Intervention de Jean-Marie Bockel

Notre commission avait adopté, en juillet 2008, un rapport d'information sur la cyberdéfense, présenté par notre ancien collègue Roger Romani. Beaucoup de choses se sont passées depuis trois ans. C'est la raison pour laquelle notre commission a souhaité faire à nouveau le point sur cette question et m'a fait l'honneur de me désigner comme son rapporteur, en octobre dernier.

Depuis octobre, j'ai eu de nombreux entretiens avec les principaux responsables chargés de la protection des systèmes d'information au sein des services de l'Etat et des armées. Afin d'avoir une vue comparative, je me suis rendu à Londres et à Berlin, ainsi qu'à Bruxelles au siège de l'OTAN.

Je souhaiterais vous présenter les premiers enseignements que je retire de ces différents entretiens et déplacements. J'aurai l'occasion de vous présenter, avant l'été, mes principales recommandations, lors de la présentation de mon rapport. Je compte, en effet, poursuivre mes investigations par des entretiens avec des dirigeants d'entreprises ou d'opérateurs, afin de mesurer si les entreprises et les infrastructures d'importance vitale sont suffisamment sensibilisées à cette menace et sont organisées pour la détecter et y faire face. Je dois également me rendre prochainement à Genève, au siège de l'Union internationale des télécommunications, ainsi qu'à l'Union européenne à Bruxelles.

Tout d'abord, que faut-il entendre par « cyberdéfense » ?

On parle souvent indistinctement de « cybercriminalité », de « cyber menaces », de « cyber attaques » ou de « cyber guerres ». Il faut bien comprendre que les méthodes utilisées à des fins de fraude ou d'escroquerie sur Internet peuvent l'être aussi, à une échelle plus vaste, contre la sécurité et les intérêts essentiels de la Nation.

C'est le cas avec la pénétration de réseaux en vue d'accéder à des informations sensibles ou avec des attaques visant à perturber ou à détruire des sites largement utilisés dans la vie courante, voire même des systèmes liés à la défense ou au fonctionnement d'infrastructures vitales, comme l'énergie, les transports ou la santé par exemple.

Dans mon esprit, la cyberdéfense est une notion complémentaire de la cybersécurité. La cyberdéfense recouvre la politique mise en place par l'Etat pour protéger activement des réseaux et des systèmes d'information essentiels à la vie et à la souveraineté du pays et donc les informations qu'ils contiennent et les systèmes qui y sont connectés.

Pourquoi s'intéresser aujourd'hui à cette question ?

Il y a trois ans, deux événements nous avaient alertés : les attaques informatiques massives qui ont frappé l'Estonie en avril 2007 puis, quelques mois plus tard, les révélations sur les tentatives d'espionnage informatique visant plusieurs hauts diplomates français, comme d'ailleurs une dizaine d'autres Etats occidentaux, épisode qualifié à l'époque par la presse d'attaques « chinoises ».

Depuis trois ans, l'actualité s'est chargée de nous montrer la réalité de cette menace. Il ne se passe pratiquement pas une semaine sans que l'on signale, quelque part dans le monde, des attaques ciblées contre les réseaux de gouvernements ou de grands organismes publics ou privés. Je mentionnerai, à titre d'illustration, l'attaque informatique massive dont a fait l'objet, au début de l'année 2011, le ministère de l'économie et des finances, dans le cadre de la préparation de la présidence française du G 8 et du G20 (j'ai d'ailleurs eu un entretien très intéressant avec le secrétaire général de Bercy) ou encore la récente affaire d'espionnage, révélée par la presse, subie par le groupe AREVA. Même le Sénat n'échappe pas à cette menace, puisque notre assemblée a subi des attaques informatiques, à la suite de l'adoption de la loi réprimant la négation du génocide arménien.

Ces attaques peuvent être menées par des pirates informatiques, des groupes d'activistes, des organisations criminelles, mais aussi par des entreprises concurrentes, voire par d'autres Etats. Les soupçons se portent souvent vers la Chine ou la Russie, même s'il est très difficile d'identifier précisément les auteurs de ces attaques.

