Au cours d'une seconde séance tenue dans l'après-midi, la commission a procédé à l'examen du rapport d'information de M. Roger Romani sur la cyberdéfense.

a indiqué que plusieurs évènements avaient attiré l'attention, au cours des derniers mois, sur le thème de la « cyberdéfense » : les attaques contre les sites internet de l'Estonie, qui ont montré que l'arme informatique pouvait être dirigée contre un Etat en cas de crise politique et diplomatique ; le piratage informatique provenant de Chine dont ont été victimes des diplomates français, comme d'autres responsables occidentaux, en vue de détourner les informations confidentielles contenues dans leurs ordinateurs ; enfin, la publication du Livre blanc sur la défense et la sécurité nationale, qui a identifié les attaques informatiques au rang des menaces qui s'accroissent, et a formulé des orientations importantes pour s'en protéger.

Il a précisé que son rapport se limitait aux menaces mettant en jeu la défense ou la sécurité nationale, c'est-à-dire le fonctionnement de l'Etat ou des infrastructures essentielles, et qu'il avait rencontré, dans le cadre de sa préparation, des personnalités qualifiées, les responsables des principaux services de l'Etat en charge de la sécurité des systèmes d'information, ainsi que plusieurs représentants de grandes entreprises.

a tout d'abord souhaité montrer en quoi la menace d'attaques informatiques augmentait, comment elle se manifestait et pourquoi la protection des systèmes d'information devenait un véritable enjeu de sécurité nationale.

Il a relaté les évènements d'Estonie du printemps 2007, intervenus dans un climat de tension avec la Russie, au cours desquels une vague d'attaques informatiques avait submergé les sites internet du gouvernement, des banques et des opérateurs téléphoniques, les rendant indisponibles durant plusieurs semaines.

Si ces attaques avaient surpris par leur soudaineté, leur ampleur et leur corrélation instantanée avec le contexte politique, elles relevaient d'une catégorie déjà bien identifiée de menaces informatiques : les attaques par déni de service qui visent à saturer un site internet ou un système informatique par des dizaines ou des centaines de milliers de connexions simultanées. Ces connexions sont rendues possibles par l'existence de réseaux d'ordinateurs (botnets) constitués de machines contaminées par un virus informatique et contrôlées par un ou des pirates informatiques.

S'agissant de l'Estonie, les regards se sont tournés vers les services russes, mais aucun lien n'a pu être établi. En tout état de cause, il est extrêmement difficile de remonter jusqu'à la source de l'attaque, car il est facile à l'agresseur de masquer ou déguiser son identité et d'utiliser par « rebonds » une multitude d'adresses successives.

a estimé que des attaques comme celles dont a été victime l'Estonie pouvaient entraîner des perturbations très importantes dans la vie économique et sociale d'une nation, en interrompant des services en lignes utilisés pour les relations avec les administrations, les banques, les services de vente par internet, les centrales de réservation d'avion ou de train, les relations entre les entreprises et leurs sous-traitants ou leurs fournisseurs.

Il a également évoqué le risque que des attaques par déni de service affectent le fonctionnement même de systèmes opérationnels, comme la distribution de l'eau et de l'électricité, la circulation des trains, des métros, des avions, les transactions interbancaires ou les processus de fabrication industriels. Il a précisé que le cloisonnement entre ces réseaux internes et internet devait empêcher un tel cas de figure, mais que dans les faits, très rares étaient les systèmes informatiques totalement isolés de l'extérieur. Il a ajouté que l'on ne connaissait pas d'exemple d'une infrastructure critique qui aurait été arrêtée par une attaque informatique, mais que pour prévenir ce risque, il importait de prendre des mesures de sécurité très strictes et de rester très vigilant sur l'évolution de la menace. Il a cité l'exemple d'EDF qui maintient un isolement quasi-absolu des systèmes régissant la production et la distribution d'électricité et a mis en place des mesures de protection et de surveillance extrêmement poussées.

En ce qui concerne les matériels militaires qui incorporent de plus en plus de logiciels ou produits informatiques acquis sur le marché et s'intègrent dans des réseaux de communication leur permettant de recevoir ou de transmettre des données, il a indiqué que le Livre blanc préconisait un renforcement de nos capacités de lutte informatique, à la fois sur le plan défensif et offensif.

a ensuite évoqué la tentative d'espionnage informatique dont ont fait l'objet plusieurs diplomates français. Il a précisé que l'intrusion se présentait d'une manière anodine, sous la forme d'un courrier électronique nominatif, apparemment légitime, en relation avec le contexte professionnel des intéressés. Toutefois, l'ouverture de la pièce jointe au courrier devait enclencher le démarrage d'un programme informatique permettant à l'expéditeur de pénétrer dans l'ordinateur du destinataire, grâce à un « cheval de Troie », en vue de récupérer, par envois fractionnés et discrets, tout le contenu de l'ordinateur. Ces attaques ciblées sur nos diplomates utilisaient un programme spécialement forgé à cet effet et donc inconnu des mécanismes de sécurité tels que les pare-feux ou les antivirus.

