Cybersécurité Et Cyberdéfense Enjeux Stratégiques Salamon, Yann
Cybersécurité Et Cyberdéfense Enjeux Stratégiques Salamon, Yann
Cybersécurité Et Cyberdéfense Enjeux Stratégiques Salamon, Yann
France.
Avertissement
Les idées développées et présentées dans cet ouvrage
n’engagent que l’auteur. Elles ne sauraient constituer une
position engageante pour les institutions qui l’emploient ou
l’ont employé par le passé.
Préface
Contre-modèles
***
Guillaume Poupard
Mai 2020
Avant-propos
4. Le « deep » et le « dark »
2. Acteurs en présence
3. Caractéristiques et propriétés
La donnée est une matière très évolutive. Il est ainsi intéressant d’en
penser le cycle de vie et d’essayer d’en tirer des grandes phases. Il serait
illusoire de chercher à définir un schéma unique. Il paraît plus pertinent
d’explorer plusieurs façons de représenter ce cycle de vie.
Une première approche générale, en cinq phases, est par exemple la
suivante :
• création, par une machine ou un humain – soulevant notamment des
problématiques d’étalonnage et de fiabilité ;
• traitement, exploitation, analyse, par une machine ou un humain – où
des enjeux relatifs à la puissance de calcul sont fortement prégnants ;
• stockage ;
• accès, partage, diffusion – soulevant notamment la question du
contrôle d’accès, et donc de la gestion de l’identification, de
l’authentification et de l’autorisation ;
• destruction – potentiellement complexe pour les supports numériques.
Une autre proposition, plus proche du champ de l’informatique
décisionnelle, et donc très orientée sur la finalité d’aide à la décision, est la
suivante : collecte ; structuration ; stockage ; traitement ; analyse ;
visualisation ; décision.
3. Relations sociales
« qu’il n’y a pas de frontières dans le cyberespace », il est clair que les
frontières et limites – matérielles, logicielles et sémantiques – qui s’y
trouvent sont complexes à appréhender ;
• que le monopole de la violence légitime des États, théorisé par le
sociologue Max Weber21 – les outils cyber offensifs étant de plus en
plus simples d’accès et d’utilisation, et finalement peu régulés, il est
courant de voir un nombre croissant d’acteurs de tous types s’en saisir ;
• qu’un certain « ordre mondial », régi par la théorie « classique » des
relations internationales et le droit international, où les États et les
organisations internationales jouent un rôle central. La montée en
puissance de certains acteurs privés, dont les produits et services sont
devenus omniprésents dans l’espace numérique voire absolument
essentiels à sa simple existence, est de nature à remettre en cause cet
ordre établi, en positionnant ces acteurs directement au cœur des
discussions intergouvernementales sur la régulation et la stabilité
stratégique du cyberespace.
V. Enjeux de souveraineté
1. De la souveraineté classique à la souveraineté
numérique
Enjeux de régulation, conflictualité entre les États : la transition vers
le sujet de la souveraineté numérique arrive à point nommé. Depuis
quelques années, et notamment depuis la parution de l’ouvrage du même
nom en 2014, écrit par Pierre Bellanger22, ce concept fait en effet florès
dans les différentes sphères de réflexion proches des questions numériques
et de cybersécurité. Il est notamment utilisé dans la Stratégie nationale pour
la sécurité du numérique de 201523 et dans la Revue stratégique de
cyberdéfense de 201824. Il a même fait l’objet, en 2019, d’une commission
d’enquête à part entière du Sénat25.
Malgré son usage désormais courant, le concept de souveraineté
numérique reste – il faut bien l’avouer – relativement compliqué à
définir. Il est intéressant de constater que le contexte d’emploi de
l’expression est souvent marqué par une certaine dose d’affects : on parle
régulièrement d’une souveraineté numérique que l’on n’aurait pas, ou que
l’on aurait « perdue » et qu’il faudrait « retrouver ».
Pour tenter de clarifier le sens de l’expression « souveraineté
numérique », nous suivrons une méthode simple : revenir sur l’acception
classique du concept de souveraineté, liée aux droits constitutionnel et
international, puis examiner les perspectives de transposition du concept
dans l’environnement numérique.
3. Souveraineté numérique ?
ils ? Pour quelles raisons ? Qu’est-ce qui les anime ? Quelles sont leurs
motivations ?
•une plutôt centrée sur les attaques qu’ils commettent : pour quoi
agissent-ils ? Quelles finalités cherchent-ils à atteindre ?
Les motivations des attaquants peuvent être de différents ordres :
• étatiques – pour servir ce qui s’apparente à une « cause nationale »
(pour un « vrai » État ou pour des « pseudo-États »). Dans ce cadre, ils
sont amenés à espionner d’autres États et à leur dérober leurs secrets,
tels que des stratégies diplomatiques dans le cadre de négociations
internationales. Ils cherchent à les déstabiliser, en s’attaquant par
exemple à la crédibilité de leurs processus électoraux. Ils cherchent
encore à les agresser en attaquant leurs infrastructures critiques
nationales. Ce sont souvent des unités spécialisées, en lien de près ou
de loin avec des organisations militaires ou des services de
renseignement. Leur démarche est généralement professionnelle,
rigoureusement planifiée, ciblée et peut mettre en œuvre des outils
sophistiqués ;
• lucratives et compétitives – ici motivés essentiellement par l’argent, les
attaquants cherchent à en dérober. Dans certains cas, ils cherchent à se
positionner par rapport à des concurrents économiques, en leur volant
leurs secrets industriels et commerciaux, leurs bases de clients, leur
savoir-faire, en les décrédibilisant. Ce sont des mafias, des
mercenaires, des cybercriminels, ou plus généralement des concurrents
peu scrupuleux. Ils arnaquent et rançonnent. Ils utilisent couramment
les cryptomonnaies, qu’ils minent pour s’enrichir en se servant de
ressources dont ils ont détourné frauduleusement l’utilisation, ou dont
ils tirent parti pour rendre leurs flux financiers discrets voire
anonymes ;
• idéologiques et politiques – mis en branle par une idéologie, des
opinions politiques, des convictions, les attaquants utilisent les attaques
informatiques comme une forme de militantisme. Ils cherchent à
diffuser leurs idées, à convaincre voire à imposer leur vision. On les
affuble souvent d’un mot-valise : « hacktivistes ». Les sujets de leurs
revendications sont variés : invitation au djihadisme, homophobie,
xénophobie, anticapitalisme, etc. On assiste souvent à des attaques
nécessitant peu de compétences techniques mais à forte visibilité et à
fort impact réputationnel ;
• émotionnelles ou sentimentales – les attaquants sont ici un salarié
fâché contre son employeur, ou un amoureux jaloux, éconduit ou
trompé. Ils cherchent par exemple à se venger ou à obtenir des
informations ;
•ludiques ou récréatives – la nuisance n’est en général dans ce cas pas
une fin en soi. Il s’agit de s’amuser, de relever des défis techniques,
pour la beauté du geste, pour en reverser les résultats dans la
communauté à des fins d’amélioration ou encore, pour les plus
égocentriques, pour se vanter. On trouve ici la série des « chapeaux »
blancs, gris et noirs (respectivement white hats, grey hats et black hats),
les plus sombres étant les moins bien intentionnés. On parle aussi des
script-kiddies, aux faibles compétences techniques, qui utilisent des
outils malveillants mis au point par d’autres sans nécessairement en
comprendre le fonctionnement et souvent sans en maîtriser réellement
les effets ;
• défensives – une attaque cyber peut être menée en riposte à une
4. Les vulnérabilités
Pour aller plus loin dans la compréhension des enjeux liés aux
vulnérabilités, il est particulièrement intéressant d’étudier les différentes
étapes du cycle de vie d’une vulnérabilité technique dans un produit, de
son apparition à sa correction. On peut les résumer de la façon suivante :
• création – la vulnérabilité est introduite, fortuitement ou non, dans le
produit au moment de la conception ou du développement ;
• mise en production – le produit est diffusé et commence à être utilisé,
ce qui de fait diffuse la vulnérabilité concernée ;
• découverte – la vulnérabilité est découverte, par une personne qui ne
peut pas être certaine qu’elle est la seule et encore moins la première ;
• outillage – un moyen concret d’exploiter la vulnérabilité est développé.
On appelle ce moyen un « exploit ». Il est important de noter qu’il n’est
pas toujours possible de développer un tel outil, ce qui minimise
grandement l’impact de certaines vulnérabilités, qui deviennent
inexploitables en pratique ;
• les trois étapes qui suivent peuvent se dérouler selon des séquencements
différents :
– information de l’éditeur – l’éditeur est informé de l’existence de la
vulnérabilité,
– publication – l’existence de la vulnérabilité est rendue publique,
– exploitation – la vulnérabilité est exploitée pour s’introduire dans le
produit, soit à des fins malveillantes soit pour un usage « légitime de
la force » (p. ex. audits, contre-terrorisme) ;
• correction – la vulnérabilité est corrigée par l’éditeur du produit, le plus
souvent par le biais d’un patch mis à la disposition des utilisateurs, qui
auront la charge de l’appliquer pour maintenir leur produit en condition
de sécurité. Cette phase n’est pas systématiquement atteinte car, même
si la vulnérabilité est connue de l’éditeur, celui-ci ne produira pas
nécessairement de correctif pour toutes les vulnérabilités dont il a
connaissance – soit car c’est techniquement très difficile ou impossible,
soit par choix de ne plus maintenir en condition de sécurité certains
produits, issus de vieilles gammes par exemple. Un enjeu majeur dans
le cycle de vie des vulnérabilités réside dans la durée entre la
découverte d’une vulnérabilité et sa correction effective. Celle-ci
doit être, idéalement, la plus courte possible.
Après la découverte et l’éventuel outillage de la vulnérabilité, au moins
trois grands scénarios possibles se dégagent :
• l’éditeur est d’abord informé de la faille, ce qui lui permet de
travailler à un correctif. La publication d’informations quant à la
vulnérabilité peut intervenir : soit une fois le correctif publié, soit dans
un délai fixé après l’information de l’éditeur – ce qui a souvent pour
but de le contraindre à produire un correctif rapidement. Ce scénario
n’exclut pas une éventuelle exploitation. En effet, une fois le correctif
publié par l’éditeur, il est à la charge de l’utilisateur de l’appliquer. Si
ce n’est pas fait, la faille est toujours présente, et une exploitation
malveillante par un attaquant est toujours possible. Ce scénario, le plus
favorable, est parfois appelé « divulgation responsable » ;
• la faille est directement publiée, et l’éditeur apprend son existence
en même temps que le grand public. Ce scénario permet toujours à
l’éditeur de produire un correctif, mais dans des conditions nettement
moins favorables que dans le scénario précédent. En particulier, plus le
temps entre la publication et la correction est long, plus la probabilité
que la vulnérabilité fasse l’objet d’une exploitation malveillante est
grande. Ce scénario est parfois appelé « full disclosure » ;
• la faille est découverte par des acteurs qui choisissent de ne pas la
divulguer, ni publiquement ni à l’éditeur. Ils peuvent soit l’exploiter
eux-mêmes, soit la revendre à d’autres acteurs. Par construction, ce
scénario n’exclut pas que la faille puisse être découverte de façon
indépendante, par des gens qui pourraient soit choisir de jouer le même
scénario, soit opter pour un autre des scénarios décrits précédemment.
pour y parvenir ;
• et, à un niveau de détail encore plus fin, les procédures qu’ils mettent
en œuvre pour actionner ces techniques.
