Francis Delon

C’est Francis Delon, secrétaire général de la défense et de la sécurité nationale, et Patrick Pailloux, directeur général de l’ANSSI, qui ont présenté la stratégie publique de l’État en matière de défense et de sécurité des systèmes d’information. Francis Delon a précisé que plusieurs pays, comme les Etats-Unis, la Grande-Bretagne, le Canada, ont procédé de la même façon.

À la suite de la publication du Livre blanc sur la défense et la sécurité nationale, identifiant les attaques informatiques de grande envergure contre les infrastructures nationales comme une des menaces majeures pour la France, le Gouvernement a engagé un renfort significatif des capacités nationales en matière de cyberdéfense.

La création de l’ANSSI en juillet 2009 fut le premier acte marquant de cette politique. Aujourd’hui, cet engagement pour la défense et la sécurité de la France dans le cyberespace fait l’objet d’un document de stratégie à l’attention de tous.

La stratégie de la France repose sur quatre objectifs :

• être une puissance mondiale de cyberdéfense et appartenir au premier cercle des nations majeures dans ce domaine tout en conservant son autonomie. Selon Francis Delon, la France est dans ce cercle auprès, entre autres, des Etats-Unis, la Grande-Bretagne, l’Allemagne, Israël, la Corée du Sud… et compte y rester ;

• garantir la liberté de décision de la France par la protection de l’information de souveraineté ;

• renforcer la cybersécurité des infrastructures vitales nationales ;

• et assurer la sécurité dans le cyberespace.

Le document présentant ces quatre objectifs stratégiques et les sept axes d’effort qui en découlent permettra à tous les citoyens de comprendre les enjeux et la portée de l’action gouvernementale dans la réalisation des ambitions du Livre blanc.

Cet engagement se traduit également par la volonté du Président de la République de doter la France d’une autorité nationale de défense des systèmes d’information. Le Premier ministre a ainsi décidé de confier cette mission à l’ANSSI, en plus de ses attributions initiales. Celle-ci aura ainsi la charge, en cas d’attaque informatique majeure contre la Nation, d’organiser la réponse et de décider des premières mesures urgentes à faire mettre en œuvre notamment par les administrations et à terme par les opérateurs de communications électroniques.

Selon Francis Delon, les entreprises françaises ne sont pas plus en retard que leurs consœurs dans les autres pays du monde. Par contre, il est nécessaire de les informer sur les risques, en particulier l’espionnage industriel, les risques de perturbation du business dues à des attaques ciblées ou non. Elles doivent donc être aidées et c’est pour cela « que nous rendons publique cette stratégie. Il serait illusoire de penser que l’on peut construire une ligne Maginot pour protéger Internet. »

Patrick Pailloux

Patrick Pailloux a insisté sur le rôle de l’ANSSI dans ce contexte. Il a détaillé sept axes :

1. Anticiper, analyser par un suivi de l’actualité des technologies et par une analyse, une bonne compréhension, voire une anticipation du jeu des acteurs publics ou privés.

2. Détecter, alerter, réagir : comme l’a prévu le livre blanc sur la défense et la sécurité nationale, la France va développer une capacité de détection des attaques sur les systèmes d’information. Notamment déployés dans les réseaux des ministères, des dispositifs permettent d’alerter leurs responsables, d’aider à élucider la nature des attaques et d’élaborer des parades adaptées.

L’ANSSI va, en outre, se doter d’une « salle d’opération » à la hauteur des enjeux.

3. Accroître et pérenniser les capacités scientifiques, techniques, industrielles et humaines

• Pour catalyser ces travaux, la création, avec des partenaires industriels, d’un centre de recherche consacré à la cyberdéfense est à l’étude. Il mènera des
activités de recherche scientifique (recherche en cryptologie, étude des groupes
d’attaquants et de leurs méthodes, expertise sur les logiciels malveillants et les
failles informatiques, développement de logiciels libres sécurisés, élaboration
de concepts de défense informatique, etc.), et des actions d’expertise et de
formation.

• Les consolidations industrielles seront favorisées par les différents moyens de
l’État, notamment par les fonds d’investissement stratégique. Une attention particulière sera portée sur les produits de cryptographie et sur la sécurisation du Cloud Computing.

Patrick Pailloux, à ce propos, a rappelé les trois rôles de son agence : former et conseiller les administrations à la sécurité, labelliser les produits de sécurité et prochainement les prestataires et éventuellement développer des produits de sécurité issus du monde Libre pour les mettre à disposition du public ou d’entreprises privées.

4. Protéger les systèmes d’information de l’État et des opérateurs d’infrastructures vitales

• Relevant de l’information classifiée, la stratégie française en matière de produits de sécurité et de composants a été redéfinie. Elle prend notamment pleinement en compte le retour de la France dans le commandement intégré de l’OTAN.

• Dans les réseaux ministériels, la mise en place de systèmes d’authentification forte reposant, par exemple sur l’utilisation de cartes à puce, domaine d’excellence française, va permettre d’en améliorer très significativement la sécurité.

• Les autorités gouvernementales disposent aujourd’hui d’un intranet sécurisé
interministériel, d’un réseau de téléphonie à forte disponibilité qui sera totalement équipé de nouveaux terminaux chiffrants d’ici 2012, et d’une solution de visioconférence protégée, en particulier destinée à équiper les centres de décision ministériels. Le déploiement de ces différents réseaux se poursuivra, notamment dans les administrations territoriales.

• Dans le domaine de la sécurité des systèmes d’information des opérateurs
d’importance vitale, un partenariat public-privé sera mis en place afin, d’une
part, de faire profiter les opérateurs de l’information dont dispose l’État en matière d’analyse des menaces, et d’autre part, de permettre à l’État de s’assurer que les infrastructures essentielles au bon fonctionnement de la Nation disposent d’un niveau de protection adéquat. Un travail sera également engagé avec les équipementiers.

5. Adapter notre droit

Entre autres pour les opérateurs de communications électroniques, la transposition en droit français des directives européennes va permettre d’édicter de nouvelles règles de protection des systèmes d’information et d’alerte des autorités gouvernementales en cas d’incident. Ainsi, une ordonnance faisant suite au décret N°2011-170 du 11 février 2011 sera prise avant l’été 2011 qui donnera à l’ANSSI tout pouvoir en attaque massive sur les réseaux pour avoir un rôle incitatif auprès des Opérateurs Telecoms.

• En ce qui concerne les autorités publiques, la mise en oeuvre du « référentiel
général de sécurité » (RGS) et son évolution permettront de relever
significativement le niveau de protection de leurs systèmes d’information,
notamment dans leurs relations avec les usagers.

6. Développer nos collaborations internationales

La France construit un cercle très restreint de partenaires de confiance avec
lesquels des échanges opérationnels très approfondis seront menés. Des partenariats ont été signés avec différents pays comme l’Estonie, La Grande-Bretagne…

7. Communiquer pour informer et convaincre.

Ainsi, ces actions commenceront avec la formation des informaticiens afin de « leur donner une hygiène informatique » a précisé Patrick Pailloux. D’autres actions auprès des entreprises et des particuliers seront, en outre, menées, comme la participation aux travaux de la CDSE par exemple.

Pour Télécharger ce document :