Le 12 février, Monsieur Mounir Mahjoubi, secrétaire d’Etat auprès du Premier Ministre, chargé du numérique, a présenté officiellement la « revue stratégique de cyberdéfense ». Ce texte, fruit d’une concertation de six mois, présente un état des lieux de la menace cybernétique en France et prône une plus grande attention portée à la cybersécurité par l’ensemble de la société, des personnes privées à l’Etat. Mathias Avocats vous en dit plus sur son contenu.
La cybercriminalité, une menace omniprésente
Pour les rédacteurs de la revue, « le constat d’une exposition accrue de nos sociétés de plus en plus numérisées et interconnectées au risque de crises cyber majeures résultant d’attaques massives ou produites par des contamination systémiques s’impose sans conteste ».
Ils font état des nombreux dangers auxquels sont exposés les systèmes et réseaux d’information aujourd’hui. L’année 2017 a été particulièrement riche en incidents de sécurité, et a marqué particulièrement par la succession de rançongiciels sévissant à l’échelle mondiale. L’insuffisante préparation d’une grande partie des acteurs est pointée du doigt : ils subissent la transformation numérique et n’ont souvent pas conscience des dangers avant qu’il ne soit trop tard.
Les menaces évoquées prennent de nombreuses formes, et poursuivent quatre grands objectifs selon la revue :
- L’espionnage informatique ;
- La cybercriminalité, dont le but est principalement le gain financier ;
- La déstabilisation, via la diffusion de fausses informations, de propagande extrémiste ou l’influence d’élections étrangères ;
- Le sabotage informatique, dont les influences se font de plus en plus sentir dans le monde physique.
La revue le souligne : les victimes sont extrêmement variées, et vont de la TPE/PME à la multinationale, du citoyen à un Etat. Il n’y a pas non plus de portraits types d’attaquants, qui selon leurs objectifs peuvent être de nature très différente. Il y a cependant un problème global : un manque de moyens investis dans la cybersécurité.
Des propositions stratégiques en matière de cyberdéfense
Face à ces menaces multiples et en constante évolution, la revue formule de nombreuses propositions. Outre un travail essentiel de sensibilisation aux questions de cybersécurité à effectuer à tout niveau, il est mis en avant la nécessité de faire de l’Etat le garant de la cyberdéfense, vu comme le seul moyen d’assurer sa souveraineté numérique. Les rédacteurs soulignent la nécessité de moderniser et consolider la gouvernance étatique de la cyberdéfense, qui s’organise autour de six missions :
- La prévention, via un travail de sensibilisation de toutes les victimes potentielles ;
- L’anticipation, c’est-à-dire la surveillance, la connaissance et l’analyse des modes opératoires des cyberattaquants ;
- La protection des systèmes d’information, en particulier pour les acteurs sensibles comme les Opérateurs d’Importance Vitale (OIV) ou les Opérateurs de Service Essentiel (OSE) ;
- La détection des attaques informatiques par des services de renseignement dédiés ;
- L’attribution des attaques informatiques à leur auteur, afin de lancer des poursuites judiciaires ou de « préparer une réponse adaptée» ;
- La réaction aux attaques, définie par la revue comme la remédiation à l’attaque (retour à un système d’information sain aussi vite que possible), la répression des infractions et les éventuelles actions militaires à entreprendre.
La revue suggère plusieurs points précis d’amélioration : renforcement des obligations de cybersécurité des OIV et des OSE, mise en place d’un dispositif européen de cyberdéfense, renforcement de la réponse judiciaire à la cybercriminalité, réflexion sur la possibilité de riposter en cas de cyberattaque …
La volonté de renforcer les moyens alloués à la cyberdéfense n’émane pas seulement de cette revue : on la retrouve de manière concrète dans le projet de loi de programmation militaire pour 2019/2025.
Vers la loi de programmation militaire pour 2019/2025
Le projet de loi se place dans la continuité de la loi de programmation militaire pour 2014/2019 et accorde une place importante à la cybersécurité. Si la loi précédente était centrée sur la défense des systèmes et réseaux d’information, en particulier ceux des OIV, le projet de loi entend donner plus de moyens pour lutter contre les cyberattaques et y répondre.
L’article 19 du projet de loi permettrait ainsi aux opérateurs de communications électroniques, pour les besoins de la défense et de la sécurité informatique, de mettre en place à leurs frais des dispositifs permettant, à l’aide de marqueurs techniques, de détecter les incidents de sécurité pouvant affecter les systèmes informatiques de leurs abonnés. Il prévoit également que l’ANSSI pourra, sous contrôle de l’ARCEP, demander aux opérateurs d’exploiter ces dispositifs concernant les attaques informatiques dont elle aura eu connaissance, et éventuellement leur imposer d’informer leurs abonnés des attaques.
Le projet de loi s’attache aussi à la question des actions offensives de l’Etat en matière de cybersécurité. L’officier général « commandant de la cyber-défense », ou COMCYBER, mis en place en 2017 et chargé à la fois de la protection de systèmes d’information sensibles et des opérations militaires de cyberdéfense, voit ses moyens d’actions renforcés. Une protection contre les poursuites pénales serait désormais prévue pour les cybercombattants sous son autorité : ils pourront user de mesures de coercition numérique dans le cadre de leurs missions sans risquer de poursuites pénales.
Ce projet de loi a été présenté le 8 février en Conseil des Ministres. Il fera l’objet de débats au Parlement au cours de l’été.