Sur la même période, un très grand nombre de pays occidentaux ont fait l'objet d'intrusions informatiques similaires, désignées sous le nom d'attaques « chinoises », car elles étaient bâties sur le même modèle, ont été menées sur la même période et provenaient toutes de Chine. Toutefois, les commanditaires de ces attaques n'ont pu être précisément identifiés.

a ajouté que le Livre blanc considérait comme certaine la multiplication des tentatives d'attaques menées par des acteurs non étatiques dans les 15 ans à venir, comme hautement probables des attaques dissimulées commanditées par des Etats et comme plausibles des actions massives menées ouvertement par des Etats.

Il a précisé que jusqu'à présent, aucune attaque informatique d'origine terroriste n'avait été signalée, les groupes terroristes disposant toutefois de compétences en matière de systèmes d'information qui pourraient être utilisées dans le cadre de telles attaques.

a ensuite considéré que la France n'était pas suffisamment préparée et organisée pour face à cette menace en développement rapide, et qu'elle accusait même un retard préoccupant et peu justifiable par rapport à des pays voisins comme l'Allemagne ou la Grande-Bretagne.

Ce constat avait d'ailleurs été dressé en 2004 par le Premier ministre Jean-Pierre Raffarin, qui avait lancé un plan de renforcement de la sécurité des systèmes d'information, et confirmé par le rapport qu'il avait confié au député Pierre Lasbordes, publié en janvier 2006.

Le rapporteur a cité les trois lacunes principales du dispositif français de protection des systèmes d'information.

Premièrement, notre organisation est marquée par la dispersion des différents acteurs en charge de la sécurité des systèmes d'information - et donc leur insuffisante coordination - et surtout par la non-application, par les administrations, des prescriptions édictées en la matière.

Deuxièmement, ce dispositif souffre d'une insuffisance flagrante de ses moyens. Le service pivot au niveau interministériel, la Direction centrale de la sécurité des systèmes d'information (DCSSI), compte un effectif stable de 110 agents, alors que son homologue britannique en compte 450 et l'équivalent allemand 500. Malgré la qualité de ses personnels, la DCSSI n'est pas en mesure d'assurer toutes les missions qui lui ont été confiées en matière de conseil, de formation, d'inspection, d'évaluation, d'agrément des matériels de chiffrement, de développement de produits sécurisés, de gestion d'un service de veille, d'alerte et de réaction aux intrusions dans les systèmes d'information de l'Etat, de préparation et de mise en oeuvre des plans Vigipirate et Piranet.

De même, la France ne possède pas, à la différence de l'Allemagne, une capacité centralisée de surveillance et de détection des flux de données transitant entre les administrations et l'internet, ce qui ne lui permet pas de détecter par elle-même des attaques informatiques.

La troisième faiblesse concerne les entreprises qui, à quelques exceptions près, semblent insuffisamment préparées à la menace informatique, notamment les PME.

s'est félicité des orientations définies par le Livre blanc qui marque une inflexion dans la mesure où il identifie clairement la protection de nos systèmes informatiques sensibles comme une composante à part entière de notre politique de défense et de sécurité.

Le Livre blanc prévoit la création d'une agence de la sécurité de systèmes d'information qui aura le statut de service à compétence nationale, sera constituée à partir de l'actuelle DCSSI et en reprendra les attributions avec des ambitions un peu plus larges : extension de la mission de conseil aux opérateurs d'importance vitale ; constitution d'un réservoir de compétences pour assister les administrations dans la conception de la sécurité de leurs systèmes ; gestion d'un centre de détection et de surveillance doté des outils informatiques branchés sur les passerelles reliant les administrations et l'internet afin de repérer les flux anormaux.

Le Livre blanc prévoit également le renforcement des capacités offensives à travers le raffermissement des moyens humains et techniques des services de renseignement et le développement d'une capacité de lutte offensive spécifiquement militaire.

s'est toutefois étonné que le Livre blanc n'évoque qu'un renforcement « sensible » des moyens de l'actuelle DCSSI, alors que ceux-ci sont 4 à 5 fois inférieurs à ceux de ses homologues européens et sont très loin de lui permettre de remplir toutes ses missions actuelles, auxquelles s'ajouteront quelques missions supplémentaires confiées à la nouvelle agence.

