La cyberdéfense : une priorité nationale
Avec la multiplication des attaques contre les systèmes d'information français, Jean-Marie Bockel, sénateur du Haut-Rhin, se demande si la France est suffisamment armée et préparée pour faire face à une attaque informatique de grande envergure ? Apparement, non. Explications. 
Les attaques contre les systèmes d'information constituent une réelle menace stratégique qui s'est accentuée ces dernières années. Rappelez-vous que Bercy a été victime d'une attaque à la veille de la présidence français du G8 et du G20, qu'Areva a aussi été victime d'espionnage informatique, que plusieurs sites institutionnels dont celui du Sénat ont été piratés et que même l'Elysée aurait subi une ou plusieurs attaques informatiques ces dernières années.
Par ailleurs, l'implication supposée des Etats-Unis dans la conception du virus Stuxnet (qui a retardé le programme nucléaire de l'Iran en détruisant un millier de centrifugeuses d'enrichissement à l'uranium) ou encore la découverte du super-virus Flame laissent à penser que les armes informatiques vont se développer et qu'elles seront de plus en plus puissantes. Et tout cela n'est absolument pas de la science-fiction. "De Tallin à Téhéran, aucun pays n'est aujourd'hui à l'abri des attaques informatiques" précise Jean-Marie Bockel, "la menace est concrète et protéiforme". La France est-elle armée pour y faire face ? Pas suffisamment. Ses alliés (le Royaume-Uni, l'Allemagne, les Etats-Unis) semblent même beaucoup mieux préparés en cas d'attaque. "Il ne s’agit pas de prétendre à une protection absolue" ajoute-t-il. "Ce serait assez illusoire. Le propre des attaques informatiques est d’exploiter les failles, de se porter là où les parades n’ont pas encore été mises en place. Mais on peut renforcer la sécurité des réseaux et des infrastructures les plus sensibles et améliorer leur résilience".
Si depuis 2008, des progrès ont été faits avec notamment la création de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), beaucoup reste à faire. Car l'ANSSI est une trop petite structure. Elle rassemble 230 personnes avec un budget de 75 millions d’euros. Ce qui n'a rien à voir avec les services similaires implantés au Royaume-Uni ou en Allemagne, qui comptent entre 500 et 700 agents. "De plus, si le ministère de la défense et les armées ont pris des mesures, les autres ministères, les entreprises et les opérateurs d’importance vitale restent encore insuffisamment sensibilisés à la menace" indique Mr Bockel.
"Quel serait le moyen le plus simple de provoquer une perturbation majeure de notre pays par le biais d’une attaque informatique ? Un moyen très simple serait de s’en prendre à la distribution d’énergie ou à la santé. L’exemple du virus STUXNET ou celui du ver Conficker, qui a perturbé le fonctionnement de plusieurs hôpitaux, montrent que cela n’est pas une hypothèse d’école".
Pour Jean-Marie Bockel, la cyberdéfence est un enjeu majeur et il est important d'agir maintenant. Voici ses 10 priorités :
1. Faire de la cyberdéfense et de la protection des systèmes d’information une priorité nationale, portée au plus haut niveau de l’Etat, notamment dans le contexte du nouveau Livre blanc (sur la défense et la sécurité nationale de 2008). S’interroger sur la pertinence de formuler une doctrine publique sur les capacités offensives.
2. Renforcer les effectifs, les moyens et les prérogatives de l’ANSSI, ainsi que les effectifs et les moyens dédiés au sein des armées, de la direction générale de l’armement et des services spécialisés, et développer une véritable politique des ressources humaines.
3. Introduire des modifications législatives pour donner les moyens à l’ ANSSI d’exercer ses missions et instituer un pôle juridictionnel spécialisé à compétence nationale pour réprimer les atteintes graves aux systèmes d’information.
4. Améliorer la prise en compte de la protection des systèmes d’information dans l’action de chaque ministère, en renforçant la sensibilisation à tous les niveaux, en réduisant le nombre de passerelles entre les réseaux et l’Internet, en développant les systèmes d’analyse permettant de détecter les attaques, ainsi qu’en rehaussant l’autorité des fonctionnaires de sécurité des systèmes d’information.
5. Rendre obligatoire pour les entreprises et les opérateurs d’importance vitale une déclaration d’incident à l’ANSSI en cas d’attaque importante contre les systèmes d’information et encourager les mesures de protection par des mesures incitatives.
6. Renforcer la protection des systèmes d’information des opérateurs d’importance vitale, en réduisant le nombre de passerelles entre les réseaux et l’Internet, en développant les systèmes d’analyse, en généralisant les audits, en rendant obligatoire la déclaration des processus et automates industriels connectés à Internet et en favorisant la mise en place, de manière sectorielle, de centres de détection communs.
7. Soutenir par une politique industrielle volontariste, à l’échelle nationale et européenne, le tissu des entreprises françaises, notamment des PME, spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique et, plus largement, du secteur des technologies de l’information et de la communication, et renforcer la coopération entre l’Etat et le secteur privé.
8. Encourager la formation d’ingénieurs spécialisés dans la protection des systèmes d’information, développer la recherche et les activités de conseil, et accentuer la sensibilisation du public, notamment au moyen d’une campagne de communication inspirée de la prévention routière.
9. Poursuivre la coopération bilatérale avec nos principaux alliés, soutenir l’action de l’OTAN et de l’Union européenne, engager un dialogue avec la Chine et la Russie et promouvoir l’adoption au niveau international de mesures de confiance.
10. Interdire sur le territoire national et à l’échelle européenne le déploiement et l’utilisation de « routeurs » ou d’autres équipements de cœur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » et certains équipements d’origine chinoise.
