/fdata%2F5404943%2Favatar-blog-1291563330-tmpphpuNemqB.jpeg){kind=avatar}
En route vers la cyberdissuasion !
Le sénateur Jean-Marie Bockel a rendu public jeudi matin un nouveau rapport sur la cyberdéfense. Dans ce long document (137 pages), l'ancien secrétaire d'État à la Défense du gouvernement Fillon fait part de préoccupations différant peu de celles qu'avaient pu émettre en leur temps le député Pierre Lasbordes en 2006 ou le sénateur Roger Romani deux ans plus tard : "La persistance, voire l'augmentation des attaques informatiques constatées ces dernières années en France semble montrer qu'il reste encore d'importants efforts à accomplir pour renforcer la protection des systèmes d'information des administrations, des entreprises ou des opérateurs d'importance vitale et pour sensibiliser l'ensemble des acteurs."
Trois leviers d'action
Depuis cette époque cependant, certaines choses ont évolué. Le Livre blanc de 2008 avait pris en considération ce problème, et la France a regroupé dans une seule structure, l'ANSSI (Agence nationale de la sécurité des systèmes d'information), les capacités défensives de l'État. Mais le rapporteur regrette que cette agence ne soit dotée que de 75 millions d'euros pour l'année 2012 et de 350 personnels à la fin de 2013, si les engagements de la présidence Sarkozy sont tenus.
Dans ses propositions, Bockel estime que "le renforcement de la protection et de la défense des systèmes d'information devrait d'abord faire l'objet d'une plus forte mobilisation au sein de l'État", en agissant sur "trois principaux leviers : le renforcement des effectifs et des moyens, de manière à les porter à la hauteur de ceux dont disposent nos principaux partenaires européens ; un important effort de sensibilisation et la mise en place de mesures de protection au sein des différentes administrations, et, enfin, le développement de capacités offensives, car on ne peut se défendre efficacement que si l'on connaît les modes d'attaque."
Contrôle parlementaire
La doctrine officielle française avait prévu de doter le pays de ces capacités offensives, qui ont été depuis confiées à la DGSE et aux armées avec pour mission "d'acquérir une capacité de lutte informatique offensive destinée notamment à neutraliser les centres d'opérations adverses". Jean-Marie Bockel estime toutefois que ces capacités ne sont pas suffisantes dès lors que "le cyberespace paraît inévitablement voué à devenir un domaine de lutte, au même type que les autres milieux dans lesquels interviennent nos forces armées ; il est légitime d'en tirer les conséquences, une telle capacité pouvant avoir des effets, tant aux niveaux tactique, opérationnel que stratégique."
Il se prononce donc en faveur de la "poursuite du développement de capacités offensives, sur la base d'un cadre juridique et d'une doctrine d'emploi bien définis". Le rapporteur considère également comme "indispensable qu'un contrôle parlementaire s'exerce sur ces activités, qui, compte tenu de leur caractère très sensible, ne peut relever que de la délégation parlementaire au renseignement".
Vers une cyberdissuasion ?
Jean-Marie Bockel s'interroge sur la nécessité, ou pas, de définir une doctrine "ou du moins de tenir un discours public" sur les capacités informatiques offensives, non sans préciser que sur ce sujet "moins on en dit et mieux on se porte". À ce stade, personne en France ne s'est exprimé sur ces moyens dont la France est déjà dotée. Mais Bockel ajoute, sibyllin : "Dans ce domaine, on n'est pas manchots." Les rares personnes ― de la sphère gouvernementale ou liées aux services secrets - ayant accepté d'expliquer au Point ce qu'il en est ont souvent évoqué un parallèle avec la dissuasion nucléaire. Il s'agirait donc, en substance, de faire savoir à d'éventuels adversaires que notre pays possède ces capacités d'attaque pour les dissuader d'utiliser les leurs. Sauf à encourir à leur tour une attaque destructrice.
Or, Jean-Marie Bockel est en désaccord avec cette formulation et avance trois raisons pour la contester. La première, c'est qu'à ses yeux, "à la différence d'une attaque nucléaire, il est très difficile, voire impossible, d'identifier précisément et de façon certaine l'auteur d'une attaque informatique qui cherche à rester discret". Deuxième objection : "La dissuasion nucléaire repose sur une relation d'État à État, qui est inopérante face à une menace asymétrique comme les attaques informatiques, qui sont le plus souvent l'oeuvre de pirates informatiques ou d'organisations, même si ces attaques peuvent aussi parfois être instrumentalisées ou même être dirigées par des États." Enfin, explique-t-il, l'arme nucléaire est conçue pour ne pas être utilisée, c'est "une arme de non-emploi, alors que les attaques informatiques sont une réalité concrète et quotidienne (...), il est donc préférable, afin d'éviter toute confusion, de ne pas employer le terme de cyberdissuasion et d'éviter la comparaison avec la dissuasion nucléaire". Un sujet que devra traiter la commission sur le futur Livre blanc présidée par Jean-Marie Guéhenno, qui doit rendre ses conclusions avant la fin de l'année.
Par Jean Guisnel, défense ouverte
/image%2F0556261%2F20150623%2Fob_4f26b6_2012-11-19t051231z-1531108811-gm1e8bi1.JPG)
/image%2F0556261%2F20150427%2Fob_10ea12_131008-internet-espionnage-cyber.jpg)
/image%2F0556261%2F20150311%2Fob_5d9b82_111857-story-wikipedia.jpg)
/image%2F0556261%2F20150311%2Fob_97ac1f_cyber-attaque-riposte-de-letat-islamiq.jpg)