Il a, au contraire, plaidé en faveur d'une augmentation résolue des moyens, avec l'objectif à moyen terme d'une équivalence avec les Britanniques et les Allemands et, dans l'immédiat, un plan pluriannuel d'accroissement des effectifs qui pourrait permettre à l'agence de la sécurité des systèmes d'information de disposer, d'ici 3 à 4 ans, d'environ 300 personnes. Un tel renforcement lui a paru indispensable pour permettre à l'agence de développer la labellisation des produits sécurisés, de fortifier les capacités de formation, de conseil, d'audit et d'inspection et de mener une politique de communication active pour sensibiliser les responsables des administrations et des entreprises, comme tous les utilisateurs.

Il a également souhaité une accentuation, au niveau du Premier ministre, de la coordination interministérielle des différents acteurs et de la mise en synergie de leurs moyens.

En vue de permettre à l'agence interministérielle de jouer pleinement son rôle, et sans prétendre l'ériger en tutelle informatique de tous les ministères, il a estimé nécessaire de lui donner un certain rôle directif. Elle devra, par exemple, pouvoir imposer une réduction du nombre de passerelles entre les ministères et l'internet, sur le modèle du réseau français de l'enseignement supérieur et de la recherche, RENATER. Elle devra aussi pouvoir rendre obligatoires certains types de produits sécurisés pour les réseaux les plus sensibles.

Enfin, le rapporteur a suggéré un troisième axe d'effort concernant le partenariat entre les acteurs publics et les entreprises, aujourd'hui très insuffisant. Il a précisé que les entreprises souhaitaient un interlocuteur unique capable de les conseiller, des catalogues plus étoffés de produits labellisés et des échanges d'information et des contacts beaucoup plus fréquents. Il a estimé qu'il reviendrait à la future agence d'assurer ce rôle pour lequel elle devra disposer des moyens supplémentaires nécessaires.

Il a estimé que dans certains domaines, l'Etat et certaines entreprises sensibles avaient des besoins analogues et pourraient mettre en commun leurs ressources pour faire développer, par des entreprises françaises, les produits de sécurité très spécifiques qui leur sont nécessaires.

En conclusion, le rapporteur a souligné la nécessité d'accorder à l'avenir une attention beaucoup plus soutenue aux enjeux de la sécurité des systèmes d'information.

A la suite de l'exposé du rapporteur, M. Josselin de Rohan, président, a souligné l'ampleur des défis à relever pour renforcer la protection de nos systèmes d'information face aux attaques informatiques. Il a rappelé que les pays de l'OTAN avaient pris en compte cette menace en adoptant cette année le concept de cyberdéfense de l'Alliance et en créant un centre d'expertise à Tallin, en Estonie.

Appuyant le rapporteur, M. Josselin de Rohan, président, a insisté sur la nécessité de prolonger rapidement les orientations définies par le Livre blanc au travers de mesures concrètes visant à accentuer la politique de sécurité des systèmes d'information et les moyens qui lui sont consacrés. Il a jugé indispensable de porter ces moyens à la hauteur de ceux de nos partenaires européens. Par ailleurs, évoquant les restructurations à venir au ministère de la défense, il s'est demandé si des spécialistes des armées dans le domaine des systèmes d'information et de communication ne pourraient pas être redéployés vers la future agence chargée de la sécurité des systèmes d'information.

a estimé qu'il était du devoir de l'Etat de renforcer rapidement notre dispositif de protection face aux attaques informatiques, ainsi que l'avait souligné le rapporteur. Il s'est interrogé sur les incidences budgétaires d'un tel renforcement. Par ailleurs, il s'est félicité de constater que des entreprises publiques comme EDF avaient pris les dispositions nécessaires en matière de sécurité informatique, ce qui démontrait que de telles mesures étaient techniquement accessibles, même si elles ne sont pas généralisées au sein de l'Etat et du monde de l'entreprise.

a demandé si les pays européens coordonnaient leurs efforts face à la menace informatique.

a indiqué que la volonté de renforcer les moyens humains en matière de sécurité des systèmes d'information risquait de se heurter à la difficulté de recruter au profit de l'Etat certains spécialistes très recherchés, notamment des mathématiciens de haut niveau. Il a estimé qu'une action devait être menée en amont au profit des filières de formation concernées. Par ailleurs, il a approuvé les remarques du rapporteur s'agissant de la dispersion des différents acteurs impliqués dans la sécurité des systèmes d'information, en souhaitant une coordination plus efficace, sans superposition de structures inutiles.

