Retour
 

Rapport d'information fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur la cyberdéfense

Auteur(s) :

    • FRANCE. Sénat. Commission des affaires étrangères, de la défense et des forces armées

Editeur :

  • Sénat

Collection : Les Rapports du Sénat

Titre de couverture : "La cyberdéfense : un enjeu mondial, une priorité nationale"

Date de remise : Juillet 2012
158 pages

Pour lire les rapports au format PDF vous avez besoin d'un lecteur PDF.
Pour lire les rapports au format EPUB vous avez besoin d'un lecteur EPUB.

Dans le cadre de la rédaction d'un nouveau Livre blanc sur la défense et la sécurité nationale, la commission des affaires étrangères, de la défense et des forces armées du Sénat propose un état des lieux de la cyberdéfense, se concentrant sur la protection contre les attaques informatiques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation. Déjà identifiés dans le Livre blanc publié en 2008, les risques et les menaces qui pèsent sur les systèmes d'information se sont nettement confirmés (montée en puissance rapide du cyber espionnage, multiplication des attaques informatiques en direction des Etats, des institutions ou des entreprises), selon un document préparatoire à l'actualisation du Livre blanc. Dans ce contexte, le rapport pose la question suivante : la France est-elle suffisamment préparée pour se protéger et se défendre face aux attaques informatiques ?

LES 10 PRIORITÉS DU RAPPORT

INTRODUCTION

I. LES ATTAQUES CONTRE LES SYSTÈMES D’INFORMATION : UNE MENACE STRATÉGIQUE QUI S’EST CONCRÉTISÉE ET ACCENTUÉE AU COURS DE CES DERNIÈRES ANNÉES

