Quantcast

Deux parlementaires invitent à prendre le risque cyber à sa juste mesure

10 juil. 2018, PAR Emile Marzolf
  • 06
    MIN
  • 0

FRED SCHEIBER/20 MINUTES/SIPA

Un mois après la publication d’un rapport sur la numérisation des armées, la commission de la défense de l’Assemblée nationale livre ses recommandations sur les enjeux de la cyberdéfense. Elle appelle notamment à élaborer une “loi cyber”, à renforcer l’écosystème de la sécurité informatique et à sensibiliser le plus grand nombre au risque cyber.


“Toutes nos questions n’ont pas su trouver de réponse.” Sans détours, la députée Alexandra Valetta-Ardisson (LREM) a regretté, lors de la présentation des conclusions du rapport d’information sur la cyberdéfense en commission de la défense, le 4 juillet, que les travaux qu’elle a menés avec Bastien Lachaud (LFI) se soient heurtés à l’obstacle du secret défense. Aussi, sans prétendre à l’exhaustivité de leur démarche, les deux députés ont tenté, autant que faire se peut, de cerner leur sujet, qui repose en outre sur “une réalité globale touchant tous les champs de l’activité sociale et en perpétuelle évolution”.

Car la cyberdéfense renvoie à des concepts nouveaux et très mouvants. La définition retenue par Alexandra Valetta-Ardisson est la suivante : “la cyberdéfense comprend l’ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels.” Se pose ensuite la question de ce qu’est le cyberespace. Toute la première partie du rapport s’attache ainsi à faire état de la complexité qui entoure ce nouveau théâtre d’opérations. Pour Bastien Lachaud, le cyberespace est un “milieu abstrait et global sans consistance physique, qui ne connaît ni limite, ni réalité ou caractéristique géographique physique ni de frontière politique ou juridique qui permettrait d’en délimiter précisément les contours et de le subdiviser pour en rattacher les différentes composantes à chaque État ou à aucun d’entre eux”. Autrement dit, il n’existe pas de cyberespace français “dont la violation constituerait une atteinte”, selon les mots d’Alexandra Valetta-Ardisson.

Vers une loi cyber ?

L’originalité du cyberespace en tant que théâtre de conflits réside dans la difficulté d’y imputer la responsabilité d’une attaque. “Rares sont les attaques directes pour attaquer un point B à partir d’un point A, explique Bastien Lachaud. Les hackers font rebondir leurs attaques de serveur en serveur et de pays en pays pour masquer leurs traces. Si, aux États-Unis et au Royaume-Uni, on attribue volontiers des attaques à un responsable, la France, et notamment l’Agence nationale de la sécurité des systèmes d’information (Anssi), refuse toujours de le faire. “La décision d’attribuer une cyberattaque relève d’une appréciation et d’une décision de nature politique basée sur un faisceau d’indices plutôt que sur des certitudes absolues”, poursuit le député LFI.

Dans le cyberespace, “l’anonymat n’y est pas absolu”, tempère Bastien Lachaud, “mais les délais nécessaires pour lever l’anonymat et obtenir la parfaite traçabilité de l’attaque peuvent s’avérer incompatibles avec une action de représailles s’étalant sur plusieurs mois, voire plusieurs années”. Cette distorsion entre le cadre juridique et la réalité temporelle des attaques informatiques aurait pour effet de rendre inopérants les mécanismes de défense actuels.

Aussi, les deux députés appellent-ils à l’élaboration d’une loi cyber “à l’image des lois bioéthiques”, de façon à ce qu’elle puisse faire l’objet de mises à jour pour prendre en compte l’évolution des vulnérabilités et des ressources financières et techniques nécessaires à la cyberdéfense. Et donc des politiques industrielles et adaptations juridiques à mener.

