Attaque en Estonie en 2007, attaque du site du Sénat fin 2011 lors des débats sur la loi sur le génocide arménien, attaque informatique contre Bercy à la veille du G8, espionnage d’Areva, attaque de la présidence de la République, Stuxnet et autre Flame. Autant de faits susceptibles de justifier une remise à niveau de notre cyberdéfense estime le sénateur qui a dressé une liste de cinquante propositions dans son rapport. « On ne peut pas éviter de telles attaques. Mais on peut en limiter les effets en renforçant les mesures de protection et en prévoyant comment gérer la crise le temps du rétablissement des systèmes » estimera le parlementaire qui reprendra l’expression d’ « hygiène informatique » empruntée à Patrick Pailloux, directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI, voir interview).
Pour justifier un peu plus cette mise à jour du système français, le rapport compare notre situation avec les États-Unis, l’Allemagne ou l’Angleterre. La France a fait des efforts, mais « des lacunes restent criantes ». 50 milliards dédiés à la cyberdéfense aux États-Unis entre 2010 et 2015. 750 millions d’euros outre-Manche ces quatre prochaines années. « Ces chiffres peuvent laisser songeur lorsque l’on sait qu’en France le budget de l’agence homologue, l’ANSSI, est de 75 millions d’euros. » Une agence dont les effectifs devraient être portés de 250 à 360 personnes en 2013 quand « les services similaires de l’Allemagne ou du Royaume-Uni (…) comptent entre 500 et 700 personnes ». Bref, il faudrait doubler les rangs de l’ANSSI.
Rendre obligatoire les déclarations d'incidents
Dans les 50 propositions, Bockel dessine ainsi dix priorités. Outre ce renforcement de l’Agence, il propose d’instituer un pôle juridictionnel spécialisé pour réprimer les atteintes graves aux systèmes d’informations. L’informatisation toujours plus sophistiquée entraînant une fragilisation toujours plus importante, il souhaite aussi « rendre obligatoire pour les entreprises et les opérateurs d’importance vitale une déclaration d’incident à l’ANSSI en cas d’attaque importante contre les systèmes d’information et encourager les mesures de protection par des mesures incitatives ».
Commentaire du sénateur : « il faut une déclaration stricte et sophistiquée en cas d’attaque aux infrastructures vitales, qui doit exister pour tout un chacun. Dans ce domaine c’est la théorie du maillon faible. Des organismes rechignent à dire qu’ils ont été attaqués. Ce ne serait pas bon pour l’image dans un marché de défense international. Mais ne rien dire n’est pas davantage bon ! Il faut banaliser l’attaque. Ce n’est pas grave d’être attaqué. On n’est pas mauvais, car on est attaqué. On l’est si on ne fait pas ce qu’il faut. »
Dans le lot des autres priorités, il pointe aussi l’encouragement de la formation d’ingénieurs spécialisés. Et « pourquoi ne pas renforcer aussi les liens avec la « communauté de hackers » français, dont la plupart sont désireux de mettre leurs compétences et leurs talents au service de leur pays ? » Les hackers ? Des pirates informatiques, nous indique le rapport p.133, en se mélangeant les pinceaux en beauté...
Quelle réponse en cas de cyberattaque ?
Le sénateur du Haut-Rhin évoquera aussi la question de la réponse défensive à une attaque. « En cas de cyberattaque, peut-on par exemple invoquer l’article 5 du traité de Washington ? ». Selon un article de l'Organisation du traité de l'Atlantique nord, « si un Allié est victime d'une attaque armée, chacun des autres membres de l'Alliance considérera cet acte de violence comme une attaque armée contre l'ensemble des membres et prendra les mesures qu'il juge nécessaires pour apporter une assistance à l'Allié attaqué » (extrait du site de l'OTAN). Sur la capacité défensive, le sénateur n’en dira pas plus : « Des contacts que j’ai pu avoir, je peux vous dire que dans ce domaine, on n’est pas manchot ». La France serait ainsi armée d’une capacité de dissuasion ? « La crédibilité de la dimension offensive est que tout ne soit pas sur la place publique. »
Des routeurs chinois dans le coeur du réseau
Autres priorités, le besoin d’une politique industrielle volontariste ou d’une coopération bilatérale avec nos partenaires étrangers. Voire des mesures plus drastiques. Bockel voudrait tout simplement « interdire sur le territoire national et à l’échelle européenne le déploiement et l’utilisation de « routeurs » ou d’autres équipements de coeur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » et certains équipements d’origine chinoise ». Il pointera du doigt Huawei et ZTE en soulevant la crainte qu’un pays producteur place des dispositifs de surveillance ou d’interception dans ces maillons forts.
Les États-Unis ont décidé de se passer de Huawei pour la construction de son réseau sans fil d’urgence. En Australie, la Chine a été classée "routeura non grata". Selon le rapport, lors d’une conférence à Dubaï en février dernier, des représentants de Huawei « auraient indiqué que, pour mieux assurer la sécurisation des flux de ses clients, Huawei « analysait » (grâce aux techniques dites de « deep packet inspection » ou DPI), l’ensemble des flux de communications (courriers électroniques, conversations téléphoniques, etc.) qui transitaient par ses équipements ». L’objectif était de détecter des malwares, mais en creux, « ils ont ainsi confirmé, comme cela a d’ailleurs été relevé par plusieurs participants à cette conférence, les capacités potentielles de ces « routeurs » à analyser, intercepter et extraire des données sensibles, voire à les altérer ou les détruire. »
Dans le même temps, la proposition 25 préconise de mettre en place un système de surveillance des flux en France. Elle recommande de rendre obligatoire pour tous les opérateurs d'importance vitale : "la réduction du nombre de passerelles entre les réseaux et l’Internet et le déploiement de systèmes de surveillance des flux permettant de détecter les attaques informatiques, agréé par l’ANSSI et favoriser le groupement d’opérateurs d’importance vitale autour de systèmes de détection partagés, opérationnels 24 heures sur 24, 7 jours sur 7".
Problème : où doivent s’arrêter ces suspicions dans ces enjeux de souveraineté nationale ? Le matériel d’origine asiatique ou spécialement chinoise inonde d'autres strates, dans la périphérie du coeur. Des antennes réseau aux terminaux made in China. Que fait on ? Autre chose, si le sujet de l'indépendance technologique est d’une telle importance, pourquoi ne pas étendre la question au monde du logiciel et imposer aux parlementaires un système d’exploitation dont le code source aura pu être labellisé par une entité de contrôle ? (voir la situation actuelle du côté des sénateurs).
