Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le sénateur Jean-Marie Bockel propose d’interdire les routeurs cœur de réseau chinois et met en avant la doctrine de cyberattaque française

juillet 2012 par Marc Jacob

M. Jean-Marie Bockel, sénateur (UCR - Haut-Rhin), ancien ministre, a présenté son rapport d’information sur la cyberdéfense, qui a été adopté hier par la commission des affaires étrangères, de la défense et des forces armées du Sénat, présidée par M. Jean-Louis Carrère (SOC – Landes). Mis à part les habituelles recommandations sur ce thème, deux points sont plus particulièrement à retenir : sa proposition d’interdire les routeurs cœur de réseau d’origine chinoise et la nécessaire mise en avant de la doctrine politique française en matière de cyberattaque.

Personne n’est aujourd’hui à l’abri des attaques informatiques, pas même l’Elysée

En préambule, de son intervention le sénateur Jean-Marie Bockel a fait un panorama des cyberattques subies par la France ces dernière années : Attaque informatique d’envergure de Bercy à la veille de la présidence française du G8 et du G20, espionnage informatique des entreprises à l’image d’AREVA, perturbations de sites Internet comme celui du Sénat : les attaques contre les systèmes d’information se sont multipliées en France, comme partout dans le monde. Même la Présidence de la République aurait été victime récemment d’une ou de plusieurs attaque(s). On estime que nos grandes institutions et nos entreprises sont victimes chaque jour de plusieurs millions de tentatives d’intrusions dans les systèmes d’information.

De plus, les révélations sur l’implication probable des Etats-Unis dans la conception du virus STUXNET, qui a détruit environ un millier de centrifugeuses d’enrichissement de l’uranium, retardant ainsi de quelques mois ou quelques années la réalisation du programme nucléaire militaire de l’Iran, ou encore la récente découverte du virus FLAME, vingt fois plus puissant, laissent présager de nouvelles « armes informatiques ». Avec le développement de l’Internet, les systèmes d’information sont devenus les « centres nerveux » de nos sociétés, sans lesquels elles ne pourraient plus fonctionner. Dans ce contexte, la France est-elle suffisamment organisée et préparée pour faire face à une attaque contre les systèmes d’information ?

Il n’y a pas de « ligne Maginot » dans le cyberespace

Depuis le Livre blanc sur la défense et la sécurité nationale de 2008, la France a réalisé d’importantes avancées. Une agence nationale de la sécurité des systèmes d’information (l’ANSSI), a été créée en 2009 et la France s’est dotée en 2011 d’une stratégie nationale. La France dispose, avec cette stratégie et avec l’ANSSI, d’outils importants. Pour autant, notre dispositif connaît encore d’importantes lacunes.

Avec des effectifs de 230 personnes et un budget de 75 millions d’euros, l’ANSSI reste encore loin des services similaires du Royaume-Uni ou de l’Allemagne, qui comptent entre 500 et 700 agents. De plus, les ministères et les entreprises françaises, notamment les PME, restent insuffisamment sensibilisés à la menace. Toutefois, aucune aide spécéfiques ne leur sera allouées en ce domaine. Renforcer la sécurité et la défense des systèmes d’information n’est pas seulement un enjeu technique. C’est aussi un enjeu économique, puisqu’il s’agit de protéger la chaîne de valeur, notre savoir-faire technologique, dans la véritable guerre économique que nous connaissons aujourd’hui, voire un enjeu stratégique, lorsque les intérêts de la nation sont en jeu. Or, avec l’espionnage informatique, la France, comme d’autres pays, est aujourd’hui menacée par un « pillage » systématique de son patrimoine diplomatique, économique, scientifique et culturel.

Les opérateurs d’importance vitale : notre « talon d’Achille »

A la différence de certains pays, la France ne dispose pas de capacités de protection et de systèmes permanents de détection des attaques informatiques à l’entrée des réseaux des opérateurs d’importance vitale (transports, énergie, santé, etc.). Il s’agit là de notre principale lacune et d’un enjeu majeur pour notre sécurité. « Quel serait le moyen le plus simple de provoquer une perturbation majeure de notre pays par le biais d’une attaque informatique ? Un moyen très simple serait de s’attaquer à la distribution d’énergie, aux transports ou à la santé. L’exemple du virus STUXNET ou celui du ver Conficker qui a perturbé le fonctionnement de plusieurs hôpitaux en France et dans le monde, montrent que cela n’est pas une hypothèse d’école » a ainsi indiqué M. Jean-Marie Bockel.

Afin de renforcer la protection et la défense des systèmes d’information et mettre un terme à la procrastination, le rapport d’information propose 50 recommandations concrètes regroupées en dix priorités :

-  Priorité n°1 : Faire de la cyberdéfense et de la protection des systèmes d’information une priorité nationale, portée au plus haut niveau de l’Etat, notamment dans le contexte du nouveau Livre blanc. S’interroger sur la pertinence de formuler une doctrine publique sur les capacités offensives ;

- Priorité n°2 : Renforcer les effectifs, les moyens et les prérogatives de l’Agence nationale de sécurité des systèmes d’information, ainsi que les effectifs et les moyens dédiés au sein des armées, de la direction générale de l’armement et des services spécialisés, et développer une véritable politique des ressources humaines. Par ailleurs, il souhaite que l’ANSSI ait un pouvoir renforcé en matière de préconisation de produits de sécurité.

