Face aux menaces croissantes qui pèsent sur nos institutions et nos entreprises, Jean-Marie Bockel, sénateur du Haut-Rhin, ancien ministre, a réalisé un rapport d’information sur la cyberdéfense qu’il présente aujourd’hui. Ce rapport, dresse une liste de 10 priorités (voir page 2) qui devrait permettre à la France d’être mieux armée et de pouvoir mieux riposter en cas d’attaques informatiques.
Après avoir présenté l’état de la cyberdéfense française et cité quelques cas concrets et récents tels le piratage de Bercy fin 2010, l’attaque de l’Elysée avant la présidentielle ou encore l’affaire d’espionnage d’Areva, Jean-Marie Bockel a mis en avant ses points de faiblesse : « Avec le développement de l’Internet, les systèmes d’information sont devenus les « centres nerveux » de nos sociétés. La question est de savoir si la France est suffisamment organisée et préparée pour faire face à une attaque contre nos systèmes d’information ? »
S’il note d’importantes avancées depuis le Livre blanc sur la défense et la sécurité nationale de 2008 (création en 2009 de l’agence nationale de la sécurité des systèmes d’information – ANSSI et mise en place en 2011 d’une stratégie nationale), pour autant le sénateur reconnait que « Notre dispositif connaît encore d’importantes lacunes. Nous sommes encore loin d’être au niveau des services similaires au Royaume-Uni ou en Allemagne. Les entreprises françaises, notamment les PME, restent insuffisamment sensibilisés à la menace.»
Selon le sénateur, renforcer la sécurité et la défense des systèmes d’information va au-delà d’un simple enjeu technique. C’est aussi un enjeu économique, puisqu’il s’agit de protéger notre savoir-faire technologique et un enjeu stratégique, lorsque les intérêts de la nation sont en jeu.
Le sénateur centriste s’alarme : « Il n’y a pas de « ligne Maginot » dans le cyberespace. Notre pays est menacé par un pillage systématique de son patrimoine diplomatique, économique, scientifique et culturel.
De plus, notre pays présente selon le sénateur « un véritable talon d’Achille » puisque la France ne dispose pas de capacités de protection et de systèmes permanents de détection des attaques informatiques à l’entrée des réseaux des opérateurs d’importance vitale (transports, énergie, santé, etc.). Jean-Marie Bockel souligne : « Il s’agit là de notre principale lacune et d’un enjeu majeur pour notre sécurité. »
Parce qu’il n’est plus temps d’attendre sans réagir face aux menaces croissantes, le sénateur milite en faveur d’une politique offensive en matière de cyberdéfense. Ainsi, il propose 50 recommandations regroupées autour de 10 priorités.
Afin de renforcer sans attendre et sans tarder la protection et la défense des systèmes d’information, le rapport d’information propose 50 recommandations concrètes regroupées en dix priorités :
Dix priorités
Priorité n°1 : Faire de la cyberdéfense et de la protection des systèmes d’information une priorité nationale, portée au plus haut niveau de l’Etat, notamment dans le contexte du nouveau Livre blanc. S’interroger sur la pertinence de formuler une doctrine publique sur les capacités offensives ;
Priorité n°2 : Renforcer les effectifs, les moyens et les prérogatives de l’Agence nationale de sécurité des systèmes d’information, ainsi que les effectifs et les moyens dédiés au sein des armées, de la direction générale de l’armement et des services spécialisés, et développer une véritable politique des ressources humaines ;
Priorité n°3 : Introduire des modifications législatives pour donner les moyens à l’ANSSI d’exercer ses missions et instituer un pôle juridictionnel spécialisé pour réprimer les atteintes graves aux systèmes d’information ;
Priorité n°4 : Améliorer la prise en compte de la protection des systèmes d’information dans l’action de chaque ministère, en renforçant la sensibilisation à tous les niveaux, en réduisant le nombre de passerelles entre les réseaux et l’Internet, en développant les systèmes d’analyse permettant de détecter les attaques, ainsi qu’en rehaussant l’autorité des fonctionnaires de sécurité des systèmes d’information ;
Priorité n°5 : Rendre obligatoire pour les entreprises et les opérateurs d’importance vitale une déclaration d’incident à l’ANSSI en cas d’attaque importante contre les systèmes d’information et encourager les mesures de protection par des mesures incitatives ;
Priorité n°6 : Renforcer la protection des systèmes d’information des opérateurs d’importance vitale, en réduisant le nombre de passerelles entre les réseaux et l’Internet, en développant les systèmes d’analyse, en généralisant les audits, en rendant obligatoire la déclaration des processus et automates industriels connectés à Internet et en favorisant la mise en place, de manière sectorielle, de centres de détection communs ;
Priorité n°7 : Soutenir par une politique industrielle volontariste, à l’échelle nationale et européenne, le tissu des entreprises françaises, notamment des PME, spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique et, plus largement, du secteur des technologies de l’information et de la communication, et renforcer la coopération entre l’Etat et le secteur privé ;
Priorité n°8 : Encourager la formation d’ingénieurs spécialisés dans la protection des systèmes d’information, développer la recherche et les activités de conseil, et accentuer la sensibilisation du public, notamment au moyen d’une campagne de communication inspirée de la prévention routière ;
Priorité n°9 : Poursuivre la coopération bilatérale avec nos principaux alliés, soutenir l’action de l’OTAN et de l’Union européenne, engager un dialogue avec la Chine et la Russie et promouvoir l’adoption au niveau international de mesures de confiance ;
Priorité n°10 : Interdire sur le territoire national et à l’échelle européenne le déploiement et l’utilisation de « routeurs » ou d’autres équipements de cœur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » et certains équipements d’origine chinoise.
Ce texte a été adopté par la commission des affaires étrangères, de la défense et des forces armées du Sénat. Le rapport et la synthèse sont disponibles sur le site Internet du Sénat :
http://www.senat.fr