La conclusion que je tire de tout cela est que nous voyons bien s'ouvrir, pour les années qui viennent, un nouveau champ de bataille, avec des stratégies et des effets très spécifiques. On peut s'interroger sur la nature de cette menace. Je n'ai pas la compétence nécessaire en matière stratégique pour savoir si l'on peut véritablement parler de « cyberguerre ».

Peut-on imaginer que des conflits se joueront sur des cyberattaques, qui se substitueraient aux modes d'action militaires traditionnels ? C'est sans doute une hypothèse assez extrême. Il est acquis en revanche, me semble-t-il, que l'on ne peut guère concevoir désormais de conflit militaire sans qu'il s'accompagne d'attaques sur les systèmes d'information. C'est par exemple ce qui s'est passé en Géorgie en août 2008. Toutes les armées modernes ont commencé à intégrer ce facteur. On parle de plusieurs bataillons au sein de l'armée populaire de libération chinoise.

Je crois aussi que nous serons de plus en plus confrontés à des agressions se situant dans une « zone grise », à des fins de chantage ou de représailles. Jusqu'à présent, ce type d'attaques n'a généré que des nuisances assez limitées. Mais, à mon sens, il ne faut pas s'illusionner.

Les vulnérabilités sont réelles et les savoir-faire se développent. On ne peut pas éviter de telles attaques. Mais on peut en limiter les effets en renforçant les mesures de protection et en prévoyant comment gérer la crise le temps du rétablissement des systèmes.

Je suis d'ailleurs frappé de voir qu'autour de nous, à l'étranger, la thématique de la cyberdéfense ne cesse de monter en puissance.

C'est le cas aux Etats-Unis. Le Président Barack Obama s'est fortement engagé sur le sujet et a qualifié la cybersécurité de priorité stratégique en nommant à la Maison blanche un conseiller spécial chargé de ce dossier. Il existe plusieurs organismes, au sein du Pentagone et du département d'Etat chargé de la sécurité nationale, qui interviennent dans ce domaine, comme l'Agence de sécurité nationale ou encore le Cybercommand, inauguré en 2010 et qui est chargé plus particulièrement de protéger les réseaux militaires américains. De 2010 à 2015, le gouvernement américain devrait consacrer 50 milliards de dollars à la cyberdéfense et plusieurs dizaines de milliers d'agents travaillent sur ce sujet.

Au Royaume-Uni, la cybersécurité est au coeur de la Stratégie de sécurité nationale et le gouvernement britannique vient d'adopter, en novembre dernier, une nouvelle stratégie en matière de sécurité des systèmes d'information. Le principal organisme chargé de la cybersécurité est le « Communications and Electronic Security Group » (CESG), antenne du « Government Communications Headquarters » (Service de renseignement électronique du gouvernement britannique), dont j'ai rencontré l'un des responsables lors de mon déplacement à Londres. Le GCHQ compte environ 5.500 agents, dont environ 10 %, soit 550, s'occupent des questions liées à la cyberdéfense.

Malgré la réduction des dépenses publiques, en raison des effets de la crise économique, le Premier ministre David Cameron a annoncé en 2010 un effort supplémentaire de 650 millions de livres sur les quatre prochaines années pour la cyberdéfense, soit environ 750 millions d'euros.

Ces chiffres laissent songeurs en France quant on pense que le budget de l'ANSSI, l'Agence française chargée de la protection des systèmes d'information, est de l'ordre de 90 millions d'euros.

En Allemagne, où je me suis rendu également, le gouvernement fédéral a élaboré en février 2011 une stratégie en matière de cybersécurité. La coordination incombe au ministère fédéral de l'Intérieur, auquel est rattaché l'office fédéral de sécurité des systèmes d'information (BSI), situé à Bonn, qui dispose d'un budget annuel de 80 millions d'euros et de plus de 500 agents.

Toujours sur ce volet international, l'OTAN a décidé, lors du Sommet de Lisbonne, en novembre 2010, d'élaborer une « politique de cyberdéfense en profondeur ». Les cyberattaques sont désormais une menace prise en compte dans le nouveau concept stratégique de l'Alliance atlantique. L'OTAN s'est dotée en juin 2011 d'une politique et d'un concept en matière de cyberdéfense. Une autorité de gestion de la cyberdéfense, ainsi qu'un centre d'excellence de l'OTAN sur la cyberdéfense (qui est situé à Tallinn en Estonie et que j'ai eu l'occasion de visiter en tant que secrétaire d'Etat à la défense) ont été créés. L'OTAN s'est engagée, lors du Sommet de Lisbonne, à se doter d'une pleine capacité opérationnelle en matière de cyberdéfense pour fin 2012.