Sans chercher à désigner un modèle qui serait meilleur que les autres,
chacun ayant ses avantages et ses limitations, il semble utile de mentionner
deux exemples particulièrement célèbres dans la communauté de la CTI : la
« cyber kill chain » de Lockheed Martin et le schéma ATT&CK de
MITRE.
La cyber kill chain de Lockheed Martin, publiée au début des années
2010, est particulièrement connue. S’inspirant de la méthode militaire qui
décrit la « kill chain » d’un adversaire – à savoir les différentes étapes d’une
action offensive qu’il pourrait mener – pour mieux entraver son action,
Lockheed Martin a cherché à décrire les grandes étapes d’une attaque
informatique. Début 2020, le modèle en vigueur était structuré en sept
étapes :
• « reconnaissance » : recherche, identification et sélection de cibles ;
• « weaponization » : élaboration d’une « arme », d’un vecteur d’attaque
permettant d’exploiter une ou plusieurs vulnérabilités identifiées dans
le ou les systèmes ciblés ;
• « delivery » : envoi du vecteur à la cible (par courriel, par clé USB, par
navigation web, etc.) ;
• « exploitation » : déclenchement de l’arme pour exploiter une
vulnérabilité ;
• « installation » : prise de position sur la cible pour s’y assurer un accès
durable ;
• « command and control » (C2) : contrôle à distance des outils introduits
dans le système compromis ;
• « actions on objectives » : conduite d’actions visant à réaliser les
objectifs initiaux de l’attaque (p. ex. exfiltration de données,
neutralisation de services, chiffrement de données).
Cette représentation permet de proposer une structuration assez globale
du déroulement d’une attaque.
Le schéma ATT&CK7 de MITRE8, dévoilé officiellement mi-2015, est
nettement plus détaillé. Il propose notamment différentes matrices qui
mettent en regard des objectifs tactiques et des techniques. L’une d’entre
elles, la « PRE-ATT&CK Matrix » s’intéresse tout particulièrement à la
préparation d’une attaque. Début 2020, elle proposait les objectifs
tactiques résumés dans le tableau ci-dessous.
Objectif Description
tactique
Initial Prendre pied pour la toute première fois sur le système visé.
Access
Persistence Maintenir l’attaquant sur le système visé, même – par exemple – en cas de
redémarrage ou de modification de configuration.
Privilege Obtenir des privilèges d’utilisation plus élevés sur le système, idéalement au
Escalation niveau administrateur.
Collection Récupérer des informations utiles pour atteindre l’objectif de l’attaque, par
exemple pour les exfiltrer.
Impact Réaliser des effets sur le système cible et les données qu’il contient, en les
manipulant, en les modifiant, en les neutralisant ou en les détruisant.
1. Estonie (2007)
Fin avril 2007, une série de cyberattaques a paralysé l’Estonie. Cette
séquence s’inscrit dans un contexte géopolitique tendu entre l’Estonie et
son voisin russe. En particulier, la décision des autorités estoniennes de
déplacer le « Soldat de Bronze », un monument collaboratif de la Seconde
Guerre mondiale considéré par beaucoup d’Estoniens comme un symbole
de l’occupation soviétique, provoquera la colère de la minorité russe du
pays.
C’est dans ce cadre que des attaques en déni de service distribué ont visé
un large panel d’acteurs estoniens : le parlement, des ministères, des
banques, des médias, etc. De nombreux services en ligne, comme ceux des
plus grandes institutions bancaires du pays, Hansapank et SEB Eesti
Uhispank, ont ainsi été contraints à la fermeture. L’impact de cette attaque a
été d’autant plus fort que l’Estonie est un pays où le taux de pénétration du
numérique est particulièrement important.
De nombreuses voix se sont faites entendre pour accuser la Russie, qui a
toujours démenti, sans que des preuves formelles puissent être apportées.
L’Estonie ira jusqu’à invoquer l’article 5 du traité de l’Atlantique Nord,
prévoyant l’assistance mutuelle des Alliés en cas d’attaque armée. Cette
requête suscitera beaucoup de questionnements, s’agissant notamment de la
possibilité de qualifier une cyberattaque « d’attaque armée » et de la
possibilité d’invoquer cette clause sans attribution certaine de l’attaque. In
fine, les Alliés ne donneront pas suite à la demande estonienne.
3. Shamoon (2012)
8. SWIFT (2015-2016)
L’affaire Mirai est une série d’attaques en déni de service distribué ayant
eu lieu en septembre-octobre 2016. Mirai est le nom d’un code malveillant
utilisé pour compromettre un très grand nombre d’objets connectés – tels
que des caméras de surveillance – afin de les intégrer à de gigantesques
botnets permettant de mener l’attaque.
Parmi les victimes, plusieurs grands opérateurs d’hébergement et de
gestion de noms de domaine ont été touchés, tels qu’OVH en France et Dyn
aux États-Unis. Dyn comptait alors parmi ses clients des plates-formes
comme Twitter, Reddit, Airbnb, Amazon et Netflix – toutes impactées par
l’attaque sur leur prestataire.
Nous l’avons dit : le « risque cyber », qui voit une menace exploiter une
ou plusieurs vulnérabilités d’un système numérique, est un risque à part
entière. Il est stratégique, sa réalisation pouvant s’avérer létale pour une
organisation, avec une fulgurance effrayante. Sauf à refuser une dynamique
de numérisation souvent inéluctable, il est très difficilement évitable.
Même si de nombreux efforts peuvent être déployés pour l’anticiper au
mieux, il reste, dans une large mesure, très imprévisible. Les intentions,
compétences, moyens et plans des attaquants – qui bénéficient, rappelons-
le, d’un réel avantage dans l’asymétrie du conflit numérique – sont difficiles
à connaître avec précision, et plus encore à anticiper. Enfin, nous le verrons
plus loin : il est difficile à transférer ou à externaliser – il est tout au plus
partageable avec des entités tierces.
Parmi les quelques propriétés majeures qui font du numérique un terrain
d’opportunités, l’on peut citer, d’une part, la capacité de manipuler des
quantités massives de données, en les stockant et en effectuant très
rapidement énormément d’opérations. Il y a, d’autre part, la capacité
essentielle, qui a explosé depuis la fin des années 1970, à mettre les
systèmes d’information en réseaux. Cette dernière propriété fait du risque
cyber un risque systémique : il porte à la fois sur une organisation mais
aussi plus largement sur l’ensemble de l’écosystème utile à son
fonctionnement (clients, fournisseurs, partenaires, etc.). Une organisation
peut à la fois contribuer à amplifier le risque cyber qui porte sur son
écosystème, mais également voir le risque cyber qui porte sur elle accru par
sa dépendance à son écosystème.
Pour toutes ces raisons, si la notion de risque cyber renvoie
historiquement à un domaine relevant d’une sphère très technique, il est
désormais clair qu’il est amené à s’étendre vers la sphère de
préoccupation des dirigeants et des décideurs, et plus largement de
l’ensemble des organisations. Il n’est plus le seul fait d’équipes techniques
qui conçoivent, déploient et opèrent des SI au profit d’autres fonctions de
leur organisation. À un niveau fonctionnel, tout métier qui utilise le
numérique en support de sa chaîne de valeur, ou qui produit des
équipements ou services numériques, est concerné par le risque cyber. À un
niveau plus individuel, tout employé d’une organisation qui accède au SI
mis en place par cette dernière est susceptible d’y ouvrir une brèche, de
façon volontaire ou non, et est ainsi également concerné par le risque cyber.
La sécurité numérique est, comme on a coutume de le dire, « l’affaire de
tous ». Cette prise de conscience et cette implication collective et holistique
dans la recherche de l’état de cybersécurité ne sont pas triviales. Si de plus
en plus de gens et de fonctions sont aujourd’hui à l’aise avec les outils
numériques, l’informatique et a fortiori la sécurité informatique restent
encore très souvent le fait d’experts techniques.
leur vraisemblance ;
• l’atelier 5 vise à synthétiser les scénarios de risque, à définir une
stratégie de traitement et des mesures associées, à évaluer et
documenter les risques résiduels, et à mettre en place un suivi.
La promotion de démarches d’analyse des risques est de nature à faire
« sortir » le sujet de la sécurité numérique d’une sphère essentiellement
tournée vers des enjeux techniques relevant du domaine de l’informatique
pour investir et mobiliser le champ des métiers. Ce faisant, il s’agit
d’obtenir de la part de ces derniers des appréciations fines et réalistes des
impacts concrets sur l’activité de l’organisation de la réalisation de
risques cyber. Une véritable quantification de ces impacts devient alors
possible, donnant une portée stratégique à l’analyse des risques. Elle se
présente ainsi comme un véritable outil d’aide à la décision pour les
dirigeants, qui peuvent mieux appréhender et comprendre les risques qui
pèsent sur leur organisation.
Cette dernière remarque appelle une brève réflexion sur la façon dont
sont perçus les coûts liés à la mise en place de mécanismes de
cybersécurité. D’un point de vue financier, la sécurité numérique est en
effet très souvent appréhendée comme un centre de coûts… au moins
jusqu’à ce qu’une attaque survienne et permette à une victime de mettre un
prix sur les pertes engendrées – pour l’entreprise Saint-Gobain, touchée
en 2017 par le maliciel NotPetya, ce sont par exemple 220 millions d’euros
de chiffre d’affaires et 80 millions d’euros de résultat d’exploitation.
Gageons néanmoins que la mise en œuvre de mesures de sécurité
numérique puisse, de façon croissante, être perçue de manière positive et
valorisée : réduction de polices d’assurance, incitations fiscales, création
d’avantages compétitifs sur les marchés, etc.
Une fois les principaux risques identifiés, il s’agit de décider d’une façon
de les traiter. Cet aspect, abordé dans le cinquième atelier de la méthode
EBIOS Risk Manager, conduit à plusieurs axes de réflexion.
