Intervention de Jean-Marie Bockel

Je partage entièrement l'analyse de notre collègue M. Daniel Reiner, concernant la nécessité d'un renforcement de la coopération entre l'Etat et le secteur privé. J'accepte donc volontiers de modifier la rédaction de mon rapport sur ce point.

Concernant les « routeurs de coeur de réseaux », je rappelle qu'il s'agit de grands équipements d'interconnexion de réseaux informatiques utilisés par les opérateurs de télécommunications qui permettent d'assurer le flux des paquets de données entre deux réseaux ou plus afin de déterminer le chemin qu'un paquet de données va emprunter.

La fiabilité de ces « routeurs » doit être à toute épreuve, leur sécurisation renforcée et leur surveillance assurée car toute perturbation du « routeur » peut isoler un site du reste du monde ou engendrer une compromission de l'intégralité des données transitant par cet équipement.

De plus, rien n'empêcherait un pays producteur de ce type d'équipements d'y placer un dispositif de surveillance, d'interception, voire un système permettant d'interrompre à tout moment l'ensemble des flux de communication.

Le fait de placer un tel dispositif de surveillance directement au coeur du « routeur de réseaux » rendrait ce dispositif presque totalement « invisible » et indétectable. Et il n'est pas indifférent de savoir que de forts soupçons pèsent sur la Chine en matière de provenance des attaques informatiques, notamment à des fins d'espionnage économique.

Aux Etats-Unis, les autorités ont d'ailleurs pris ces dernières années plusieurs mesures afin de limiter la pénétration des équipementiers chinois Huawei et ZTE sur le marché américain pour des raisons liées à la sécurité nationale.

Les autorités américaines soupçonnent que les puces, routeurs et autres équipements informatiques chinois soient équipés de « portes dérobées » permettant au gouvernement chinois d'accéder à des informations sensibles transitant par ces équipements. Les autorités australiennes ont également interdit l'utilisation des « routeurs » d'origine chinoise sur leur territoire, pour des raisons liées à la sécurité nationale.

Ces soupçons semblent d'ailleurs avoir été confirmés récemment, de manière involontaire, par les représentants de l'entreprise chinoise Huawei eux-mêmes, lors d'une présentation devant une conférence organisée à Dubaï en février dernier.

En effet, dans leur présentation, ils auraient indiqué que, pour mieux assurer la sécurisation des flux de ses clients, Huawei « analysait » (grâce aux techniques dites de « deep packet inspection » ou DPI), l'ensemble des flux de communications (courriers électroniques, conversations téléphoniques, etc.) qui transitaient par ses équipements.

Si les représentants de l'entreprise voulaient démontrer avant tout les capacités de leurs « routeurs » en matière de détection de « logiciels malveillants », ils ont ainsi confirmé, comme cela a d'ailleurs été relevé par plusieurs participants à cette conférence, les capacités potentielles de ces « routeurs » à analyser, intercepter et extraire des données sensibles, voire à les altérer ou les détruire.

Il est donc crucial que l'Union européenne adopte une position ferme d'une totale interdiction concernant le déploiement et l'utilisation des « routeurs » chinois sur le territoire européen, ou d'autres grands équipements informatiques d'origine chinoise ne présentant pas toutes les garanties en matière de sécurité informatique.

Je préconise aussi, dans mon rapport, de lancer une coopération industrielle entre la France et l'Allemagne ou à l'échelle européenne pour développer des « routeurs de coeur de réseaux » ou d'autres grands équipements informatiques européens, afin de ne plus dépendre uniquement de produits américains ou asiatiques.

En réponse à notre collègue M. Robert del Picchia, je voudrais souligner que j'insiste dans mon rapport sur l'importance d'assurer la protection des opérateurs d'importance vitale. Il s'agit, à mes yeux, d'un véritable enjeu de sécurité nationale. Or, dans ce domaine, notre pays a pris un certain retard, notamment par rapport à nos principaux alliés. Je propose ainsi de prévoir une obligation de déclaration d'incident pour les entreprises et les opérateurs d'importance vitale, afin que l'Etat puisse être réellement informé en cas d'attaque informatique importante. Concernant les systèmes d'information de l'Etat, je crois utile d'insister sur la mise en place du réseau interministériel de l'Etat (RIE), qui devrait regrouper l'ensemble des réseaux des ministères et qui permettra de réduire le nombre de passerelles d'interconnexion à l'Internet, et dont le déploiement devrait commencer en 2013.

Enfin, je plaide dans mon rapport pour une politique industrielle volontariste de l'Etat afin de soutenir le tissu des entreprises, notamment des PME, qui proposent des produits ou des services en matière de sécurité informatique et l'établissement d'un réseau de confiance entre l'Etat et ces entreprises.

Comme notre collègue Mme Joëlle Garriaud Maylam, je considère qu'il importe de renforcer les mesures de sensibilisation à destination des acteurs, comme du grand public.

