Intervention de Roger Romani

Au cours d'une seconde séance tenue dans l'après-midi, la commission a procédé à l'examen du rapport d'information de M. Roger Romani sur la cyberdéfense.

a indiqué que plusieurs évènements avaient attiré l'attention, au cours des derniers mois, sur le thème de la « cyberdéfense » : les attaques contre les sites internet de l'Estonie, qui ont montré que l'arme informatique pouvait être dirigée contre un Etat en cas de crise politique et diplomatique ; le piratage informatique provenant de Chine dont ont été victimes des diplomates français, comme d'autres responsables occidentaux, en vue de détourner les informations confidentielles contenues dans leurs ordinateurs ; enfin, la publication du Livre blanc sur la défense et la sécurité nationale, qui a identifié les attaques informatiques au rang des menaces qui s'accroissent, et a formulé des orientations importantes pour s'en protéger.

Il a précisé que son rapport se limitait aux menaces mettant en jeu la défense ou la sécurité nationale, c'est-à-dire le fonctionnement de l'Etat ou des infrastructures essentielles, et qu'il avait rencontré, dans le cadre de sa préparation, des personnalités qualifiées, les responsables des principaux services de l'Etat en charge de la sécurité des systèmes d'information, ainsi que plusieurs représentants de grandes entreprises.

a tout d'abord souhaité montrer en quoi la menace d'attaques informatiques augmentait, comment elle se manifestait et pourquoi la protection des systèmes d'information devenait un véritable enjeu de sécurité nationale.

Il a relaté les évènements d'Estonie du printemps 2007, intervenus dans un climat de tension avec la Russie, au cours desquels une vague d'attaques informatiques avait submergé les sites internet du gouvernement, des banques et des opérateurs téléphoniques, les rendant indisponibles durant plusieurs semaines.

Si ces attaques avaient surpris par leur soudaineté, leur ampleur et leur corrélation instantanée avec le contexte politique, elles relevaient d'une catégorie déjà bien identifiée de menaces informatiques : les attaques par déni de service qui visent à saturer un site internet ou un système informatique par des dizaines ou des centaines de milliers de connexions simultanées. Ces connexions sont rendues possibles par l'existence de réseaux d'ordinateurs (botnets) constitués de machines contaminées par un virus informatique et contrôlées par un ou des pirates informatiques.

S'agissant de l'Estonie, les regards se sont tournés vers les services russes, mais aucun lien n'a pu être établi. En tout état de cause, il est extrêmement difficile de remonter jusqu'à la source de l'attaque, car il est facile à l'agresseur de masquer ou déguiser son identité et d'utiliser par « rebonds » une multitude d'adresses successives.

a estimé que des attaques comme celles dont a été victime l'Estonie pouvaient entraîner des perturbations très importantes dans la vie économique et sociale d'une nation, en interrompant des services en lignes utilisés pour les relations avec les administrations, les banques, les services de vente par internet, les centrales de réservation d'avion ou de train, les relations entre les entreprises et leurs sous-traitants ou leurs fournisseurs.

Il a également évoqué le risque que des attaques par déni de service affectent le fonctionnement même de systèmes opérationnels, comme la distribution de l'eau et de l'électricité, la circulation des trains, des métros, des avions, les transactions interbancaires ou les processus de fabrication industriels. Il a précisé que le cloisonnement entre ces réseaux internes et internet devait empêcher un tel cas de figure, mais que dans les faits, très rares étaient les systèmes informatiques totalement isolés de l'extérieur. Il a ajouté que l'on ne connaissait pas d'exemple d'une infrastructure critique qui aurait été arrêtée par une attaque informatique, mais que pour prévenir ce risque, il importait de prendre des mesures de sécurité très strictes et de rester très vigilant sur l'évolution de la menace. Il a cité l'exemple d'EDF qui maintient un isolement quasi-absolu des systèmes régissant la production et la distribution d'électricité et a mis en place des mesures de protection et de surveillance extrêmement poussées.

