Jean-Marie Bockel, ancien ministre, sénateur du Haut-Rhin, rapporteur pour la cyberdéfense à la Commission des Affaires étrangères, de la Défense et des Forces armées du Sénat.

Au début de cette année, la presse a révélé que notre pays avait été victime d’une vaste attaque informatique visant le ministère de l’Economie et des Finances et que des pirates infor­matiques avaient réussi à mettre la main sur plusieurs documents confidentiels relatifs à la présidence fran­çaise du G20.
Cette attaque, tout comme celle qui semble avoir frappé Londres ces der­nières semaines, a illustré une nouvelle fois une menace encore mal connue en Europe et singulièrement en France : les atteintes portées à la sécurité des systèmes d’information susceptibles de mettre en cause la défense et la sécu­rité nationale. Cette attaque a mis en évidence toute l’impor­tance de se doter des moyens pour se pro­téger de cette menace, voire de l’anticiper, par ce que l’on désigne habi­tuellement sous le terme géné­rique de «cyberdéfense».
Depuis les attaques informatiques massives qui ont frappé l’Estonie en avril-mai 2007, il ne se passe prati­que­ment pas une semaine sans que l’on signale, quelque part dans le monde, des attaques ciblées contre les réseaux de gouvernements ou de grands orga­nismes publics ou privés, qu’il s’agisse de pénétrer des réseaux en vue d’accé­der à des informations sensibles ou d’attaques visant des sites largement utilisés dans la vie courante, voire même des systèmes liés à la défense ou au fonctionnement d’infrastructures critiques.
La coordination transnationale est, du reste, devenue un élément stratégique déterminant quant à la garantie de réussite et gage d’efficacité au sein de ce que je qualifierai volontiers de nouvel «espace informationnel» (information space).
Il convient de rappeler, à cet effet, qu’à défaut de recours au principe de sécurité collective (article 5 : en cas d’attaque contre un des Etats mem­bres de l’Alliance), pourtant l’objet d’une demande de Tallin à l’époque, il fallut attendre la réunion de crise — tenue le 14 juin 2007 — entre les ministres de la Défense de l’Alliance pour que soit publié un communiqué appelant à une action immédiate commune. Cette action permit néan­moins de mettre fin aux attaques à l’automne 2007.
L’Otan, qui semble avoir compris la prégnance de la menace, s’est doté à Tallin, en Estonie, d’un centre d’excel­lence cybernétique de défense. Les Estoniens forment ainsi les spécia­listes du cyberterrorisme, du cyberespion­nage et de la cyberdéfense pour l’ensemble des forces de l’Alliance atlantique.
Le «cyberespace» reste néanmoins relativement imperméable à toutes velléités de régulation. Tout juste une réflexion, pour l’instant encore bal­bu­tiante, a été initiée quant à l’attribution des noms de domaines et des adres­ses électroniques, sans que, là encore, la communauté internationale ne prenne suffisamment en compte le carac­tère régalien, du moins straté­gique, de la «cybersphère» ; c’est bien une société privée californienne, l’ICANN (Internet Corporation for Assigned Names and Numbers) qui y procède toujours, par défaut, en quelque sorte, de coopé­ration et de coordination entre Etats !
Au-delà des attaques informatiques proprement dites, la révolution numéri­que bouleverse les conceptions et les frontières traditionnelles de la défense et de la sécurité nationale. Tout le monde se souvient de l’émoi provoqué par la publication sur Internet par WikiLeaks, en novembre 2010, d’envi­ron 250 000 télégrammes diplomati­ques confidentiels des Etats-Unis, dans lesquels les diplomates améri­cains disaient sans détour ce qu’ils pensaient du comportement des dirigeants du monde entier.
Et comment ne pas évoquer le rôle majeur joué par Internet et par les réseaux sociaux, comme Facebook, dans les révolutions qui ont secoué plusieurs pays du Proche et du Moyen-Orient lors du dernier printemps.
Dès 2008, la Commission des Affaires étrangères, de la Défense et des Forces armées du Sénat avait chargé l’un de ses membres, Roger Romani, d’étudier les enjeux liés à la sécurité des systèmes d’information. Dans son rapport d’information [«Cyberdéfense : un nouvel enjeu de sécurité nationale», rapport n° 449 (2007-2008), publié le 8 juillet 2008], mon collègue dressait le constat que la France n’était ni bien préparée ni bien organisée face à cette menace.
Depuis trois ans, les choses ont beaucoup évolué. Le Livre blanc sur la défense et la sécurité nationale de 2008 a permis de faire de la cyber­défense une politique clairement identifiée, avec la création, en 2009, de l’Agence natio­nale de sécurité des systèmes d’infor­ma­tion (ANSSI), dotée d’un budget consé­quent et pérenne (90 millions d’euros en 2012) et l’adop­tion, le 15 février dernier, d’une straté­gie française en matière de cyber­défense.
Le travail actuel de «toilettage» du Livre blanc, initié sous l’égide du SGDSN et dont les conclusions devraient être rendues publiques dans les prochains jours, tendra très certai­nement à confirmer que cette réflexion — quant aux stratégies en amont éla­borées au niveau national — est deve­nue essen­tielle à notre défense, qui englobe autant la résilience que l’anticipation.
C’est du reste ce que les Premiers ministres français et britannique ont confirmé très récemment. Le premier, François Fillon, en ouvrant la session annuelle de l’IHEDN, il y a quelques jours ; le second, David Cameron, à l’occasion du premier symposium consacré à la cyberdéfense, au cours duquel la dimension de la sécurité collective fut évoquée autant que l’exi­gence de liberté individuelle carac­térisée par Internet.
Pour autant, beaucoup reste à faire dans ce domaine. Je pense notamment à la protection des infrastructures vitales ou à la coopération interna­tio­nale. C’est la raison pour laquelle la Commission des Affaires étrangères, de la Défense et des Forces armées du Sénat a souhaité faire à nouveau le point sur ce dossier et m’a fait l’honneur de me désigner comme son rapporteur sur la cyberdéfense.
A l’issue de plusieurs auditions et déplacements, notamment pour étudier les systèmes mis en place par nos principaux partenaires européens, un rapport d’information sur la cyber­défense devrait être publié avant l’été prochain. Pour ma part, je suis convaincu que la cyberdéfense consti­tuera de plus en plus un enjeu majeur pour notre politique de défense et de sécurité nationale.

Retour au sommaire « libre propos »