A. DE TALLIN À TÉHÉRAN : AUCUN PAYS N’EST AUJOURD’HUI À L’ABRI DES ATTAQUES INFORMATIQUES

1. Le cas de l’Estonie : une perturbation massive de la vie courante d’un pays

2. STUXNET : une « arme informatique » des États-Unis dirigée contre le programme nucléaire militaire iranien ?

3. FLAME : un vaste dispositif d’espionnage informatique ?

B. LA FRANCE N’EST PAS ÉPARGNÉE PAR CE FLÉAU

1. La perturbation de sites institutionnels : l’exemple du Sénat

2. L’attaque informatique ayant visé le ministère de l’économie et des finances

3. L’espionnage via l’Internet des entreprises : le cas d’AREVA

C. UNE MENACE PROTÉIFORME

1. Les principaux types d’attaques informatiques

2. Les cibles visées

3. Le profil des « attaquants » : pirates informatiques, cybercriminels, cyberterroristes, Etats étrangers ?

II. UNE MENACE DÉSORMAIS PRISE EN COMPTE AU NIVEAU INTERNATIONAL

A. UNE PRÉOCCUPATION PARTAGÉE PAR NOS PRINCIPAUX ALLIÉS

1. Les États-Unis

2. Le Royaume-Uni

3. L’Allemagne

B. UNE COOPÉRATION INTERNATIONALE ENCORE BALBUTIANTE

1. Des initiatives en ordre dispersé

2. Une priorité de l’OTAN qui tarde à se concrétiser

3. Une implication encore insuffisante de l’Union européenne

C. LES FREINS À LA COOPÉRATION INTERNATIONALE

III. LA FRANCE A COMMENCÉ À COMBLER SON RETARD MAIS NOTRE DISPOSITIF CONNAÎT ENCORE D’IMPORTANTES LACUNES

A. UNE PRISE DE CONSCIENCE TARDIVE

1. Le constat sévère du rapport Lasbordes de 2006

2. Le rapport Romani de 2008

3. Le Livre blanc sur la défense et la sécurité nationale de 2008

B. DE RÉELLES AVANCÉES DEPUIS 2008

1. La création de l’Agence nationale de la sécurité des systèmes d’information

2. La stratégie française en matière de cyberdéfense et de protection des systèmes d’information

3. Le passage d’une posture de protection passive à une stratégie de cyberdéfense en profondeur

4. Les mesures prises par les différents ministères : l’exemple du ministère de la défense

C. NOTRE DISPOSITIF CONNAÎT ENCORE D’IMPORTANTES LACUNES

1. Les effectifs et les moyens de l’ANSSI restent limités par rapport à ceux dont disposent nos principaux partenaires

2. La sécurité des systèmes d’information n’est pas toujours considérée comme une priorité par les différents ministères

3. Les entreprises et les opérateurs d’importance vitale demeurent encore insuffisamment sensibilisés à la menace

IV. FAIRE DE LA PROTECTION ET DE LA DÉFENSE DES SYSTÈMES D’INFORMATION UNE VÉRITABLE PRIORITÉ NATIONALE ET EUROPÉENNE

A. LA NÉCESSITÉ D’UNE FORTE MOBILISATION AU SEIN DE L’ETAT

1. Renforcer les effectifs et les prérogatives de l’ANSSI afin de les porter à la hauteur de ceux dont disposent nos principaux partenaires européens

2. Donner plus de force à la protection et à la défense des systèmes d’information au sein de chaque ministère

3. Une doctrine publique sur les capacités « offensives » ?

B. RENFORCER LE PARTENARIAT AVEC L’ENSEMBLE DES ACTEURS

1. Développer le partenariat avec le secteur économique

2. Assurer la protection des systèmes d’information des opérateurs d’importance vitale

3. Encourager la formation, soutenir la recherche et accentuer la sensibilisation

C. POUR UNE VÉRITABLE POLITIQUE DE CYBERSÉCURITÉ DE L’UNION EUROPÉENNE

1. Encourager la sécurité, la confiance et la résilience à l’échelle européenne

2. Renforcer les capacités de cyberdéfense des Etats membres et des institutions européennes

3. Un enjeu majeur : Pour une interdiction totale sur le territoire européen des « routeurs de cœur de réseaux » et autres équipements informatiques sensibles d’origine chinoise

LISTE DES 50 RECOMMANDATIONS

EXAMEN EN COMMISSION

ANNEXE I -   LISTE DES PERSONNES AUDITIONNÉES

ANNEXE II -   LISTE DES DÉPLACEMENTS

ANNEXE III - GLOSSAIRE

LISTE DES 50 RECOMMANDATIONS

 

1°) Au niveau de l’Etat

Recommandation n°1 : Faire de la cyberdéfense et de la protection des systèmes d’information une priorité nationale, portée au plus haut niveau de l’Etat, notamment dans le contexte du nouveau Livre blanc et de la future loi de programmation militaire. Rendre la politique nationale plus « lisible ».

- L’ANSSI :

 Recommandation n°2 : Conforter le modèle français reposant sur l’ANSSI tout en développant ses relations avec les armées, la DGA et les services spécialisés. Poursuivre, voire amplifier, l’augmentation des effectifs et des moyens de l’ANSSI dans les prochaines années, au moyen d’un programme pluriannuel, réévalué régulièrement

 Recommandationn°3 : Introduire des modifications législatives pour donner les moyens à l’ANSSI, aux armées et aux services spécialisés d’exercer leurs missions, notamment en autorisant la rétroconception à des fins de sécurité, en prévoyant la possibilité de procéder à l’analyse de comportement des codes malveillants, la possibilité de mettre en place des dispositifs permettant de suivre les actions d’un attaquant ou encore l’identification et la collecte de vulnérabilités des outils utilisés par l’attaquant.

 Recommandation n°4 : Donner réellement à l’ANSSI les pouvoirs afférents à son rôle d’« autorité nationale » en lui conférant un véritable pouvoir d’imposition en ce qui concerne la politique de sécurité des systèmes d’information des acteurs publics et des opérateurs d’importance vitale

 Recommandation n°5 : Développer le rôle de l’ANSSI en matière de « labellisation » et de « certification » de produits sécurisés et lui donner les moyens de soutenir les services informatiques des administrations pour l’acquisition et l’intégration de ces produits, ainsi que pour l’intégration des produits agréés et qualifiés et pour l’intégration de systèmes d’exploitation durcis

 Recommandation n°6 : Instaurer une politique des ressources humaines au sein des services de l’Etat concernant les spécialistes de la sécurité informatique en encourageant le recrutement, la formation, les mobilités et le déroulement des carrières au sein et entre les services de l’Etat

- Le ministère de la Défense :

 Recommandation n°7 : Poursuivre et amplifier les moyens techniques et humains consacrés à la cyberdéfense au sein des armées, de la DGA et des services spécialisés. Promouvoir une « cyber réserve » au sein de la réserve citoyenne et opérationnelle.

 Recommandation n°8 : Conforter et approfondir la nouvelle organisation de cybersécurité mise en place au sein du ministère de la défense en renforçant le rôle du fonctionnaire de la sécurité des systèmes d’information (FSSI) et en révisant son positionnement au sein de la Direction générale des systèmes d’information et de communication (DGSIC)

 Recommandation n°9 : Encourager et soutenir le rôle de la DGA en matière de

conception et de certification de produits de haut niveau de sécurité pour les besoins militaires, civils et interministériels

 Recommandationn°10 : Poursuivre le développement de capacités offensives au sein des armées et des services spécialisés. Renforcer le suivi de ces capacités par la délégation parlementaire au renseignement. S’interroger sur la pertinence d’un discours public, voire d’une doctrine publique, sur les capacités offensives

- L’ensemble des ministères :

 Recommandation n°11 : Faire de la protection des systèmes d’information une

véritable priorité prise en compte dans l’action de chaque ministère, réserver un pourcentage significatif du montant des projets à la sécurité informatique

 Recommandation n°12 : Rendre obligatoire pour chaque ministère la tenue d’une cartographie à jour de son propre réseau et de son système d’information. Dans l’attente de l’édification du Réseau Interministériel de l’Etat (RIE), réduire le nombre de passerelles entre les réseaux des ministères et l’Internet et développer les systèmes de surveillance de ces passerelles permettant de détecter les attaques

 Recommandation n°13 : Rehausser l’autorité et le rôle des fonctionnaires de la sécurité des systèmes d’information (FSSI) afin qu’ils deviennent au sein de chaque ministère de véritables directeurs ou secrétaires généraux de la sécurité et de la défense des systèmes d’information (DSSI ou SGSSI) auxquels devront être soumis pour avis les projets informatiques des administrations

 Recommandation n°14 : Renforcer les effectifs et les moyens de la direction interministérielle des systèmes d’information et de communication de l’Etat (DISIC) en matière de sécurité des systèmes d’information et poursuivre la mise en place du Réseau Interministériel de l’Etat

 Recommandation n°15 : Accroître les efforts de sensibilisation des personnels des administrations, à tous les échelons, notamment par la signature de charte d’utilisation des systèmes d’information

 Recommandationn°16 : Instituer un pôle juridictionnel spécialisé à compétence nationale, sur le modèle du pôle de lutte contre le terrorisme ou du pôle financier, pour réprimer les atteintes graves aux systèmes d’information. Former les magistrats de ce pôle

2°) Concernant les entreprises et les opérateurs d’importance vitale

- Les entreprises :

 Recommandation n°17 : Rendre obligatoire une déclaration d’incident à l’ANSSI en cas d’attaque importante contre les systèmes d’information et encourager les mesures de protection par des mesures incitatives

 Recommandation n°18 : Faire de la protection des systèmes d’information une véritable priorité en matière de management des entreprises en sensibilisant les dirigeants des entreprises et en rehaussant le niveau hiérarchique et le rôle des responsables de la sécurité informatique

 Recommandationn°19 : Engager une réflexion avec les compagnies d’assurance sur la prise en charge des opérations de traitement d’une cyberattaque moyennant un certain niveau de sécurité initial et la réalisation d’un audit annuel

 Recommandationn°20 : Renforcer les échanges entre l’ANSSI et les entreprises spécialisées dans la conception de produits ou de services de sécurité informatique en mettant en place un réseau de prestataires de confiance

 Recommandationn°21 : Encourager par une politique industrielle volontariste le tissu industriel des entreprises françaises, notamment des PME, spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique

 Recommandation n°22 : Encourager et développer le rôle des sociétés privées de conseil et d’assistance en matière de sécurité informatique, par un système d’agrément ou de label, des modifications législatives et des mesures incitatives

 Recommandation n°23 : Améliorer et renforcer le soutien à l’export des entreprises françaises proposant des produits de sécurité informatique

- Les opérateurs d’importance vitale :

 Recommandation n°24 : Rendre obligatoire pour les opérateurs d’importance vitale une déclaration d’incident à l’ANSSI dès la détection d’un incident informatique susceptible de relever d’une attaque contre les systèmes d’information et pouvant porter atteinte au patrimoine informationnel ou à l’exercice des métiers de l’opérateur, et encourager les mesures de protection par des mesures incitatives

 Recommandation n°25 : Réduire le nombre de passerelles entre les réseaux et l’Internet et introduire un système de surveillance des flux permettant de déceler les attaques informatiques, agréé par l’ANSSI et favoriser le groupement d’opérateurs d’importance vitale autour de système de détection partagés opérationnels 24/24

 Recommandation n°26 : Encourager la coopération et les échanges entre l’ANSSI et les opérateurs d’importance vitale dans le cadre d’une démarche sectorielle. Rendre obligatoire le maintien d’une cartographie à jour des systèmes d’information, un audit annuel en matière de sécurité des systèmes d’information, ainsi qu’une déclaration à l’ANSSI de systèmes de contrôle des processus ou des automates industriels (SCADA) connectés à l’Internet

- Les universités et centres de recherches

 Recommandation n°27 : Encourager la formation d’ingénieurs spécialisés dans la protection des systèmes d’information et prévoir un module consacré à la protection des systèmes d’information dans toutes les formations d’ingénieurs, dans les grandes écoles d’ingénieurs, les universités et l’enseignement technique. Inclure une sensibilisation obligatoire dans les écoles formant les cadres de l’administration (comme l’ENA par exemple) et proposer une telle sensibilisation aux formations de management destinées aux entreprises

 Recommandationn°28 : Accentuer la recherche et développement en matière de sécurité des systèmes d’information et renforcer les relations des acteurs publics avec les universités et les centres de recherche

- Le grand public

 Recommandation n°29 : Améliorer la sensibilisation du public par un plan de communication inspiré du plan de prévention de la sécurité routière

3°) Concernant les relations internationales

- Les échanges bilatéraux

 Recommandation n°30 : Poursuivre et développer la coopération en termes quantitatifs et qualitatifs avec les CERT gouvernementaux et militaires

 Recommandationn°31 : Poursuivre et renforcer la coopération bilatérale avec le Royaume-Uni, autour des capacités techniques et opérationnelles, notamment au profit du domaine militaire et de la sécurité des opérateurs d’infrastructures vitales communs

 Recommandation n°32 : Poursuivre et renforcer la coopération bilatérale avec l’Allemagne, notamment sur les projets industriels et de recherche conjoints, ainsi qu’au profit de la sécurité des opérateurs d’infrastructures vitales communs

 Recommandation n°33 : Développer notre influence en renforçant les relations bilatérales avec des pays ayant mis en place, ou souhaitant mettre en place, une organisation nationale de gestion de la cybersécurité, afin de promouvoir le modèle français de gouvernance en matière de cybersécurité, de promouvoir l’industrie française, et de développer une communauté de vue la plus large possible sur les questions internationales en matière de cybersécurité afin de peser plus efficacement dans les enceintes internationales

 Recommandation n°34 : Favoriser le dialogue : mettre en place des dialogues stratégiques bilatéraux avec les pays pouvant jouer un rôle particulier en matière de cyberattaques à l’encontre de nos intérêts nationaux, afin de développer progressivement la confiance, via l’amélioration de la connaissance mutuelle de nos organisations et de nos postures stratégiques, ainsi que sur l’entraide internationale en matière de cybercriminalité

- Les enceintes multilatérales

L’OTAN :

 Recommandation n°35 : Concentrer le rôle de l’OTAN sur la protection des systèmes d’information et de communication propres à l’Alliance et poursuivre le développement de capacités opérationnelles de l’OTAN (centre opérationnel 24h/24 7jours/7)