L'ANSSI a certes développé une politique de communication, avec, par un exemple un portail Internet consacré à la sécurité informatique, un petit guide de sécurité informatique destiné aux collaborateurs des cabinets ministériels ou encore un guide sur la sécurité informatique des systèmes industriels. Mais, ces mesures restent très insuffisantes.

Si la compétence et l'efficacité de l'Agence nationale de sécurité des systèmes d'information sont unanimement reconnues, en France comme à l'étranger, comme j'ai pu le constater lors de mes différents déplacements, en revanche, sa notoriété est notoirement insuffisante et sa politique de communication est largement inaudible.

Ainsi, n'est-il pas paradoxal que le portail de la sécurité informatique ou le site Internet de l'agence française de sécurité des systèmes d'information soient aussi ternes et peu attractifs pour les internautes, avec notamment l'absence de tout moteur de recherche et des mises à jour aléatoires ?

Les informaticiens de l'agence sont pourtant réputés être les meilleurs de leur spécialité. Il devrait être relativement simple de rendre le site Internet de l'ANSSI et le portail plus attractifs et plus dynamiques, à l'image de ce qui existe d'ailleurs chez la plupart de nos partenaires étrangers.

De même, on peut regretter l'absence de toute politique de communication de l'agence dirigée spécialement vers les PME, alors même qu'elles sont les plus vulnérables aux attaques informatiques.

L'Agence pourrait, en liaison avec le ministère délégué chargé des PME, de l'innovation et de l'économie numérique, travailler avec les chambres de commerce et d'industrie, relais traditionnels vers les PME.

L'Agence devrait donc améliorer sa politique de communication - qu'il s'agisse des responsables politiques, des administrations, des entreprises ou du grand public. Ainsi, pourquoi ne pas diffuser plus largement la synthèse d'actualité de l'ANSSI sur les incidents informatiques, qui est actuellement envoyée à un nombre très restreint de personnes ?

Les mesures de sensibilisation des utilisateurs mériteraient également d'être fortement accentuées. Cela passe notamment par l'établissement de chartes à l'usage des utilisateurs au sein des entreprises comme des administrations, par un développement de la communication et de la formation. Ainsi, il semblerait utile de développer le programme de formation de l'ANSSI et de l'élargir à d'autres publics, notamment issu du secteur privé.

La politique de sensibilisation à destination du grand public ne doit pas non plus être négligée. De même qu'il existe un plan national de prévention en matière de sécurité routière, pourquoi ne pas imaginer également un plan de communication en matière de sécurité des systèmes d'information ?

Enfin, il faudrait qu'à l'image de ce qui existe aux Etats-Unis ou au Royaume-Uni, les responsables politiques de notre pays, y compris au plus haut niveau de l'Etat, se saisissent des enjeux liés à la sécurité des systèmes d'information afin que ces questions soient portées publiquement et qu'elles ne soient plus réservées uniquement à un petit cercle de spécialistes.

Pour répondre à notre collègue M. Jeanny Lorgeoux, il existe de nombreux organismes aux Etats-Unis, au sein du Pentagone ou du département chargé de la sécurité nationale, qui interviennent dans ce domaine, comme l'Agence de sécurité nationale (NSA) ou encore le Cybercommand, inauguré en 2010 et qui est chargé plus particulièrement de protéger les réseaux militaires américains, et la coordination n'est pas toujours optimale entre ces différentes entités. De 2010 à 2015, le gouvernement américain devrait consacrer 50 milliards de dollars à la cyberdéfense et plusieurs dizaines de milliers d'agents travaillent sur ce sujet.

Si, face à une menace qui s'affranchit des frontières, la coopération internationale est une nécessité, cette coopération se heurte toutefois en pratique à de nombreux obstacles.

Un premier frein tient au manque de confiance qui existe au niveau international. Etant donné la difficulté d'identifier précisément l'origine des attaques informatiques et les soupçons qui pèsent sur l'implication de certains Etats, la plupart des pays sont réticents à partager des informations ou des connaissances.

Une seconde limite s'explique par les préoccupations partagées par la plupart des Etats de préserver leur souveraineté nationale. Cela est particulièrement vrai concernant la conception des produits de sécurité informatique, notamment ceux destinés à protéger l'information de souveraineté.

Ainsi, on constate que de nombreux Etats privilégient les coopérations bilatérales avec leurs proches alliés et hésitent à évoquer ces sujets dans un cadre multilatéral.

Pour sa part, notre pays a une coopération très étroite avec nos partenaires britanniques et allemands. L'ANSSI a également signé un accord de coopération avec l'agence estonienne. La coopération avec les Etats-Unis existe, même si celle-ci est plus difficile, notamment en raison du très grand nombre d'organismes qui interviennent dans ce domaine et de la forte disproportion de moyens.

Le rapport est adopté à l'unanimité.