La mise en œuvre d’une cyberdéfense française : pour une autonomie française dans le

La cyberdéfense se distingue de la lutte contre la cybercriminalité, mais aussi de la numérisation des armées et des théâtres d’opération. Elle recouvre la politique mise en place par l’État pour protéger activement des réseaux et des systèmes d’information essentiels à la vie et à la souveraineté du pays. Si les cyberattaques et les menaces sont importantes, nombreuses et constatées depuis plus d’une décennie, la mise en place de la cyberdéfense française a été progressive.

a)Des menaces avérées

Depuis la première cyberattaque visant une structure étatique qui a frappé l’Estonie en avril 2007¹, la menace s’est concrétisée et accentuée. Il ne se passe pratiquement pas une journée sans que l’on signale, quelque part dans le monde, des attaques ciblées contre les réseaux de grands organismes publics ou privés.

La France n’est pas épargnée par ce phénomène. Comme l’ont confirmé les représentants des organismes chargés de la protection des systèmes d’information, les administrations², les entreprises ou les

1 L’Estonie, voulant marquer son indépendance vis-à-vis de la Russie, avait décidé de déplacer un monument de l’Armée Rouge du centre de la capitale à Tallinn vers la banlieue. Cette décision montrant le rapprochement estonien des puissances occidentales aurait déclenché une réaction russe, qui n’a pas été officiellement prouvée. La Russie aurait loué les services de hackeurs pour accroître le nombre d’ordinateurs impliqués dans l’attaque en déni de service lancée contre l’Estonie qui a duré quelques jours.

2 Sur ce sujet, voir le récent rapport d'information n° 299 (2018-2019) - 6 février 2019 de MM. Olivier Cadic et Rachel Mazuir, fait au nom de la commission des affaires étrangères, de la défense et des forces armées, Cyberattaque contre « ARIANE » : une expérience qui doit nous servir.

opérateurs d’importance vitale (énergie, transports, santé, etc.) sont victimes chaque jour en France de plusieurs millions d’attaques informatiques.

On peut recenser trois types d’attaques :

- les exemples cités, extraits du rapport de Jean-Marie Bockel¹, sont volontairement datés pour ne pas nuire à l’action des services qui ont été entendus à huis clos par votre commission d’enquête ;

- la perturbation de sites institutionnels, à l’image du site Internet du Sénat, rendu inaccessible fin 2011 lors de la discussion de la loi sur le génocide arménien ; il s’agit de ce que les spécialistes appellent une attaque par « déni de service » : le site Internet est rendu inaccessible car il est saturé de milliers de requêtes ;

- l’attaque informatique d’envergure dont avait fait l’objet, fin 2010, le ministère de l’économie et des finances, dans le cadre de la préparation de la présidence française du G8 et du G20. Il s’agit là d’une vaste intrusion informatique à des fins d’espionnage : un logiciel espion est introduit grâce à un « cheval de Troie », qui se présente sous la forme d’une pièce jointe piégée ouvrant une « porte dérobée » ; l’attaquant peut alors surveiller et prendre, à distance et à l’insu de l’utilisateur, le contrôle de son ordinateur, par exemple pour extraire des données, lire ses messages électroniques, et même écouter ses conversations ou filmer sa victime en déclenchant lui-même le micro ou la caméra de l’ordinateur ; il peut ensuite, par rebonds successifs, prendre le contrôle d’autres ordinateurs, voire de la totalité du réseau ;

- l’espionnage d’opérateurs sensible. Il y a plusieurs années, la presse s’était fait l’écho d’une opération subie par le groupe AREVA, entreprise française du secteur nucléaire.

Les armées sont également la cible de ces cyberattaques. Entendu par votre commission d’enquête², le Général François Lecointre, chef d'État-Major des armées (CEMA) a indiqué que « les armées sont la cible d’attaques informatiques particulièrement nombreuses. Ainsi, en 2018, 831 événements significatifs ont été recensés par le commandement de la cyberdéfense (Comcyber), soit une augmentation de l’ordre de 20% par rapport à 2017. Une centaine consiste en des attaques informatiques avérées, dont six sont caractéristiques de modes d’action de groupes structurés affiliés à des États. Toutes ces attaques ont été menées à des fins d’espionnage de hauts responsables du ministère ou de fonctions opérationnelles.

