Cyberdéfense : un enjeu de sécurité nationale

Le 8 juillet 2008, un rapport d’information intitulé "Cyberdéfense : un enjeu de sécurité nationale" a été publié par M. Roger Romani (membre de la Commission des Affaires étrangères, de la Défense et des Forces armées au Sénat). Ce rapport a pour but de mettre en exergue les insuffisances de la France vis-à-vis des menaces liées aux systèmes informatiques.

Le présent article analyse les points clés de ce document.

Ce rapport part du constat que les menaces visant les systèmes d’information ont pris une ampleur telle qu’elles sont devenues un véritable "enjeu de sécurité nationale". Ce constat rejoint tout à fait celui fait par le Cert-IST dans son "Bilan 2007 des failles et attaques", notamment en ce qui concerne les deux dernières manifestations de grande ampleur mentionnées dans le rapport : les attaques par dénis de service distribués (DDoS) contre l’Estonie ainsi que les attaques chinoises. Nous mentionnions aussi que les attaques avaient évolué pour devenir de plus en plus ciblées et de plus en plus sophistiquées. Selon M. Romani, les cibles potentielles de ces attaques sont "les particuliers, les entreprises, les institutions publiques (sont particulièrement concernées, celles mettant en cause la défense ou la sécurité nationale, les services de l'Etat, les opérateurs d'importance vitale et les entreprises intervenant dans des domaines stratégiques ou sensibles)". Enfin, nous avions souligné la professionnalisation des agresseurs, point également relevé dans le rapport, qui évoque aussi la menace liée au cyber-terrorisme, voire l’implication des états dans la lutte informatique (cas de la Chine). En conclusion de ce constat, M. Romani prévoit que cette menace ne peut aller qu’en s’accentuant, et ce pour trois raisons : la place grandissante des systèmes d’information et d’Internet dans la vie de tous les jours, l’accessibilité et le faible coût des technologies utilisées pour les attaques et enfin les difficultés d’identification des agresseurs.

Selon M. Romani, la France est toujours insuffisamment préparée, et les constats qui avaient été faits dans le rapport Lasbordes (voir à ce sujet l’article dans le bulletin de sécurité du Cert-IST de février 2006) sont malheureusement toujours d’actualité. Même si des efforts ont été consentis en la matière (création du COSSI - Centre Opérationnel de la Sécurité des Systèmes d'Information, modernisation du réseau RIMBAUD, inauguration de l’Intranet Sécurisé Interministériel ISIS), la France reste encore en retard, en particulier en comparaison avec ses voisins européens. Au niveau international, l’importance du FIRST (http://www.first.org) et de la structure EGC (European Government Computer Security Incident Response Teams) est par ailleurs mise en avant dans le rapport. Plus récemment lors du sommet de Prague de 2002, l’OTAN a également fait de la cyberdéfense une priorité. M. Romani demeure enfin plus circonspect sur le rôle joué par les instances européennes et sur l’action de l’ENISA (European Network and Information Security Agency), créée en 2004.

La dernière partie de ce rapport est consacrée aux mesures qui, selon M. Romani, doivent être mises en œuvre par la France pour pallier son retard vis-à-vis de la prise en compte des attaques informatiques. Ainsi, la protection des systèmes d’information est désormais une priorité du Livre blanc sur la défense et la sécurité nationale. Ce dernier prévoit en outre la création d'une agence interministérielle chargée de la sécurité des systèmes d'information. Le rapport de M. Romani précise que des capacités à la fois défensives (détection et protection) et offensives (identification et neutralisation des agresseurs) doivent être développées. Les orientations définies dans ce Livre blanc doivent enfin s’accompagner de mesures très concrètes, autour de trois axes : mettre la France au niveau de ses partenaires européens, renforcer la coordination des différents acteurs impliqués dans la sécurité des systèmes d’information et développer le partenariat avec le secteur économique.

En conclusion, M. Romani insiste sur le fait qu’il est tout à fait urgent de rattraper le retard pris par la France en matière de cyberdéfense, pour faire face à la sophistication et à la technicité croissante des attaques, récentes et à venir. Le Cert-IST, qui est cité comme structure de veille et de réaction dans ce rapport, vous recommande vivement la lecture de ce document.

• Rapport d’information de M. Roger Romani : http://senat.fr/noticerap/2007/r07-449-notice.html