A la suite de ces interventions, M. Roger Romani, rapporteur, a apporté les précisions suivantes :

- la direction centrale de la sécurité des systèmes d'information dispose aujourd'hui de personnels de grande qualité, mais en nombre très insuffisant ;

- l'affectation de techniciens des armées concernés par les restructurations à venir pourrait effectivement être utilement envisagée pour répondre aux besoins de l'agence chargée de la sécurité des systèmes d'information ; celle-ci aura également besoin de pouvoir recruter de jeunes diplômés sur des contrats à durée déterminée leur permettant ultérieurement de rejoindre, s'ils le souhaitent, le secteur privé ;

- l'impact financier d'un renforcement des moyens humains serait modique, puisqu'il s'agirait, d'ici à trois ou quatre ans, de porter les effectifs de l'actuelle direction centrale de la sécurité des systèmes d'information de 100 à environ 300 agents, avec à moyen terme l'objectif d'atteindre un niveau proche de celui des Allemands ou des Britanniques, qui disposent d'environ 500 agents dans leurs services équivalents ;

- les autorités européennes ont pris conscience des enjeux de la sécurité des systèmes d'information, mais n'ont pas mis en place pour l'instant de structure permettant d'apporter une véritable réponse commune ;

- la coordination interministérielle des différents intervenants doit être améliorée afin d'assurer une meilleure synergie des actions et des moyens.

Puis la commission a examiné le rapport d'information de M. Philippe Nogrix sur les systèmes d'information et de communication (SIC) au sein de l'armée française.

a rappelé que la commission lui avait confié, au mois de février dernier, une mission d'information sur les systèmes d'information et de communication (SIC) au sein de l'armée française. Il a donc décrit la nature des travaux effectués dans ce cadre et a constaté qu'ils avaient démontré le caractère à la fois crucial et évolutif du rôle joué par les SIC dans une armée moderne.

a souligné que la diversité des aspects liés aux SIC l'avait conduit à axer son intervention sur les éléments recueillis lors de ses déplacements, avec des « coups de projecteur » donnés aux problématiques de ces SIC dans chaque armée.

Il a rappelé que son premier déplacement l'avait conduit, dans l'armée de terre, à Orléans, au sein de la deuxième brigade blindée, qui constitue l'une des deux premières unités numérisées.

La NEB (numérisation de l'espace de bataille) vise à équiper l'armée de terre de matériels informatiques permettant de recueillir, traiter et diffuser les informations décrivant la situation sur le terrain, puis de les transmettre au commandement. Analogue à un « intranet du champ de bataille », ce système permet à ce commandement de disposer, de façon fiable et rapide, d'une image concrète du terrain, avec ses spécificités topographiques, ainsi que des positions des forces en présence.

Il a souligné que la NEB visait à réduire la « boucle » décisionnelle pour prendre l'adversaire de court, conférant ainsi un avantage déterminant au décideur le mieux et le plus vite informé.

Le rapporteur a rappelé que la deuxième brigade blindée avait déjà expérimenté cet outil en Afghanistan et au Liban, et, que la numérisation progressive de l'armée de terre, qui concernera toutes les brigades projetables, d'ici à 2013, situera nos forces, dans ce domaine, à un niveau équivalent à celui des forces américaines.

Puis il a évoqué le déplacement effectué à Brest et consacré aux spécificités des communications au sein de la marine.

Il a souligné que la problématique des transmissions au sein de la marine était fondée sur une longue pratique, car chaque bâtiment en partance était considéré comme en opération, quelle que soit la nature de sa mission (entraînement, surveillance, exercices interarmées ou interalliés).

Il a fait valoir que les SIC d'un navire de combat répondaient à une triple exigence de diversité, de redondance et de flexibilité, car ils doivent garantir la continuité des liaisons du bâtiment avec les autres navires, ainsi qu'avec le commandement à terre. Il a souligné que la gestion des SIC embarqués devait être assurée par un personnel à effectifs restreints, capable d'assumer l'ensemble des tâches nécessaires à leur maintenance. Il a constaté que la principale source de complexité tenait à la création de SIC « de circonstance », devant être réalisés sous faible préavis. Chaque opération de ce type requiert l'établissement de connections entre des réseaux souvent non compatibles, en particulier, entre alliés. Il s'est félicité de la mise en service du système Syracuse III, qui augmentera les débits permis par Syracuse II.

Puis M. Philippe Nogrix, rapporteur, a exposé les éléments recueillis lors de ses déplacements sur les bases aériennes de Creil et de Mont-de-Marsan.

Il a rappelé que c'était à Creil qu'étaient transmises, puis analysées, les données procurées par le satellite militaire Hélios II, lancée en 2004 et fournissant des renseignements optiques et infrarouges. Il s'est félicité de la mise au point, sur la base de Mont-de-Marsan, du système « Scarabée », qui permet la transmission aux pilotes d'images fournies par les éléments au sol, qui améliorent la précision des frappes aériennes et réduisent ainsi les risques de tirs fratricides, ou de frappes touchant, par erreur, les populations civiles. Il a rappelé que ce système avait été mis au point en réponse aux difficultés spécifiques du théâtre afghan.

Puis il a évoqué le rôle joué par la DIRISI (Direction Interarmées des Réseaux d'Infrastructures et des Systèmes d'Information), créée fin 2003, dont la mission est de faire converger tous les besoins de communication des armées. Cette direction est chargée de satisfaire tous les besoins des armées en SIC, sur le territoire national et en OPEX, c'est-à-dire de relier les forces où qu'elles se trouvent et quelle que soit leur nature. Elle constitue un opérateur global, chargé de l'ensemble du spectre des communications, quel que soit leur support (télécom, radio, internet, satellite), sur l'ensemble du globe. Deux moyens principaux assurent cette ouverture : le système Syracuse au niveau mondial et le réseau Socrate, sur le territoire métropolitain, qui est relié à Syracuse.

a souligné combien les besoins de communication de tous ordres exprimés par les opérationnels étaient en croissance exponentielle.

Puis il a évoqué les objectifs fixés dans ce domaine par l'état-major des armées, qui assure la mise en cohérence des SIC. Il a rappelé que les études prospectives avaient souligné l'apport inégalé des vecteurs spatiaux à la fourniture des informations nécessaires à une appréciation autonome d'une situation de crise.

Il a rappelé que, dans ce domaine, le document de référence était celui rédigé, en 2004, par le groupe de travail sur les orientations stratégiques de la politique spatiale de défense, dit « GOSPS », dont les conclusions, remises au ministre de la défense en 2004, sous forme classifiée, ont conduit à la publication, en février 2007, d'un rapport d'orientation sur « la politique spatiale de défense pour la France et pour l'Europe ».

Les aspects fonctionnels de ce document, dont les propositions excèdent largement la problématique des SIC, tiennent en trois axes directeurs :

- privilégier l'effort opérationnel et fournir plus de services, issus des capacités spatiales, aux forces sur le terrain ;

- améliorer les capacités d'écoute des ondes électro-magnétiques présentes dans l'espace, non pour en décrypter le contenu, mais pour en permettre une typologie ;

- renforcer le recours aux coopérations européennes.

s'est félicité des réalisations d'ores et déjà acquises avec les satellites Hélios, réalisés par la France, l'Italie et l'Espagne, et le projet MUSIS (Multinational space-based imaging system), fruit d'une coopération entre la France, l'Allemagne, la Belgique, l'Espagne, la Grèce et l'Italie. Il a souhaité un renforcement de la conception et l'exploitation satellitaires conjointement avec le secteur civil, qui recueille de nombreuses informations en matière de géographie, océanographie ou météorologie, utiles aux armées.

Il a insisté sur les apports de cette coopération duale, qui réduit les coûts par la mutualisation des informations, citant, en exemple, le projet « Pléiades » mené en coopération entre les agences spatiales espagnole, belge, italienne, autrichienne, suédoise et française.

Puis il a souligné que le défi le plus difficile à relever en matière de SIC résidait dans la capacité à satisfaire des besoins exponentiels en matière de télécommunications, domaine dans lequel les demandes des secteurs civil et militaire entrent en concurrence.

En conclusion, il s'est félicité de ce que notre pays possède de nombreuses compétences dans les domaines de l'espace, des réseaux numériques du champ de bataille, ou du recueil d'imagerie optique, mais a reconnu qu'il convenait de mieux les valoriser.

s'est réjoui de ce que ce rapport fasse état de la présence d'outils performants au sein de l'armée française, et qu'il révèle donc, plus que des carences, des capacités à renforcer.

a fait état d'une récente visite effectuée sur la base de Creil, qui lui a fait découvrir l'apport considérable du travail effectué par les géographes militaires.

a estimé que ce type de rapport d'information était de nature à soutenir les efforts des techniciens et des militaires pour s'adapter aux nouvelles technologies.

a souligné combien la rapidité des transmissions permises par l'informatique accélérait les capacités de décision.

a souhaité que les avis budgétaires réalisés par la commission prennent en compte les informations contenues dans les rapports d'information.