En 2018, le ministère des armées a été la cible d’attaques par un mode d’action connu de nos services, que certains attribuent à Turla, groupe affilié au service fédéral de sécurité russe. Les cibles identifiées sont des membres du ministère ayant des responsabilités dans le domaine des relations internationales, ou des

1 Rapport n° 681 (2011-2012) sur la cyberdéfense, au nom de la commission des affaires étrangères de la défense et des forces armées.

2 Audition du 25 juin 2019.

fonctions opérationnelles d’intérêt, comme l’approvisionnement en carburant des bâtiments de la marine nationale, afin de suivre les escales de nos bâtiments. ».

b)Une lente montée en puissance de la cyberdéfense

Le Sénat s’est emparé de cette question essentielle qu’est la cyberdéfense dès 2008, avec le rapport d’information de notre collègue Roger Romani¹, puis en 2012, avec le rapport d’information de notre collègue Jean-Marie Bockel² intitulé « La cyberdéfense : un enjeu mondial, une priorité nationale ». Ces rapports constataient que, malgré une prise de conscience des enjeux, notre pays accusait un relatif retard dans la mise en œuvre d’une stratégie de cyberdéfense.

C’est sous l’impulsion du Président Barack Obama que la cybersécurité a été qualifiée de priorité stratégique aux États-Unis, mobilisant plusieurs organismes, au sein du département chargé de la sécurité intérieure ou du Pentagone, comme l’Agence de sécurité nationale (NSA) ou le Cybercommand. De 2010 à 2015, les États-Unis ont consacré 50 milliards de dollars à la cyberdéfense et plusieurs dizaines de milliers d’agents travaillaient sur ce sujet.

Le gouvernement britannique a adopté dès novembre 2011 une nouvelle stratégie, mise en œuvre par le Government Communications Headquarters (GCHQ), l’agence chargée du renseignement technique. Environ 700 agents s’occupaient alors des questions de cyberdéfense et malgré un contexte budgétaire tendu, un effort supplémentaire de 650 millions de livres (750 millions d’euros) a été fourni entre 2010 et 2014 pour la cyberdéfense.

En Allemagne enfin, une stratégie était élaborée dès février 2011, coordonnée par le ministère fédéral de l’Intérieur auquel est rattaché l’office fédéral de sécurité des systèmes d’information (BSI) disposant d’un budget de 80 millions d’euros et de plus de 500 agents.

En France, le Livre blanc sur la défense et la sécurité nationale de 2008 a donné une réelle impulsion à la cyberdéfense qui a abouti, en juillet 2009, à la création de l’Anssi, identifiée comme l’autorité nationale de défense des systèmes d’information Dès février 2011, l’agence a rendu publique la stratégie de la France en matière de cyberdéfense. Toutefois, avec des effectifs de 230 personnes et un budget de l’ordre de 75 millions d’euros, les moyens de l’Anssi étaient alors très loin de ceux dont disposaient les services des pays alliés.

La montée en puissance s’est faite lentement. La cyberdéfense a été érigée au rang de priorité nationale par le Livre blanc pour la défense et la sécurité nationale de 2013. Le Comcyber, unité opérationnelle, commandant de façon organique ou fonctionnelle l’ensemble des forces de cyberdéfense

1 Rapport n° 449 (2007-2008) sur la cyberdéfense, au nom de la commission des affaires étrangères de la défense et des forces armées.

2 Rapport n° 681 (2011-2012) précité.

des armées françaises a été créé en 2017. La loi de programmation pour 2013-2018 a pallié un manque important en imposant aux opérateurs d’importance vitale (OIV) de renforcer la sécurité des systèmes d’information qu’ils exploitent¹. Le réel tournant date de la revue stratégique de cyberdéfense de 2018.

c)La revue de cyberdéfense de 2018 : un document stratégique structurant² La revue stratégique de cyberdéfense a été confiée par mandat du Premier ministre en date du 21 juillet 2017³ au Secrétariat général de la défense et de la sécurité nationale (SGDSN). Elle avait vocation à présenter une vue intégrée des efforts de l’État en matière de cyberdéfense et s’appuyait pour ce faire sur une succession de documents doctrinaux (livres blancs sur la défense et la sécurité nationale de 2008 et de 2013, stratégie nationale de sécurité numérique de 2015 et Chocs futurs, étude prospective à l’horizon 2030 passant au crible les impacts des transformations et ruptures technologiques sur notre environnement stratégique et de sécurité).