En ce qui concerne les matériels militaires qui incorporent de plus en plus de logiciels ou produits informatiques acquis sur le marché et s'intègrent dans des réseaux de communication leur permettant de recevoir ou de transmettre des données, il a indiqué que le Livre blanc préconisait un renforcement de nos capacités de lutte informatique, à la fois sur le plan défensif et offensif.

a ensuite évoqué la tentative d'espionnage informatique dont ont fait l'objet plusieurs diplomates français. Il a précisé que l'intrusion se présentait d'une manière anodine, sous la forme d'un courrier électronique nominatif, apparemment légitime, en relation avec le contexte professionnel des intéressés. Toutefois, l'ouverture de la pièce jointe au courrier devait enclencher le démarrage d'un programme informatique permettant à l'expéditeur de pénétrer dans l'ordinateur du destinataire, grâce à un « cheval de Troie », en vue de récupérer, par envois fractionnés et discrets, tout le contenu de l'ordinateur. Ces attaques ciblées sur nos diplomates utilisaient un programme spécialement forgé à cet effet et donc inconnu des mécanismes de sécurité tels que les pare-feux ou les antivirus.

Sur la même période, un très grand nombre de pays occidentaux ont fait l'objet d'intrusions informatiques similaires, désignées sous le nom d'attaques « chinoises », car elles étaient bâties sur le même modèle, ont été menées sur la même période et provenaient toutes de Chine. Toutefois, les commanditaires de ces attaques n'ont pu être précisément identifiés.

a ajouté que le Livre blanc considérait comme certaine la multiplication des tentatives d'attaques menées par des acteurs non étatiques dans les 15 ans à venir, comme hautement probables des attaques dissimulées commanditées par des Etats et comme plausibles des actions massives menées ouvertement par des Etats.

Il a précisé que jusqu'à présent, aucune attaque informatique d'origine terroriste n'avait été signalée, les groupes terroristes disposant toutefois de compétences en matière de systèmes d'information qui pourraient être utilisées dans le cadre de telles attaques.

a ensuite considéré que la France n'était pas suffisamment préparée et organisée pour face à cette menace en développement rapide, et qu'elle accusait même un retard préoccupant et peu justifiable par rapport à des pays voisins comme l'Allemagne ou la Grande-Bretagne.

Ce constat avait d'ailleurs été dressé en 2004 par le Premier ministre Jean-Pierre Raffarin, qui avait lancé un plan de renforcement de la sécurité des systèmes d'information, et confirmé par le rapport qu'il avait confié au député Pierre Lasbordes, publié en janvier 2006.

Le rapporteur a cité les trois lacunes principales du dispositif français de protection des systèmes d'information.

Premièrement, notre organisation est marquée par la dispersion des différents acteurs en charge de la sécurité des systèmes d'information - et donc leur insuffisante coordination - et surtout par la non-application, par les administrations, des prescriptions édictées en la matière.

Deuxièmement, ce dispositif souffre d'une insuffisance flagrante de ses moyens. Le service pivot au niveau interministériel, la Direction centrale de la sécurité des systèmes d'information (DCSSI), compte un effectif stable de 110 agents, alors que son homologue britannique en compte 450 et l'équivalent allemand 500. Malgré la qualité de ses personnels, la DCSSI n'est pas en mesure d'assurer toutes les missions qui lui ont été confiées en matière de conseil, de formation, d'inspection, d'évaluation, d'agrément des matériels de chiffrement, de développement de produits sécurisés, de gestion d'un service de veille, d'alerte et de réaction aux intrusions dans les systèmes d'information de l'Etat, de préparation et de mise en oeuvre des plans Vigipirate et Piranet.

De même, la France ne possède pas, à la différence de l'Allemagne, une capacité centralisée de surveillance et de détection des flux de données transitant entre les administrations et l'internet, ce qui ne lui permet pas de détecter par elle-même des attaques informatiques.

