La cyber-défense, «une priorité nationale»

Le sénateur Jean-Marie Bockel dresse les priorités de l'Etat en matière de piratage.

Le sénateur centriste Jean-Marie Bockel dévoile, jeudi 19 juillet, son rapport d'information sur la cyber-défense. Un rapport adopté à l'unanimité par la Commission des affaires étrangères du Sénat et qui devrait servir de base pour l'élaboration d'un nouveau Livre blanc sur la défense et la sécurité nationale.

D'entrée, le sénateur dresse un constat pessimiste : "Notre dispositif connaît d'importantes lacunes. La France ne dispose pas de protection et de systèmes de détection des attaques informatiques à l'entrée des réseaux des opérateurs d'importance vitale. Il s'agit d'un enjeu majeur pour notre sécurité."

Energie, santé, transports, administrations... Jean-Marie Bockel critique le manque d'intérêt français sur la question de la cyber-défense, avertissant que "la France est aujourd'hui menacée par un 'pillage' de son patrimoine diplomatique, économique, scientifique et culturel". L'occasion de rappeler les récents piratages de Bercy en marge du G20, d'Areva, et de l'Elysée.

Pas de doute pour le parlementaire, la cyber-sécurité "est un enjeu stratégique" et doit être déclarée "priorité nationale".


Obligation de communiquer sur les piratages


Tout au long de son rapport, Jean-Marie Bockel dresse 50 recommandations et plaide surtout pour un renforcement des effectifs, des moyens et des prérogatives de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Créée en 2009 après le premier Livre blanc, l'ANSSI assure un service de détection, d'alerte et de prise en charge des attaques informatiques, notamment sur les systèmes de l'État. L'agence compte 230 agents pour un budget annuel de 75 millions. Loin des 700 agents britanniques ou des 10 milliards de dollars annuels américains.

Le centriste met également un point d'honneur à encourager la divulgation de tout piratage. "Il serait souhaitable que les grandes institutions qui ont été victimes d'attaques informatiques communiquent publiquement sur le sujet", souligne-t-il. Avant de recommander de "rendre obligatoire pour les entreprises et les opérateurs d'importance vitale une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes". L'occasion de tacler l'Elysée qui "devrait confirmer officiellement et communiquer publiquement" sur la récente attaque contre ses services.

Dans la même veine, Jean-Marie Bockel plaide pour une sensibilisation des administrations et des entreprises, en particulier les PME. La moitié des attaques contre des entités visent des entreprises de moins de 2.500 salariés, souligne le dernier rapport sur la sécurité informatique de Symantec. "Pourquoi ne pas imaginer une campagne de communication en matière de sécurité informatique, à l'image de la prévention en matière de sécurité routière ?", interroge-t-il. "Pourquoi aussi ne pas renforcer les liens avec la communauté française de hackers ?", poursuit-il.

Le parlementaire suggère ainsi un pas important vers la transparence. De nombreuses sociétés refusent de rendre publique une attaque informatique. "C'est un peu comme les maladies vénériennes, on a honte d'en parler !", lance Nicolas Arpagian, auteur de la "Cyber-guerre", à "l'Express".


Interdire les "routeurs" chinois

En matière de sécurité nationale, Jean-Marie Bockel propose d'"interdire les 'routeurs' ou d'autres équipements de cœur de réseaux qui présentent un risque", à savoir des produits d'origine chinoise.

Dans un contexte d'aube de cyber-guerre, le parlementaire réclame l'interdiction de vente et d'utilisation d'équipements d'origine chinoise utilisés par les opérateurs pour gérer les flux de communication internet. Si ces "routeurs" chinois des entreprises Huawei ou ZTe sont 20% moins chers que les américains, plane le risque de les voir détournés par l'appareil étatique chinois, soupçonné d'espionnage informatique. Le sénateur s'inscrit donc dans la suite des Etats-Unis ou de l'Australie qui ont déjà interdit ces "routeurs".

Enfin, Jean-Marie Bockel soulève "la question délicate des capacités offensives". Prévue par le premier Livre blanc, la lutte informatique offensive reste "taboue" en France, à l'inverse d'autres pays comme les Etats-Unis ou le Japon. "On ne peut guère concevoir désormais de conflit militaire sans qu'il s'accompagne d'attaques" informatiques, estime le parlementaire. De quoi renvoyer à ces jeunes Russes qui, en mai 2007, avaient paralysé l'ensemble du web en Estonie, ou au virus Stuxnet, conçu par des Occidentaux pour infecter les centrifugeuses du programme nucléaire iranien.

Le sénateur centriste conclu son rapport en rappelant que "prétendre à une protection absolue serait illusoire" mais qu'il "reste encore beaucoup à faire au sein de l'Etat".

Retrouvez cet artice paru le 19 juillet 2012 sur le site obsession.nouvelobs.com