Selon la revue stratégique de cyberdéfense du 12 février 2018, la souveraineté numérique peut être entendue : « comme la capacité de la France d’une part, d’agir de manière souveraine dans l’espace numérique, en y conservant une capacité autonome d’appréciation, de décision et d’action, et d’autre part, de préserver les composantes les plus traditionnelles de sa souveraineté vis-à-vis des menaces nouvelles tirant partie de la numérisation croissante de la société ».

La France a donc fait le choix de conserver une autonomie de décision en matière de défense et de sécurité du cyberespace. L’atteinte de cet objectif repose sur les éléments suivants :

- une capacité souveraine à détecter les attaques informatiques qui affectent l’Etat et les infrastructures critiques. Ainsi, l’Anssi développe ses propres systèmes de détection pour la supervision des administrations, et des travaux ont permis de faire émerger des solutions industrielles de confiance pour la France au profit des entreprises. L’Agence a qualifié en avril 2019 les sondes de détection de deux industriels français. En outre, les capacités françaises de détection ont été significativement renforcées par la LPM 2019-2025 qui permet aux opérateurs télécoms de mettre en œuvre des dispositifs de détection au sein de leur réseau et à l’Anssi de déployer une sonde sur le réseau d’un hébergeur infecté par un attaquant. Ce mécanisme entre désormais dans une phase de mise en œuvre pratique ;

1 Ces obligations s’appliquent aux systèmes d’information d’importance vitale (SIIV) désignés par les OIV et comprennent la déclaration d’incidents, la mise en œuvre d’un socle de règle de sécurité et le recours à des produits et à des prestataires de détection qualifiés.

2 Cette partie s’appuie sur la contribution écrite du SGDSN, transmise à votre commission d’enquête suite à l’audition de la SGDSN le 23 mai 2019.

3 Cette revue a fait l’objet de travaux interministériels associant le secteur privé, a été validée par le Président de la République en janvier 2018 puis publiée le 12 février 2018.

- une capacité souveraine à attribuer les cyberattaques. Le choix de développer et de maintenir une telle capacité est une orientation majeure. La maîtrise de telles capacités ne sera accessible à terme qu’à un nombre très limité de pays qui auront fait le choix stratégique de les détenir ;

- une doctrine nationale de découragement et de réaction, reposant notamment sur :

 une méthode nationale d’évaluation de la gravité d’une cyberattaque, intégrant nos normes juridiques (code pénal, code de la défense, règlement général sur la protection des données, etc.). Appelé par la Revue stratégique de cyberdéfense, un schéma de classement des cyberattaques a ainsi été préparé par l’ensemble des acteurs de la cyberdéfense et validé par le Président de la République,

 une doctrine nationale de réponse, fondée sur le principe que la réponse résulte d’une décision politique formulée au cas par cas à la lumière des critères établis par le droit international. La réponse peut se traduire par une attribution publique, par l’adoption de contre-mesures voire, dans la mesure où il n’est pas exclu qu’une cyberattaque puisse atteindre le seuil de l’agression armée, par le recours à la légitime défense au sens de l’article 51 de la Charte des Nations unies ;

- des capacités offensives permettant, face au risque d’agression armée, de disposer d’options de réponse de nature militaire dans le milieu cyber comme dans les autres milieux. L’arme cyber est aujourd’hui pleinement intégrée parmi les capacités opérationnelles des armées, et fait l’objet d’une doctrine qui encadre son emploi dans les opérations militaires sur les théâtres d’opération extérieurs, dans le respect du droit international ; - enfin, la promotion à l’international de la vision française de cybersécurité (qui fait l’objet d’un développement ci-après).