Introduction à la cyberdéfense

Liminaire

Le modèle français de cyberdéfense, dont les premières bases ont été posées par le Livre blanc sur la défense et la sécurité nationale de 2008, repose sur une séparation nette, au sein de l’État, entre les capacités offensives et les capacités défensives. La Revue stratégique de défense et de sécurité nationale, rendue publique le 13 octobre 2017, souligne le renforcement des menaces dans le cyberespace, rendant vulnérable une société de plus en plus dépendante de la numérisation et de l’interconnexion. Les attaques s’étant multipliées dans l’environnement numérique, cette menace pesant sur la défense et la sécurité de la Nation se trouve dorénavant au cœur de la stratégie nationale.

Le volet défensif s’appuie sur une organisation pilotée et coordonnée par le Premier ministre. Dans le cadre de la stratégie de sécurité nationale et de la politique de défense, celui-ci définit la politique et coordonne l’action gouvernementale en matière de sécurité et de défense des systèmes d’information (article L. 2321-1 du code de la défense). Il dispose à cette fin de l’agence nationale de sécurité des systèmes d’information (ANSSI), dont le directeur assure la fonction d’autorité nationale de défense des systèmes d’information, et assume un rôle de prévention, de détection et de réaction aux attaques informatiques.

En parallèle de ce dispositif institutionnel, un cadre juridique en matière de sécurité des systèmes d’information impose à plusieurs opérateurs ou entreprises considérés comme vitaux de respecter un certain nombre de prérequis en matière de sécurité informatique afin de renforcer le niveau global de protection contre les cyberattaques.

Le volet offensif couvre quant à lui l’ensemble de la capacité de réponse gouvernementale face aux attaques informatiques. Il repose sur une approche graduée, qui mobilise à la fois des moyens diplomatiques, juridiques et policiers, mais également l’emploi, notamment en cas de menaces affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, de moyens relevant du ministère des armées. Certains services de l’Etat peuvent ainsi procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui sont à l’origine de l’attaque.

Comme le relève la revue stratégique de cyberdéfense publiée en février 2018 : « par rapport aux quatre autres pays qui partagent avec elle des responsabilités internationales particulières (les Etats-Unis, la Russie, la Chine et le Royaume-Uni), la France accuse encore, en dépit d’un effort récemment accentué, un déficit en matière de sécurité numérique ».

Le cyberespace est devenu un terrain de confrontation entre Etats et un espace dans lequel se développe l’espionnage scientifique, économique et commercial. La généralisation de la cybercriminalité et les possibilités de sabotages de services nécessaires au bon fonctionnement des Etats et des entreprises constituent désormais une menace majeure. Cette menace cyber tend à s’accentuer, sous l’impact combiné de trois facteurs :

  • une dangerosité accrue, notamment liée à la multiplication des acteurs, à la montée en puissance des capacités offensives de certaines puissances étrangères, et à la prolifération des armes informatiques ;
  • une imbrication forte entre les enjeux de cybercriminalité et de sécurité nationale, avec un ciblage toujours plus important des systèmes d’information de l’État et des entités nationales stratégiques, avec des objectifs de déstabilisation ;
  • une numérisation croissante de notre société et de notre économie qui accroît l’exposition à la menace ainsi que les conséquences des cyberattaques.

Quelques définitions

réseau et système d’information :

  • tout réseau de communications électroniques tel que défini au 2° de l’article L. 32 code des postes et des communications électroniques ;
  • tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques ;
  • les données numériques stockées, traitées, récupérées ou transmises par les éléments mentionnés aux 1° et 2° du présent article en vue de leur fonctionnement, utilisation, protection et maintenance.

service numérique :

  • tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ;

fournisseur de service numérique : toute personne morale qui fournit l’un des services suivants :

  • place de marché en ligne, à savoir un service numérique qui permet à des consommateurs ou à des professionnels, au sens du dernier alinéa de l’article liminaire du code de la consommation, de conclure des contrats de vente ou de service en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne ;
  • moteur de recherche en ligne, à savoir un service numérique qui permet aux utilisateurs d’effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot clé, d’une phrase ou d’une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé ;
  • service d’informatique en nuage, à savoir un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.

sécurité des réseaux et systèmes d’information : capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles.

cyberdéfense : ensemble des activités conduites afin d’intervenir militairement ou non dans le cyberespace pour garantir l’effectivité de l’action des forces armées, la réalisation des missions confiées et le bon fonctionnement du ministère. La cyberdéfense est à différencier de la cybercriminalité qui correspond à l’ensemble des crimes et délits traditionnels ou nouveaux réalisés, via les réseaux numériques.

cyberespace : le cyberespace est un domaine global constitué du réseau maillé des infrastructures des technologies de l’information (dont Internet), des réseaux de télécommunication, des systèmes informatiques, des processeurs et des mécanismes de contrôle intégrés. Il inclut l’information numérique transportée ainsi que les opérateurs de services en ligne.

cyberattaque : acte malveillant de piratage informatique dans le cyberespace. Les cyberattaques peuvent être l’action d’une personne isolée, d’un groupe, d’un État. Elles incluent la désinformation, l’espionnage électronique qui pourrait affaiblir l’avantage compétitif d’une nation, la modification clandestine de données sensibles sur un champ de bataille ou la perturbation des infrastructures critiques d’un pays (eau, électricité, gaz, communication, réseaux commerciaux). La cyberdéfense du ministère vise à détecter et contrer les cyberattaques dont la cible et la finalité sont liées au ministère des armées.

Revue stratégique de cyberdéfense

Erigée au rang de priorité nationale par le Livre blanc pour la défense et la sécurité nationale de 2013, la cyberdéfense représente un enjeu majeur. Au même titre que la terre, la mer, l’air et l’espace, l’espace numérique constitue un milieu à part entière dont la défense est une nécessité permanente. Pénétration des réseaux à des fins d’espionnage, prise de contrôle à distance, destruction d’infrastructures vitales, les types de menaces sont nombreux.

Le 12 février 2018, le Secrétariat général pour la défense et la sécurité nationale a publié la Revue stratégique de cyberdéfense dont l’ambition est de faciliter le développement et la structuration du dispositif national français de cyberdéfense. Portant l’affirmation d’une nouvelle ambition pour la France dans la cyberdéfense, le document évalue les menaces du monde cyber et fait de l’État le responsable de la cyberdéfense de la nation et le garant de la cybersécurité de la société française.

Véritable « Livre blanc de la cyberdéfense », elle dresse un panorama de la cybermenace, formule des propositions d’amélioration de la cyberdéfense de la Nation et ouvre des perspectives visant à améliorer la cybersécurité de la société française.

Elle propose de placer « au cœur de l’ambition française en matière de cyberdéfense » sept grand principes :

  • accorder une priorité à la protection des systèmes d’information ;
  • adopter une posture active de découragement des attaques et de réaction coordonnée ;
  • exercer pleinement la souveraineté numérique ;
  • apporter une réponse pénale efficace à la cybercriminalité ;
  • promouvoir une culture partagée de la sécurité informatique ;
  • contribuer à une Europe du numérique confiante et sûre ;
  • agir à l’international en faveur d’une gouvernance collective et maîtrisée du cyberespace.

Cette revue stratégique dresse un constat sans équivoque des menaces cyber qui pèsent sur nos sociétés, des groupes d’attaquant structurés sous l’appellation APT (Advanced Persistent Threat) ayant remplacé les « gentils » hackers des années 1990. L’implication des Etats a transformé en profondeur la nature de ces menaces, certains pays, cherchant à anonymiser leurs actions dans le cyberespace, délèguent à des entités privées le soin de les mener.

L’espionnage n’est que la transposition dans le monde numérique des activités anciennes de renseignement. La Revue cite les premières cyberattaques d’envergure révélées, menées aux Etats-Unis et attribuées à la Chine. Elles avaient pour objectif le pillage de savoir-faire industriels. La France est confrontée depuis plus de dix ans à des campagnes d’espionnage « absolument catastrophiques ». L’ANSSI traite chaque année une vingtaine de cas d’espionnage grave, ce qui signifie que ce sont des intérêts liés à la sécurité et à la défense nationale qui sont touchés. Cela peut se produire au sein d’un ministère ou, plus souvent, au sein d’entités privées, d’industries : historiquement, les industries d’armement ont été très ciblées par des campagnes d’espionnage.

