Intervention de Jean-Marie Bockel

Je vous remercie pour vos observations.

Il existe certes au sein de chaque ministère un haut fonctionnaire de défense et de sécurité (HFDS), mais cette fonction est souvent cumulée par le secrétaire général du ministère concerné, ce qui ne lui permet pas de se consacrer entièrement à cette tâche. Il existe aussi au sein de chaque ministère un fonctionnaire de la sécurité des systèmes d'information (FSSI). Mais on constate que celui-ci n'occupe souvent qu'une faible place hiérarchique au sein de l'organigramme et surtout qu'il ne parvient pas à imposer aux différentes directions sectorielles et aux directeurs des systèmes d'information une prise en compte suffisante des préoccupations liées à la sécurité des systèmes d'information. C'est la raison pour laquelle je propose, dans mon rapport, de rehausser le statut des fonctionnaires de la sécurité des systèmes d'information et de renforcer leurs prérogatives par rapport aux responsables des différentes directions. Les fonctionnaires de la sécurité des systèmes d'information devraient, à mes yeux, devenir de véritables directeurs, voire même des secrétaires généraux, chargés de la sécurité et de la défense des systèmes d'information au sein de chaque ministère. Ainsi, pour prendre l'exemple du ministère de la défense, je propose de rehausser le statut du fonctionnaire de la sécurité des systèmes d'information, afin que celui-ci dispose en particulier d'une réelle autorité sur la sous-direction et les équipes chargées de la sécurité des systèmes d'information au sein de la direction générale des systèmes d'information et de communication (DGSIC).

Ayant pu comparer le dispositif français avec les différents modèles étrangers, notamment aux Etats-Unis, au Royaume-Uni et en Allemagne, je considère que l'organisation institutionnelle française en matière de protection et de défense des systèmes d'information est la plus pertinente car elle correspond le mieux à l'organisation administrative et à la culture de notre pays.

Notre modèle se caractérise, en effet, par son caractère centralisé et interministériel, puisque l'agence nationale de la sécurité des systèmes d'information est une agence rattachée au Secrétaire général de la défense et de la sécurité nationale, ce qui lui confère une légitimité interministérielle vis-à-vis des autres ministères. Le ministère de la défense et les armées, comme d'autres ministères, ont certes un rôle spécifique à jouer, mais, comme j'ai pu moi-même le constater, les relations entre l'ANSSI et le ministère de la défense sont excellentes, comme en témoigne la coopération étroite entre le directeur général de l'ANSSI, M. Patrick Pailloux, et l'officier général cyberdéfense à l'état-major des armées, le Contre-amiral Arnaud Coustillière, dont les compétences sont unanimement appréciées.

Je considère aussi que le rattachement de l'ANSSI au Secrétaire général de la défense et de la sécurité nationale, qui dépend du Premier ministre, est une bonne chose.

La coordination ne peut relever, d'après moi, que de l'autorité du Premier ministre, à qui il appartient de définir les axes stratégiques, de suivre leur mise en oeuvre et de veiller à la bonne répartition des moyens humains, techniques et financiers.

Notre modèle se caractérise également par une stricte séparation entre les aspects préventifs et défensifs, confiés à l'ANSSI, et les aspects offensifs, qui relèvent des armées et des services spécialisés, ce qui me paraît également préférable, étant donné la nécessité d'établir des liens étroits entre l'ANSSI et le secteur privé.

Comme le souligne très bien notre collègue M. Yves Pozzo di Borgo, il existe en France peu d'ingénieurs spécialisés dans la protection des systèmes d'information et les entreprises, ainsi que les administrations, ont du mal à en recruter.

Il semblerait qu'il y ait quatre à cinq fois plus d'offres d'emplois disponibles, dans les administrations ou les entreprises, que d'ingénieurs spécialement formés à la sécurité informatique sortant des écoles d'ingénieurs.

Je considère donc qu'il serait souhaitable d'encourager les écoles d'ingénieurs à développer les formations en matière de sécurité des systèmes d'information. Plus généralement, la protection des systèmes d'information devrait être une étape obligée dans le cursus de l'ensemble des formations d'ingénieur ou d'informatique et il me semblerait utile d'inclure une sensibilisation obligatoire dans les écoles formant les cadres de l'administration, comme l'ENA par exemple, et de proposer une telle sensibilisation aux formations de management destinée aux entreprises.

Une autre priorité concerne effectivement la recherche.

Si notre pays dispose de centres d'excellences reconnus dans certains domaines clés pour la défense et la sécurité des systèmes d'information, comme celui de la cryptologie ou des cartes à puces, de manière générale, la recherche semble insuffisamment développée en France, notamment par rapport à ce qui existe aux Etats-Unis.