Pour autant, l'OTAN n'est pas complètement armée face à cette menace. Ainsi, la principale unité informatique de l'Alliance n'est toujours pas opérationnelle 24 heures sur 24 et 7 jours sur 7. Elle n'assure pas encore la sécurité de tous les réseaux de l'OTAN. D'ailleurs, l'OTAN a été la cible de plusieurs attaques informatiques l'été dernier, attaques attribuées à la mouvance Anonymous et même l'ordinateur personnel du Secrétaire général de l'OTAN a été piraté. Plus généralement, l'OTAN doit encore déterminer quelle attitude adopter pour répondre à des cyberattaques lancées contre l'un des Etats membres.

Lors de mes entretiens au siège de l'OTAN, j'ai interrogé les principaux responsables chargés de ces questions au sein de l'Alliance atlantique.

Peut-on invoquer l'article 5 du traité de Washington en cas de cyberattaque ? Les mesures de rétorsion doivent-elles se limiter à des moyens cybernétiques, ou bien peut-on également envisager des frappes militaires conventionnelles ? Il n'y a pas encore de réponses claires à ces questions.

L'Union européenne a aussi un grand rôle à jouer, car une grande partie des règles qui régissent les réseaux de communications électroniques relèvent de sa compétence. Elle peut donc agir pour l'harmonisation de certaines dispositions techniques au niveau européen qui sont importantes du point de vue de la cyberdéfense.

Toutefois, la Commission européenne et de nombreux pays, y compris en Europe, ne semblent pas encore avoir pris la mesure des risques et des enjeux liés à la cyberdéfense. Or, dans le cyberespace, la solidité de tout le système repose sur celle de son maillon le plus faible.

En définitive, si la cyberdéfense demeure une responsabilité nationale, face à une menace, comme les attaques informatiques, qui ignorent les frontières nationales, le renforcement de la coopération internationale s'impose.

Ceci m'amène à évoquer les enjeux politiques spécifiques à la France.

Le constat que notre commission avait dressé dans son rapport il y a trois ans était assez brutal : face à cette menace réelle et croissante, la France n'était ni bien préparée, ni bien organisée.

Il serait injuste de dire que rien n'avait été fait. Des systèmes d'information sécurisés avaient été développés et leur déploiement était et est toujours en cours, je pense au réseau de messagerie et de gestion de crise ISIS, résilient et apte à traiter de l'information confidentiel défense.

Néanmoins, les lacunes restaient criantes. J'en citerai seulement quelques unes :

- dispersion des différents acteurs et des moyens ; on pouvait parler à ce propos d'un véritable « village gaulois » ;

- insuffisance des moyens humains, avec, il y a trois ans encore, 110 agents seulement ;

- absence d'une capacité centralisée de surveillance des réseaux de l'Etat et de détection des attaques informatiques.

En d'autres termes, il paraissait absolument indispensable d'accélérer la prise de conscience des autorités politiques, de clarifier les responsabilités au sein de l'Etat et de renforcer résolument les moyens techniques et humains nécessaires à une vraie politique de cyberdéfense.

Le Livre blanc sur la défense et la sécurité nationale de 2008 a identifié ce besoin et donné une réelle impulsion à cette politique. En termes d'organisation, le Livre blanc a permis à cette politique d'être clairement identifiée, avec la création, en juillet 2009, de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, qui est dirigée par Patrick Pailloux, avec lequel je me suis longuement entretenu au siège de cette agence. Le choix de faire de faire de l'ANSSI une agence interministérielle, rattachée directement au secrétaire général de la défense et de la sécurité nationale, me paraît particulièrement judicieux, notamment par rapport à l'Allemagne, où la coordination incombe au ministère de l'intérieur, puisque cela donne à l'ANSSI l'autorité nécessaire vis-à-vis des différents ministères, tout en facilitant ses relations avec le monde de l'entreprise. Le 15 février 2011, l'ANSSI a rendu publique la stratégie de la France en matière de cyberdéfense, qui repose sur les 4 axes suivants :

- faire de la France une puissance mondiale de cyberdéfense et appartenir au premier cercle des nations majeures dans ce domaine ;

- garantir la liberté de décision de la France par la protection de l'information de souveraineté ;

- renforcer la protection des infrastructures vitales nationales ;

- assurer la sécurité dans le cyberespace.

