Un système de cyberdéfense réellement efficace en France ?

Après les attaques terroristes de janvier 2015, la France semble prendre conscience de l'importance de ses effectifs militaires. Tandis que François Hollande a annoncé un arrêt dans les coupes salariales de la défense, le domaine de la cybersécurité devrait voir ses effectifs grossir.

Les événements tragiques de Charlie Hebdo, Montrouge et Vincennes, début janvier, n'ont pas seulement ébranlé la conscience collective ou déstabilisé l'équilibre – précaire – entre la sphère religieuse, privée, et son expression dans l'arène publique. Les questionnements issus de ce drame ne sont pas uniquement philosophiques, même si ces derniers semblent éminemment nécessaires pour le devenir de la démocratie. Plus matérielles sont les questions que se posent aujourd'hui le gouvernement et les spécialistes sur la défense des intérêts de la nation, notamment et de plus en plus vis-à-vis d'internet. Tandis que, depuis les attentats perpétrés en janvier dernier, environ 25 000 sites internet français ont été attaqués – dont 1 300 par des islamistes –, les enjeux de la cybersécurité n'ont semble-t-il jamais été autant débattus dans l'Hexagone.

L'enjeu réel de la cybersécurité

D'aucuns affirmeront que ce débat devait avoir lieu un jour ou l'autre ; Internet a pris une dimension telle dans la vie quotidienne qu'il n'était plus possible d'éluder la discussion. Au-delà des attaques terroristes parisiennes, la Toile apporte depuis quelques années maintenant les preuves de son utilité, certes, mais également de ses dérives et, par-là, de ses dangers. Dernier épisode retentissant en date : le chassé-croisé – ou la surenchère – de cyberpiratage américano-nord-coréen, dans le cadre de l'affaire Sony Pictures. Avant cela, les révélations d'Edward Snowden, en 2013, sur les pratiques de cyberespionnage réalisées par la NSA aux Etats-Unis, avaient provoqué un tollé général chez les alliés de Washington.

Le corollaire nécessaire à l'expansion d'Internet dans notre quotidien – et notamment celui des affaires internationales – est par conséquent de se prémunir d'un système de défense efficace. Seul problème : la sécurité informatique coûte cher. Par conséquent, comme le constate Alain Bouillé, président du Club des experts de la sécurité de l'information et du numérique (CESIN), « si les plus grosses entreprises françaises disposent de responsables de sécurité informatique, ce n’est pas forcément le cas des petites et moyennes entreprises (PME). L’état de leur sécurité informatique est plus préoccupant. » De plus, si les pirates s'attaquent massivement aux établissements bancaires – pour les données bancaires – ou aux entreprises de distribution – pour les données clients –, comme ce fut le cas l'an dernier dans l'affaire Target aux Etats-Unis, plus préoccupants sont les cas de piratages de données revêtant un intérêt national.

« La LPM nous confère des outils forts pour protéger les OIV »

De telles données sont, par exemple, détenues par les Opérateurs d'importance vitale (OIV) en France. Ces organismes, identifiés par l'Etat comme ayant des activités d'importance vitale, sont régis par le code de la défense, dont l'article R. 1332-2 dispose notamment que les biens et services produits ou distribués par ceux-ci ont trait à « la satisfaction des besoins essentiels pour la vie des populations ; l'exercice de l'autorité de l'Etat ; le fonctionnement de l'économie... ; ou sécurité de la Nation. » Les OIV ont par conséquent l'obligation d'identifier les points névralgiques de leur système, et d'observer les exigences de protection propres à leur secteur. In fine, comme précisé dans la loi de programmation militaire (LPM) pour 2014-2019, l'Etat, à travers 4 mesures principales, reste le garant de la sécurité des OIV.

Aussi la personne morale suprême doit-elle : fixer des obligations, comme l'interdiction de connecter certains systèmes à Internet ; mettre en place des systèmes de détections des risques ; vérifier le niveau de sécurité grâce à des audits ; imposer les mesures nécessaires aux OIV en cas de crise majeure. Et ce pour un grand nombre d'opérateurs, dans des secteurs aussi divers que variés, mais toujours sensibles : banques, transports, énergie, télécommunications. Un service à compétence nationale rattaché aux services du Premier ministre, l'Agence nationale de la sécurité des systèmes d'information (ANSSI), a été créé en 2009 ; il est chargé de proposer les règles à appliquer pour la protection des systèmes d'information de l'Etat. Actuellement dirigé par Guillaume Poupard, cette agence de cybersécurité doit également, depuis l'adoption de la LPM, prendre le contrôle du système d'information d'un OIV attaqué afin de le déconnecter de tout réseau.

François Hollande a récemment estimé qu'il était nécessaire de stopper la déflation des effectifs militaires en France. Dès cette année, le ministre de la défense, Jean-Yves Le Drian, a donc annoncé que 1 500 effectifs seraient conservés ; un total de 7 500 sur la période 2015-2018. La cyberdéfense devrait, par le biais d'embauches d'analystes et d'experts, voir sa masse opérationnelle grossir. Pourtant, de l'aveu même de Guillaume Poupard, « la loi de programmation militaire nous confère maintenant des outils forts pour protéger les opérateurs d'importance vitale ». Si, de l'avis général, les cyberattaques islamistes ont fait preuve d'amateurisme en la matière, certains agitent le spectre d'une attaque massive, comme ce fut le cas en Estonie, en 2007. Les réseaux informatiques des services publics, ceux des banques et de tous les systèmes connectés, avaient été bloqués, plongeant le pays dans une paralysie de plusieurs jours. « L'Estonie, c'était la première attaque massive. Mais c'était il y a sept ans. Aujourd'hui, ce serait beaucoup plus grave », alerte Eduardo Rihan Cypel, député socialiste spécialisé dans la défense et la sécurité nationale. Un brun apocalyptique, cette éventualité interroge sur l'effectivité supposée de notre système de cyberdéfense. Remet-elle en question la déclaration de Guillaume Poupard ?

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.