La cybercriminalité a pour but principal le vol et l’extorsion d’argent, mais aussi de données. La frontière entre lutte contre la cybercriminalité et la cyberdéfense s’estompe, le caractère indiscriminé des attaques et leurs importantes capacités de propagation pouvant constituer une menace ne matière de sécurité nationale. S’il est difficile d’évaluer précisément l’impact économique de cette cybercriminalité, l’attaque informatique subie par l’entreprise française Saint-Gobain au mois d’août 2017 par le biais de sa filiale ukrainienne aurait entraîné des pertes s’élevant à 250 millions d’euros.

La déstabilisation utilise le biais de l’expression en ligne via des sites d’information ou de propagande et les réseaux sociaux. Les fausses informations n’ont pas attendues le XXIème pour être utilisées comme outil de propagande mais leur viralité résulte de la révolution numérique, multipliant les sources d’information et accélérant la diffusion de ces informations mensongères. Les parlementaires françaises débattent d’une proposition de loi relative à la lutte contre les fausses informations, mais cette proposition de loi se limite aux campagnes massives de diffusion de fausses informations destinées à modifier le cours normal du processus électoral et cible les hébergeurs, plateformes et fournisseurs d’accès à internet. Lors des auditions, la ministre de la culture a rappelé que « les fausses informations sont un poison lent pour nos démocraties, parce qu’elles alimentent une crise de confiance des citoyens envers leurs institutions démocratiques, les journalistes, les médias, les pouvoirs publics et les élus. Il est de plus en plus difficile de démêler le vrai du faux, ce qui fait que nos concitoyens finissent par ne plus savoir qui croire. Une information fausse finit toujours par être démentie. Mais entre-temps, le mal est fait : le doute s’est installé ».

Le sabotage informatique est une attaque dans le monde numérique qui vise principalement à paralyser ou détruire des infrastructures du monde physique. La numérisation des systèmes de production et leur interconnexion croissante les exposent de plus en plus au risque cyber. Le premier sabotage connu remonte à l’année 2010 et au déploiement du logiciel Stuxnet destiné à entraver le programme iranien d’enrichissement d’uranium. Fortement démonstrative, l’attaque par sabotage informatique de la chaîne de télévision TV5 Monde, attribuée au groupe APT28, est également restée dans les mémoires.

La Revue ouvre la porte à une défense active maitrisée, sans s’autoriser des « mesures résolument offensives ». Les techniques du « honey pot » ou de « sinkholing » sont avant tout des techniques d’observation de l’adversaire, mais la suppression physique des serveurs de l’attaquant reste la meilleure méthode, pour autant qu’il soit installé sur le territoire de l’attaqué.

Agence nationale de la sécurité des systèmes d’information

La cyberdéfense repose sur deux piliers : d’une part, les services de renseignement et le commandement de la cyberdéfense, qui sont en charge du renseignement et des actions de riposte ou d’attaque, y compris par des actions clandestines, et, d’autre part, l’ANSSI, agence interministérielle qui n’appartient pas à la communauté du renseignement et dont la mission consiste à définir des systèmes de protection d’une manière assez large, puisqu’elle agit à la fois pour le compte de l’État et en lien avec un certain nombre d’opérateurs vitaux. L’ANSSI est une agence technique neutre, n’exploitant en aucun cas les contenus – ce n’est pas un service de renseignement – mais s’intéressant aux contenants. Ce système « vertueux » assure un équilibre démocratique en distinguant bien les missions et favorise une très forte coopération avec les opérateurs en ce qui concerne la détection.

