Intervention de Guillaume Poupard

Les opérateurs que je mentionnais sont les opérateurs d'importance vitale, auxquels s'applique la LPM de décembre 2013. Ces opérateurs sont au nombre d'environ 230, dans les grands secteurs évoqués, y compris la santé. Le niveau de maturité est très variable d'un secteur à l'autre. La prise de conscience est plus récente dans les secteurs où il y a peu d'informations stratégiques mais surtout des systèmes industriels. Or le risque n'est pas seulement l'espionnage mais aussi le sabotage. Une attaque peut avoir des conséquences très graves sur la sécurité des personnes et des biens dans ces secteurs. Ceux-ci progressent aujourd'hui rapidement car ils se rendent compte que leur existence même est en jeu, dans la mesure où la réaction politique et sociétale à une attaque serait très forte.

Les attaques sont très diverses, ce qui explique des comptabilisations hétérogènes. Nous traitons une vingtaine de cas graves, concernant de gros opérateurs, chaque année. L'absence d'attribution des attaques résulte d'un choix politique. De telles attributions sont en effet très difficiles. Dans certains cas, il est impossible d'identifier avec certitude l'auteur de l'attaque. Les ordinateurs identifiés comme étant à son origine peuvent se situer dans n'importe quel pays et être eux-mêmes des victimes. À l'avenir, toutefois, il pourrait se révéler utile de procéder à de telles attributions afin de porter des messages et d'éviter une forme d'impunité.

Parmi les attaquants sont souvent évoqués les Russes, les Chinois, et ceux que j'appellerais les « five eyes » (États-Unis, Canada, Nouvelle-Zélande, Australie et Royaume-Uni), qui coopèrent entre eux et sont susceptibles d'attaquer nos intérêts, comme l'a révélé Edward Snowden. Malheureusement, on n'a pas d'ami dans le cyberespace, ce qui ne signifie pas qu'on n'a pas d'allié. Une coopération étroite est possible, car nous avons aussi beaucoup d'ennemis communs. Ce jeu est complexe car les organisations sont différentes dans chaque pays, ce qui nécessite une synchronisation très étroite.

Sur la question de Microsoft, c'est un débat complexe et souvent caricaturé dans les medias. Je ne suis ni pour, ni contre, même si culturellement et parce que je suis informaticien, j'apprécie l'accès aux codes sources et la maîtrise de ce que je fais, ce qui est beaucoup moins vrai avec des logiciels propriétaires complétement fermés. Dans ma mission de défense, que dire à 90 % des victimes qui sont équipées par Microsoft ? On cherche à faire au mieux et on constate des améliorations vis-à-vis de beaucoup de menaces. On critique beaucoup la sécurité chez Microsoft, mais cela a énormément progressé ces dernières années. Mais il est vrai qu'avoir confiance en Microsoft, si on n'a pas confiance en la NSA, pose un problème en termes de protection.

Notre démarche est plutôt oecuménique : on travaille avec tout le monde, même si quand on le peut, on promeut le logiciel libre. Dans beaucoup de cas, c'est compliqué, notamment dans les administrations, car le logiciel libre implique d'avoir de vraies capacités d'informaticiens en interne, même si c'est beaucoup moins cher au départ. Le logiciel propriétaire est assez automatisé et nécessite moins de compétences. Chercher à déployer des logiciels libres dans des administrations où il n'y a plus d'informaticiens, c'est voué à l'échec. Dans le cas très particulier du ministère de la défense, c'est une logique comptable et budgétaire qui a prévalu : remplacer 3 000 contrats par un seul contrat, cela réduit considérablement la facture. On peut juste regretter qu'il n'y ait pas eu davantage d'approche stratégique de long terme. C'était peut-être le moment de remettre en cause la forte dépendance au logiciel propriétaire. Cela n'a pas été fait, mais la démarche était logique au niveau local.

Sur les médias d'information en continu, je sors de mon domaine de compétence. L'amplification des médias sociaux se fait aussi par ces chaînes d'information concurrentielles, qui ont un besoin constant de nouvelles informations. On n'a pas aujourd`hui de démarche de sensibilisation. La question de la maîtrise des médias est une question délicate car on risque d'être accusé de vouloir contrôler l'information. Il faut peut-être mettre tous les acteurs autour d'une table pour qu'ils adoptent une attitude plus responsable dans la diffusion de l'information. Cela existe déjà de manière embryonnaire : quand il y a une opération de police ou une opération antiterroriste en cours, les journalistes gardent l'information pendant quelques heures. Cela paraît être le minimum, mais il se peut qu'en termes d'éthique, l'on puisse faire davantage, mais je sortirais de mon rôle si je vous donnais un avis précis.

