L’État et la sécurité des systèmes d’information (SSI)

Face au risque de terrorisme et à des tentatives de déstabilisation possible par des services étrangers, des groupes mafieux ou des hackers potentiellement dangereux, la France après le 11 septembre a compris l'urgente nécessité d'introduire une composante de sécurité des systèmes d’information jusque-là absente…

Face au risque de terrorisme et à des tentatives de déstabilisation possible par des services étrangers, par des groupes mafieux ou des hackers potentiellement dangereux, la France après le 11 septembre a compris l'urgente nécessité d'introduire « une composante de sécurité des systèmes d’information jusque là absente et d’acquérir rapidement la maîtrise de l’ensemble des circuits opérationnels concernés. » [1]

Les cybermenaces sont devenues permanentes, le prochain "grand dossier" de la revue Défense sera consacré à la "Cybercriminalité sous toutes ses formes". Un secteur dans lequel les gendarmes ont sans doute été les premiers à s'impliquer en France sous l'impulsion, notamment, du général d'armée Marc Watin-Augouard, qui est à l'origine du Forum International sur la Cybercriminalité, grand rendez-vous international "Cyber" à Lille, chaque année en janvier. 

Cette tribune a été publiée dans la revue Défense. [2] Nous la reproduisons ici avec l'aimable autorisation de son auteur Joël-François Dumont (*) rédacteur-en-chef adjoint de la revue. (©) Paris, le 26 août 2010.

La France face aux cyber-menaces

Une première comparaison avec ce qui se faisait chez nos principaux partenaires a montré une diversité des organisations, des réglementations et des pratiques en sécurité des systèmes d’information. En France, des rapports annuels faisaient part de difficultés persistantes pour améliorer la situation : compétences et capacités opérationnelles trop réduites et isolées, manque de sensibilité des décideurs aux enjeux, insuffisance de produits de sécurité dûment qualifiés, prolifération d’interconnexions de réseaux mal sécurisées, réglementation nationale difficilement applicable, dimension européenne mal coordonnée. Une harmonisation à l’échelle européenne s'imposait.

Les efforts accomplis, pour méritoires qu’ils fussent, n’étant pas à la mesure de l’évolution rapide des technologies et des menaces, il fallait analyser la demande de sécurité et l’offre disponible en favorisant la structuration d’une filière de sécurisation des réseaux assurant l’autonomie nationale. Un rapport a donc été commandé au SGDN pour redéfinir les priorités et proposer des solutions à la hauteur des enjeux et le député Pierre Lasbordes s'est vu confier par Matignon une mission parlementaire sur la sécurisation des réseaux. L'objectif étant d'accroître et mobiliser les moyens judiciaires en reconnaissant la spécificité des contentieux liés aux systèmes d’information, en protégeant les systèmes de l’État et des infrastructures vitales (SAIV). [3]

Le SGDN proposa fin 2004 un Plan de Renforcement de la Sécurité des Systèmes d’Information de l’État pour une durée de 3 ans. En matière d’administration électronique, ce plan gouvernemental « RE/SO 2007 » préconisait 12 mesures pratiques et fixait 4 objectifs « conduisant à une sécurisation plus complète et durable des systèmes d’information de l’État ». Initiatives complétées par le ministre de l'Intérieur qui demanda le 29 juin 2004 à Thierry Breton d'ouvrir un chantier sur la lutte contre la cybercriminalité pour étendre l’espace Schengen à celle-ci; développer la coopération entre les acteurs publics et privés et concevoir et planifier des actions de prévention. Le rapport suggérait de doubler les capacités opérationnelles des services spécialisés de police et de gendarmerie et de renforcer les capacités juridiques d'investigation, de veille et de R&D. [4] Un rapport sur la Cyberdéfense [5] établi par le sénateur Roger Romani, recommandait une montée en puissance de l'ancienne DCSSI pour en faire une Agence interministérielle à part entière, l'ANSSI, dont les effectifs devraient atteindre 250 agents d'ici 2012 [6]

Enfin, le Livre blanc de 2008 devait définir la protection des SSI comme une composante à part entière de notre politique de défense et de sécurité, estimant que « le niveau quotidien actuel des agressions contre les systèmes d’information, qu’elles soient d’origine étatique ou non, laissait présager un potentiel très élevé de déstabilisation de la vie courante, de paralysie de réseaux critiques pour la vie de la nation, ou de déni de fonctionnement de certaines capacités militaires ».

