Enfin ! C’est hier que la version 2013 du livre blanc sur la défense et la sécurité nationale a été rendue publique. Je ne reviendrais pas ici sur l’intégralité de ce document stratégique (d’autres le feront bien mieux que moi) mais seulement sur la partie qui concerne la cyberdéfense. Comme prévu, si les armées vont dans l’ensemble devoir se serrer la ceinture, les capacités cyber, elles, continuent leur (rapide) développement. Car oui nous sommes en retard par rapport à certains de nos voisins européens.
Anecdotique mais symbolisant la nouvelle place du cyber dans le monde de la défense et la sécurité nationale, le préfixe cyber y est mentionné 38 fois cette année. Quasiment 10 fois plus qu’en 2008 où il apparaissait à seulement 4 reprises. On savait le cyber à la mode donc ce n’est pas très surprenant. Depuis 2009 et la création de l’ANSSI, 2011 qui a vu le renforcement des capacités et de la légitimité de l’agence gouvernementale chargée de la cyberdéfense et 2012 avec la sortie du fameux rapport Bockel, les pouvoirs publics continuent à faire monter en puissance le dispositif de cybersécurité et de cyberdéfense français. La sécurité des systèmes d’information devient un enjeu stratégique majeur pris en compte au plus haut niveau de l’Etat.
Mais que faut-il retenir de ce livre blanc ?
1/ Les cyber menaces sont clairement identifiées comme une menace majeure pour la sécurité nationale. Elles figurent dans le top 3 après les agressions d’un autre Etat contre le territoire national (la guerre) et le terrorisme. Il semble important de souligner que la France n’exagère pas la menace cyber comme les États-Unis le font en plaçant parfois les cyberattaques en risque numéro 1 devant le terrorisme. Les cyber menaces ne sont pas à prendre à la légère : elles sont récurrentes et proviennent souvent d’Etat mais en termes d’impact, il ne s’agit encore que de vols d’informations aussi stratégiques soit elles. Elles ne touchent pas (encore ?) aux vies humaines. Nous restons donc dans une approche réaliste de la menace (désolé pour les gourous de la cyberwar).
Relèvent en revanche de la sécurité nationale les tentatives de pénétration de réseaux numériques à des fins d’espionnage, qu’elles visent les systèmes d’information de l’État ou ceux des entreprises. Une attaque visant la destruction ou la prise de contrôle à distance de systèmes informatisés commandant le fonctionnement d’infrastructures d’importance vitale, de systèmes de gestion automatisés d’outils industriels potentiellement dangereux, voire de systèmes d’armes ou de capacités militaires stratégiques pourrait ainsi avoir de graves conséquences.
2/ Le cyberespace est officiellement désigné comme le cinquième milieu (après terre, air, mer et espace). Le livre blanc le décrit comme un « champ de confrontation à part entière« .
3/ Conséquence du deuxième constat, la cyberdéfense devient un domaine opérationnel. Il n’est plus considéré seulement comme un support.
Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort marqué, en relation étroite avec le domaine du renseignement. La France développera sa posture sur la base d’une organisation de cyberdéfense étroitement intégrée aux forces, disposant de capacités défensives et offensives pour préparer ou accompagner les opérations militaires
4/ Pour faite face aux cyber menaces, la France décide donc de se doter d’une doctrine pour répondre aux cyberattaques. Elle comporte logiquement 2 volets. Un volet défensif que nous connaissons bien. Il s’agit de continuer à développer la résilience des réseaux informatiques militaires, gouvernementaux et des infrastructure d’importance vitale.
Et un volet offensif, brièvement évoqué en 2008, qui est ici beaucoup plus explicité (5 occurrences directes aux capacités « offensives » de la France). On y évoque également des ripostes militaires gradués face à des cyberattaques majeures. Cyberattaque qui pourra être considérée comme un acte de guerre. Ici, on semble se rapprocher de la doctrine américaine et on franchit clairement un cap.
Il est également intéressant de noter que la capacité offensive est décrite comme très étroitement liée aux services de renseignement. Tout comme l’analyse et l’attribution de la menace (et des cyberattaques donc). L’ANSSI, dans ses missions défensives, aura donc un grand rôle à jouer pour fournir les renseignements « cyber » (signatures d’attaques, éléments d’attribution, analyses techniques…) aux différents services de renseignement (civils et militaires). Car avant de riposter, il faut identifier les attaquants. Et avant d’attaquer, il faut connaître les capacités des ennemis.
La récurrence actuelle de ces intrusions, notamment par des États, donne à penser que des informations sont méthodiquement collectées pour rendre possible, dans une situation de conflit, une attaque de grande envergure. Une telle attaque serait susceptible de paralyser des pans entiers de l’activité du pays, de déclencher des catastrophes technologiques ou écologiques, et de faire de nombreuses victimes. Elle pourrait donc constituer un véritable acte de guerre. Au sein de cette doctrine nationale, la capacité informatique offensive, associée à une capacité de renseignement, concourt de façon significative à la posture de cybersécurité. Elle contribue à la caractérisation de la menace et à l’identification de son origine. Elle permet en outre d’anticiper certaines attaques et de configurer les moyens de défense en conséquence. La capacité informatique offensive enrichit la palette des options possibles à la disposition de l’État. Elle comporte différents stades, plus ou moins réversibles et plus ou moins discrets, proportionnés à l’ampleur et à la gravité des attaques.