-  Priorité n°3 : Introduire des modifications législatives pour donner les moyens à l’ANSSI d’exercer ses missions et instituer un pôle juridictionnel spécialisé pour réprimer les atteintes graves aux systèmes d’information ;

-  Priorité n°4 : Améliorer la prise en compte de la protection des systèmes d’information dans l’action de chaque ministère, en renforçant la sensibilisation à tous les niveaux, en réduisant le nombre de passerelles entre les réseaux et l’Internet, en développant les systèmes d’analyse permettant de détecter les attaques, ainsi qu’en rehaussant l’autorité des fonctionnaires de sécurité des systèmes d’information ;

- Priorité n°5 : Rendre obligatoire pour les entreprises et les opérateurs d’importance vitale une déclaration d’incident à l’ANSSI en cas d’attaque importante contre les systèmes d’information et encourager les mesures de protection par des mesures incitatives. Par contre, il a précisé être contre la prise de sanction pour les entreprises qui auraient perdu des données. L’objectif de cette recommandation est de faire prendre conscience aux entreprises de l’importance de se protéger, mais aussi de banaliser les problèmes liées à ces pertes.

-  Priorité n°6 : Renforcer la protection des systèmes d’information des opérateurs d’importance vitale, en réduisant le nombre de passerelles entre les réseaux et l’Internet, en développant les systèmes d’analyse, en généralisant les audits, en rendant obligatoire la déclaration des processus et automates industriels connectés à Internet et en favorisant la mise en place, de manière sectorielle, de centres de détection communs ;

-  Priorité n°7 : Soutenir par une politique industrielle volontariste, à l’échelle nationale et européenne, le tissu des entreprises françaises, notamment des PME, spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique et, plus largement, du secteur des technologies de l’information et de la communication, et renforcer la coopération entre l’Etat et le secteur privé ;

-  Priorité n°8 : Encourager la formation d’ingénieurs spécialisés dans la protection des systèmes d’information, développer la recherche et les activités de conseil, et accentuer la sensibilisation du public, notamment au moyen d’une campagne de communication inspirée de la prévention routière ;

-  Priorité n°9 : Poursuivre la coopération bilatérale avec nos principaux alliés, soutenir l’action de l’OTAN et de l’Union européenne, engager un dialogue avec la Chine et la Russie et promouvoir l’adoption au niveau international de mesures de confiance ;

- Priorité n°10 : Interdire sur le territoire national et à l’échelle européenne le déploiement et l’utilisation de « routeurs » ou d’autres équipements de cœur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » et certains équipements d’origine chinoise. Sur ce dernier point il a expliqué « qu’Actuellement, le marché des routeurs est dominé par des entreprises américaines, comme Cisco, mais, depuis quelques années, des entreprises chinoises, à l’image de Huawei et ZTE, font preuve d’une forte volonté de pénétration sur le marché mondial et en Europe.
Cette stratégie est d’ailleurs encouragée par certains opérateurs de télécommunications, car les routeurs chinois sont environ 20 % moins chers que les routeurs américains ou européens.
Or, comme cela m’a été confirmé à plusieurs reprises, cette stratégie soulève de fortes préoccupations, en raison des liens de ces entreprises avec le gouvernement chinois et des soupçons d’espionnage informatique qui pèsent sur la Chine.
Ainsi, les autorités américaines, comme d’ailleurs les autorités australiennes, ont refusé l’utilisation de « routeurs » chinois sur leur territoire pour des raisons liées à la sécurité nationale.
En Europe, une telle interdiction semble plus délicate mais la Commission européenne s’apprêterait à lancer une procédure d’infraction à l’encontre de ces entreprises, soupçonnées de concurrence déloyale.
Pour ma part, je considère qu’il est indispensable que l’Union européenne, à l’image des Etats-Unis ou de l’Australie, interdise l’utilisation des « routeurs » ou autres équipements informatiques sensibles d’origine chinoise sur son territoire. Il s’agit là d’un véritable enjeu de sécurité nationale. »

En route vers la cyberdéfense offensive

En conclusion, il a aussi abordé la question des capacités offensives de la France. Pour lui , « il existe sur ce sujet en France un véritable « tabou », comme j’ai pu moi-même le constater lors de mes différents entretiens. A l’inverse, d’autres pays, comme les Etats-Unis ou le Japon, n’hésitent pas à affirmer qu’ils répondront à une attaque informatique.
Pour sa part, il estime qu’un pays ne peut pas se défendre si il ne connaît pas les modes d’attaque. La lutte informatique offensive est prévue par le Livre blanc et la loi de programmation militaire. « Dans mon rapport, je m’interroge donc sur l’opportunité de définir une doctrine publique sur les capacités offensives, qui pourrait être reprise par le nouveau Livre blanc sur la défense et la sécurité nationale. » Il a répété à plusieurs reprise que la France n’avait pas à rougir de ses capacités offensives, mais qu’elle devait aujourd’hui « montrer les dents ». Selon lui, cette capacité est comparable à la force de dissuasion nucléaire, mise à part que dans le cadre de l’IT on pouvait s’en servir… Il n’a pas souhaité préciser si la France s’en était déjà servi…mais il a répété plusieurs fois : « dans ce domaine, on n’est pas des manchots ! ». « Je ne sais pas si l’on verra à l’avenir des cyberguerres. Mais je suis certain que notre défense et notre sécurité se joueront aussi sur les réseaux informatiques dans les années futures. » a-t-il conclu.

Le rapport et la synthèse sont disponibles sur le site Internet du Sénat : http://www.senat.fr
Les travaux de la commission des affaires étrangères, de la défense et des forces armées du Sénat pour la préparation de la révision du Livre blanc : http://www.senat.fr/commission/etr/...


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants