Cyberdéfense, entre coopération européenne et souveraineté nationale : le cas français.

 

La cyberdéfense désigne l'ensemble des moyens mis en place par l'Etat pour défendre dans le cybersespace les systèmes d'information jugés d'importance vitale, qui contribuent à assurer la sécurité

 

Quelles sont les menaces informatiques qui pèsent sur la France ? Comment la France organise-t-elle sa défense ? Dans quel cadre ? Cette défense est-elle efficace ?

 

I La France est exposée à de nombreuses menaces informatiques. 

a) Nature des menaces

La France est exposée à au moins trois types de menaces : le sabotage, l'espionnage et la subversion.

Le sabotage consiste à attaquer des unités de façon à en empêcher le fonctionnement normal. Dans certains cas ce sabotage est réalisé pour obtenir une rançon. Les logiciels criminels qui pratiquent ce genre d'extorsions de fonds sont appelés des rançongiciels ou ransomwares.  En 2017, le rançongiciel Wannacry connait une diffusion mondiale. L'Estonie est en 2007, le premier pays victime de la première cyberattaque de grande ampleur. Mais déjà en 2006, en France un premier rapport parlementaire évoquait le risque de ces cyberattaques.

L'espionnage est destiné à recueillir des informations sur des adversaires géopolitiques ou des concurrents économiques dans le cadre d'une véritable guerre économique. A ce propos, l'affaire Snowden a permis d'apprendre que les Etats-Unis pouvaient très bien espionner leurs alliés politique pour satisfaire des intérêts économiques.

La subversion désigne toute entreprise destinée à déstabiliser ou renverser l'ordre établi. On peut ranger dans cette catégorie, les tentatives de déstabilisation lancées par des armées de troll russes sur les réseaux sociaux. Cette capacité d'influence, pour ne pas dire de nuisance a été observée au moment du référendum britannique sur le Brexit et au moment de la campagne présidentielle américaine de 2016. En 2015, la chaine francophone TV5 Monde était victime d'une attaque informatique. Pendant plusieurs heures, elle n'a pas pu produire et diffuser des images. Son site Internet et ses comptes sur les réseaux sociaux diffusaient de la propagande djihadiste.

Au total, en 2017, on a dénombré 700 alertes d'attaques informatiques. 100 d'entres elles visaient le ministère des Armées. En 2019 encore, la ministre des Armées, Florence Parly évoquait le fait que chaque jour, deux incidents de sécurité touchaient son ministère.

 

Subversion : Action visant à saper les valeurs et les institutions établies ( définition du Larousse)

 

Cyberattaques : acte malveillant de piratage informatique dans le cyberespace. Les cyberattaques peuvent être l’action d’une personne isolée, d’un groupe, d’un État. Elles incluent la désinformation, l’espionnage électronique qui pourrait affaiblir l’avantage compétitif d’une nation, la modification clandestine de données sensibles sur un champ de bataille ou la perturbation des infrastructures critiques d’un pays (eau, électricité, gaz, communication, réseaux commerciaux)(définition du ministère de la défense). 

 

Logiciel malveillant ou malware : programme développé dans le but de nuire à un système informatique.

 

b) origines des menaces.

Les cyberattaques peuvent être le fait de hackers isolés, d'Etats ou de groupes malveillants. Par exemple, on soupçonne les Etats-Unis et Israël d'être à l'origine du ver informatique Stuxnet qui a permis de détériorer les centrifugeuses d'enrichissement de  l'uranium de l'Iran en 2010. On soupçonne également la Russie d'être à l'origine de l'attaque dont l'Estonie a été victime en 2007. On pense que Wannacry porte la signature de la Corée du Nord.  Les groupes terroristes aussi représentent une menace sur internet. Par exemple Daech a utilisé les réseaux sociaux pour mondialiser le conflit syrien en faisant de la propagande et en recrutant des combattants. Certains Etats s'inscrivent d'ailleurs dans ces logiques terroristes. On pense ainsi que le Soudan  a institué un groupe de cyberdjhadistes dont la mission est d'infiltrer l'opposition sur Facebook et Whatshap.

 

c) Les cibles des menaces

On observe une grande diversité parmi les cibles des attaques. Celles-ci peuvent être matérielles, politiques, économiques ou financières. Les câbles trans-océaniques sont par exemple l'objet de certaines de ces attaques. Face à des mouvements de sous-marins russes intriguant, les Etats-Unis envisagent de protéger leurs câbles par des barrières soniques. En Crimée en 2014, des câbles sous-marins ont été sabotés. Les cibles politiques sont de nature vairée. Il peut s'agir d'Etats. C'est ainsi qu'en 2010, les Anonymous  ont lancé des attaques contre des sites d'Etats pratiquant la censure. Des sites commerciaux peuvent aussi être la cible d'attaques destinées à récupérer les données et éventuellement les coordonnées bancaires de clients. La SNCF a été visée par le logiciel malveillant NotPetya. Le vol de propriété intellectuelle (secrets industriels ou informations commerciales confidentielles) est également une réelle menace. L'opinion publique peut aussi faire l'objet de tentatives d'influences. Sur le plan militaire, les dispositifs militaires stratégiques, armes nucléaires, centres de commandement, moyens de transmission et d'information sont à protéger.