Créée par le décret n° 2009-834 du 7 juillet 2009, l’ANSSI assure ainsi la fonction d’autorité nationale de défense des systèmes d’information, et n’est chargée ni de l’attaque, ni du renseignement, au contraire de la NSA (National Security Agency). Elle a notamment pour mission de :

  • proposer au Premier ministre les mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d’information des autorités publiques et des opérateurs d’importance vitale ;
  • coordonner l’action gouvernementale dans le cadre des orientations fixées par le Premier ministre en matière de défense des systèmes d’information ;
  • proposer les mesures de protection des systèmes d’information ;
  • mener des inspections des systèmes des services de l’État et des opérateurs d’importance vitale ;
  • participer aux négociations internationales et assurer la liaison avec ses homologues étrangers.

L’ensemble des secteurs d’activité est susceptible de faire l’objet d’une attaque informatique d’envergure, dont l’impact peut aller jusqu’à la paralysie de pans entiers de l’économie. Les exemples récents ne manquent pas, deux cyber-attaques de grande ampleur au moins – « Wannacry » et « NotPetya[1] » – ayant eu lieu pour la seule année 2017. Pour y faire face, l’article 22 de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale a imposé aux opérateurs dits « d’importance vitale »[2] le renforcement de la sécurité des systèmes d’information qu’ils exploitent. Les articles L. 1332–6–1 et suivants du code de la défense définissent les obligations qui leur sont imposées en matière de sécurité des systèmes d’information. Elles comprennent en particulier la déclaration d’incidents, la mise en œuvre d’un socle de règles de sécurité et le recours à des produits et à des prestataires de détection qualifiés.

Les opérateurs de services essentiels

Les services visés par le décret n° 2018-384 du 23 mai 2018 sont les services essentiels au fonctionnement de la société ou de l’économie et « dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services ». Ils sont mentionnés à l’article 5 de la loi n° 2018-133 du 26 février 2018 qui transpose dans le droit français les mesures « destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union ».

Le décret n° 2018-384 étend considérablement les secteurs concernés par ces « services essentiels ». La directive 2016/1148 du 6 juillet 2016, connue sous son appellation « directive NIS » (Network and Information System Security) liste les sept secteurs de l’énergie, des transports, des banques, des infrastructures de marchés financiers, du secteur de la santé, de la fourniture et de la distribution de l’eau potable et des infrastructures numériques. La réglementation française impose également des règles de sécurité drastiques aux gestionnaires de plateformes logistiques, aux entreprises de transport de fonds, aux organismes d’assurance, aux opérateurs du secteur de l’éducation chargés de l’organisation d’examens nationaux ou aux entreprises de restauration collective destinée au secteur de la détention pénitentiaire.

La désignation des opérateurs de services essentiels suit des règles proches de celles en vigueur pour l’identification des opérateurs d’importance vitale, encadrée par l’instruction générale n° 6600/SGDSN/PSE/PSN du 7 janvier 2014. Sept critères portant sur le nombre d’utilisateurs, la part de marché ou l’existence de moyens alternatifs permettront au Premier ministre de notifier aux « heureux élus » son intention de les désigner, les potentiels opérateurs disposant d’un mois pour présenter ses observations.

Dans un délai de trois mois après sa désignation comme opérateur de service essentiel, la société concernée communiquera à l’Agence nationale de la sécurité des systèmes d’information la liste des réseaux et systèmes d’information concernés. Ceux-ci devront répondre à un certain nombre de règles de sécurité dans le domaine de la gouvernance, de la protection ou de la résilience et tout incident susceptible d’avoir un impact significatif sur la continuité du service devra être déclaré dès que l’opérateur en aura connaissance. Cette surtransposition par rapport au texte européen, qui limite l’obligation de signalement aux incidents qui ont un impact significatif sur la fourniture des services essentiels, permettra à l’ANSSI d’intervenir le plus en amont possible pour limiter l’impact d’un incident ou d’une attaque informatique.

Les contrôles de sécurité seront réalisés directement par l’Agence nationale de la sécurité des systèmes d’information ou par un prestataire de service qualifié que l’opérateur pourra choisir dans une liste préétablie. Le décret précise que le coût des contrôles effectués par un prestataire de service sera « déterminé librement par les parties ».