M. Bockel, vous avez parlé de la conférence internationale sur le droit international dans le cyberespace, qui se déroulera à l'UNESCO à Paris, les 6 et 7 avril prochains. Premier point : il y a déjà beaucoup de travaux sur l'application du droit de la guerre dans le cyberespace et moins sur l'application de la paix et de la stabilité dans le cyberespace, car ce sont les militaires qui se sont emparés du sujet. Il n'est pas souhaitable que seuls les militaires traitent ce sujet. Nous voulons donc une réflexion sur les règles qui devraient s'appliquer. Ce n'est pas parce que les règles sont difficiles à appliquer ou à contrôler, qu'il ne faut pas les définir. Aujourd'hui, il n'y a pas de règles acceptées communément et personne ne les transgresse d'une certaine manière. Alors que si demain, des règles sont clairement admises et inscrites dans les contrats mêmes - allez faire signer à un industriel qui vous équipe qu'il ne va pas vous espionner, vous allez voir qu'il aura plus de mal à travailler avec la NSA (National Security Agency) - on aura progressé.

Tout d'abord il faut fixer des règles et l'application suivra, en partie, de manière naturelle. Ensuite, il faudra réfléchir à d'éventuels mécanismes permettant de faire appliquer ces règles.

L'autre point, c'est qu'aujourd'hui, on l'a vu dans le cas des élections américaines, quand la tension monte dans le domaine cyber, on n'a pas de mécanisme de désescalade. Les discours deviennent de plus en plus agressifs et puis on s'arrête. C'était aussi le cas dans les attaques contre Sony où le président Obama avait déclaré qu'il s'agissait d'« un acte de guerre venant de la Corée du Nord », puis avait rétropédalé en parlant de sabotage ou autre, car le mot « guerre » est un terme codifié qui implique une riposte. Comment fait-on pour se parler quand on a affaire à des puissances comme la Russie, les Etats-Unis. Des mécanismes de désescalade existent dans d'autres domaines, comme dans celui de la dissuasion nucléaire, et il faut probablement faire la même chose dans le domaine cyber.

Pour répondre à votre question, les industries de défense font clairement parties de la liste des secteurs d'activité d'importance vitale et le traitement des industries de défense se fait par l'ANSSI en étroite coopération avec le ministère de la défense et avec les différents services associés, notamment la Direction générale de l'armement (DGA) qui a le contact quotidien avec les industries de défense. Intéressantes pour les attaquants, ce sont probablement les premières cibles en termes de volumes en France. L'ANSSI les connait bien par ailleurs, puisque beaucoup sont des producteurs de service et de produits de sécurité.

S'agissant de la coopération européenne, je pense que nous serons condamnés, pendant encore longtemps, pour les choses très sensibles à des relations bilatérales. On ne manipule pas des choses ultrasensibles à vingt-huit et demain à vingt-sept. En multilatéral, on parle de grands principes mais l'on ne peut pas rentrer dans le très sensible. Par ailleurs, il y a des questions que l'on ne souhaite pas voir traitées en multilatéral car la cybersécurité relève avant tout de la souveraineté nationale. Ce n'est pas contradictoire avec un traitement au niveau européen, car l'on a besoin des deux. Dans la directive NIS (Network and Information Security) sur la sécurité des réseaux, il y a l'idée que chaque pays doit faire de la cybersécurité et que les pays doivent fonctionner selon un réseau maillé. Il n'y aura pas d'agence européenne de la cybersécurité. Ce n'est d'ailleurs pas souhaitable, car il y a des sujets que l'on ne veut pas partager au niveau européen, ne serait-ce que ceux relatifs à l'industrie de défense. Il faut constamment garder l'équilibre entre la souveraineté nationale et l'intérêt à travailler ensemble, collectivement, au niveau européen. L'on va dans le bon sens avec la directive NIS et les différents règlements, notamment le règlement eIDAS en matière d'identification électronique. Aujourd'hui, on travaille ensemble à de la politique industrielle et il y a de la recherche et développement (R&D) au niveau européen, ce qui était jusqu'à présent totalement exclu. La France est très active dans ce domaine, de manière à flécher des fonds de R&D du programme Horizon 2020 (H 2020). La Commission européenne va mettre 450 millions d'euros sur les questions de recherche en matière de cybersécurité.

Sur la question du vote des Français de l'étranger, je me place en technicien qui regarde la sécurité des dispositifs mis en place. L'élévation du niveau de sécurité crée bien évidemment plus de contraintes. Mon devoir en tant que directeur de l'ANSSI est de dire : si un système est ciblé par des gros acteurs avec des moyens il y a des chances qu'il ne résiste pas. Même si on fait tout comme il faut, il y a un risque.