Une première question porte sur les différentes catégories « classiques »
d’options de traitement des risques. On les présente souvent sous la
forme de quatre possibilités :
• refuser le risque et l’éviter, ce qui concrètement consiste à cesser
l’activité qui engendre ledit risque (p. ex. « craignant le risque de
mourir dans un accident d’avion, j’arrête complètement de prendre
l’avion ») ;
• maintenir le risque tel qu’il est, en ayant conscience de sa gravité
potentielle et de sa vraisemblance, mais en décidant de ne rien faire de
plus pour faire baisser l’un de ces facteurs (p. ex. « j’ai conscience qu’il
y a un risque pour mon intégrité physique à rouler sans ceinture, et
pourtant je l’accepte et décide de ne pas mettre ma ceinture ») ;
• partager le risque avec un tiers, un sous-traitant (p. ex. une doublure
pour réaliser une cascade dangereuse) ou un assureur ;
• ou réduire le risque, en prenant des mesures de sécurité. Cet aspect fait
l’objet d’une section dédiée ci-après.
Sur le point spécifique du partage du risque, nous l’évoquions en début
de chapitre : il est difficile, voire impossible, pour une organisation de
transférer complètement le risque cyber qui pèse sur elle. Par exemple,
une entreprise qui choisirait de souscrire une police d’assurance contre ce
risque serait probablement couverte, en cas de cyberattaque, pour les
dommages directs engendrés, les coûts relatifs aux opérations de
remédiation et éventuellement le manque à gagner induit. Elle ne pourra
toutefois pas se départir d’autres retombées non négligeables sur le long
terme, s’agissant notamment de sa réputation et de la confiance accordée
par les utilisateurs, clients et partenaires. Le règlement général sur la
protection des données (RGPD), que nous réévoquerons ultérieurement,
nous fournit un autre exemple concret : s’il permet de sous-traiter un
traitement de données à caractère personnel, il n’en enlève pas la
responsabilité à l’organisation qui l’a initié.
Une seconde question à évoquer ici porte plus spécifiquement sur la
décision formelle de traitement des risques identifiés : qui décide,
comment et qu’est-ce que cela implique ? L’ensemble de la démarche a
en fait vocation à donner des éléments structurés et objectivés à un
décideur pour lui permettre de faire un choix en ayant pleinement
conscience des risques auxquels l’activité dont il est responsable est
exposée, et en en comprenant les tenants et aboutissants. Ce dernier aspect
est important : le décideur a besoin de comprendre ces enjeux sans
nécessairement savoir parler un langage informatique très technique. Cela
invite à porter une attention particulière au choix des métriques et
indicateurs qui seront utilisés tout au long des analyses. Pour un système
donné, la démarche formelle consistant à identifier et à évaluer les risques
qui pèsent sur lui, à élaborer un plan de traitement de ces risques permettant
de le mettre en production dans de « bonnes » conditions de sécurité, et à
faire valider formellement l’ensemble de ces éléments par une personne
investie de l’autorité nécessaire pour endosser cette responsabilité constitue
ce que l’on appelle une homologation de sécurité.
Une fois l’analyse des risques effectuée et la stratégie de traitement
décidée et documentée, il s’agira d’initier une démarche de mise en œuvre
assortie d’un suivi régulier. S’appuyant sur ce qui est appelé « plan
d’amélioration continue de la sécurité » (PACS) par la méthode EBIOS
Risk Manager (ici à l’atelier 5), un comité de suivi peut par exemple être
constitué pour orchestrer la démarche.
a. Types et fonctions
b. Principes
3. Protéger les SI
Dans la même logique que précédemment, nous commençons par citer ici
brièvement quelques mécanismes de défense et de résilience parmi les
plus courants, laissant les lecteurs intéressés se référer à la littérature
spécialisée pour plus de détails :
• mécanismes de supervision, de détection et de réponse aux incidents (p.
ex. Intrusion Detection Systems (IDS), Security Information and Event
Management (SIEM), Endpoint Detection and Response (EDR),
antivirus) ;
• politiques de sauvegarde et d’archivage ;
• plans de continuité d’activité (PCA) et de reprise d’activité (PRA) ;
• organisations de gestion de crise.
Au niveau d’une organisation (ou dans une certaine mesure, d’un
individu), les grandes étapes de la réponse à une cyberattaque peuvent
être synthétisées comme suit :
• chercher à comprendre et à caractériser l’attaque, ses impacts
potentiels et les risques résiduels qu’elle induit ;
• chercher à contenir l’attaque, et à protéger dans la mesure du possible
les systèmes non touchés pour qu’ils ne le soient pas, et les systèmes
déjà touchés pour qu’ils ne le soient pas davantage ;
• dans la mesure du possible, faire des copies des systèmes touchés ou
susceptibles de l’avoir été ;
• désinfecter et réparer, ou repartir d’un système « vierge » en
restaurant et en reconstruisant. Il s’agit ici de retrouver des
fondamentaux sains : applications à jour, correctifs de sécurité
appliqués, données restaurées, systèmes « durcis », applications et
services inutiles désinstallés ou désactivés, mesures de sécurités
appropriées en place, etc. En particulier, il s’agira de s’assurer, le cas
échéant, qu’un attaquant qui aurait pris pied sur un système en aura été
expulsé, et que le coût de son éventuel retour sur celui-ci aura été
significativement augmenté.
Idéalement, outre ces mesures orientées vers les SI touchés ou
potentiellement visés, plusieurs activités sont à envisager, pendant ou après
l’attaque :
• chercher à capitaliser un retour d’expérience (on parle souvent de
« RETEX » ou de « REX ») de l’attaque, notamment des vulnérabilités
qu’elle a pu exploiter, pour chercher à les corriger, ou encore de
l’efficience des procédures de réponse mises en œuvre ;
• chercher à demander de l’aide, pour progresser sur la résolution
technique de l’incident ou pour obtenir, le cas échéant, une réparation
proportionnée du préjudice subi – la question du dépôt de plainte est
abordée spécifiquement plus loin ;
• envisager de communiquer à bon escient.
S’il y a encore quelques années, peu d’organisations
communiquaient publiquement sur les attaques dont elles étaient
victimes, cette situation tend à évoluer. De façon non exhaustive,
plusieurs facteurs peuvent expliquer cette direction :
• un volume toujours croissant d’attaques, et notamment d’attaques
potentiellement visibles à l’extérieur de l’organisation, telles que les
DDoS ou les rançonnages ;
• une détection et une compréhension des attaques par les victimes qui
tendent à s’améliorer ;
• de façon subséquente au point précédent, la capacité croissante des
victimes d’expliquer – et plus précisément, de maîtriser ce qu’elles
expliquent – ce qui a pu les toucher et les conséquences afférentes ;
• un cadre réglementaire qui tend à encourager, voire à obliger, les
victimes à notifier les incidents. L’article 33 du règlement général sur
la protection des données (RGPD) prévoit par exemple l’obligation,
pour une organisation traitant des données à caractère personnel, de
notifier à la CNIL les violations (i.e. perte de disponibilité, d’intégrité
ou de confidentialité, de manière accidentelle ou illicite) de ces données
dont elle pourrait être victime. L’article 34 du même règlement impose
par ailleurs, dans le cas où la violation est susceptible d’engendrer un
risque élevé pour les droits et libertés d’une personne physique, d’en
informer cette dernière ;
• un changement progressif d’approche, évoluant d’un modèle dans
lequel être victime d’une attaque est perçu comme une faiblesse
honteuse à un autre dans lequel il devient possible de trouver des
leviers de communication plus positifs (p. ex. acte de transparence,
contribution à l’organisation de la compréhension et de la prévention
d’une menace, fourniture de données quantitatives utiles).
i. Chercher de l’aide
En France, en fonction de la « catégorie » à laquelle appartient la victime,
plusieurs acteurs peuvent être sollicités. L’ANSSI tient une liste à jour
sur son site web15. Parmi les principaux acteurs susceptibles d’apporter une
aide, ou plus largement d’intervenir dans les phases de compréhension de
l’attaque, d’enquête ou de remédiation, on peut citer :
• l’ANSSI, s’agissant notamment de la sphère étatique, des OIV, des
« opérateurs de services essentiels » (OSE) et des « fournisseurs de
service numérique » (FSN)16 ;
• le dispositif d’assistance aux victimes d’actes de
cybermalveillance17, qui peut apporter des éléments de sensibilisation
aux particuliers, TPE/PME et collectivités territoriales notamment, et
les rediriger, en cas d’incident, vers des prestataires privés locaux ;
• l’Office central de la lutte contre la criminalité liée aux technologies
de l’information et de la communication (OCLCTIC), service
judiciaire de la sous-direction de lutte contre la cybercriminalité de la
direction centrale de la police judiciaire (DCPJ), compétente pour des
actes de piratage, de fraude aux moyens de paiement et d’escroqueries
sur Internet touchant les particuliers et les PME sur l’ensemble du
territoire français ;
• la Brigade d’enquête sur les fraudes aux technologies de
l’information (BEFTI) de la direction régionale de la police judiciaire
de Paris, compétente pour les investigations relatives aux actes de
piratage commis à l’encontre de particuliers et PME dans la zone de
Paris et de ses départements limitrophes ;
• le Centre de lutte contre les criminalités numériques (C3N) du
service central du renseignement criminel de la gendarmerie nationale,
service à compétence judiciaire nationale pour les atteintes aux
systèmes de traitement automatisés de données (STAD) visant les
particuliers et les organismes. Il n’a toutefois pas vocation à recevoir du
public, et agit essentiellement d’initiative ou saisi par le parquet ;
• la Direction générale de la sécurité intérieure (DGSI), cheffe de file
du renseignement intérieur, portant la mission de protection des intérêts
fondamentaux de la Nation et traitant notamment les actes de piratage
ciblant les réseaux d’État, les établissements composés de zones à
régime restrictif (ZRR) et les OIV ;
• de façon plus générale, le commissariat de police ou la gendarmerie
les plus proches, pour porter plainte.
Outre ces entités étatiques, les victimes peuvent également se faire
assister par des prestataires privés de réponse aux incidents :
• les particuliers, PME/TPE et collectivités territoriales se tourneront plus
naturellement vers l’un des prestataires locaux référencés sur la plate-
forme mise en place par le dispositif cybermalveillance.gouv.fr ;
• les organisations de plus grosse taille ou exerçant une activité critique
pour les intérêts de la Nation (notamment les OIV et les OSE) pourront
envisager de recourir à des prestataires de réponse aux incidents de
sécurité (PRIS) qualifiés par l’ANSSI, dont la liste à jour est disponible
sur le site de l’agence.
Le CERT-FR constitue également un bon point d’entrée pour consulter
des alertes de sécurité, des rapports sur des menaces et des incidents, des
avis de sécurité, des indicateurs de compromission et, plus largement, des
bulletins d’actualité relatifs à la menace d’origine cyber.
I. Organisation et gouvernance
1. Organisation générale
En France, le Premier ministre est responsable de la politique
publique de sécurité et de défense des systèmes d’information. Il
coordonne l’action gouvernementale en la matière. Cela consacre
organiquement le caractère interministériel de la politique publique de
sécurité numérique, qui ne dépend pas d’un ministère en particulier mais
qui est portée de façon transverse à tous les départements ministériels.
