Cybercriminalité : la France en danger face à la Chine

Le sénateur Jean-Marie Bockel a rendu son rapport. Le constat est accablant : la France ne dispose pas des moyens nécessaires pour faire face aux attaques informatiques, notamment en provenance de la Chine.

La France n'a pas pris conscience de la menace grandissante liée à la cybercriminalité. C'est en substance la conclusion du rapport très attendu de Jean-Marie Bockel. Sur 150 pages, le sénateur détaille l'état de la cyberdéfense française, et surtout met en avant ses points de faiblesse. Titré "La cyberdéfense : un enjeu mondial, une priorité nationale", le document revient notamment sur les récentes affaires illustrant les failles du dispositif de sécurité informatique français : le piratage de Bercy fin 2010, mais aussi la vaste attaque ayant ciblée le Palais de l'Elysée avant la présidentielle. Jean-Marie Bockel revient également sur l'affaire d'espionnage d'Areva - dont le système d'information avait fait l'objet d'intrusions pendant près de deux ans, avec à la clé le vol probable de secrets industriels. 

Des moyens industriels existants, mais peu coordonnés et peu soutenus par l'Etat

Mais, le sénateur salue aussi les progrès réalisés depuis 2008, évoquant notamment la création de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) et la définition d'une première stratégie de cyberdéfense. Il relève également les initiatives prises individuellement en la matière par plusieurs ministères : la Direction Générale de l'Armement (DGA), les services de renseignement français et le ministère de l'Intérieur. Il relève néanmoins l'absence d'une politique suffisamment concertée et coordonnée de protection des systèmes d'information de l'Etat, et donc l'urgence de la mettre en place.

De même au niveau des différents acteurs de la recherche, le rapport pointe du doigt un manque de stratégie commune et l'éparpillement des différents organismes publics de recherche (CNRS, INRIA, CEA-LETI), qui "s'ignorent le plus souvent". Sans compter une coopération insuffisante de ces organismes avec l'ANSSI ou la DGA. Il prône la piste d'une meilleure coordination, notamment via le lancement d'une fondation, mais également la création d'un budget spécifique de recherche et développement dans ce secteur.

"De même qu'il existe en France une base industrielle et technologique de défense (BITD), il devrait exister une base industrielle et technologique en matière cyber (BITC)", souligne aussi le rapport. Pour Jean-Marie Bockel, la France possède un grand nombre d'acteurs industriels dans ce domaine. Il évoque notamment Alcatel-Lucent, EADS, Thales, Bull ou Sogeti, mais aussi des PME tel Netasq ou Arkoon, ou encore que des prestataires comme Devoteam. "L'Etat devrait donc soutenir, par une politique industrielle volontariste, ce tissu industriel, notamment des PME, proposant des produits ou des services importants pour la sécurité informatique", indique le sénateur, évoquant notamment la piste d'un renforcement du financement public dans ce secteur. 

elyseea solutions dsi 1314209
L'Elysée a été touché par la cyberattaque juste avant la présidentielle. © Jean Jacques REVEREND - Galerie Photos de Linternaute

Interdire les routeurs chinois susceptibles d'intégrer des agents d'écoute

Sur le plan de la cyberdéfense, Jean-Marie Bockel recommande l'interdiction des routeurs cœurs de réseaux d'origine chinoise, notamment commercialisés par Huawei et ZTE. " Rien n'empêcherait, en effet, un pays producteur de ce type d'équipements d'y placer un dispositif de surveillance, d'interception, voire un système permettant d'interrompre à tout moment l'ensemble des flux de communication", note le sénateur.

D'autant que placer un tel dispositif de surveillance directement au cœur du "routeur de réseaux" rendrait ce dispositif presque totalement "invisible" et indétectable. "Aux Etats-Unis, les autorités ont d'ailleurs pris ces dernières années plusieurs mesures afin de limiter la pénétration des équipementiers chinois Huawei et ZTE sur le marché américain pour des raisons liées à la sécurité nationale", constate Jean-Marie Bockel.

Sur ce point, le rapport fait référence un article du Wall Street Journal, qui évoque une récente enquête lancée par plusieurs parlementaires américains sur les activités de Huawei et de ZTE aux Etats-Unis. Il pointe du doigt des relations entretenues par ces sociétés avec le gouvernement et le comité central du parti communiste chinois. "Nous sommes très inquiets par les attaques informatiques menées par le gouvernement chinois à l'encontre de nos réseaux nationaux. Notre inquiétude porte sur la possibilité pour le gouvernement chinois d'accéder par l'intermédiaire des équipements Huawei ou ZTE aux conversations téléphoniques ou aux e-mails, et qu'il puisse interrompre ou détruire les systèmes de communication", explique notamment le parlementaire Dutch Ruppersberger dans cet article.

L'importance vitale de se doter d'une politique offensive

Mais au-delà des mesures visant à sécuriser les systèmes d'information français, Jean-Marie Bockel milite en faveur du développement de capacités offensives en matière informatique. Raisons invoquées : connaitre les techniques de cyber-attaque permet de mieux se défendre, et disposer de moyens d'attaque peut également jouer un rôle dissuasif. Enfin, le cyberespace paraît "inévitablement voué à devenir un domaine de lutte comme le monde réel". D'où l'importance de bâtir cette politique offensive.

Chine / PME