 

II La cyberdéfense

a) Les moyens français

La France met en place des moyens pour lutter contre les cyberattaques En 2009 est créée l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Son rôle est d'assurer la cybersécurité en France. Il s'agit pour elle notamment d'empêcher la divulgation des compétences et les savoirs-faire des entreprises françaises, de  sécuriser les infrastructures, de protéger les particuliers contre la cybercriminalité, de diffuser les bonnes pratiques de sécurité, de veiller à la souveraineté politique et militaire française. Depuis 2015, il existe une stratégie nationale pour la sécurité du numérique. En 2017 est créé un Commandement de la Cyberdéfense (COMCYBER) placé sous la tutelle du ministère des Armées. Dans une logique défensive, ses objectifs sont d'anticiper (évaluer la probabilité d'attaque), protéger (diminuer la vulnérabilité des systèmes informatiques), détecter (repérer les cyberattaques en collaboration avec les partenaires internationaux), attribuer ( identifier l'origine des attaque)s, réagir (lancer des opération de lutte informatique défensive-LID), riposter (lancer des opérations de lutte informatique offensive-LIO). Depuis 2019, il existe une doctrine de lutte informatique offensive.

 

Cybercriminalité : infractions et crimes commis dans le cyberespace.

 

b) La coopération européenne et internationale.

La France n'a pas intérêt à lutter seule contre les cyber-menaces. Elle collabore donc avec ses alliés traditionnels dans le cadre de l'Organisation du Traité de l'Atlantique Nord (OTAN). Dès 2008, cette organisation à ouvert un centre d'excellence pour la cyberdéfense en coopération (NATO Cooperative Cyber Defence Centre of Excellence). Chaque année ce centre organise le locked shields, un exercice international de cyberdéfense réunissant des experts de 23 états membres de l'OTAN. En 2014 comité de cyberdéfense de l'OTAN a été créé.

 

Mais la France coopère également à l'échelle européenne. En 2004, est crée une Agence européenne de sécurité des réseaux  et de l'information. Dès 2010, elle signe un accord de coopération bilatérale avec l'Estonie. Il associe l' Agence Nationale de la Sécurité et des Systèmes d'Information (ANSSI) française au Centre Informatique Estonien (EIC). Il s'agit de partager des informations et des expériences. En 2016 une coopération renforcée entre l'OTAN et l'Ue en matière de cyberdéfense est décidée. En 2018, une politique commune de cyberdéfense a été mise en place à l'échelle de l'Ue. La même année, un règlement général sur la protection des données était promulgué (RGPD). Il ne concerne que les données personnelles et les relations entre consommateurs et grandes plateformes numériques. Toujours à l'échelle européenne, il existe désormais un projet Concordia qui réunit autour d'un projet de collaboration 18 Etats européens (Allemagne, Autriche, Belgique, Chypre, Espagne, France, Grèce Italie, Luxembourg, Norvège, Pays-Bas, Portugal, République Tchèque, Roumanie, Royaume-Uni Slovénie, Suède, Suisse , des institutions européennes (Europol, l'European Defense Agency) et des entreprises comme Ericsson, BMW, Siemens, Airbus ou encore Telenor.

 

c) La question de l'efficacité de cette cyberdéfense.

Les récentes cyberattaques contre des hôpitaux français laissent entendre que la protection des opérateurs d'importance vitale (OIV) connait des limites. Il faut dire que les opérateurs publics n'ont peut-être pas les moyens financiers suffisants pour protéger leurs systèmes informatiques. Les bonnes pratiques ne sont peut-être pas encore ancrées dans les mentalités. Les efforts consentis par les Etats dans le domaine de la cybersécurité ne sont pas égaux. La France, l'Allemagne et le Royaume Uni disposent d'agences nationales de Cybersécurité mais leur moyens ne sont pas comparables à ceux des EU, de la Chine et de la Russie

Sur le plan international, on constate que les moyens juridiques sont pour le moins limités. En effet, la cour internationale de justice  ou le conseil de sécurité de l'ONU reconnaissent aux Etats victimes de cyberattaques le droit de prendre des mesures de légitime défense uniquement si la cyberattaque est considérée comme une agression armée. Par ailleurs, il reste difficile d'identifier l'origine d'une attaque. Par exemple, même si Twitter a reconnu qu'i y a eu plus de 12 millions de tweets automatisés en provenance de Russie pendant la campagne présidentielle de 2016, le procureur en charge du dossier aux Etats-Unis n'a pu  prouver la collusion entre Trump et la Russie.

 

Conclusion : Menacée par de nombreuses menaces de cyberattaques, la France prend des mesures de cyberdéfense, Cette politique de cybersécurité est nationale, mais elle s'inscrit également dans le la cadre européen et dans celui de l'Alliance Atlantique. Cependant, il apparaît que malgré tout elle reste vulnérable face aux attaques dont les origines sont variées et pas toujours déterminées.