Dossier d'actualité : La cybersécurité et la cyberdéfense en question
Introduction
Vincent Joubert, Chargé d'étude cybersécurité/cyberdéfense, 27 septembre 2013
Placées au premier rang des priorités stratégiques nationales de sécurité par les grandes puissances mondiales - États-Unis, Chine, Royaume-Uni, Allemagne, Japon, France, etc. - depuis quelques années, la cybersécurité et la cyberdéfense sont aujourd'hui des sujets incontournables. L'actualité a récemment démontré la place prépondérante de ces questions : les révélations d'Edward Snowden au sujet des programmes de surveillance et de renseignement à très grande échelle opérés par la National Security Agency (NSA) américaine, qui rappellent la place centrale des technologies de l'information et de communication dans les domaines du renseignement et de la défense aujourd'hui.
Dans une autre perspective, le conflit syrien illustre parfaitement l'accroissement de la composante cyber dans les conflits actuels : d'un côté, les États-Unis ont considéré l'éventualité d'utiliser des cyberattaques contre les systèmes d'information (SI) syriens afin de paralyser les forces du régime de Bachar El-Assad ; de l'autre, un groupe de combattants non-étatiques se faisant appeler la « Syrian Electronic Army » agit en représailles aux actions externes contre le régime en piratant des sites de médias étrangers et en diffusant une propagande pro-Assad. Autre enjeu lié à la cybersécurité, les accusations de cyber-espionnage de masse opéré par la Chine contre les industries américaines mettent en exergue la vulnérabilité des secteurs du commerce international et de l'économie, et sont prises très au sérieux par Washington, à tel point que des craintes d'escalade de la violence si le différend n'est pas résolu sont évoquées (Voir entre autres « Asia: The Cybersecurity Battleground », audition de James A. Lewis (CSIS) devant la House Foreign Affairs Committee, Subcommittee on Asia and the Pacific, Washington D.C., juillet 2013).
Depuis quelques années, la cybersécurité et la cyberdéfense se sont donc imposées comme priorités de sécurité nationale pour les grandes puissances mondiales. La prise de conscience des enjeux liés à la protection et la sécurisation des systèmes d'information vitaux pour le fonctionnement de l'État a déclenché une réorientation de l'outil de défense nationale permettant de répondre à ces nouveaux défis, caractérisée par l'adoption de stratégies nationales ainsi que l'acquisition et le développement de capacités ayant pour objectif de préserver les intérêts de la nation dans le cyberespace. Cette réorganisation de l'appareil de défense répond à un besoin impérieux de s'adapter à une réalité de faits : les grandes puissances mondiales sont aujourd'hui totalement dépendantes des technologies d'information et de communication (les TICs) utilisées pour opérer les infrastructures et les systèmes d'information garantissant les grandes fonctions vitales de la nation. Or cette dépendance s'accompagne d'une exposition accrue aux vulnérabilités inhérentes à ces SI, que des adversaires peuvent exploiter pour nuire aux intérêts de la nation. La cybersécurité s'inscrit dans un objectif de protection du territoire national, mais pas uniquement ; en effet, les TICs et les SI sont également indispensables au fonctionnement de l'outil de défense national. La majorité des systèmes d'armement modernes intègrent des éléments de TIC, et les structures de contrôle et de commandement dépendent totalement de tels éléments. Dès lors, il est devenu impératif pour les États de développer une stratégie de cyberdéfense, instaurant des capacités défensives et offensives pour préparer ou accompagner les opérations militaires.
C'est dans ce contexte que la France a mis en évidence, d'abord dans le Livre Blanc sur la Défense et de la Sécurité Nationale (LBDSN) de 2008, le besoin de se doter d'une capacité nationale de prévention et de réaction à des attaques informatiques sur les systèmes d'information et infrastructures d'importance vitale pour la nation. Fort du constat que ce besoin allait croissant, le Livre Blanc de 2013 insiste sur l'importance de la « cybermenace », qui constitue « une menace majeure, à forte probabilité et à fort impact potentiel », et annonce que la cyberdéfense « fera l'objet d'un effort marqué, en relation étroite avec le domaine du renseignement ». Cet effort sera caractérisé par un renforcement des capacités technologiques et humaines à hauteur de celui de nos partenaires britannique et allemand. Entre autres mesures, le Livre Blanc prévoit ainsi le développement de dispositifs de cryptologie et de détection d'attaques, le renforcement de la politique nationale de cybersécurité (amélioration des SI de l'État, politique publique d'achat adaptée aux exigences de sécurité, campagne de sensibilisation, etc.), l'élaboration d'une proposition de loi visant à imposer des standards et normes de sécurité aux opérateurs d'importance vitale et des industries stratégiques, et définit (succinctement) la doctrine nationale de réponse aux agressions informatiques majeures. La collaboration avec les partenaires internationaux de la France est également évoquée. Ainsi, le Livre Blanc 2013 donne une importance beaucoup plus grande à la cyberdéfense qu'en 2008.
