Le volet cyber du Livre Blanc sur la Défense

Remis à François Hollande, le Livre Blanc de la Défense a surtout été cité pour la suppression des 20 000 postes au sein de l’armée qu’il préconise. Réclamé par le président de la République au lendemain de son élection, le document (PDF) contient cependant aussi différentes sections dédiées aux nouvelles technologies et à la cyberdéfense.

 « Le dispositif de cyberdéfense est appelé à appeler à s’amplifier dans les années qui viennent ». Voilà ce qu’anticipe le Livre Blanc sur la Défense désormais rendu public. Les mesures esquissent davantage qu’elles ne précisent, mais c’est le principe même du Livre Blanc qui veut une réévaluation les stratégies de défense.

Il insiste d’abord sur les moyens humains. L’importance des systèmes d’information nous imposerait « aujourd’hui d’augmenter de manière très substantielle le niveau de sécurité et les moyens de défense de nos systèmes d’information, tant pour le maintien de notre souveraineté que pour la défense de notre économie et de l’emploi en France ». Le Livre Blanc demande par exemple que ces moyens humains consacrés soient renforcés « à la hauteur des efforts consentis par nos partenaires britannique et allemand ». C’est très exactement ce que préconisait le rapport de Jean Marie Bockel sur la cyberdéfense.

« La capacité de se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs est devenue un des éléments de la souveraineté nationale. Pour y parvenir, l’État doit soutenir des compétences scientifiques et technologiques performantes » avance encore le document de 160 pages. « La capacité de produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d’attaque, est à cet égard une composante essentielle de la souveraineté nationale ». S’il préconise de tailler dans les effectifs de l’armée, il demande aussi « un effort budgétaire annuel en faveur de l’investissement » pour permettre la conception et le développement « de produits de sécurité maîtrisés. »

Indépendance technologique

Sans jeter un seau d’acide chlorhydrique sur les équipements chinois, le livre blanc préconise « une attention particulière » sur la sécurité des réseaux de communication électroniques et donc à leurs équipements. « Le maintien d’une industrie nationale et européenne performante en la matière est un objectif essentiel ». En creux, on retrouve les critiques adressées aux équipementiers asiatiques sur les infrastructures en cœur de réseau notamment.

Pour garantir la musculature des systèmes d’information de l’état, le Livre Blanc recommande aussi « une politique appropriée d’achat public ». PC INpact avait révélé comment la Défense s’est acoquinée avec Microsoft dans le cadre d’un marché sans appel d’offres, véritable open bar. Un choix qui pose des problèmes de souveraineté et de sécurité avait embrayé le Canard Enchaîné, mais qui, selon le directeur central de la Direction interarmées des réseaux d'infrastructure et des systèmes d'information (DIRISI), serait commandé par des exigences « d'interopérabilité entre alliés », dans la mesure où « l'OTAN a fait le choix des solutions Microsoft pour ses postes de travail »...

Dans le Livre Blanc, on rappelle justement que « la cybersécurité de l’État dépend aussi de celle de ses fournisseurs de produits et de services, qui doit être renforcée ». Le document promet - sans détail - que « des clauses seront insérées dans les marchés afin de garantir le niveau de sécurité attendu. »

Au fil des pages, il conseille que l’État fixe par la loi ou le décret « les standards de sécurité à respecter à l’égard de la menace informatique » et spécialement veille à ce que « les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles ». En terme d’hygiène informatique, « ce dispositif précisera les droits et les devoirs des acteurs publics et privés, notamment en matière d’audits, de cartographie de leurs systèmes d’information, de notification des incidents et de capacité pour l’agence nationale de la sécurité des systèmes d’information (ANSSI), et, le cas échéant, d’autres services de l’État, d’intervenir en cas de crise grave. »

Réserve opérationnelle dédiée à la cyberdéfense

Une « doctrine nationale de réponse aux agressions informatiques majeures » est également mentionnée, à l’instar du rapport Bockel qui s’interrogeait sur sa mise en place. « La capacité informatique offensive enrichit la palette des options possibles à la disposition de l’État. Elle comporte différents stades, plus ou moins réversibles et plus ou moins discrets, proportionnés à l’ampleur et à la gravité des attaques » indique-t-on. Il serait ainsi primordial d’accroître le volume d’experts formés en France « et de veiller à ce que la sécurité informatique soit intégrée à toutes les formations supérieures en informatique. »

Dernier fait notable, parmi les mesures programmées, le Livre veut faire de la cyberdéfense une composante de la réserve opérationnelle. Il s'agit d'une réserve de citoyens français volontaires (et d'anciens militaires) prêts à apporter un soutien  temporaire de quelques dizaines de jours par an aux forces armées. « Celle-ci constituera un atout au service de la résilience de la Nation et sera prévue et organisée spécifiquement pour permettre au ministère de la Défense de disposer d’une capacité de cyberdéfense démultipliée en cas d’attaque informatique majeure. »