et des soupçons d'espionnage informatique qui pèsent sur la Chine.

Ainsi, les autorités américaines, comme d'ailleurs les autorités australiennes, ont refusé l'utilisation de « routeurs » chinois sur leur territoire pour des raisons liées à la sécurité nationale.

En Europe, une telle interdiction semble plus délicate mais la Commission européenne s'apprêterait à lancer une procédure d'infraction à l'encontre de ces entreprises, soupçonnées de concurrence déloyale.

Pour ma part, je considère qu'il est indispensable que l'Union européenne, à l'image des Etats-Unis ou de l'Australie, interdise l'utilisation des « routeurs » ou autres équipements informatiques sensibles d'origine chinoise sur son territoire. Il s'agit là d'un véritable enjeu de sécurité nationale.

Se pose également la question des ressources humaines. Il existe aujourd'hui peu d'ingénieurs spécialisés dans la protection des systèmes d'information et les entreprises ont du mal à en recruter.

Nous devrions mettre l'accent sur la formation et développer les liens avec les universités et les centres de recherche.

A cet égard, pourquoi ne pas renforcer aussi les liens avec la « communauté de hackers » français, dont la plupart sont désireux de mettre leurs compétences et leurs talents au service de leur pays ?

Il paraît également nécessaire de renforcer la sensibilisation des utilisateurs.

De même qu'il existe un plan de prévention en matière de sécurité routière, pourquoi ne pas imaginer une campagne de communication en matière de sécurité informatique ?

Face à une menace qui s'affranchit des frontières, la coopération internationale sera déterminante.

Elle existe d'ores et déjà entre les cellules gouvernementales spécialisées ou de manière bilatérale, notamment avec nos partenaires britanniques ou allemands.

Elle arrive à l'ordre du jour d'enceintes internationales comme l'OTAN ou l'Union européenne, qui pourrait s'impliquer plus activement, par exemple pour imposer un certain nombre de normes de sécurité aux opérateurs de réseaux.

Pour autant, si la coopération internationale est indispensable, notamment avec nos partenaires britanniques et allemands, il ne faut pas se faire trop d'illusions.

La cyberdéfense est une question qui touche à la souveraineté nationale et il n'existe pas réellement d'alliés dans le cyberespace.

Enfin, je pense qu'il faut nous poser la question délicate des capacités offensives.

Il existe sur ce sujet en France un véritable « tabou », comme j'ai pu moi-même le constater lors de mes différents entretiens.

A l'inverse, d'autres pays, comme les Etats-Unis ou le Japon, n'hésitent pas à affirmer qu'ils répondront à une attaque informatique.

Pour ma part, je pense qu'on ne peut pas se défendre si l'on ne connaît pas les modes d'attaque.

La lutte informatique offensive est prévue par le Livre blanc et la loi de programmation militaire.

Mais toutes ses implications ne sont pas aujourd'hui clarifiées.

Comment savoir si une attaque se prépare ou est en cours ? Comment établir l'identité des agresseurs ou la responsabilité d'un Etat ? Quelle doctrine d'emploi adopter ? Il faudra que nos experts trouvent des réponses à ces questions.

Dans mon rapport, je m'interroge donc sur l'opportunité de définir une doctrine publique sur les capacités offensives, qui pourrait être reprise par le nouveau Livre blanc sur la défense et la sécurité nationale.

Je ne sais pas si l'on verra à l'avenir des cyberguerres. Mais je suis certain que notre défense et notre sécurité se joueront aussi sur les réseaux informatiques et au sein de nos systèmes d'information dans les années futures.

Je vous remercie de votre attention et je suis disposé à répondre à vos questions.

A la suite de cette présentation, un débat s'est engagé au sein de la commission.