Comment s'organise l'Etat français pour lutter contre la cybercriminalité

Comment s'organise l'Etat français pour lutter contre la cybercriminalité Le cyber a mené à la création de plusieurs instances publiques, au sein de l'armée et du renseignement, mais pas que. Tour d'horizon.

La France s'est dotée d'acteurs cybers depuis le début des années 2000. L'objectif ? Développer des capacités offensives et défensives, tout en s'organisant pour que le cyber ne soit pas entre les mains d'une seule institution mais de plusieurs.

L'armée

L'armée française s'organise sous la forme suivante : armée de Terre, armée de l'Air et de l'Espace et Marine nationale. Chacune de ces trois composantes possède des unités cyber mais, pour une question d'organisation, elles ont toutes été concentrées sous les ordres du COMCYBER (Commandement de la cyberdéfense). Ce dernier a été créé en 2017 par décret, il dirige et conçoit les opérations militaires liées à la cyberdéfense. Il doit également protéger les systèmes d'information de l'armée contre toutes les tentatives de cyberattaque, sachant que la DGSE (Direction Générale de la Sécurité Extérieure) et la DRSD (Direction du Renseignement et de la Sécurité de la Défense) sont hors de sa juridiction et sont autonomes en matière de cyber.

Ce COMCYBER possède des capacités défensives mais aussi offensives. L'une des unités qui lui sert de bras armé est la 807ème compagnie de transmissions. Le COMCYBER s'articule donc autour de deux stratégies distinctes : la LID (la lutte informatique défensive) et la LIO (la lutte informatique offensive). La LID possède six objectifs :

  • Faire de la pédagogie auprès des militaires sur les risques liés à l'utilisation de l'espace cyber.
  • Anticiper en pouvoir évaluant les risques de cyberattaques et activer des actions préventives en cas de risque élevé, cette mission se faisant avec l'aide de l'ANSSI.
  • Protéger les infrastructures informatiques dépendants de se responsabilité.
  • Détecter les possibles menaces cyber en collaboration avec des partenaires nationaux et internationaux.
  • Réagir en combattant une cyberattaque, en liaison avec l'ANSSI.
  • Identifier les assaillants pour identifier la paternité d'une cyberattaque, le COMCYBER enquête et réunit un faisceau d'indices, cependant c'est aux chefs politiques de décider d'attribuer ou non une cyberattaque à un pays ou à une organisation.

De son côté, La LIO repose sur trois axes.

  • Le renseignement, donc la capacité de pouvoir identifier les moyens cyber de l'adversaire et d'analyser ses systèmes.
  • La défense, c'est à dire l'identification de l'attaquant puis sa neutralisation si nécessaire.
  • L'action, qui consiste à contrer la désinformation en ligne et à accompagner une manœuvre militaire via des cyberattaques qui auront pour but d'aveugler l'ennemi. Il est à noter que la LIO prend un compte le cadre OTAN et donc ses actions peuvent se faire avec l'aide des autres membres de l'alliance comme une opération militaire classique. Les opérations du COMCYBER sont strictement encadrées par le code de la défense.

Le monde du renseignement

Les agences de renseignement occupent une place à part dans le monde de la cyberdéfense car elles sont pleinement autonomes. Cette autonomie vient déjà de la nature de leur travail qui doit rester confidentiel et aussi du fait qu'elles ont développé des outils de cybersécurité bien avant tout le monde.

Pour commencer la DRSD (Direction du Renseignement et de la Sécurité de la Défense) est chargée de la protection des acteurs de la communauté de la Défense. Elle doit empêcher toutes tentatives de renseignement ennemi auprès de ces acteurs. Elle doit aussi empêcher le recrutement de membres de l'armée par un Etat étranger. Pour ce qui est du cyber, elle possède ses propres moyens techniques et humains mais elle travaille aussi avec d'autres membres de la communauté de la cybersécurité comme l'ANSSI, par exemple.