Il a été également décidé de faire de l'ANSSI l'autorité nationale de défense des systèmes d'information.

Cela signifie qu'elle aura pour tâche, en cas d'attaque informatique majeure contre la nation, d'organiser la réponse et de décider des premières mesures urgentes à faire mettre en oeuvre par les administrations et les opérateurs de communications électroniques. Cette capacité vient d'ailleurs d'être testée au cours de l'exercice PIRANET 2012.

La France dispose, avec cette stratégie et avec l'ANSSI, d'outils importants en matière de cyberdéfense.

Pour autant, beaucoup reste à faire dans ce domaine.

Ainsi, avec des effectifs qui devraient être de 280 personnes et un budget de l'ordre de 90 millions d'euros fin 2012, l'ANSSI est encore très loin des services similaires de l'Allemagne ou du Royaume-Uni, qui comptent entre 500 et 700 personnes.

Pour accroître sa capacité d'intervention et de soutien, le Gouvernement a d'ailleurs décidé, en mai dernier, d'accélérer l'augmentation des effectifs et des moyens de l'ANSSI, afin de porter ses effectifs à 360 d'ici 2013, ce dont je me félicite. De plus, les différents ministères restent différemment sensibilisés à cette menace.

Certes, les armées et les ministères régaliens, comme le ministère de la défense ou le ministère de l'intérieur, ont pris des mesures pour assurer la protection de leurs systèmes d'information. Mais il n'en va pas de même de tous les autres ministères ou des infrastructures d'importance vitale.

Nos sociétés sont aujourd'hui dépendantes des systèmes d'information et de communication, qui peuvent être assimilés au « système nerveux » du corps humain. Quel serait aujourd'hui le moyen le plus simple de provoquer une perturbation majeure de notre pays par le biais d'une attaque informatique ?

Un moyen très simple serait de s'en prendre aux hôpitaux, en bloquant par exemple l'alimentation électrique voire même le système de nettoyage, ce qui provoquerait une désorganisation complète du fonctionnement des hôpitaux, avec toutes les conséquences désastreuses sur la vie des malades, et perturberait gravement le fonctionnement de notre système de santé. Et, je pourrais prendre bien d'autres exemples, comme le système bancaire, la distribution d'eau ou encore la distribution d'énergie.

L'exemple du virus STUXNET, qui a endommagé en 2009 les centrifugeuses de la centrale d'enrichissement de l'uranium de Natanz en Iran, et dont Israël pourrait être à l'origine, montre que cela n'est pas une hypothèse d'école.

Je conclurai mon intervention par quelques réflexions inspirées de l'actualité récente.

Premièrement, il me semble que nous ne sommes encore qu'au démarrage de la mise en place d'une véritable politique de cyberdéfense, tant au niveau national, que sur le plan de la coopération internationale.

Il ne s'agit pas de prétendre à une protection absolue. Ce serait assez illusoire. Le propre des attaques informatiques est d'exploiter des failles, de se porter là où les parades n'ont pas encore été mises en place. Mais on peut renforcer la sécurité des réseaux et des infrastructures les plus sensibles, et améliorer leur résilience.

Deuxièmement, il me semble que la coopération internationale sera déterminante pour traiter une menace qui s'affranchit des frontières. Elle existe d'ores et déjà entre les cellules gouvernementales spécialisées ou de manière bilatérale, notamment avec nos partenaires britanniques ou allemands. Elle arrive à l'ordre du jour d'enceintes internationales comme l'OTAN ou l'Union européenne, qui pourrait s'impliquer plus activement, par exemple pour imposer un certain nombre de normes de sécurité aux opérateurs de réseaux, ou en matière de politique industrielle et technologique pour limiter les risques de dépendance aux produits américains ou asiatiques utilisés pour les systèmes d'information.

On peut aussi s'interroger sur la gouvernance de l'internet, ce réseau par lequel transitent ces attaques. Internet est un espace non régulé, dépourvu d'autorité centrale.