Ainsi, l’article L. 2321-1 du code de la défense dispose que « dans le
cadre de la stratégie de sécurité nationale et de la politique de défense, le
Premier ministre définit la politique et coordonne l’action gouvernementale
en matière de sécurité et de défense des systèmes d’information. Il dispose à
cette fin de l’autorité nationale de sécurité des systèmes d’information qui
assure la fonction d’autorité nationale de défense des systèmes
d’information ».
Pour rappel, le Premier ministre a la responsabilité de coordonner
l’action du gouvernement et donc des différents ministères. Il s’appuie pour
cela sur un certain nombre d’entités :
• une structure de type « cabinet », composée de conseillers, que l’on
2. L’ANSSI
L’ANSSI est une administration étatique créée par décret en 2009. Elle
n’a pas été mise en place ex nihilo mais s’inscrit dans une longue lignée
d’entités qui remonte jusqu’à une « direction technique des chiffres »
(DTC), créée en 1943 auprès du secrétariat du Comité français de libération
nationale. En 2009, l’ANSSI est ainsi construite sur les fondements posés
par la direction centrale de la sécurité des systèmes d’information (DCSSI).
En devenant l’ANSSI, la DCSSI acquiert plusieurs propriétés statutaires
notables.
L’agence est d’une part un service à compétence nationale (SCN), qui
la positionne comme une administration de l’État ni uniquement centrale
ni uniquement déconcentrée. Ses missions portent donc sur l’ensemble du
territoire nationale.
Elle est d’autre part autorité nationale de sécurité et de défense des
systèmes d’information. Ce statut d’autorité se traduit essentiellement de
deux façons : l’ANSSI est autorité, elle est officiellement désignée comme
telle ; et doit faire autorité, en développant ses connaissances, ses
compétences et en les faisant reconnaître par l’écosystème.
En matière de positionnement, l’ANSSI, par son rattachement au
SGDSN, conserve une place au cœur de l’interministériel, en cohérence
avec la vision française qui fait de la sécurité numérique un sujet
fondamentalement transverse. L’agence joue donc de fait un rôle significatif
de coordination en la matière au niveau interministériel, et plus
largement national.
De façon assez informelle, nous pourrions décrire l’action de l’agence en
matière de sécurité comme articulée autour de deux tonalités
fondamentales. La première, très historique, présente une adhérence forte
avec des considérations de souveraineté et des questions régaliennes de
sécurité et de défense. C’est une sphère sensible, empreinte de
conflictualité stratégique entre États, qui relève souvent du classifié de
défense et de la protection des intérêts fondamentaux de la Nation. Cette
tonalité justifie pleinement le rattachement de l’ANSSI au SGDSN, dans
une ligne de force très courte vers les plus hautes autorités de l’État. On
pourrait qualifier la seconde tonalité, toute aussi importante, de plus
sociétale. Il s’agit ici d’accompagner et de permettre un mouvement général
de transformation numérique en confiance.
Les prérogatives confiées à l’ANSSI illustrent un élément très structurant
de la doctrine et de l’organisation française en matière de cybersécurité : la
séparation organique forte entre les missions de protection et de
défense d’une part, et les missions plus « offensives » d’autre part. En
effet, l’agence, concentrée sur les aspects liés à la sécurité et à la défense
des SI, ne mène pas d’actions cyber offensives, n’est ni un service de
renseignement ni un service secret, et ne mène pas d’actions
clandestines. Si une grande partie de ses agents peut être amenée à traiter
des informations sensibles voire classifiées, et que les missions de certains
d’entre eux peuvent appeler une certaine discrétion, l’appartenance d’une
personne à l’agence n’a rien de secret. Nous reviendrons plus loin sur ce
modèle et sur ces atouts.
Dans son rôle d’administration de l’État, l’ANSSI est susceptible d’avoir
des actions à différents niveaux. Elle participe activement à l’élaboration,
à la formalisation et à la mise en œuvre de la politique publique de
sécurité numérique. Elle joue également un rôle de régulateur, dans le
sens où elle a vocation à réguler le niveau de sécurité numérique de
l’écosystème. Pour cela, elle peut actionner les leviers qui sont
classiquement à la disposition des régulateurs : elle peut mener des actions
coercitives (p. ex. élaboration de réglementations contraignantes, décisions
de type « autorisations », « qualifications » ou « agréments », sanctions),
elle peut prendre une posture plus incitative (p. ex. recommandations,
conseils, assistances), et peut également prendre à son compte et réaliser
« en propre » un certain nombre d’actions qui pourraient difficilement
être laissées à la charge de l’écosystème – par exemple parce qu’elles sont
trop sensibles ou qu’elles ne peuvent pas être portées par une offre privée
économiquement viable. La coexistence de ces différentes fonctions au sein
d’une même entité est de nature à créer d’importantes synergies pour
nourrir la crédibilité et la légitimité de l’agence dans son rôle d’autorité :
une réglementation proposée par une entité qui possède des capacités
éprouvées à faire par elle-même est susceptible d’être plus pertinente et
moins « hors-sol » que si cette entité n’avait pas d’expérience
opérationnelle propre des sujets qu’elle s’affaire à réguler.
En dix ans d’existence, la croissance organique de l’agence a porté ses
effectifs d’environ 130 agents en 2009 à un peu plus de 600 début 2020.
Cette évolution significative, qui illustre la prise en compte par les autorités
françaises de la réalité et de l’acuité de la menace cyber, reste néanmoins
relativement limitée au regard de celles des autres « grandes » nations de la
cybersécurité telles que les États-Unis, la Royaume-Uni, l’Allemagne, la
Russie ou la Chine.
Début 2020, l’organigramme de l’ANSSI est structuré autour d’une
direction générale et de cinq sous-directions (« Administration »,
« Expertise », « Numérique1 », « Opérations » et « Stratégie »), qui
couvrent un large panel d’activités : opérations de cyberdéfense, recherche
scientifique et technique, développement et opération de SI sécurisés,
évaluation de produits, conseil et assistance, réglementation, gestion de
crise, communication, coordination sectorielle, action territoriale, relations
internationales, affaires publiques, stratégie, etc.
3. D’autres acteurs incontournables
6. Atouts du modèle
L’année 2011 est également marquée par la parution d’un autre document
doctrinal majeur : la première stratégie française de défense et sécurité
des systèmes d’information7.
Préparé par l’ANSSI, ce document est préfacé par le secrétaire général
de la défense et de la sécurité nationale de l’époque, Francis Delon. C’est
le premier document entièrement dédié au sujet et de ce niveau. Il fait
notamment ressortir quatre grands « objectifs » :
• « être une puissance mondiale de cyberdéfense » et « appartenir au
premier cercle très restreint des nations majeures » dans ce domaine,
« tout en conservant son autonomie stratégique » ;
• « garantir la liberté de décision de la France par la protection de
l’information de souveraineté » ;
• « renforcer la cybersécurité des infrastructures vitales nationales » ;
• « assurer la sécurité dans le cyberespace ».
Ce dernier objectif laisse déjà entrevoir les travaux, à l’époque encore
relativement discrets mais qui ont pris une importance très significative à la
fin des années 2010, portant sur la paix et la stabilité du cyberespace, et sa
régulation au niveau international.
Le document fait également état de sept « axes d’effort », construits
autour :
• de l’anticipation – en cohérence avec l’esprit du livre blanc de 2008 ;
• de questions opérationnelles de détection et de réponse aux
cyberattaques, ainsi que l’alerte et l’accompagnement des victimes ;
• du renforcement des capacités scientifiques, techniques, industrielles et
humaines ;
• de la protection des SI de l’État et des « opérateurs d’infrastructures
vitales » – intérêt qui préfigure celui qui sera porté plus tard tout
particulièrement sur les « opérateurs d’importance vitale » ;
• de l’adaptation du droit ;
• du développement des coopérations internationales ;
• des enjeux de communication et de sensibilisation – qui tiennent déjà
une place importante, largement confirmée ces dernières années.
On notera également la présence d’un glossaire en fin de document,
encore souvent cité par de nombreux auteurs en quête de définitions de
termes comme « cyberespace », « cybersécurité » ou « cyberdéfense ».
La période 2008-2011 marque ainsi un cycle important de
construction, de formalisation et de publication de la doctrine française
en matière de cybersécurité.
Emmanuel Macron s’est inscrit dans la tradition initiée par ses deux
prédécesseurs en initiant, l’été suivant son arrivée à l’Élysée, une analyse
stratégique en matière de sécurité et de défense nationale.
La demande du nouveau président de la République a néanmoins un peu
différé de celles formulées par Nicolas Sarkozy en 2007 et François
Hollande en 2012. D’une part, le nom de « livre blanc » a évolué en « revue
stratégique » – sans que cela emporte des incidences majeures sur la suite
des travaux. D’autre part, le nouveau locataire de l’Élysée a demandé non
pas un mais deux exercices :
• une Revue stratégique de défense et de sécurité nationale12, confiée à la
ministre des Armées ;
• et une Revue stratégique de cyberdéfense, portée par le Premier ministre.
La Revue stratégique de défense et de sécurité nationale s’inscrit
majoritairement dans la continuité des livres blancs de 2008 et 2013, en se
concentrant sur le périmètre militaire. Son élaboration a été assurée par une
commission présidée par le député européen Arnaud Danjean et dont le rôle
de secrétaire général a été confié au directeur général des relations
internationales et de la stratégie (DGRIS) du ministère des Armées. Très
majoritairement consacrée aux enjeux de sécurité et de défense, le
numérique y est néanmoins évoqué à plusieurs reprises, notamment pour
prendre acte des progrès toujours croissants des technologies de
l’information, ainsi que des sources d’opportunités et des vulnérabilités
nouvelles qu’ils engendrent pour les forces armées. Le cyberespace y est
pleinement reconnu comme un espace de confrontation à part entière, et,
eu égard à « l’enjeu considérable que représente la menace cyber », le
document appelle « un renforcement substantiel à la fois des moyens
défensifs et offensifs de la France » en la matière. Plus précisément, cette
revue indique que les « armées doivent […] planifier et conduire les
opérations dans l’espace numérique jusqu’au niveau tactique, de façon
totalement intégrée, à la chaîne de planification et de conduite des
opérations cinétiques. En plus des opérations spécifiques au cyberespace,
les opérations dans l’espace numérique élargissent la palette des effets
traditionnels à la disposition des autorités politiques et exploitent la
numérisation croissante de nos adversaires, étatiques ou non. Cette aptitude
nécessite une ressource humaine renforcée et suffisamment agile, ainsi que
le développement permanent de solutions techniques spécifiques ».
Le document ouvre la voie à la formalisation d’une doctrine publique sur
un sujet sensible et important, à propos duquel très peu d’États avaient
jusque-là communiqué officiellement : les capacités cyber offensives. Les
autorités françaises ne s’étaient quasiment jamais exprimées publiquement
sur le sujet avant décembre 2016. Jean-Yves Le Drian, alors ministre de la
Défense en visite à la direction générale de l’armement – maîtrise de
l’information (DGA-MI) à Bruz, prononçait un discours13 dans lequel il
annonçait le rattachement, pour le mois suivant, du commandement de la
cyberdéfense (COMCYBER) au chef d’état-major des armées. Il évoquait
des missions de neutralisation de la menace et de riposte portées par la
« lutte informatique offensive », en précisant que « nos capacités cyber
offensives doivent […] nous permettre de nous introduire dans les systèmes
ou les réseaux de nos ennemis, afin d’y causer des dommages, des
interruptions de service ou des neutralisations temporaires ou définitives,
justifiées par l’ouverture d’hostilité à notre encontre ». Le ministre plaçait
ainsi un cadre d’emploi clair pour « l’arme cyber » : celui d’un moyen
supplémentaire à la disposition des forces armées pour mener leurs
opérations, s’inscrivant ainsi dans le droit international existant et
notamment le droit des conflits armés. Au passage, un élément de
doctrine important est précisé : une cyberattaque majeure peut être
considérée, par la France, comme une agression armée au sens de
l’article 51 de la Charte des Nations unies, ouvrant ainsi un droit à la
légitime défense. Malgré tout, l’ensemble de ces considérations n’avaient
été que prononcées à l’oral par le ministre, et n’avaient pas fait l’objet
d’une publication écrite.
La Revue stratégique de cyberdéfense (RSC), quant à elle, constitue le
premier exercice du genre en France. De la même gamme que les livres
blancs de 2008 et de 2013, et que la Revue stratégique de défense et de
sécurité nationale élaborée en parallèle, cette « revue cyber » constituera in
fine un document stratégique de près de 200 pages entièrement
consacré aux enjeux de cyberdéfense. Voulu par le président de la
République, ce chantier fera l’objet d’un mandat du Premier ministre confié
au secrétaire général de la défense et de la sécurité nationale. Les travaux
dureront un peu plus de sept mois, entre leur lancement en juillet 2017 et la
présentation publique du document en février 2018 par le SGDSN, en
présence du secrétaire d’État chargé du numérique. Une première phase de
travail s’est tenue en interministériel, mobilisant de nombreuses entités à
travers les différents ministères concernés par ces questions. La seconde
phase des travaux a impliqué des représentants du secteur privé, du
monde académique, des institutions européennes, d’institutions
étrangères et plus largement de la société civile.
In fine, la « revue cyber » constitue un document stratégique national
majeur en matière de sécurité numérique. Rendu très majoritairement
public, il comporte quelques éléments restés classifiés. Très large dans son
approche, il rappelle des éléments de compréhension des enjeux cyber,
dresse des constats, formalise des points de doctrine, d’orientations et de
posture de la France, formule des recommandations. Il est structuré en trois
parties :
• « les dangers du monde cyber », qui décrit l’évolution des menaces,
s’attache à expliquer certains modes opératoires classiques et prend
acte d’une « régulation internationale encore trop balbutiante » ;
• « l’État, responsable de la cyberdéfense de la nation », qui :
– présente et complète la formalisation du « modèle de cyberdéfense
Nous commençons par présenter deux textes fortement teintés des enjeux
de sécurité et de défense, et s’intéressant particulièrement à la propriété de
confidentialité. Ce sont tous les deux des instructions interministérielles,
c’est-à-dire des documents émis par une entité de nature interministérielle à
destination des différents ministères, notamment pour fixer des règles
communes à propos d’un sujet sur lequel elle fait autorité.
Le premier est l’instruction interministérielle relative à la protection
des systèmes d’information sensibles n° 901/SGDSN/ANSSI, dite
« II 90117 ». Ce document, produit par l’ANSSI et portant exclusivement
sur des enjeux de cybersécurité, définit les « objectifs et les règles relatifs à
la protection des systèmes d’information sensibles, notamment ceux traitant
des informations portant la mention Diffusion Restreinte » et s’adresse à
toutes « les personnes physiques ou morales intervenant dans ces
systèmes ». La notion de « système d’information sensible » est définie dès
l’article premier comme un système traitant « d’informations dont la
divulgation à des personnes non autorisées, l’altération ou l’indisponibilité
sont de nature à porter atteinte à la réalisation des objectifs des entités qui
les mettent en œuvre ». Le périmètre d’application du texte est intéressant à
étudier :
• il s’impose aux administrations de l’État qui mettent en œuvre des SI
sensibles, aux entités publiques ou privées soumises à la réglementation
relative à la protection du potentiel scientifique et technique de la
Nation, et aux entités publiques ou privées mettant en œuvre des SI
marqués Diffusion Restreinte ;
• il constitue un référentiel dont l’application est recommandée aux autres
entités publiques ou privées qui mettent en œuvre des SI sensibles.
Il existe d’autres instructions interministérielles portant également sur
des enjeux de SSI. Peuvent par exemple être citées :
• l’instruction interministérielle n° 300/SGDSN/ANSSI relative à la
protection contre les signaux parasites compromettants ;
• l’instruction interministérielle n° 910/SGDSN/ANSSI relative aux
articles contrôlés de la sécurité des systèmes d’information ;
• l’instruction interministérielle n° 920/SGDSN/DCSSI relative aux
systèmes traitant des informations classifiées de défense de niveau
Confidentiel Défense.
Ces trois textes ont tous été produits et publiés par l’ANSSI (ou la
DCSSI), dans son rôle d’autorité nationale de sécurité des systèmes
d’information.
Le second document que nous présentons dans cette sous-section est
l’instruction générale interministérielle n° 1300/SGDSN/PSE/PSD sur
la protection du secret de la défense nationale18 – plus communément
appelée « IGI treize-cent » dans les milieux autorisés. Afin de formaliser
son approbation, l’IGI 1300 fait l’objet d’un arrêté signé par le SGDSN par
délégation du Premier ministre. Ce texte, contrairement aux autres
exemples évoqués dans cette sous-section, ne porte pas exclusivement sur
des questions de cybersécurité. Il décrit les mesures qui doivent être
respectées pour protéger l’information classifiée de défense, quelle que soit
la forme sous laquelle elle se présente – papier ou numérique. Ce document
rappelle ou précise des principes fondamentaux de la gestion de
l’information classifiée en France, et notamment :
• les différents niveaux de classification utilisés en France (i.e.
Confidentiel Défense, Secret Défense et Très Secret Défense)19 ;
• la nécessité, pour accéder à une information classifiée à un niveau
donné, de cumuler deux propriétés :
– être habilité pour ce niveau ou un niveau supérieur,
– avoir « besoin d’en connaître » ;
• le caractère pénal des sanctions qui peuvent être prises en cas de non-
respect des mesures de protection de l’information classifiée20.
Si l’IGI 1300 n’est pas exclusivement dédiée à la sécurité numérique,
l’une de ses six parties, le titre V, est consacrée aux « mesures de sécurité
relatives aux systèmes d’information21 ».
En matière d’information classifiée, tant sur des supports physiques que
numériques, deux autres instructions interministérielles peuvent être
mentionnées :
• l’instruction interministérielle n° 2100/SGDN/SSD pour l’application en
France du système de sécurité de l’Organisation du traité de
l’Atlantique Nord (OTAN) ;
• et l’instruction générale interministérielle n° 2102/SGDSN/PSE/PSD sur
la protection en France des informations classifiées de l’Union
européenne (UE).
Comme nous le verrons dans le prochain chapitre, l’OTAN et l’UE sont
deux organisations internationales qui ont un système propre de
classification de l’information. Chacun des membres de ces organisations
doit ainsi prévoir une réglementation nationale afin de décrire la façon dont
seront traitées les informations classifiées de l’organisation au sein de ses
frontières.
5. La « loi Godfrain »
Une première question essentielle à évoquer est celle des besoins : que
faut-il pour assurer la cybersécurité ?
Un premier niveau de réponse pourrait résider dans la catégorisation
suivante : des technologies, des équipements et des prestations.
Est explicitement exclu du périmètre de cet ouvrage le traitement de
l’ensemble des mécanismes économiques, industriels et financiers
permettant de passer d’une technologie émergente à la production
d’équipements en série – très largement documentés par ailleurs. Nous
tentons en revanche, sans prétendre à l’exhaustivité, de proposer, pour
chacune des trois catégories évoquées ci-dessus, une liste d’éléments
importants au regard des enjeux de cybersécurité.
S’agissant des technologies au sens large, nous pourrons ainsi évoquer :
la cryptographie ; les technologies relatives aux composants et aux cartes à
puce ; les technologies propres aux terminaux (téléphones, smartphones,
objets connectés) ; les technologies permettant les transmissions sur le
réseau ; les technologies de stockage, de traitement et d’analyse des
données, notamment en grandes quantités ; les technologies permettant de
connaître, de capitaliser et d’analyser la menace ; ou encore les
technologies relatives aux plates-formes logicielles.
S’agissant des équipements, plusieurs produits classiques, logiciels ou
matériels, peuvent être cités : les équipements de transmission sur le réseau
tels que les chiffreurs traitant le protocole IP ; les équipements de contrôle
d’accès physique ; les équipements industriels (capteurs et actionneurs) ; les
produits permettant de gérer des fonctions d’identification et
d’authentification des utilisateurs ; les produits permettant de générer, de
gérer et d’utiliser des ressources cryptographiques (infrastructures de
gestion de clés cryptographiques, logiciels de chiffrement, etc.) ; les
équipements permettant la mobilité et le nomadisme (téléphones,
smartphones, tablettes, ordinateurs portables) ; les pare-feux ; ou encore les
produits de supervision et de détection des cyberattaques (sur le réseau ou
sur le poste hôte, comme vu dans le chapitre précédent).
Enfin, s’agissant des prestations et des services de cybersécurité – ou
plus largement d’informatique, sur lesquels il est utile de veiller à la bonne
prise en compte des enjeux de sécurité numérique – nous pouvons
mentionner : les différentes prestations d’audit permettant de vérifier le
niveau de sécurité ou la conformité d’un SI (architecture, revue de
configuration, revue de code source, tests d’intrusion, audit organisationnel,
test d’intrusion physique, etc.) ; les services de détection de cyberattaques ;
les prestations de réponse aux incidents et de remédiation ; les prestations
de conseil et d’assistance à maîtrise d’ouvrage ; la génération et la gestion
de certificats électroniques et d’horodatage ; l’informatique en nuage (le
« cloud ») ; l’intégration ; ou encore l’infogérance.
Du point de vue des autorités publiques, une fois identifiés les besoins
technologiques et industriels permettant de répondre aux enjeux de
sécurité numérique, il s’agit d’évaluer différents critères (p. ex.
disponibilité d’une technologie ou d’une offre, qualité et pérennité de celle-
ci, le cas échéant viabilité économique, confiance que l’on peut lui
accorder, dépendance vis-à-vis d’autres facteurs et acteurs), et le cas
échéant de prendre des mesures pour que le système qu’elles régulent
puisse en disposer convenablement. Ces mesures peuvent être de différents
ordres et de différentes natures, sur des modes incitatifs ou plus
coercitifs.