Les fournisseurs de services numériques

Les fournisseurs de service numériques visés par le décret n° 2018-384 du 23 mai 2018 sont ceux qui offrent leurs services dans l’Union européenne et dont le siège social ou l’établissement principal est établi sur le territoire national ou qui ont désigné un représentant sur le territoire national. Les entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaires annuel n’excède pas 10 millions d’euros ne sont pas concernées.

Si la sécurité des systèmes d’information des OIV et des opérateurs fournissant des services essentiels au maintien de l’activité économique et sociétale a été renforcée ces dernières années, le droit positif restait relativement muet sur la détection des attaques informatiques, qui sont transportées par les opérateurs de communications électroniques.

A l’issue de la révélation d’une vulnérabilité majeure affectant les systèmes Windows, l’ANSSI avait réalisé début 2017 des tests techniques lui permettant d’identifier plusieurs milliers d’adresses IP vulnérables en France. L’agence avait alors demandé aux fournisseurs de services numériques d’alerter les détenteurs des systèmes concernés, mais n’a reçu aucun engagement de la part de ces derniers. Quelques mois plus tard, le code malveillant WannaCry utilisait cette même vulnérabilité pour se propager massivement en France.

L’obligation de signalement de tout incident affectant les réseaux et systèmes d’information et les conditions de la publicité donnée à ces incidents sont moins strictes. Ainsi, les fournisseurs de service numérique ne seront tenus de déclarer les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de leurs services que « lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services ».

L’impact s’appréciera au regard d’une série de critères, et notamment du nombre d’utilisateurs touchés par l’incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service ainsi que de son impact sur le fonctionnement de la société ou de l’économie.

Projet de loi de programmation militaire

S’inscrivant dans la cadre des conclusions de la Revue stratégique de cyberdéfense, la loi de programmation militaire 2019-2025 renforce les capacités des armées en matière de prévention, de détection et d’attribution des cyberattaques. Elle les dote également de moyens de réaction rapides, efficaces et coordonnés à l’horizon 2025 afin de garantir une protection et une défense de nos systèmes et réseaux, cohérente dans tous les secteurs (cyberprotection, lutte informatique défensive, influence numérique, lutte informatique offensive et moyens de commandement et d’entraînement). Elle prévoit en outre des effectifs supplémentaires à hauteur de 1 500 sur la période.

En matière de lutte informatique offensive, de nouvelles capacités d’action, intégrées à la chaîne de planification et de conduite des opérations, seront systématiquement déployées en appui de la manœuvre des armées. En effet, s’appuyant sur la numérisation croissante de nos adversaires, elles offrent des options alternatives ou complémentaires aux effets des systèmes d’armes conventionnels. Cette période sera aussi mise à profit pour étudier l’élargissement des contextes opérationnels d’emploi de l’arme cybernétique.

L’article 19 vise à consolider le dispositif de prévention, en autorisant les opérateurs de communications électroniques à recourir, sur les réseaux de communications électroniques qu’ils exploitent, après en avoir informé l’autorité nationale de sécurité des systèmes d’information, à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés. A la demande expresse de l’ANSSI, ces opérateurs sont également autorisés à procèder, aux fins de prévenir la menace, à l’exploitation de ces évènements, en recourant, le cas échéant, à des marqueurs techniques fournis par l’ANSSI.

Le même article étend les capacités de recueil et d’analyse des seules données techniques pertinentes des systèmes d’information des autorités publiques et des opérateurs de communications électroniques, aux seules fins de prévenir et de caractériser la menace. Le rôle de l’ANSSI est également renforcé en cas d’attaques informatiques contre des opérateurs d’importance vitale ou des autorités publiques.

Cette évolution majeure permettra d’instaurer un système de détection globale « à grosses mailles » en recourant aux opérateurs de communications électroniques, acteurs essentiels du monde numérique.

L’article 20 a été supprimé par les parlementaires.

L’article 21 étend le principe de l’excuse pénale aux actions numériques, de manière à prévoir un nouveau cas d’irresponsabilité pour les personnels militaires intervenant dans les actions offensives de cyberdéfense, notamment au sein du COMCYBER. Les actions numériques sont ajoutées à la liste des opérations mobilisant des capacités militaires et se déroulant à l’extérieur du territoire français, ou des eaux territoriales françaises, au cours desquelles la responsabilité pénale des militaires ne saurait être engagée. Cet article n’apparait pas dans le texte élaboré par la commission mixte paritaire.

L’article 22 autorise le ministère des Armées à procéder aux essais nécessaires à la qualification des matériels de renseignement qu’il est déjà autorisé à acquérir et à détenir

L’article 22 bis modifie le chapitre IV du titre V du livre VII du code de la sécurité intérieure relatif aux mesures de surveillance des communications électroniques internationales. Il autorise des vérifications ponctuelles permettant de détecter sur les communications d’identifiants techniques rattachables au territoire national, à des fins d’analyse technique, des éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation.

Commandement de la cyberdéfense

Pour augmenter les capacités offensives de l’État a été mis en place, au sein du ministère des armées, un officier général « commandant de la cyberdéfense » chargé, avec son état-major, de la conception, de la planification et de la conduite d’opérations militaires de cyberdéfense.

Créé le 1er septembre 2017, le commandement de la cyberdéfense (COMCYBER) rassemble l’ensemble des forces de cyberdéfense des armées françaises sous une même autorité opérationnelle, permanente et interarmées. Il est responsable de la protection des systèmes d’information placés sous la responsabilité du chef d’état-major des armées, de la conduite de la défense des systèmes d’information du ministère des armées à l’exclusion de ceux de la direction générale de la sécurité extérieure et de la direction du renseignement et de la sécurité de la défense et de la conception, de la planification et de la conduite des opérations militaires de cyberdéfense.

Concrètement, il s’agit d’assurer une politique cohérente du ministère en matière d’hygiène informatique, de s’assurer que des équipes sont capables à tout moment de détecter des attaques contre les réseaux opérationnels et que la France est en capacité de neutraliser une attaque, ou de lutter contre des offensives qui menacent les intérêts français à l’extérieur.

Pour l’exercice de ses attributions, l’officier général commandant de la cyberdéfense s’appuie sur des unités spécialisées en cyberdéfense appartenant aux armées et aux organismes interarmées, sur lesquelles il exerce une autorité fonctionnelle, dont l’état-major de la cyberdéfense, qui comprend le centre opérationnel de la cyberdéfense.

Parmi ces organismes, le centre interarmées des actions sur l’environnement (CIAE), organisme à vocation interarmées – terre (OVIA-T), créé le 1er juillet 2012 et stationné à Lyon, traite des « opérations militaires d’influence » ou « actions sur les perceptions et l’environnement opérationnel ».

Le premier axe d’effort du commandant de la cyberdéfense a consisté à renforcer les capacités nationales de détection et d’attribution des attaques. Cette fonction étant sous-calibrée par rapport à l’ampleur de la demande, ces capacités d’audit seront concentrées au sein du Centre d’audits de la sécurité des systèmes d’information (CASSI), qui dépend fonctionnellement du COMCYBER.

Afin d’améliorer ses capacités de détection, le COMCYBER renforce également la supervision de l’ensemble des chaînes de détection, assurée par le Centre d’analyse de lutte informatique défensive (CALID), structure également fonctionnellement rattachée au COMCYBER et colocalisée avec l’ANSSI.

Le COMCYBER intervient également en dernière phase des missions de cyberdéfense telles qu’elles sont énumérées par la Revue stratégique de cyberdéfense : prévention, anticipation, protection, détection, attribution et réaction. Conformément à l’article L 2321-2 de la partie législative du code de la défense, et pour répondre à une attaque informatique qui viserait les systèmes d’information « affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation », le COMCYBER peut procéder aux « opérations techniques » nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui sont à l’origine de l’attaque.