Le projet de Loi de Programmation Militaire (LPM) 2014-2019 s'inscrit logiquement dans la continuité du Livre Blanc. Reprenant les grandes lignes de celui-ci, la LPM évoque les renforcements concrets des capacités militaires de cyberdéfense permettant de répondre aux objectifs définis. Le projet de loi vise ainsi en premier lieu à « adapter le droit aux nouveaux défis de la cyberdéfense et à renforcer les moyens mis en oeuvre sous l'autorité du Premier ministre pour assurer la sécurité des systèmes d'information stratégique », qui s'appuieront notamment sur l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), et en second lieu, il prévoit « un effort marqué dans le développement des capacités de cyberdéfense militaires ». Celles-ci permettront le développement d'un dispositif de cyberdéfense étroitement intégré aux forces (et collaborant avec le domaine du renseignement), avec une chaîne opérationnelle de cyberdéfense (coopérant avec l'ANSSI et également les services de renseignement), des capacités défensives et offensives pour accompagner les missions militaires, une composante technique (confiée à la DGA), un renforcement des moyens humains. Dans cette perspective, un effort financier important est annoncé.
En attendant la validation de ce projet de loi par le Parlement cet automne, on peut d'ores et déjà gager que les enjeux liés à la cybersécurité et à la cyberdéfense sont appelés à demeurer prioritaires sur l'agenda politique du gouvernement français. La France, dans ce domaine, a fait depuis quelques années des efforts pour garantir sa souveraineté et protéger le territoire et ses citoyens, et montre sa détermination à les poursuivre. De nombreuses initiatives ont été prises dans ce sens, que ce soit au sein du ministère de la Défense ou pour créer une dynamique commune entre le secteur public et le secteur privé.
La Fondation pour la recherche stratégique s'inscrit résolument dans cette dynamique et a pour ce faire renforcé ses compétences dans le domaine. La FRS contribuera ainsi pleinement au débat stratégique sur ces questions de cybersécurité et cyberdéfense en apportant une analyse qui repose sur une expertise technique, géopolitique et stratégique des enjeux liés à ces questions.
Présentation du « Pacte Défense Cyber » par le ministre de la défense Jean-Yves Le Drian
Vendredi dernier, le ministre de la Défense Jean-Yves Le Drian a présenté à Cesson-Sévigné (Ille-et-Vilaine) le « Pacte Défense Cyber » de la France, formalisant ainsi les objectifs à atteindre en matière de cyberdéfense, en cohérence avec les principes et la doctrine nationale énoncés dans le Livre Blanc 2013. Ce plan d’action s’inscrit dans la première période de la Loi de Programmation Militaire (2014-2016) et couvre des mesures internes au ministère de la Défense comme des actions extérieures, essentielles à la constitution de ressources technologiques et humaines dont la France a besoin pour se défendre dans le cyberespace. Présenté sous la forme de six axes principaux regroupant cinquante mesures spécifiques, ce pacte détaille les actions concrètes du ministère de la Défense pour la cyberdéfense de la France, qui pourront être évaluées par un ensemble d’indicateurs quantifiés associés.
Le choix du lieu de présentation de ce plan n’est pas anodin, puisque le ministère de la Défense souhaite développer un pôle d’excellence de cyberdéfense en Bretagne (axe 4), structuré en deux composantes, la première dédiée à la formation et la seconde à la recherche académique et en innovation technologique. Ce pôle s’appuiera sur les structures existantes (les Écoles de Saint-Cyr Coëtquidan, la DGA MI, le CALID Bretagne, l’École des Transmissions, les centres de la DIRISI en Bretagne, l’ENSTA Bretagne, l’École Navale, etc.) dont les effectifs seront considérablement renforcés (+550 postes répartis dans les différentes structures du ministère de la Défense d’ici à 2019) ainsi que les centres techniques du secteur privé (Orange, DCNS, etc.).
Globalement, le Pacte Défense Cyber repose sur deux grandes dynamiques : d’une part, une réorganisation interne au ministère de la Défense destinée à lui permettre d’assurer ses missions en toutes circonstances sans dépendre de l’expertise tant opérationnelle que technique d’autres structures de cybersécurité (comme par exemple l’Agence Nationale de Sécurité des Systèmes d’Information), d’autre part, un soutien aux dynamiques extérieures de recherche et formation (en sciences dures et sociales), et d’innovation technologique émanant du secteur privé (grands partenaires industriels de défense mais également PME/PMI). Pour atteindre les objectifs fixés par le ministre, une enveloppe d’un milliard d’euros est prévue pour la période de la Loi de Programmation Militaire (2014-2019), distribuée à moitié en investissement recherche/innovation – l’autre moitié étant consacrée aux ressources humaines pour le ministère de la Défense (ce budget est calculé hors domaine du renseignement).