Un cloud souverain

Les conclusions de ce rapport tombent à pic. Le secrétaire d’État au Numérique, Mounir Mahjoubi, a détaillé, le 3 juillet au salon Cloud Week, sa stratégie pour la mise en place d’une offre de cloud d’État souveraine permettant de garantir un haut niveau de sécurité et de maîtrise des données des administrations. Dans leur rapport, les deux députés appellent eux aussi à la “création d’espaces de stockage souverains” pour héberger les données, que ce soit en France ou en Europe. Selon eux, les “données stockées à l’étranger ne bénéficient d’aucune garantie quant à leur sécurité”.

D’autant plus que, ajoutent les députés, “la prétention à l’extraterritorialité de certaines législations nationales [comme celle des États-Unis, ndlr] aboutit à attraire [assigner, ndlr] dans le champ du droit d’un pays donné des éléments qui seraient pourtant stockés sur le territoire d’un autre État”. Pour garantir leur rapatriement, les rapporteurs envisagent par exemple de rendre obligatoire, pour certains acteurs comme les autorités publiques nationales, les collectivités territoriales, les OIV et pour les entreprises de la base industrielle et technologique de défense (BITD) telles qu’Airbus, Safran et Thales, l’hébergement sur le territoire national et dans un cloud souverain.

Dans ce volet “souveraineté”, le rapport propose également de “favoriser l’émergence de solutions techniques nationales et européennes de confiance”. Pour ce faire, les députés voient déjà les pouvoirs publics promouvoir les solutions existantes et en favoriser l’utilisation en lieu et place des solutions étrangères, dans “le respect du code des marchés publics comme de la réglementation européenne”.

Renforcer les acteurs

“En dehors d’autorités publiques très spécifiques – sachant que, même pour elles, le « risque cyber zéro » est une illusion – nombre d’autorités publiques nationales et, a fortiori, locales, ne présentent pas un degré de sécurité suffisant face aux menaces cyber”, jugent les deux députés. Aussi recommandent-ils un renforcement de la résilience de l’ensemble des acteurs, notamment des ministères dont les activités sont communément considérées comme moins sensibles.

Dans leur rapport, ils appellent à “durcir les dispositifs de prévention et de protection de l’ensemble des autorités publiques nationales” ainsi qu’à “diffuser plus largement une culture et une conscience du « risque cyber » au sein des administrations par des actions de formation, de pédagogie et de prévention”. L’éducation nationale devrait à ce titre, selon les rapporteurs, assumer ce rôle de formation auprès des citoyens. Quant à l’Agence nationale de sécurité des systèmes d’information (Anssi), elle pourrait également jouer un rôle accru dans l’animation d’un réseau régional d’information et de sensibilisation, que ce soit à destination des administrations comme des entreprises. S’ils saluent l’effort de renforcement des moyens humains de l’agence, dont les effectifs devraient monter à 570 agents fin 2018 et à 670 agents en 2022, ils ne jugent pas cette augmentation à la hauteur des enjeux, qui plus est avec l’élargissement du périmètre d’action de l’agence. Ils préconisent plutôt 850 agents a minima.

Plus insolite, le rapport recommande l’organisation de bug bounties, un mode de rétribution venu des États-Unis et visant à récompenser tout acteur ayant repéré et signalé une faille informatique plutôt que de l’avoir exploitée.

Une loi de programmation militaire

Du reste, le rapport invite à consolider la base industrielle et technologique de défense (BITD) et à pousser davantage l’harmonisation européenne des standards et des technologies de sécurité informatique.

Les propositions des deux députés constituent, selon eux, des pistes d’évolution “au-delà des avancées réalisées et du renforcement des moyens déjà opérés”. Notamment en supplément de la loi de programmation militaire 2019-2025, adoptée le 27 juin par l’Assemblée nationale. Celle-ci prévoit une vague de recrutements de 1 500 “combattants cyber” pour porter leur nombre à 4 000 d’ici 2025. Cette même loi prévoit également d’élargir les pouvoirs de l’Anssi en l’habilitant à installer des sondes de détection d’anomalies sur les réseaux des hébergeurs et, dans certains cas, des opérateurs.