Défense : La France s'organise face aux menaces informatiques

Le livre blanc sur la défense et la sécurité nationale présenté par Sarkozy tient compte des attaques contre les systèmes d'information et préconise la création d'une agence dédiée. Internet devient même une infrastructure vitale.

Si l'annonce des 54 000 suppressions de postes dans les rangs de l'armée a monopolisé l'attention, ce point est cependant loin d'être le seul traité dans le volumineux livre blanc de la Défense présenté cette semaine par Nicolas Sarkozy. La sécurité nationale prend désormais clairement en considération la sécurité des infrastructures informatiques.

"Face à une menace croissante d'origine étatique ou non étatique, la France doit se doter à court terme d'une capacité réactive de défense de ses systèmes d'information. Seront développés, à cette fin, nos moyens de détection précoce des attaques informatiques en mettant sur pied un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en œuvre de mécanismes de défense adaptés", mentionne ainsi le livre blanc.

Le rapport traduit également une prise de conscience des risques encourus par les systèmes informatiques français, qu'ils appartiennent directement à l'Etat ou aux entreprises hexagonales, notamment dans les secteurs des transports et de l'énergie. Les moyens d'information et de communication permis par Internet sont ainsi présentés comme les systèmes nerveux de notre société, mais dont le maillage complexe et international rend difficile l'identification de possibles attaquants.

Le rapport français nomme clairement les menaces, qu'il qualifie de multiforme : blocage malveillant, destruction matérielle, neutralisation informatique, vol ou altération de données, voire prise de contrôle d'un dispositif à des fins hostiles. Ces attaques, anticipées comme inéluctables dans les quinze ans à venir, pourraient être le fait d'acteurs eux aussi multiples, qu'il s'agisse de pirates, d'organisations criminelles, d'activistes ou encore d'autres acteurs non étatiques.

Les attaques étatiques dissimulées, qualifiées de hautement probables

Le livre blanc n'écarte pas non plus les risques d'attaques informatiques menées par d'autres pays. Les accusations récurrentes des Etats-Unis dirigées contre la Chine, ou encore l'implication présumée de la Russie dans l'offensive numérique contre l'Estonie, ont probablement concouru à rendre plus tangibles ce type de menaces étatiques. Le rapport insiste d'ailleurs plus particulièrement sur les tentatives dissimulées, qualifiées de hautement probables.

La structuration des réseaux rend toutefois les stratégies de défense passive et périmétrique moins efficaces. Le livre blanc préconise de façon sibylline "le passage à une stratégie de défense active en profondeur, combinant protection intrinsèque des systèmes, surveillance permanente, réaction rapide et action offensive". Cette évolution stratégique ne pouvant s'amorcer sans une impulsion gouvernementale et un changement des mentalités, ajoute le document.

Le livre blanc encourage par conséquent l'Etat à développer son expertise en matière de sécurité des SI, mais aussi à la diffuser auprès d'autres acteurs économiques, dont les opérateurs de réseaux dont la disponibilité des infrastructures de communication dépend en grande partie. Internet est effet présenté dorénavant comme une infrastructure vitale, impliquant de fait que des projets soient entrepris pour en améliorer la résilience.

Des dispositions réglementaires sont d'ailleurs annoncées dans le livre blanc afin de créer pour les opérateurs de communications électroniques l'obligation de mettre en œuvre "les mesures techniques et d'organisation nécessaires à la protection de leurs réseaux contre les pannes et les attaques les plus graves". La nouvelle agence chargée de la sécurité des systèmes d'information pourrait bien avoir en charge l'audit de ces mesures techniques.

Création d'une nouvelle agence sous tutelle du SGDSN et du 1er ministre

La France envisage en effet de confier à une agence la responsabilité de sa sécurité informatique. Placée sous tutelle du SGDSN (Secrétariat général de la défense et de la sécurité intérieure) et relevant du Premier ministre, elle regroupera et complètera les effectifs et moyens de la direction du SGDN, pour l'heure en charge de ces problématiques de sécurité.

Pour remplir sa mission, cette agence disposera des moyens de faire développer et d'acquérir les produits de sécurité. Elle assurera également des fonctions de conseil auprès du secteur privé, dont les domaines d'activité d'importance vitale, ainsi que de diffusion de la sécurité, notamment via le développement de sites Web dédiés.

Les menaces informatiques étant par nature internationales, cette nouvelle entité française devrait assurer un rôle de liaison avec les principaux partenaires français, notamment européens. Le livre blanc attribue ainsi un rôle majeur à l'agence pour favoriser le développement d'une politique de sécurité des réseaux de communication à l'échelle européenne.

A cette agence, seront en outre associés des experts regroupés sur le territoire au sein d'observatoires de la sécurité des systèmes d'information. Ces derniers seront placés auprès des préfets de zone et auront entre autres pour charges la formation, le conseil aux administrations locales, et la remontée de signaux pour la prévention d'incidents.

Les fournisseurs de solutions de sécurité français auront enfin relevé dans le livre blanc la volonté de l'Etat français de s'appuyer sur "des capacités industrielles nationales suffisantes, développant une offre de produits de très haute sécurité totalement maîtrisés pour la protection des secrets de l'État, ainsi qu'une offre de produits et de services de confiance labellisés à laquelle recourront les administrations et qui seront largement accessibles au secteur économique".