L’Union européenne

Il est dans l’intérêt stratégique de l’UE de veiller à ce que le développement des outils technologiques de la cybersécurité permette à l’économie numérique de prospérer, tout en protégeant notre sécurité, notre société et notre démocratie. Cela passe par la protection des matériels et logiciels d’importance critique. Pour renforcer la capacité de l’UE en matière de cybersécurité, la Commission et la Haute Représentante ont proposé en septembre 2017 un plan visant à garantir une réaction rapide et concertée de l’UE et des États membres en cas de cyberattaque de grande ampleur et un renforcement des capacités de cyberdéfense. Le futur Centre européen de recherche et de compétences en matière de cybersécurité se verra conférer une dimension de cyberdéfense et l’UE mettra en place une plateforme de formation et d’enseignement en matière de cyberdéfense.

Le 8 juin 2018, le Conseil européen a donné son aval à une proposition dénommée l’acte législatif sur la cybersécurité, qui renforcera l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (European Agency for Network and Information Security – ENISA), implantée en Grèce, pour en faire un organe permanent, l’Agence de l’UE pour la cybersécurité. De nouvelles tâches incomberont à l’ENISA pour apporter un soutien aux Etats membres, aux institutions de l’UE et aux autres parties prenantes sur les questions de cybersécurité. L’Agence organisera des exercices réguliers de cybersécurité à l’échelle de l’UE et soutiendra et promouvra la politique de l’UE en matière de certification de la cybersécurité.

Cette cybersécurité s’appuiera sur les deux réseaux constitués des Centres de réponse aux incidents de sécurité informatique (Computer Security Incident Response Team – CSIRT) et des centres nationaux d’alerte et de réaction aux attaques informatiques (Computer Emergency Response Team – CERT).

Les Etats-Unis

Le 11 mai 2017, Donald Trump a signé une ordonnance relative au renforcement de la cybersécurité des réseaux fédéraux. Celle-ci responsabilise directement chaque chef de ministère, de département et d’agence, tenu personnellement responsable de la cybersécurité de l’entité qu’il dirige. Parmi les mesures imposées, chaque entité a eu 90 jours pour évaluer son « risque cyber » au travers d’une trame[3] développée par le National Institute of Standards and Technology.

L’ordonnance aborde également la sécurité des infrastructures critiques, en particulier vis-à-vis des attaques distribuées à partir de « botnets ». En premier lieu, la Maison Blanche se préoccupe des réseaux de distribution d’électricité, mais également de ceux de la base industrielle et technologique de défense. Souhaitant préserver l’accès à Internet pour les générations futures, l’ordonnance milite pour une coopération étendue avec les Alliés et les autres partenaires.

Le 1er juin 2018, la Maison Blanche a publié l’ensemble des réponses apportées par les différentes administrations, en insistant sur les mesures de rétorsion qui seraient prises si le pays était confronté à des actes malveillants de la part de nations ou de la part de groupes cybercriminels hébergés par ces nations, que l’attaque relève ou non de la qualification d’agression armée.

L’OTAN

Afin de suivre l’évolution rapide de l’ensemble des menaces et de conserver des moyens solides de cyberdéfense, l’OTAN a adopté une politique renforcée ainsi qu’un plan d’action, qui ont été entérinés au sommet du pays de Galles, en septembre 2014. Le sommet de Varsovie des 8 et 9 juillet 2016 a donné l’occasion aux dirigeants de l’OTAN de prendre l’engagement de faire du renforcement et de l’amélioration des moyens de cyberdéfense des infrastructures et des réseaux nationaux une priorité, l’interconnectivité des 29 Etats membres impliquant qu’aucun Etat n’est « jamais plus fort que [le] maillon le plus faible ». Le cyberespace est ainsi reconnu en tant que domaine d’opérations dans lequel l’OTAN doit se défendre aussi efficacement qu’elle le fait dans les airs, sur terre et en mer.