Ainsi, notre pays manque ainsi cruellement de laboratoires travaillant sur des sujets clés, essentiels à une réelle maîtrise des enjeux nationaux en termes de sécurité des systèmes d'information.

Par ailleurs, notre pays souffre d'un manque de stratégie commune et de l'éparpillement des différents organismes publics de recherche (CNRS, INRIA, CEA-LETI), qui s'ignorent le plus souvent, et d'une coopération insuffisante de ces organismes avec l'ANSSI et la DGA.

Dans mon rapport, je suggère plusieurs pistes d'amélioration, comme la création d'un budget spécifique de recherche et développement dans ce secteur, la mise en place d'un comité mixte à l'image de ce qui a été fait dans le domaine du nucléaire, ou du moins d'un comité stratégique afin de rapprocher les différents acteurs publics. Par ailleurs, afin de renforcer la recherche et de rapprocher les différents acteurs publics mais aussi l'Etat, les entreprises, les universités et les centres de recherches, la création d'une fondation est actuellement à l'étude et me paraît devoir être encouragée.

Concernant le renforcement des liens avec la communauté de « hackers », il ne s'agit pas, dans mon esprit, de recourir à des « pirates informatiques » pour lancer des attaques. Mais on pourrait reconnaître et encourager davantage l'activité des sociétés privées de conseil en sécurité informatique, de manière encadrée, par un système d'agrément ou de label, et envisager des modifications législatives, par exemple concernant la communication ou la publication des failles ou vulnérabilités des systèmes d'information à des fins de conseil ou de recherche.

Enfin, il est très difficile d'identifier précisément le commanditaire d'une attaque informatique car les pirates informatiques ont très souvent recours à des « botnets », c'est-à-dire à des réseaux de machines compromises (ou machines « zombies »), situées partout dans le monde.

Le « botnet » est constitué de machines infectées par un virus informatique contracté lors de la navigation sur internet, lors de la lecture d'un courrier électronique (notamment les spams) ou lors du téléchargement de logiciels. Ce virus a pour effet de placer la machine, à l'insu de son propriétaire, aux ordres de l'individu ou du groupe situé à la tête du réseau. On estime aujourd'hui que le nombre de machines infectées passées sous le contrôle de pirates informatiques est considérable. Le détenteur du réseau est rarement le commanditaire de l'attaque. Il monnaye sa capacité d'envoi massive à des « clients » animés de préoccupations diverses.

Enfin, concernant les « capacités offensives », je comprends les réserves de notre collègue M. Didier Boulaud. Certes, il ne faut pas négliger les inconvénients pour notre pays qu'il y aurait à évoquer publiquement ce sujet, qui tiennent essentiellement à la crainte de donner une sorte de légitimité aux attaques informatiques d'origine étatique et d'encourager ainsi les autres pays à développer et à utiliser de telles capacités, ainsi que le risque de dévoiler aux yeux de tous l'étendue de notre expertise dans ce domaine, ce qui pourrait conduire à affaiblir la portée de ces capacités.

Il ne paraît pas évident en effet pour un Etat de reconnaître publiquement vouloir se doter d'« armes informatiques », étant donné que toute intrusion dans un système informatique est généralement condamnée par la loi.

On le voit bien avec la polémique suscitée par les révélations du journaliste américain David Sanger sur l'implication des Etats-Unis dans la conception du virus STUXNET.

Toutefois, je voudrais rappeler que les « capacités offensives » étaient déjà évoquées dans le Livre blanc sur la défense et la sécurité nationale de 2008.

Le silence absolu des autorités françaises sur cette question depuis le Livre blanc de 2008 paraît donc quelque peu en décalage avec l'évolution de la menace, les communications publiques de nos principaux partenaires, et il pourrait même être de nature à entretenir des fantasmes dans l'opinion publique.

Surtout, le développement de « capacités offensives » nécessite une anticipation opérationnelle, une préparation technique et un travail très important, portant non seulement sur l'arme informatique elle-même, mais aussi sur le recueil de renseignement, la désignation de cibles potentielles, l'analyse des systèmes d'information ainsi que leur environnement, l'identification des vulnérabilités, avec la nécessité de procéder à des entraînements en liaison étroite avec d'autres modes d'interventions (armes conventionnelles, missiles balistiques, etc.) ou encore un travail sur la définition même d'une « arme informatique » et les conditions de son emploi dans le cadre du droit des conflits armés.

Il me semble donc qu'il serait souhaitable que les autorités françaises lancent une réflexion sur l'élaboration d'une éventuelle doctrine ou du moins d'un discours ayant vocation à être rendu publics sur les « capacités offensives », notamment dans le cadre du nouveau Livre blanc sur la défense et la sécurité nationale.