Nous présentons dans cette sous-section une démarche globale prise
depuis plusieurs années par les autorités françaises pour faire émerger,
structurer et rendre lisible un marché de produits et de services de
cybersécurité : s’appuyer sur des référentiels d’exigence pour apposer des
« distinctions » de différentes natures.
Cette démarche s’appuie sur le constat des besoins de trois types
d’acteurs essentiels dans ce domaine : les utilisateurs, les fournisseurs, le
régulateur.
Les utilisateurs ont des besoins de différents ordres :
• des besoins d’assurance et de confiance en matière de sécurité ;
• des besoins de lisibilité et d’identification des solutions fiables, de
confiance et adaptées à leurs cas d’usage et à leurs besoins
fonctionnels ;
• des besoins relatifs aux procédures d’acquisition, notamment dans la
formulation d’exigences techniques.
S’agissant spécifiquement des besoins d’assurance, devant la complexité
et la technicité que peuvent mettre en jeu certains produits et services, une
attention toute particulière doit être ainsi portée sur la conception (pour les
produits) ; sur les fonctionnalités proposées ; sur la conformité aux
enjeux réglementaires (de façon générique ou pour certains domaines
d’utilisation particuliers) ; sur la robustesse et la pérennité (i.e. le maintien
en condition opérationnelle (MCO) et en condition de sécurité (MCS), ainsi
que la pérennité économique de la gamme d’équipements concernée, voire
de l’entreprise qui les produit).
Pour les prestations de service, les questions du personnel – qui doit être
à la fois compétent et de confiance – et de l’opération des éventuels
équipements nécessaires – qui doivent être fiables et de confiance, et être
opérés de « bonne façon » – sont des préoccupations plus que légitimes qui
peuvent, voire doivent, se faire jour chez les utilisateurs.
Or, il est clair que la vérification de tous ces points peut, dans la grande
majorité des cas, se révéler être une tâche complexe. Plus qu’une simple
évaluation, celle-ci doit idéalement être menée de façon objective,
répétable, documentée et vérifiable, pour se convaincre, en tant
qu’acheteur, qu’un produit ou une prestation de service constituera une
« brique » fiable.
Pour les fournisseurs, les enjeux sont simples : donner de la visibilité à
ses produits et à ses prestations auprès d’acheteurs potentiels ; accéder à des
marchés réglementés ; accroître sa compétitivité ; et, plus largement, fournir
des réponses satisfaisantes à l’ensemble des préoccupations présentées ci-
dessus.
Enfin, pour le régulateur, il s’agit d’encourager, voire de faire
émerger, une offre économiquement viable de nature à répondre aux
enjeux de sécurité numérique des différents acteurs concernés. Au regard
de la réflexion sur les politiques publiques qui imprègne ce chapitre, il est
utile de préciser ici que cette démarche s’inscrit prioritairement dans une
finalité de sécurité numérique : il s’agit de disposer de produits et de
services qui contribuent réellement à renforcer le niveau de
cybersécurité global. Pour cela, le régulateur peut actionner différents
leviers industriels, tels que le financement de projets, le soutien à l’export
ou encore le soutien à l’innovation. Nous choisissons de nous intéresser
particulièrement ici à une « famille » de leviers sur lesquels la France s’est
notamment appuyée et dont l’objectif est d’attester d’un certain niveau
d’assurance en matière de cybersécurité. Nous en présentons quatre plus en
détails – la certification de sécurité, la qualification, l’agrément et la
labellisation – ainsi que la marque qui fédère plusieurs d’entre eux depuis
début 2018. En tant qu’autorité nationale de sécurité des SI, l’ANSSI joue
un rôle central dans ces différentes démarches.
a. La certification de sécurité
b. La qualification
c. L’agrément
d. La labellisation
S’il y a bien une idée incontournable dès lors que l’on s’intéresse aux
questions numériques, c’est que l’histoire de l’informatique et d’Internet
est profondément liée à celle des États-Unis d’Amérique. Nous l’avons
vu au premier chapitre : de la création d’ARPANET à l’émergence des
géants du numérique que sont les GAFA, de nombreux jalons majeurs de
l’évolution de l’informatique, des télécommunications et de l’espace cyber
ont significativement impliqué, d’une façon ou d’une autre, des autorités
publiques, des entreprises, des organisations ou des personnes américaines.
Une deuxième idée saillante qui peut être formulée est un corollaire de la
précédente : les États-Unis sont un pays fortement numérisé, doté d’une
industrie du numérique très développée, active et puissante, sur de
nombreux segments de marché, qui détient également des capacités
étatiques, techniques et opérationnelles très importantes. D’un point de
vue physique, il est également intéressant de noter que, vu l’architecture
technique du réseau Internet, de nombreuses données transitent
concrètement par des infrastructures situées sur le sol étatsunien. Les
États-Unis peuvent s’appuyer par ailleurs sur un tissu académique et
universitaire très développé et reconnu, ainsi que sur un riche
écosystème de réflexion stratégique sur les questions liées au
cyberespace. Les think tanks de cet écosystème constituent à la fois des
réservoirs d’idées pour l’administration américaine et des leviers
d’influence susceptibles de relayer ses positions à travers le monde.
D’un point de vue doctrinal et culturel, l’on peut exhiber plusieurs
marqueurs significatifs et relativement cohérents avec ce que l’on peut
percevoir des postures « classiques » des autorités américaines et des
éléments structurants de la géopolitique étatsunienne. Pays profondément
ancré dans une culture libérale, l’on constate par exemple à quel point il
est difficile pour Washington de légiférer, ou plus largement d’imposer
des contraintes à son secteur privé, notamment sur les questions de
cybersécurité.
On lit également dans la doctrine américaine des éléments de vision et
de posture très allants, ayant régulièrement une portée largement
extraterritoriale, et avec un véritable primat à l’offensive. S’il n’y a plus
vraiment de doutes sur la question de la détention et de l’utilisation, par les
États-Unis, de capacités significatives en matière de lutte informatique
offensive, des exemples comme l’affaire Stuxnet en 2010, les révélations
d’Edward Snowden en 2013 ou, dans un champ plus doctrinal, la
publication fin 2018 d’une stratégie nationale cyber prônant explicitement
la « [cyber] défense de l’avant » ont largement confirmé cette perception.
Le projet de loi connu sous le nom d’Active Cyber Defense Certainty Act,
proposé au Congrès fin 2017, visant à légaliser la pratique du « hack
back » par des acteurs privés en réponse à des cyberattaques dont ils
seraient victimes, s’inscrit dans une vision et une interprétation pour le
moins maximalistes du concept de légitime défense et du célèbre deuxième
amendement de la constitution des États-Unis d’Amérique, qui reconnaît le
droit du peuple américain à posséder des armes afin de contribuer à « une
milice bien régulée, nécessaire à la sécurité d’un État libre ». S’il a suscité
de nombreux débats, ce projet de loi n’est, à l’écriture de ces lignes, pas
passé.
Sur le sujet plus spécifique de l’extraterritorialité du droit américain,
la publication récente du Clarifying Lawful Overseas Use of Data Act (dit
« CLOUD Act ») constitue un exemple particulièrement intéressant à
mentionner. Adopté le 6 février 2018, il autorise concrètement le
gouvernement américain à requérir l’accès à des données de contenu
localisées en dehors du territoire étatsunien. Il s’applique aux
« provider[s] of electronic communication service to the public or remote
computing service » (i.e. prestataires de services de communications
électroniques et « d’informatique à distance », donc notamment les
entreprises offrant des services de messagerie électronique et de stockage
dans le cloud). Si les entités concernées qui peuvent, sur la base de ce texte,
faire l’objet d’une demande d’accès à des données de la part des autorités
américaines doivent être soumises aux lois des États-Unis, les données sur
lesquelles portent ces mêmes demandes peuvent, elles, être physiquement
localisées en dehors du territoire étatsunien.
2. La Fédération de Russie
a. Généralités
b. Organisation et doctrine
3. Organisations internationales
Une intuition très naturelle, dès lors que l’on cherche à réguler « quelque
chose » au niveau international, est de s’interroger sur l’opportunité
d’élaborer et de conclure un traité international. Le traité est en effet
une forme de production normative qui constitue – avec la coutume – l’une
des principales sources du droit international public. Il exprime un accord
conclu entre plusieurs parties ayant la qualité de sujets du droit international
(i.e. des États ou des OI). Ces parties, par la signature et la ratification d’un
traité, se voient créer des droits et des obligations.
L’élaboration d’un traité est toutefois soumise à une condition nécessaire
importante : une forme de consensus sur l’objet du traité. Un traité doit
en effet être le produit de ce consensus – l’inverse est plus compliqué.
C’est là que le bât blesse. Nous l’avons vu tout au long de ce chapitre et
du précédent : les concepts de la sécurité numérique ont des contours
flous, a fortiori d’une région du monde à l’autre. Nous avons notamment
déjà pu voir à quel point l’expression « information security » pouvait
donner lieu à des interprétations très différentes dans la culture
« occidentale » et dans l’approche sino-russe – la première se focalisant
sur des enjeux de sécurité « matérielle et logique » alors que la seconde y
inclut très largement les questions de contrôle des contenus.
La proposition de « Code de conduite international pour la sécurité de
l’information63 », faite à l’ONU en 2011 par la Chine, la Russie,
l’Ouzbékistan et le Tadjikistan, fournit une bonne illustration de ces
divergences de visions. L’extrait suivant en constitue notamment un
exemple très représentatif : « Tout État adhérant volontairement au Code
s’engage […] à coopérer dans la lutte contre les activités criminelles et
terroristes utilisant les technologies de l’information et de la
communication, y compris les réseaux, et à enrayer la diffusion
d’informations incitant au terrorisme, au sécessionnisme, à l’extrémisme ou
sapant la stabilité politique, économique et sociale des autres pays, de
même que leurs structures spirituelles et culturelles ».
Comme nous allons le voir, plutôt que de créer un nouveau texte
normatif contraignant, la piste qui a été explorée à l’ONU s’est
concentrée sur la question de l’applicabilité du droit international
existant au cyberespace.
Les travaux des vingt dernières années, notamment au sein de l’ONU, ont
commencé à défricher la voie de ceux qui devront être menés durant les dix
ou vingt prochaines.
L’un des grands domaines de réflexions à approfondir est probablement
celui des outils juridiques contribuant à la recherche et à la
préservation de la paix et de la sécurité au niveau international. Le
GGE a conclu que le droit international public s’applique au cyberespace,
mais il reste probablement à faire, en étudiant notamment les modalités
concrètes de l’application de ce droit et de ses différents composants et
principes (p. ex. le droit international humanitaire ou le principe de due
diligence) à l’espace numérique.