Plusieurs projets sont lancés : plateforme d’échange d’informations sur les logiciels malveillants (Malware Information Sharing Platform – MISP), développement d’une capacité multinationale de cyberdéfense (Smart Defence Multinational Cyber Defence Capability Development – MNCD2), formation et entraînement multinationaux à la cyberdéfense (Multinational Cyber Defence Education and Training – MN CD E&T). Le premier colloque organisé dans le cadre du « Cyber Defence Pledge » s’est déroulé à Paris le 15 mai 2018 et a donné l’occasion à la France d’insisté sur l’importance de cette initiative pour le partage et la valorisation des savoir-faire nationaux et des outils capacitaires. L’ANSSI s’est attardée sur la nécessité d’appliquer les bonnes pratiques de l’hygiène informatique, l’occasion de rappeler que, pour la France, la maîtrise du risque cyber reste une priorité, à l’heure ou la meilleure défense face à la menace, reste la défense.

La capacité OTAN de réaction aux incidents informatiques (NATO Computer Incident Response Capability – NCIRC), localisée à Mons, protège les réseaux de l’OTAN en assurant un soutien centralisé 24 heures sur 24 en matière de cyberdéfense pour les différents sites de l’OTAN. Le Centre d’excellence pour la cyberdéfense en coopération (Cooperative Cyber Defence Centre of Excellence – CCD CoE) de l’OTAN, installé à Tallinn (Estonie), est un centre de recherche et d’entraînement accrédité par l’OTAN s’occupant de formation, de consultation, de retour d’expérience, de recherche et de développement en matière de cyberdéfense. Ce CoE organise annuellement depuis 2010 un exercice majeur de cyberdéfense baptisé « Locked Shields ». L’objectif de cet évènement d’ampleur est de renforcer le dialogue et la coopération entre les experts techniques, civils et militaires, au sein des membres de l’OTAN. L’édition 2018 s’est déroulée les 25 et 26 avril et a permis à la France, représentée par l’ANSSI et le commandement de la cyberdéfense, regroupés au sein d’une « Blue Team », de participer à la protection de 4 000 systèmes fictifs confrontés à 2 500 attaques.

Sources

  1. Directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union ;
  2. Règlement 2018/151 du 30 janvier 2018 précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif ;
  3. Code de la défense, titre II « sécurité des systèmes d’information » du livre III de la partie 2 ;
  4. Code des postes et des communications électroniques, chapitre 1er « définitions et principes » du titre 1er du livre II « les communications électroniques » de la partie législative ;
  5. Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;
  6. Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité ;
  7. Décret n° 2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information » ;
  8. Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique
  9. Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique
  10. Projet de loi n° 110 du 29 mai 2018 relatif à la programmation militaire pour les années 2019 à 2025
  11. Avis n° 761 (Assemblée nationale) enregistré le 13 mars 2018 relatif à la programmation militaire pour les années 2019 à 2025
  12. Avis n° 472 (Sénat) déposé le 15 mai 2018 relatif à la programmation militaire pour les années 2019 à 2025
  13. Rapport d’information n° 458 (Sénat) déposé le 20 avril 2018 relatif à la cybersécurité, pilier robuste pour l’Europe numérique
  14. Audition de M. Louis Gautier, secrétaire général de la défense et de la sécurité nationale
  15. Audition du général Olivier Bonnet de Paillerets, commandant de la cyberdéfense
  16. Audition de M. Guillaume Poupard, directeur général de l’ANSSI
  17. Revue stratégique de cyberdéfense du 12 février 2018
  18. Communiqué de presse de la Commission européenne du 19 septembre 2017
  19. Engagement en faveur de la cyberdéfense
  20. Executive Order 13800 on Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure

VA(2S) Alain Christienne, directeur du Centre méditerranéen des études stratégiques

[1]       Ce virus a détruit de nombreux systèmes informatiques utilisant un logiciel comptable ukrainien, Me.Doc. L’attaque a principalement frappé l’Ukraine, dont 80 % des entreprises utilisaient ce logiciel. Au-delà, elle a touché des groupes mondiaux comme le français Saint-Gobain, l’américain FedEx ou le danois Maersk, et les pertes financières totales sont estimées à plus d’un milliard d’euros. Plus grave, des hôpitaux au Royaume-Uni ont vu leur fonctionnement affecté par l’attaque.

[2]       Sous cette dénomination sont regroupés 249 organismes indispensables à la vie de la Nation.

[3]       Framework for Improving Critical Infrastructure Cybersecurity