À ces actions majeures s’ajoutent des initiatives complémentaires, telles que le renforcement des partenariats internationaux au sein des institutions internationales dont la France fait partie (UE, OTAN) et dans les « zones d’intérêts stratégiques » (axe 5), ou encore la stimulation d’une communauté nationale défense de cyberdéfense qui s’appuiera sur les cercles de partenaires et les réseaux de réserve citoyenne (axe 6).
États-Unis exclus, le budget prévu par le Pacte Défense Cyber est sensiblement similaire à ceux prévus par les partenaires stratégiques de la France (le Royaume-Uni consacre environ €196 millions/an à la cybersécurité-cyberdéfense ; l’Allemagne au moins €70 millions/an), en cohérence avec les objectifs de la Stratégie de la France en matière de défense et sécurité des systèmes d’information et du Livre Blanc 2013.
Analyses et ressources de la FRS
- « L’intégration des citoyens dans une stratégie nationale de cyberdéfense », par Vincent Joubert et Gergana Petkova, Note de la FRS, n°02/2014
- Enquête sur la sécurité numérique des entreprises par Bruno Gruselle, Note de la FRS, n°01/2013
- Cyber dissuasion par Bruno Gruselle, Bruno Tertrais, Alain Esterle, Recherches & Documents, FRS, n°03/2012
- « Espionnage entre alliés: On a vraiment changé d'échelle » par François Heisbourg (interview), L'Express, 01 juillet 2013
- « Espionnage : Personne n'a intérêt à briser les relations » par Alain Esterle (interview), Public Sénat, 01 juillet 2013
- « La dissuasion au défi du cyberespace » par Vincent Joubert, in « La dissuasion », Les Champs de Mars, n°25, La Documentation française, 18 juin 2013
- Stocktaking Study of Military Cyber Defence Capabilities in the European Union (milCyberCAP): Unclassified Summary Alain Esterle (parmi les auteurs), RAND, 10 juin 2013
- Le cyberespace : Nouveau domaine de la pensée stratégique, sous la direction de S. Dossé, O. Kempf, C. Malis, avec Alain Esterle (parmi les auteurs), Économica, juin 2013
- « Le Défi des nouveaux usages numériques : la sécurité des entreprises à la peine » par Bruno Gruselle, Sécurité & Stratégie, n°11, hiver 2012-2013
Ressources Web
- « Présentation du Pacte Défense Cyber », France, Ministère de la défense, 7 février 2014 (en pdf)
- Asia: The Cybersecurity Battleground par James A. Lewis, CSIS, juillet 2013
- The Economic Impact of Cybercrime and Cyber Espionage par James A. Lewis et Stewart Baker, CSIS, juillet 2013
- Livre blanc sur la défense et la sécurité nationale 2013, France, Paris, avril 2013
- Stratégie de cybersécurité de l'Union européenne: un cyberespace ouvert, sûr et sécurisé, Commission Européenne, 7 février 2013
- Task Force Report: Resilient Military Systems and the Advanced Cyber Threat, Department of Defense, Defense Science Board, Washington D.C., janvier 2013
- The Tallinn Manual on the International Law Applicable to Cyber Warfare, Michael N. Schmitt (dir.), NATO Cooperation Cyber Defense Centre of Excellence, 2013
- La cyberdéfense: un enjeu mondial, une priorité nationale, Rapport d'information n° 681 (2011-2012) de M. Jean-Marie Bockel, fait au nom de la commission des affaires étrangères, de la défense et des forces armées, déposé le 18 juillet 2012
- Cybersecurity and U.S.-China Relations par Kenneth G. Lieberthal et Peter W. Singer, Brookings Institution, février 2012
- « Cyber Weapons » par Thomas Rid et Peter McBurney, RUSI Journal, Vol. 157, n°1, février 2012
- « Cyber-conflits, quelques clés de compréhension » par Philippe Wolf et Luc Vallée, in La criminalité en France : Rapport de l'Observatoire national de la délinquance et des réponses pénales 2011, INHES/ CNDRP, novembre 2011
- Les marchés noirs de la cybersécurité, CEIS, Paris, juin 2011
- Cyber Power par Joseph Nye, Harvard Kennedy School, Belfer Center for Science and International Affairs, mai 2010
- Proceedings of a Workshop on Deterring CyberAttacks: Informing Strategies and Developing Options for U.S. Policy Committee on Deterring Cyberattacks: Informing Strategies and Developing Options, National Research Council, National Academies Press, Washington D.C., 2010
- Cyberdeterrence and Cyberwar par Martin Libicki, RAND, octobre 2009
- Securing Cyberspace for the 44th Presidency: A Report of the CSIS Commission on Cybersecurity for the 44th Presidency, CSIS, décembre 2008
- Livre blanc sur la défense et la sécurité nationale 2008, France, Paris, juin 2008