Un second grand pan de travail réside probablement dans le
renforcement de la coopération entre les États. Les normes de
comportement responsable et les mesures de création et de renforcement de
la confiance doivent probablement encore être approfondies, éprouvées,
améliorées… et appliquées ! Dans le giron de la coopération entre États, le
renforcement de la sécurité numérique de chacun d’eux, d’un point de vue
capacitaire et réglementaire, est sans doute un angle que la communauté
internationale cherchera à investir davantage, s’agissant notamment des
pays les moins équipés.
1. WannaCry et NotPetya.
2. Pour les lecteurs intéressés par les dispositifs et stratégies de cybersécurité des pays européens, le
site web de l’agence européenne pour la cybersécurité, l’ENISA, constitue probablement un point
de départ pertinent.
3. Cf. note page 162.
4. États-Unis d’Amérique, The White House, « National Security Decision Directive 145 (NSDD-
145): National Policy on Telecommunications and Automated Information Systems Security »,
17 septembre 1984.
5. États-Unis d’Amérique, « Computer Security Act », H.R. 145, 8 janvier 1988.
6. États-Unis d’Amérique, President’s Commission on Critical Infrastructure Protection, « Critical
Foundations – Protecting America’s Infrastructures », 13 octobre 1997.
7. Acronyme désignant le président des États-Unis : « President of the United States ».
8. Sur ce sujet, voir par exemple MICHAUD Q., L’affaire Edward Snowden, Economica, coll.
« Cyberstratégie », 2014.
9. Du nom de l’équipe « Tailored Access Operations » de la NSA, en charge des opérations cyber
offensives.
10. États-Unis d’Amérique, The White House, « National Cyber Strategy of the United States of
America », septembre 2018.
11. États-Unis d’Amérique, DHS, « Binding Operational Directive BOD-17-01: Removal of
Kaspersky-branded Products », 13 septembre 2017.
12. Dans les faits, les « national security systems » (NSS) correspondent aux réseaux fédéraux
classifiés.
13. Malgré l’annonce faite par Barack Obama début 2014 de séparer les deux fonctions, celles-ci sont
toujours, début 2020, confiées à la même personne.
14. Sur ce sujet, voir la « doctrine Guérassimov », du nom du chef de l’état-major général des forces
armées russes – rôle équivalent à celui du CEMA français.
15. En 2020 et avec neuf lauréats, la Russie (entendue au sens large comme la Fédération de Russie
actuelle et l’URSS) occupe la troisième place au classement des pays comptant le plus de titulaires
de la médaille Fields – l’une des plus prestigieuses récompenses dans le domaine des
mathématiques. Les première et deuxième places sont occupées respectivement par les États-Unis
(treize lauréats) et la France (douze lauréats).
16. LIMONIER K., Ru.net – Géopolitique du cyberespace russophone, L’inventaire, coll. « Les Carnets
de l’Observatoire », 2018.
17. Le président Poutine a par exemple lui-même été directeur du FSB.
18. SUN T., L’art de la guerre, Flammarion, 2008.
19. QIAO L., WANG X., La guerre hors limites, Rivages poche, 2006.
20. Baidu, Alibaba, Tencent, Xiaomi.
21. De nombreux sujets et sites web susceptibles, selon Pékin, d’aller à l’encontre de « l’ordre
social » sont inaccessibles aux internautes chinois, par exemple les contenus relatifs à Taïwan, aux
évènements de la place Tiananmen, au Dalaï-Lama ou au Tibet ; ou encore des sites web comme
Google, Wikipedia, Twitter, YouTube ou Facebook.
22. Aussi appelée « Politburo », cette entité, composée d’une vingtaine de membres, occupant tous
par ailleurs des fonctions importantes au sein de différentes institutions, est au cœur de la direction
du PCC, en proposant des orientations politiques et des nominations pour des postes-clés. Ses sept
membres les plus importants forment le Comité permanent du Politburo. Le Politburo est élu par le
Comité central du PCC.
23. Le Conseil des affaires de l’État est une autorité administrative chinoise correspondant au
gouvernement central du pays.
24. Cet élément précis des « doubles standards » fait probablement à une position régulièrement
exprimée par les Chinois et les Russes vis-à-vis du droit international, qui ferait l’objet, selon eux,
d’une interprétation ambiguë par la communauté occidentale – États-Unis en tête.
25. HUYGHE F.-B., KEMPF O., MAZZUCCHI N., Gagner les cyberconflits, Economica, coll.
« Cyberstratégie », 2015.
26. VENTRE D., Cyberattaque et cyberdéfense, Hermes Science Publications, coll. « Cyberconflits et
cybercriminalité », 2011.
27. Voir l’article 1 de la Charte des Nations unies.
28. Charte des Nations unies, San Francisco, 26 juin 1945.
29. Voir l’article 7 de la Charte des Nations unies.
30. Dont cinq permanents (i.e. Chine, États-Unis, France, Royaume-Uni, Russie), qui disposent d’un
droit de veto, et dix élus pour des mandats de deux ans.
31. En 1998, c’est le point 63 portant sur « les progrès de la téléinformatique dans le contexte de la
sécurité internationale ». Voir Assemblée générale des Nations unies, 53e session, 79e séance
plénière, A/53/PV.79, 4 décembre 1998.
32. Union européenne, version consolidée du traité sur le fonctionnement de l’Union européenne,
J.O.U.E., C 326, 26 octobre 2012, p. 47-390.
33. Les règlements sont applicables directement sur l’ensemble du territoire de l’Union. Les
directives, quant à elles, imposent des résultats à atteindre mais laissent aux autorités nationales la
compétence de la transposition en droit interne.
34. Cf. article 2 alinéa 1 du TFUE.
35. Cf. article 3 du TFUE.
36. Cf. article 2 alinéa 2 du TFUE.
37. Cf. article 4 du TFUE.
38. Cf. article 2 alinéa 5 du TFUE.
39. Cf. article 6 du TFUE.
40. Conseil de l’UE, décision 2013/488/UE du Conseil du 23 septembre 2013 concernant les règles
de sécurité aux fins de la protection des informations classifiées de l’Union européenne, J.O.U.E.,
L 274, 15 octobre 2013, p. 1-50, article 2, alinéa 1.
41. Ibid., quatrième considérant.
42. Conseil de l’UE, Parlement européen, directive (UE) 2016/1148 du Parlement européen et du
Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de
sécurité des réseaux et des systèmes d’information dans l’Union, J.O.U.E., L 194, 19 juillet 2016,
p. 1-30.
43. En France, c’est l’ANSSI qui a été désignée pour jouer ce rôle.
44. Au moment de l’adoption de la directive, la Stratégie nationale pour la sécurité du numérique
française avait été publiée moins d’un an auparavant, en 2015.
45. En France, le CERT-FR remplit cette fonction.
46. NIS Cooperation Group, « Reference document on security measures for Operators of Essential
Services », CG Publication 01/2018, février 2018.
47. Conseil de l’UE, Parlement européen, règlement (UE) 2019/881 du Parlement européen et du
Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité)
et à la certification de cybersécurité des technologies de l’information et des communications, et
abrogeant le règlement (UE) n° 526/2013, J.O.U.E., L 151, 7 juin 2019, p. 15-69.
48. Conseil de l’UE, Parlement européen, règlement (UE) n ° 910/2014 du Parlement européen et du
Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les
transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE,
J.O.U.E., L 257, 28 août 2014, p. 73-114.
49. Conseil de l’UE, « Projet de conclusions du Conseil relatives à un cadre pour une réponse
diplomatique conjointe de l’UE face aux actes de cybermalveillance (“boîte à outils
cyberdiplomatique”) – Adoption », 9916/17, 7 juin 2017.
50. Commission européenne, recommandation (UE) 2017/1584 de la Commission du 13 septembre
2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs, J.O.U.E., L 239,
19 septembre 2017, p. 36-58.
51. Voir par exemple KEMPF O., L’OTAN au XXIe siècle – La transformation d’un héritage, Éditions
du Rocher, 2014.
52. ACO est dirigé par le Commandant suprême des Forces alliées en Europe (SACEUR) et dispose
d’un état-major, le Grand Quartier général des puissances alliées en Europe (SHAPE).
53. ACT est dirigé par le Commandant suprême allié Transformation (SACT).
54. Les Capability Panels (CaP).
55. Les Capability Teams (CaT).
56. CCD COE, « Tallinn Manual on the International Law Applicable to Cyber Warfare »,
Cambridge University Press, 2013.
57. CCD COE, « Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations »,
Cambridge University Press, 2017.
58. OCDE, « Recommandation du Conseil relative aux lignes directrices régissant la politique de
cryptographie », 27 mars 1997.
59. OCDE, « Lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux
d’information – Vers une culture de la sécurité », 2002.
60. OCDE, « Gestion du risque de sécurité numérique pour la prospérité économique et sociale :
Recommandation de l’OCDE et Document d’accompagnement », Éditions OCDE, 2015.
61. OCDE, « Recommandations du Conseil sur la sécurité numérique des activités critiques »,
11 décembre 2019.
62. Assemblée générale des Nations unies, « Progrès de l’informatique et des télécommunications et
sécurité internationale – Rapport du Secrétaire général », A/74/120, 24 juin 2019.
63. Assemblée générale des Nations unies, « Lettre datée du 12 septembre 2011, adressée au
Secrétaire général par les Représentants permanents de la Chine, de la Fédération de Russie, de
l’Ouzbékistan et du Tadjikistan », A/66/359, 14 septembre 2011.
64. Assemblée générale des Nations unies, « Fédération de Russie : projet de résolution – Les
progrès de la téléinformatique dans le contexte de la sécurité internationale », A/C.1/53/L.17,
23 octobre 1998.
65. Assemblée générale des Nations unies, Résolution 56/19 de l’Assemblée générale, « Les progrès
de la téléinformatique dans le contexte de la sécurité internationale », A/RES/56/19, 7 janvier
2002.
66. Assemblée générale des Nations unies, « Groupe d’experts gouvernementaux chargé d’examiner
les progrès de la téléinformatique dans le contexte de la sécurité internationale – Rapport du
Secrétaire général », A/60/202, 5 août 2005.
67. Assemblée générale des Nations unies, « Groupe d’experts gouvernementaux chargé d’examiner
les progrès de la téléinformatique dans le contexte de la sécurité internationale – Note du
Secrétaire général », A/65/201, 30 juillet 2010.
68. Assemblée générale des Nations unies, « Groupe d’experts gouvernementaux chargé d’examiner
les progrès de la téléinformatique dans le contexte de la sécurité internationale – Note du
Secrétaire général », A/68/98, 24 juin 2013.
69. BANNELIER K., CHRISTAKIS T., « Cyberattaques – Prévention-réactions : rôle des États et des
acteurs privés », dans Les Cahiers de la Revue Défense Nationale, 2017.
70. Assemblée générale des Nations unies, « Groupe d’experts gouvernementaux chargé d’examiner
les progrès de l’informatique et des télécommunications dans le contexte de la sécurité
internationale – Note du Secrétaire général », A/70/174, 22 juillet 2015.