Ensuite, la DGSE (Direction Générale de la Sécurité Extérieure) avec en son sein la DT (Direction Technique et de l'Innovation). A ses débuts, la DT était en charge de la sécurisation des transmissions émanant de la DGSE et des instances gouvernementales. Puis, elle s'est mise au cyber. Elle développe désormais des outils à la fois offensifs et défensifs pour l'entièreté de la communauté cyber française, tout en menant des opérations de renseignement dans le cyber espace. La DT est beaucoup plus libre que le COMCYBER. Pour mener ses opérations, elle n'a pas à respecter le code de la défense et agit donc dans la zone grise allouée aux renseignements.

La DGSI (Direction Générale de la Sécurité Intérieure) possède elle aussi une branche cyber. Elle collabore étroitement avec l'ANSSI pour protéger les Français face aux menaces cyber actuelles et à venir. Elle agit pour la protection du territoire, dans un rôle de défense et de surveillance de menaces qui ciblent le territoire national.

Les forces de sécurité

La Police et la Gendarmerie possèdent elles aussi des capacités cyber, mais distinctes. La Gendarmerie est dotée du ComCyberGend (Commandement de la Gendarmerie dans le cyberespace) créé en 2021, qui centralise toutes les actions de la Gendarmerie liées au cyberespace. Il a sous son autorité le C3N qui est le Centre de lutte contre les criminalités numériques, ainsi que le réseau CYBERGEND qui réunit les gendarmes dotés d'un savoir cyber. En 2023 toutes ses unités devront avoir un référent cybersécurité. De son côté, la Police nationale s'est dotée en 2014 de la Sous-Direction de la Lutte contre la Cybercriminalité (SDLC).

La Police nationale et la Gendarmerie font ce qu'on pourrait appeler de la cybersécurité du quotidien. Elles protègent l'ensemble de la population face au danger du cyber espace et sont en première ligne lors de cyberattaques paralysant des entreprises. Elles reçoivent les plaintes des victimes, tentent de contrer les cyberattaques et enquêtent pour identifier les cybercriminels.

L'ANSSI

L'Agence nationale de la sécurité des systèmes d'information (ANSSI), créée en 2009, a pour mission de protéger les systèmes d'information de l'Etat. De plus, elle doit conseiller et soutenir les administrations et les opérateurs d'importance vitale. Elle est souvent, avec les forces de sécurité, la première à intervenir lors d'une cyberattaque sur une administration, une grande entreprise ou un opérateur.

L'ANSSI a aussi pour mission de qualifier la qualité des produits et des prestataires pour tout ce qui est lié de près ou de loin à la cybersécurité. Ce travail de qualification permet de faciliter la vie des consommateurs et des entreprises dans un marché de la cybersécurité vaste et complexe. L'ANSSI sert aussi de structure centrale dans le monde des acteurs français de la cybersécurité. Comme nous l'avons vu, la plupart des acteurs qu'ils soient militaires ou civils travaillent et échangent avec elle car l'agence a su se doter d'un véritable savoir-faire.

Cybermalveillance.fr

Le Groupement d'Intérêt Public contre la Cybermalveillance (GIP ACYMA) a été créé il y a 5 ans. Sa première mission est d'appuyer et d'assister les victimes de cyberattaques. On peut les contacter via leur site Internet et créer un parcours de victime pour recevoir de l'aide de leur part en cas de cyberattaque. Majoritairement, ce sont des particuliers et des PME qui entrent en contact avec Cybermalveillance, ces deux groupes se sentant souvent délaissés par les autres acteurs de la cybersécurité. Mais le groupement ne fait pas que de l'assistance aux victimes, il réalise aussi un travail de pédagogie dont l'objectif est de sensibiliser les particuliers et les PME aux danger liés aux cyberattaques. Pour finir, Cybermalveillance mène aussi un travail de veille pour s'adapter au mieux face aux nouvelles cybermenaces.