La journée d’hier au FIC 2014 (Forum International de la Cybersécurité) a été riche de nombreux témoignages, d’annonces diverses et de décisions importantes. Il en ressort globalement une certaine morosité dans le milieu de la sécurité, ce qui n’empêche pas la France d’avoir de grandes ambitions dans le domaine de la cyberdéfense. Au risque de rappeler les erreurs commises par la NSA et dénoncées par Edward Snowden.
« La cybersécurité est-elle un échec ? » : un constat en demi-teinte
Le Forum International de la Cybersécurité réunit chaque année des milliers de personnes : militaires, ministres, députés, chefs d’entreprises et experts divers. Le forum sert avant tout à faire un état des lieux sur la sécurité informatique au sens large, dresser un portrait des tendances ou encore annoncer des mesures. Le nom même du thème général était provocateur : « La cybersécurité est-elle un échec ? ».
Selon les avis, la réponse diffère largement. Le général Marc Watin-Auguouard, qui a créé ce forum, se veut rassurant en rappelant qu’ « en Chine, on dit que l'échec est la mère du succès. La cybersécurité va se construire à travers les échecs ». Jérémie Zimmerman, de la Quadrature du Net, s’inquiète de ce que le citoyen n’est jamais aux cœurs des problématiques et insiste sur le lien de confiance rompu ainsi que sur les dangers liés à « l’expropriation » des données personnelles. Jean-Michel Orozco, PDG de Cassidian, estime pour sa part que la cybersécurité en est dans tous les cas à ses balbutiements.
Ne pas attendre un « 11 septembre du cyberespace »
L’avis le plus pessimiste est sans aucun doute celui du consultant David Lacey. Selon lui, oui, la cybersécurité est pour l’instant défaillante car trop de responsables se contentent de cocher des cases dans un référentiel sans se poser les bonnes questions. Il estime même « que rien ne changera jusqu'à ce qu'il y ait un incident majeur, un genre de 11 septembre du cyberespace ». Malheureusement, la sécurité informatique pourrait ne pas bouger avant que ses acteurs ne soient réellement dos au mur.
Plusieurs annonces plus concrètes ont cependant été réalisées. C’est le cas notamment d’un outil de statistiques décrit par Manuel Valls, ministre de l’Intérieur : « Il est grand temps d'améliorer la qualité, la disponibilité et la régularité des données publiques » pour tout ce qui touche à la cybercriminalité. Il souhaite que soit créé un indicateur pour mesurer efficacement l’activité dans ce domaine. Il espère sa mise en place dans le courant de l’année et des résultats permettant de différencier les types d’attaques pour mieux appréhender les tendances. Mais le locataire de la Place Beauvau a surtout indiqué que l’État devait s’assurer de « la sécurité de ses concitoyens et de ses entreprises et plus largement des intérêts de la nation ».
Un développement des capacités de défense en greffe de la LPM
Et puisque l’on parle des « intérêts de la nation », Jean-Yves Le Drian, ministre de la Défense, a procédé à plusieurs annonces dans le domaine de la cybersécurité. À commencer par un grand plan de défense contre la cybercriminalité au sens large. Il sera présenté en détails dans plusieurs semaines et se greffera à la très critiquée loi de programmation militaire. Il nécessitera le déblocage d’un budget d’environ un milliard et demi d’euros pour alimenter les initiatives sur la période d’activité de la LPM, soit de 2014 à 2019.
Ce budget servira notamment à embaucher tout un panel d’experts pour mesurer les connaissances de la France dans le domaine et organiser un pôle de concertation et de réflexion sur les évolutions à engager. La formation du personnel devrait également jouer un rôle prépondérant, de même que l’augmentation des effectifs de la Direction générale de l'armement (de 250 à 450 personnes), un triplement du nombre d’études sur la cybersécurité et un travail sur les capacités défensives et offensives de la France dans ce domaine.
Patrick Pailloux devient directeur technique de la DGSE
Le ministre de la Défense a en outre évoqué la possible implantation en Bretagne d’un véritable pôle « d’excellence cyber ». Le choix de la région s’appuierait avant tout sur le constat que la Défense y possède déjà plusieurs installations, notamment le centre de maîtrise de l’information de la DGA ou encore l’école de transmission de Rennes. Enfin, Le Drian n’exclut pas une coopération européenne améliorée vis-à-vis des nouvelles mesures, notamment à travers « un partage de méthodes » ou même « l’établissement d’un code de bonne conduite ».
C’est précisément dans ce contexte de volonté de blinder la France contre les menaces du cyberespace que Le Monde indique que Patrick Pailloux, l’actuel directeur de l’ANSSI (Agence nationale de la sécurité des systèmes d'information), prendra prochainement la tête de la direction technique de la DGSE, l’équivalent français de la NSA. Il remplacera donc Bernard Barbier. Sa nomination devrait être annoncée officiellement lors d’un prochain Conseil des ministres. Notez d’ailleurs que l’ANSSI jouera un rôle de premier plan dans la mise en place de la loi de programmation militaire, notamment via une harmonisation et un travail sur les meilleures pratiques de défense à adopter pour les entreprises, en particulier celles faisant partie d’une liste de 250 « opérateurs d'importance vitale » (transport, énergie, industrie…).