Cette situation a-t-elle vocation à perdurer indéfiniment ? Peut-on imaginer, par exemple, renforcer la traçabilité sur internet, et donc restreindre l'anonymat derrière lequel s'abritent les agresseurs ?

C'est un débat qui pourrait s'amplifier dans les années qui viennent et qui figurait d'ailleurs à l'ordre du jour de la présidence française du G 8. Deux conceptions s'opposent toutefois au niveau international : celle des pays occidentaux, qui veulent préserver l'espace de liberté que représente l'Internet, et celle des pays comme la Russie ou la Chine, inquiets du rôle croissant des réseaux sociaux, comme on l'a vu lors du « printemps arabe », et qui souhaitent renforcer le contrôle non seulement sur les systèmes mais aussi sur le contenu même des communications.

Troisièmement, il me semble que beaucoup reste à faire pour sensibiliser le monde de l'entreprise. Assurer la sécurité des systèmes d'information des entreprises n'est pas seulement un enjeu technique. C'est aussi un enjeu économique, puisqu'il s'agit de protéger la chaîne de valeur, notre savoir-faire technologique dans la véritable guerre économique que nous connaissons aujourd'hui, voire un enjeu politique, lorsque les intérêts de la nation sont en jeu. Or, avec l'espionnage informatique, notre pays, comme les autres pays occidentaux, est aujourd'hui menacé par un « pillage » systématique de son patrimoine diplomatique, culturel, économique et scientifique. Comme l'avait déclaré l'ancien ministre britannique de la défense, Liam Fox, « il n'y a pas de ligne Maginot dans le cyberespace. Notre propriété intellectuelle nationale dans le secteur des industries de défense et de sécurité est à la merci de pillage systématique ».

L'ANSSI s'efforce d'inciter les entreprises à respecter des règles élémentaires de sécurité, comme par exemple la réduction du nombre de personnes disposant d'un accès total au système d'information, règles que son directeur, Patrick Pailloux, assimile à des règles d'hygiène élémentaires, mais qui sont souvent considérées comme autan de contraintes par les utilisateurs.

Faut-il aller plus loin et passer par la loi pour fixer un certain nombre de règles ou de principes ? Je pense par exemple à une obligation de déclaration en cas d'incidents ou d'attaques informatiques qui s'appliquerait aux entreprises et aux opérateurs des infrastructures vitales, afin que l'Etat puisse être réellement informé de telles attaques. C'est l'une des pistes que je pense étudier dans le cadre de la préparation de mon rapport d'information.

Je pense aussi que l'Etat a un rôle important à jouer pour soutenir le tissu industriel, et notamment les PME, qui développent en France des produits de sécurité informatique, pour ne pas dépendre de produits américains ou asiatiques.

Enfin, reste la question des ressources humaines. Il existe aujourd'hui peu d'ingénieurs spécialisés dans la protection des systèmes d'information et les entreprises ont du mal à en recruter. Nous devrions mettre l'accent sur la formation et développer les liens avec les universités et les centres de recherche.

Enfin, je pense qu'il faut nous poser la question délicate des capacités offensives. Il existe sur ce sujet, en France comme ailleurs en Europe, un véritable « tabou », comme j'ai pu moi-même le constater lors de mes différents entretiens. Personne ne souhaite réellement en parler. Pour ma part, je pense qu'on ne peut pas se défendre si l'on ne connaît pas les modes d'attaque et si l'on ne dispose pas d'une certaine capacité de dissuasion.

La lutte informatique offensive est prévue par le Livre blanc et la loi de programmation militaire. Mais toutes ses implications ne sont pas aujourd'hui clarifiées. Comment savoir si une attaque se prépare ou est en cours ? Comment établir l'identité des agresseurs ou la responsabilité d'un Etat ? Quelle doctrine d'emploi adopter ? Il faudra que nos experts trouvent des réponses à ces questions.

Je ne sais pas si l'on verra à l'avenir des cyberguerres. Mais je suis certain que notre défense et notre sécurité se joueront aussi sur les réseaux informatiques dans les années qui viennent.

Je vous remercie de votre attention et je suis naturellement disposé à répondre à vos questions.

A la suite de cette communication, un débat s'est engagé au sein de la commission.