71. On rappelle ici, à toutes fins utiles, que le rapport du GGE est finalisé à peine plus de cinq ans
après la découverte, par le grand public, de l’affaire Stuxnet.
72. Affaire du Détroit de Corfou, arrêt du 9 avril 1949, C.I.J. Recueil 1949, p. 4.
73. Conseil de l’Europe, convention sur la cybercriminalité, Budapest, 23 novembre 2001.
74. Pour rappel, le Conseil de l’Europe est une organisation internationale distincte de l’Union
européenne, et ne doit être pas être confondue avec le Conseil européen ou le Conseil de l’UE, qui
sont, eux, deux institutions de l’UE.
75. Loi n° 2005-493 du 19 mai 2005 autorisant l’approbation de la convention sur la cybercriminalité
et du protocole additionnel à cette convention relatif à l’incrimination d’actes de nature raciste et
xénophobe commis par le biais de systèmes informatiques.
76. Disponible sur : https://www.wassenaar.org/
77. Catégorie 4.D.4.
78. Catégorie 5.A.1.j.
79. Catégorie 5.A.4.b.
80. Catégorie MD21.b.5.
81. Assemblée générale des Nations unies, « Algérie, Angola, Azerbaïdjan, Bélarus, Bolivie (État
plurinational de), Burundi, Cambodge, Chine, Cuba, Érythrée, Fédération de Russie, Kazakhstan,
Madagascar, Malawi, Namibie, Népal, Nicaragua, Ouzbékistan, Pakistan, République arabe
syrienne, République démocratique du Congo, République démocratique populaire lao,
République islamique d’Iran, République populaire démocratique de Corée, Samoa, Sierra Leone,
Suriname, Tadjikistan, Turkménistan, Venezuela (République bolivarienne du) et Zimbabwe :
projet de résolution révisé – Progrès de l’informatique et des télécommunications et sécurité
internationale », A/C.1/73/L.27/Rev.1, 25 octobre 2018.
82. Assemblée générale des Nations unies, « Allemagne, Australie, Autriche, Belgique, Bulgarie,
Canada, Croatie, Chypre, Danemark, Espagne, Estonie, États-Unis d’Amérique, Finlande,
France, Géorgie, Grèce, Hongrie, Irlande, Israël, Italie, Japon, Lettonie, Lituanie, Luxembourg,
Malawi, Malte, Pays-Bas, Pologne, Portugal, Roumanie, Royaume-Uni de Grande-Bretagne et
d’Irlande du Nord, Slovaquie, Slovénie, Suède, Ukraine, Tchéquie : projet de résolution –
Favoriser le comportement responsable des États dans le cyberespace dans le contexte de la
sécurité internationale », A/C.1/73/L.37, 18 octobre 2018.
83. https://pariscall.international/fr/
6
Une brève histoire
de la sécurité numérique
en France
3. Conclusions intermédiaires
4. L’entre-deux-guerres
Outre le fameux « bug de l’an 2000 », l’entrée dans les années 2000 se
fait sur fond d’attaques massives par DDoS envers des géants (ou futurs
géants) américains du commerce électronique tels que Yahoo!, Amazon et
eBay, illustrant bien la dépendance de pans entiers de l’économie sur la
disponibilité du réseau Internet. Alors que la problématique de la sécurité
informatique était initialement portée sur la sécurité des messages échangés,
on assiste petit à petit à l’essor des « cyberattaques » massives et visibles,
avec des effets significatifs sur les systèmes.
En France, en juillet 2001 est créée la direction centrale de la sécurité
des systèmes d’information (DCSSI), à la suite du SCSSI. Rattachée au
SGDN, basée à l’Hôtel national des Invalides, et dotée alors d’environ 80
personnes, elle assure plusieurs grandes fonctions :
• une fonction de stratégie et de régulation, en contribuant à la définition
de la politique gouvernementale en matière de SSI ; en évaluant,
certifiant et agréant les produits de sécurité ; en gérant les autorisations
d’exportation ; en assurant les relations internationales en matière de
SSI ; en analysant l’environnement technologique et industriel dans le
domaine ;
• une fonction opérationnelle, en évaluant les vulnérabilités et les
menaces ; en développant les capacités à les contrer et à les prévenir ;
en assurant un rôle d’appui et de conseil au profit de l’administration ;
• une fonction d’expertise, en développant l’expertise scientifique et
technique dans le domaine de la SSI, pour l’administration et les
services publics.
Son premier directeur est l’ingénieur des télécommunications Henri
Serres, ancien directeur technique de la DGSE. C’est l’ingénieur des
télécommunications Patrick Pailloux qui prendra sa suite en octobre 2005.
En 2008, le Livre blanc sur la défense et la sécurité nationale place la
SSI dans le « premier cercle » d’un « domaine de souveraineté, concentré
sur les capacités nécessaires au maintien de l’autonomie stratégique et
politique de la nation ». L’année suivante, en juillet 2009, l’Agence
nationale de la sécurité des systèmes d’information (ANSSI) est créée.
Toujours rattachée au SGDSN, elle succède à la DCSSI, en acquérant les
statuts :
• de service à compétence nationale, qui reconnaît son caractère
Sur la séquence très riche allant des années 1970 au début des années
2010 peuvent être observées de nombreuses évolutions structurantes quant à
la sécurité numérique française et mondiale :
• l’interpénétration progressive et irréversible du chiffre et des
transmissions ;
• l’apparition et le développement fulgurant de la mise en réseau de
l’informatique, avec la création d’ARPANET puis l’essor d’Internet ;
• le développement des télécommunications et des technologies
numériques ;
• l’arrivée du numérique et des enjeux de sécurité numérique dans la
société civile et l’économie, au-delà des sphères souveraines et
militaires ;
• l’apparition des concepts de « SSI » puis de « cybersécurité » et de
« cyberdéfense » – les deux derniers faisant écho à la recrudescence
des cyberattaques ;
• la prise en compte de la sécurité numérique comme un enjeu
stratégique pour les États, non seulement au cœur de leurs stratégies
de puissance mais également désormais partie intégrante de la
conflictualité mondiale.
AG Assemblée générale
CM Comité militaire
IA Intelligence artificielle
II Instruction interministérielle
INRIA Institut national de recherche en informatique et en automatique
IP Internet Protocol
OI Organisation internationale
SG Secrétaire général
SI Système d’information
SR Service de renseignement
TR Travaux ruraux
UE Union européenne
I. Livres
1. Sur la sécurité numérique ou fortement connexes
• ANDERSON R., « Security Engineering », John Wiley & Sons,
2e édition, 2008.
• BELLANGER P., La souveraineté numérique, Stock, 2014.
• BONNEMAISON A., DOSSÉ S., Attention : Cyber ! Vers le combat
cyber-électronique, Economica, coll. « Cyberstratégie », 2014.
• BOYER B., Cyberstratégie, l’art de la guerre numérique, Nuvis, coll.
« La Pensée stratégique », 2012.
• BOYER B., Cybertactique : conduire la guerre numérique, Nuvis,
coll. « Cyberespace et cyberdéfense », 2014.
• DOSSÉ S., KEMPF O., MALIS C., Le cyberespace – Nouveau domaine
de la pensée stratégique, Economica, coll. « Cyberstratégie »,
2013.
• GHERNAOUTI S., Cybersécurité – Analyser les risques, mettre en
œuvre les solutions, Dunod, coll. « InfoSup », 6e édition, 2019.
• HARREL Y., La cyberstratégie russe, Nuvis, coll. « Cyberespace et
cyberdéfense », 2013.
• HUYGHE F.-B., KEMPF O., MAZZUCCHI N., Gagner les cyberconflits,
Economica, coll. « Cyberstratégie », 2015.
• ITEANU O., Quand le digital défie l’État de droit, Eyrolles, 2016.
• KAPLAN F., « Dark Territory: The Secret History of Cyber War »,
Simon & Schuster, 2016.
• KEMPF O., Introduction à la cyberstratégie, Economica, coll.
« Cyberstratégie », 2012.
• MICHAUD Q., L’affaire Edward Snowden, Economica, coll.
« Cyberstratégie », 2014.
• MITNICK K., SIMON W., « The Art of Deception – Controlling the
Human Element of Security », John Wiley & Sons, 2003.
• TAILLAT S., CATTARUZZA A., DANET D., La cyberdéfense – Politique
de l’espace numérique, Armand Colin, 2018.
• VENTRE D., Cyberattaque et cyberdéfense, Hermes Science
Publications, coll. « Cyberconflits et cybercriminalité », 2011.
b. Constitution
• Constitution du 4 octobre 1958.
c. Décrets
d. Instructions interministérielles
• ANSSI, instruction interministérielle n° 300/SGDSN/ANSSI du
23 juin 2014 relative à la protection contre les signaux parasites
compromettants.
• ANSSI, instruction interministérielle n° 901/SGDSN/ANSSI du
28 janvier 2015 relative à la protection des systèmes d’information
sensibles.
• ANSSI, instruction interministérielle n° 910/SGDSN/ANSSI du
22 octobre 2013 relative aux articles contrôlés de la sécurité des
systèmes d’information.
• DCSSI, instruction interministérielle n° 920/SGDSN/DCSSI du
12 janvier 2005 relative aux systèmes traitant des informations
classifiées de défense de niveau Confidentiel Défense.
• SGDSN, Instruction générale interministérielle
n° 1300/SGDSN/PSE/PSD du 30 novembre 2011 sur la protection
du secret de la défense nationale.
• SGDSN, instruction interministérielle n° 2100/SGDN/SSD du
1er décembre 1975 pour l’application en France du système de
sécurité de l’Organisation du traité de l’Atlantique Nord (OTAN).
• SGDSN, instruction générale interministérielle
n° 2102/SGDSN/PSE/PSD du 12 juillet 2013 sur la protection en
France des informations classifiées de l’Union européenne (UE).
• SGDSN, Instruction générale interministérielle
n° 6600/SGDSN/PSE/PSN du 7 janvier 2014 relative à la sécurité
des activités d’importance vitale.
e. Lois
f. Ordonnance
a. Divers
b. États-Unis d’Amérique
d. Union européenne
a. France
b. International
2. International
Préface
Avant-propos
Chapitre 1. L’espace numérique
V. Enjeux de souveraineté
1. De la souveraineté classique à la souveraineté numérique
2. Acception classique du concept de souveraineté
3. Souveraineté numérique ?
Chapitre 3. La cybersécurité
Introduction : la difficile quête d’un état optimal de cybersécurité
I. Organisation et gouvernance
1. Organisation générale
2. L’ANSSI
3. D’autres acteurs incontournables
4. Quatre chaînes opérationnelles
5. Quelques enceintes de gouvernance de la cyberdéfense française
6. Atouts du modèle
Remerciements
Références
I. Livres
1. Sur la sécurité numérique ou fortement connexes
2. Pour lire l’histoire de la sécurité numérique
3. Sur d’autres sujets