5/ Sur le volet de la coopération cyber, le livre blanc reste prudent. Mais on peut remarquer qu’il évoque l’Allemagne et l’Angleterre comme partenaires internationaux privilégiés (et pas européens privilégiés…). Les États-Unis ne seraient donc pas un grand allié de la France dans le cyberespace ? On est loin du partage d’informations comme pratiqué au niveau international pour la lutte antiterrorisme. Le cyber semble plus adapté à des échanges bilatéraux.
Toute politique ambitieuse de cyberdéfense passe par le développement de relations étroites entre partenaires internationaux de confiance. Les relations seront approfondies avec nos partenaires privilégiés, au premier rang desquels se placent le Royaume-Uni et l’Allemagne.
6/ Comme je l’ai déjà évoqué un peu plus haut, le livre blanc consacre une bonne partie de la partie cyber aux OIV, ces entreprises publiques ou privées qui exploitent des infrastructure critiques pour notre pays (banques, transport, énergie…). Encore une fois comme prévu le livre blanc ouvre la porte à de nouveaux dispositifs juridiques et réglementaires. Il prévoit d’obliger ces opérateurs d’importance vitale à faire auditer leurs réseaux informatiques et à notifier leurs incidents de sécurité informatique. Tout ça va donner du travail à ces opérateurs, à l’ANSSI et aux prestataires privés labellisés par l’ANSSI. Le temps des contraintes est arrivé pour certaines entreprises. Elles ne pourront plus se cacher (espérons le…).
Des mesures législatives et réglementaires viendront renforcer les obligations qui incombent aux opérateurs de service et d’infrastructure d’importance vitale pour détecter, notifier et traiter tout incident informatique touchant leurs systèmes sensibles.
7/ Les réserves sont aussi à l’honneur du livre blanc. On y retrouve la réserve citoyenne cyberdéfense (RCC) déjà présentée officiellement début avril et qui va continuer à se développer. Mais également l’annonce de la création d’une véritable réserve opérationnelle, mobilisable en cas de cyberattaque majeure.
C’est notamment le cas de la cyberdéfense, qui fera l’objet d’une composante dédiée au sein la réserve opérationnelle. Celle-ci constituera un atout au service de la résilience de la Nation et sera prévue et organisée spécifiquement pour permettre au ministère de la Défense de disposer d’une capacité de cyberdéfense démultipliée en cas d’attaque informatique majeure.
Mon avis et… conclusion
J’ai sûrement oublié quelques points plus ou moins importants mais je vous laisse découvrir par vous-même le reste de ce nouveau livre blanc (160 pages quand même). On y évoque également la question industrielle avec le besoin pour la France (et l’Europe) de développer sa souveraineté nationale en développant ses propres technologies de sécurité. La souveraineté technologique est en effet indispensable pour maîtriser au mieux la sécurité de nos réseaux informatiques.
Quel est mon avis sur ce document ? Pour moi, il répond aux attentes de la communauté sécurité (civile et militaire). Les capacités cyber sont en première ligne. Et en cette période de crise économique et d’austérité budgétaire, cela me semble positif. Je constate également que les enjeux sont maintenant bien assimilés et qu’il est grand temps de commencer à y répondre. Les moyens semblent être au rendez-vous (même si on veut toujours plus). Je préfère être optimiste cette fois-ci. J’ai aussi trouvé très intéressant (et pertinent) de rapprocher cyberdéfense (et cybersécurité) et renseignement aussi bien pour le volet offensif que défensif. Les deux sont étroitement liés. Ca explique aussi pourquoi l’aura souvent mystérieuse et par nature discrète du renseignement se retrouve de plus en plus dans la cyber. L’ANSSI le symbolise parfaitement, selon moi : une part visible qui communique (pas assez à mon goût) et partage car c’est l’une de ses missions et une part « secrète » qui reste dans l’ombre car le cyber qui touche à la défense et sécurité nationale (on en parle pas dans ce livre blanc pour rien) en traitant des informations et des renseignements sensibles sur nos faiblesses mais aussi sur nos « adversaires » (et alliés ?).
Les limites de ce rapport ? Evidemment le sujet c’est la défense et la sécurité nationale donc le périmètre « entreprises » est limité aux opérateurs d’importance vitale. Il ne faudra pas oublier les PME et les autres entreprises. Mais il faut bien commencer quelque part.
Ce rapport propose de nombreuses recommandations. Encore faut-il qu’elles soient rapidement mises en place sur le terrain (même si je ne me fais pas trop de soucis de ce côté là, certaines choses sont déjà en cours…). Il faudra quand même attendre la prochaine loi de programmation militaire pour mettre des budgets concrets sur ces préconisations.
Pour conclure, le plus difficile commence. Maintenant il faut continuer la mise en place d’un dispositif de cyberdéfense coordonné et agir concrètement. Et ce n’est pas encore gagné.
Et bonne lecture !
Mise à jour 1 : je vous conseille la lecture de ce billet qui traite du même sujet chez mes confrères de cyber-defense.fr
Mise à jour 2 : j’ai oublié d’évoquer également que l’aspect « ressources humaines » est présent dans le livre blanc et qu’il reprend les conclusions du rapport Bockel : former plus d’experts en sécurité et intégrer la sécurité informatique dans le maximum de cursus supérieurs.
Mise à jour 3 : un journaliste de France Culture m’a posé quelques questions hier soir sur la partie cyberdéfense du livre blanc. A écouter ci-dessous.
Solution: innover en permanence en nanorobotique afin d’avoir plusieurs longueurs d’avance sur les black hackers, savoir « flairer » les attaques en gestation et les neutraliser à la source.