 Recommandation n°36 : Encourager la coopération OTAN/Union européenne, en s’appuyant sur la complémentarité de leurs approches, notamment en matière d’infrastructures critiques

 Recommandationn°37 : Poursuivre les discussions afin d’élaborer une doctrine au sein de l’OTAN (recours à l’article V en cas de cyberattaque)

 Recommandation n°38 : Prévoir une présence française au sein du centre d’excellence de Tallinn L’Union européenne :

 Recommandation n°39 : Promouvoir une véritable stratégie globale européenne en matière de protection des systèmes d’information au sein de l’Union européenne. Rendre l’action de l’UE plus « lisible ».

 Recommandation n°40 : Réformer fondamentalement l’agence européenne ENISA afin d’en faire véritablement un outil de soutien réellement efficace aux Etats membres

 Recommandation n°41 : Inciter l’Union européenne à assurer la protection de ses propres réseaux en renforçant le rôle du CERT des institutions de l’Union européenne, notamment auprès des organismes dépendants de l’Union européenne

 Recommandation n°42 : Renforcer la coopération industrielle européenne en matière de conception de produits informatiques ou de sécurité informatique, et soutenir l’industrie européenne des technologies de l’information et de la communication afin d’en assurer la compétitivité et la pérennité, notamment grâce à des financements ou des mécanismes innovants (programme compétitivité et innovation par exemple) en priorité dans le domaine des télécommunications (routeurs et équipements cœur de réseau) mais également dans des domaines comme l’électronique (processeurs, PC), les systèmes d’exploitation ou les environnements sécurisés. Encourager la recherche au niveau européen par le biais du programme cadre de recherche et développement.

 Recommandation n°43 : Développer le rôle de l’Union européenne en matière de normes juridiques afin de renforcer la protection des systèmes d’information des entreprises et des infrastructures critiques au niveau européen, notamment la protection des infrastructures critiques européennes et les infrastructures d’information (en posant notamment des garanties minimales à l’échelle européenne en matière de sécurité informatique).

 Recommandation n°44 : Interdire sur le territoire national et européen le déploiement et l’utilisation de « routeurs » ou d’équipements de cœur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » ou d’autres équipements informatiques d’origine chinoise

L’ONU :

 Recommandation n°45 : Défendre l’idée d’un code de bonne conduite ou de mesures de confiance au niveau international et séparant clairement les éléments liés aux contenants techniques de ceux liés aux informations, plutôt qu’un traité international ou d’un texte international juridiquement contraignant

 Recommandationn°46 : Encourager un dialogue franc et ouvert avec la Chine et la Russie sur ces sujets L’UIT :

 Recommandation n°47 : Encourager le rôle d’aide au développement de capacités nationales, notamment des pays en voie de développement, de l’UIT, tout en s’opposant à la reconnaissance d’un fondement juridiquement contraignant à l’action de l’UIT sur la cybersécurité (hors du traité des télécommunications) et à un rôle opérationnel en ce domaine

L’OCDE :

 Recommandation n°48 : Utiliser l’OCDE pour s’informer sur les visions promues par les autres Etats et comme enceinte d’influence pour évaluer et promouvoir les visions développées au niveau national

L’OSCE :

 Recommandation n°49 : Encourager au sein de l’OSCE le développement et l’expérimentation de mesures favorisant la confiance avec la Russie, en parallèle des travaux menés à l’ONU

- L’Influence sur les standards techniques et la participation dans les enceintes de normalisation :

 Recommandationn°50 : Engager une activité de veille sur les enjeux de sécurité des systèmes d’information et de cybersécurité soulevés par les standards techniques en cours de développement, au sein ou en dehors de groupes de normalisation, afin de les identifier précocement, s’assurer du développement de positions nationales, et les faire porter par les représentants français ou nos alliés, publics ou privés.

 
 

Autres contenus apparentés

Voir aussi

Autres rapports sur le(s) thème(s):

Politique de defense

Restez informé

Abonnement à la lettre d'information de la BRP