En septembre 2007, « des services de l’État ont fait l’objet d’attaques ciblées visant à s’introduire dans leurs systèmes d’information, vraisemblablement à des fins d’espionnage. » [5] Un genre de menaces encore mal identifié aujourd'hui pris en compte avec des moyens conséquents mais faibles par rapport à ceux dont disposent les Allemands ou les Britanniques. Au Royaume-Uni, la nouvelle doctrine nationale en matière de SSI [7] présentée par Gordon Brown en juin 2009 renforce l'organisation actuelle qui s'appuie sur le Communications and Electronic Security Group, doté de 450 agents relevant de l’agence en charge du renseignement technique, le CGHQ. Le Royaume-Uni a su, de plus, développer la coopération entre acteurs publics et privés au sein d’une instance spécifique : le National Infrastructure Security Coordination Center. L'Allemagne a élaboré, elle aussi, un plan national pour la protection des infrastructures d’information qui concerne tant le secteur public que le secteur privé. Sa mise en œuvre s’appuie sur le Bundesamt für Sicherheit in des Informationstechnik (BSI), agence homologue de l'ANSSI, rattaché au ministère fédéral de l’intérieur. De 2001 à 2005, ses effectifs sont passés de 340 agents à 500. Après la réunification et le transfert de la capitale à Berlin, l’Allemagne s’est dotée d'un système de communication gouvernemental hautement sécurisé, l'Informationverbund Berlin-Bonn, disposant ainsi d’une capacité de détection dont la France est en train de se doter. [8] On est certes très loin des moyens que les Américains entendent se donner à compter du 1er octobre prochain avec un Cyberspace Command. On peut néanmoins dire que la tendance a été renversée.

Joël-François Dumont

(*) Auditeur à l'Institut des Hautes Études de Défense Nationale (IHEDN).

[1] http://ssi.ac-bordeaux.fr/fileadmin/Base_documentaire/Documents/org-fonct.pdf  
[2] Numéro 147 daté de Septembre-octobre  2010 de Défense, revue bimestrielle de l'Union des Associations des Auditeurs de l'Institut des Hautes Études de Défense Nationale (IHEDN).Abonnements: BP 41-00445 Armées. 
[3] cf. L’Europe et les infrastructures critiques, in Défense N°138. 
[4] cf. Grand entretien avec le général Watin-Augouard in défense N°147. 
[5] Rapport N°449 du Sénat fait au nom au nom de la commission des Affaires étrangères, de la défense et des forces armées. (Synthèse). 
[6] Décret n°2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » 
[7] Cyber Security Strategy of the United Kingdom. 
[8] cf. "La souveraineté nationale passe par la sécurité des systèmes d'information" de Patrick Pailloux.

Articles du même auteur parus dans la rubrique "Renseignement" de la revue Défense :

• Dans les archives inédites des services secrets : Un siècle d’histoire et d’espionnage français (1870-1989) in Défense N°149: Janvier-février 2011
• L’académie du renseignement in Défense N°148 : Novembre-décembre 2010
• L’État et la sécurité des systèmes d’information (SSI) in Défense N°147 : Septembre-octobre 2010
• Les services secrets de la France libre : du 2e Bureau au BCRA in Défense N°146 : Juillet-août 2010
• Harfang en Afghanistan : l’heure du bilan in Défense N°145 : Mai-juin 2010
• Les services et la prise de décision politique in Défense N°144 : Mars-avril 2010
• Barack Obama et le renseignement américain in Défense N°143 : Janvier-février 2010
• Les coulisses de l’intelligence économique in Défense N°142 : Novembre-décembre 2009
• De la guerre froide à la révolution digitale in Défense N°141 : Septembre-octobre 2009
• L’Europe et les infrastructures critiques in Défense N°140 : Juillet-août 2009
• Piraterie maritime et renseignement in Défense N°139 : Mai-juin 2009
• L’Europe et les infrastructures critiques in Défense N°138 : Mars-avril 2009
• Renseignement et intelligence… sans réserve in Défense N°137 : Janvier-février 2009
• Le CCM de Kourou veille sur Ariane in Défense N°136 : Novembre-décembre 2008
• Afghanistan : vérité et vérités in Défense N°135 : Septembre-octobre 2008
• Être bien renseigné relève de l’art de gouverner in Défense N°134 : Juillet-août 2008
• La Brigade de Renseignement de l’armée de Terre (BR) in Défense N°133 : Mai-juin 2008
• Le renseignement d’intérêt Terre in Défense N°132 : Mars-avril 2008
• Le renseignement d’intérêt maritime (RIMAR) in Défense N°131 : Janvier-février 2008
• La DRM fête ses quinze ans – (2) – in Défense N°129 : Septembre-octobre 2007
• La DRM fête ses quinze ans – (1) – in Défense N°128 : Juillet-août 2007
• Renseignement, histoire & géopolitique in Défense N°127 : Mai-juin 2007
• Renseignement : le modèle anglais fait des adeptes in Défense N°126 : Mars-avril 2007
• Espionnage : le grand cirque in Défense N°125 : Janvier-février 2007
• OPEX : la gestion des crises en évolution in Défense N°124 : Novembre-décembre 2006
• Concilier l'inconciliable in Défense N°123 : Septembre-octobre 2006 et Reconciling the irreconcilable
• Du célèbre canon de 75 à la révolution de l'information in Défense N°122 : Juillet-août 2006
• Quand les jihadistes ont le pétrole pour cible in Défense N°121 : Mai-juin 2006
• Le renseignement d’origine humaine, une spécificité Armée de Terre in Défense N°120 : Mars-avril 2006
• Les drones : une arme de supériorité tactique pour les armées modernes in Défense N°120 : Mars-avril 2006
• Renseignement et démocratie : le modèle allemand in Défense N°119 : Janvier-février 2006
• Pearl Harbor, c'est aujourd'hui in Défense N°118 : Novembre-décembre 2005