La troisième faiblesse concerne les entreprises qui, à quelques exceptions près, semblent insuffisamment préparées à la menace informatique, notamment les PME.

s'est félicité des orientations définies par le Livre blanc qui marque une inflexion dans la mesure où il identifie clairement la protection de nos systèmes informatiques sensibles comme une composante à part entière de notre politique de défense et de sécurité.

Le Livre blanc prévoit la création d'une agence de la sécurité de systèmes d'information qui aura le statut de service à compétence nationale, sera constituée à partir de l'actuelle DCSSI et en reprendra les attributions avec des ambitions un peu plus larges : extension de la mission de conseil aux opérateurs d'importance vitale ; constitution d'un réservoir de compétences pour assister les administrations dans la conception de la sécurité de leurs systèmes ; gestion d'un centre de détection et de surveillance doté des outils informatiques branchés sur les passerelles reliant les administrations et l'internet afin de repérer les flux anormaux.

Le Livre blanc prévoit également le renforcement des capacités offensives à travers le raffermissement des moyens humains et techniques des services de renseignement et le développement d'une capacité de lutte offensive spécifiquement militaire.

s'est toutefois étonné que le Livre blanc n'évoque qu'un renforcement « sensible » des moyens de l'actuelle DCSSI, alors que ceux-ci sont 4 à 5 fois inférieurs à ceux de ses homologues européens et sont très loin de lui permettre de remplir toutes ses missions actuelles, auxquelles s'ajouteront quelques missions supplémentaires confiées à la nouvelle agence.

Il a, au contraire, plaidé en faveur d'une augmentation résolue des moyens, avec l'objectif à moyen terme d'une équivalence avec les Britanniques et les Allemands et, dans l'immédiat, un plan pluriannuel d'accroissement des effectifs qui pourrait permettre à l'agence de la sécurité des systèmes d'information de disposer, d'ici 3 à 4 ans, d'environ 300 personnes. Un tel renforcement lui a paru indispensable pour permettre à l'agence de développer la labellisation des produits sécurisés, de fortifier les capacités de formation, de conseil, d'audit et d'inspection et de mener une politique de communication active pour sensibiliser les responsables des administrations et des entreprises, comme tous les utilisateurs.

Il a également souhaité une accentuation, au niveau du Premier ministre, de la coordination interministérielle des différents acteurs et de la mise en synergie de leurs moyens.

En vue de permettre à l'agence interministérielle de jouer pleinement son rôle, et sans prétendre l'ériger en tutelle informatique de tous les ministères, il a estimé nécessaire de lui donner un certain rôle directif. Elle devra, par exemple, pouvoir imposer une réduction du nombre de passerelles entre les ministères et l'internet, sur le modèle du réseau français de l'enseignement supérieur et de la recherche, RENATER. Elle devra aussi pouvoir rendre obligatoires certains types de produits sécurisés pour les réseaux les plus sensibles.

Enfin, le rapporteur a suggéré un troisième axe d'effort concernant le partenariat entre les acteurs publics et les entreprises, aujourd'hui très insuffisant. Il a précisé que les entreprises souhaitaient un interlocuteur unique capable de les conseiller, des catalogues plus étoffés de produits labellisés et des échanges d'information et des contacts beaucoup plus fréquents. Il a estimé qu'il reviendrait à la future agence d'assurer ce rôle pour lequel elle devra disposer des moyens supplémentaires nécessaires.

Il a estimé que dans certains domaines, l'Etat et certaines entreprises sensibles avaient des besoins analogues et pourraient mettre en commun leurs ressources pour faire développer, par des entreprises françaises, les produits de sécurité très spécifiques qui leur sont nécessaires.

En conclusion, le rapporteur a souligné la nécessité d'accorder à l'avenir une attention beaucoup plus soutenue aux enjeux de la sécurité des systèmes d'information.