Juridique

La cybersécurité rentre dans la doctrine militaire de défense nationale

Louis Gautier, secrétaire général de la défense et de la sécurité nationale, a présenté à la presse la Revue Stratégique de Cyberdéfense.

La future LPM 2018 (Loi de Programmation Militaire) a été présentée en conseil des ministres le 8 février 2018. Elle comprend les évolutions législatives nécessaires à la Revue Stratégique de Cyberdéfense (RSC). Elle implique de nouveaux pouvoirs pour l'ANSSI et des devoirs renforcés pour les administrations, les opérateurs télécoms et les entreprises.

PublicitéIl y a six mois, le Président de la République a confié au Secrétariat général de la défense et de la sécurité nationale (SGDSN), dont dépend l'ANSSI (Agence nationale de la sécurité des systèmes d'information), une mission qui a abouti à la Revue Stratégique de Cyberdéfense (RSC). Après une vingtaine de séminaires spécialisés qui ont mobilisé 250 fonctionnaires avec la participation d'entreprises, la RSC a été remise au Gouvernement et au Président de la République, avec une communication en Conseil des Ministres réalisée par le secrétaire d'Etat Mounir Mahjoubui le 8 février 2018. Cette RSC, une fois expurgée des éléments confidentiels ou classifiés, sera publiée (comme le Livre Blanc de la Défense il y a quelques années) prochainement par les éditions Economica. Les éléments législatifs issus de cette RSC seront inclus dans la Loi de Programmation Militaire 2018 (LPM 2018), dont le projet a été présenté au même Conseil des Ministres après avis du Conseil d'Etat. La LPM 2018 sera prochainement présentée au Parlement.
N'hésitant pas à comparer le travail fait au livre blanc ayant créé la doctrine de la dissuasion nucléaire, Louis Gautier, secrétaire général de la défense et de la sécurité nationale, a clairement indiqué que ce document visait à intégrer les principes de la cybersécurité et de la cyberguerre dans la doctrine de Défense Nationale. Au delà d'une évidente meilleure prise de conscience, le document comporte des éléments pédagogiques et explicatifs destinés à l'ensemble non seulement des fonctionnaires mais aussi des entreprises. « Nous parlons de menaces impactant toute la société et nos travaux ne doivent pas se limiter à des notes confidentielles » a martelé Louis Gautier. En plus d'éléments de doctrine, la RSC entraîne des décisions en matière d'organisation et de politiques publiques. Lorsque ces décisions nécessitent des aménagements législatifs, ils ont donc été réalisés dans la LPM 2018.

Un état préoccupant de la menace

La première partie de la RSC s'attache à décrire l'état de la menace. Sans surprise, elle insiste ainsi sur un accroissement important de l'intensité et de la complexité de la menace cybernétique. Là où, il y a peu, la cybermenace se résumait à de l'espionnage, de la captation de données voire de la défiguration de sites web, il faut aujourd'hui parler de sabotages et d'effets massifs voire systémiques à base d'infiltrations longues et de rebonds multiples.
Typiquement, une attaque de type Wannacry est non-ciblée et vise des destructions massives. « Wannacry a bloqué le système de santé du Royaume-Uni » a rappelé Louis Gautier. La multiplication des outils pour mener ces attaques est traitée par le SGDSN comme celle des armes conventionnelles, chimiques ou nucléaires : Louis Gautier a ainsi parlé de « risque de dissémination d'armes non-régulées ». Les outils des pirates sont donc clairement identifiés comme des armes dans la nouvelle doctrine militaire. La manipulation de l'opinion par la diffusion massive de « fake news » est également considérée comme un acte hostile visant le coeur même du processus démocratique en biaisant les décisions populaires.

PublicitéLa responsabilité de l'Etat

L'Etat se doit donc de mener toutes les tâches nécessaires à sa propre protection mais aussi à celle des entreprises. Point important de la doctrine sur lequel Louis Gautier est revenu à plusieurs reprises, les rôles sont clairement séparés entre, d'une part, l'ANSSI, et d'autre part les offices en charge du renseignement. L'ANSSI se voit confirmée et renforcée, avec doublement de son budget, dans ses rôles de défense, tant des administrations, de l'Etat, des collectivités, que des entreprises. Chaque mission est décrite explicitement et complètement, en matière de protection, d'action, de renseignement ou de justice. Il en résulte un schéma de gouvernance avec, en détail, qui fait quoi et sous quel contrôle.
L'affichage doctrinal, encore une fois comparé à celui concernant la dissuasion nucléaire, vise à afficher la volonté et la capacité à défendre et à attaquer. Dans le domaine de la cyberguerre, des actions peuvent être plus ou moins (voire pas du tout) publiques. Le cas échéant, face à une cyberattaque, la réponse pourrait très bien être conventionnelle. Un schéma de classement des attaques visera aussi à définir des réponses calibrées.

Des actions concertées

Louis Gautier a regretté la perte de moyens industriels (le dernier en date étant Alcatel). Faute de cloud souverain, il s'agit de mettre en place des actions concertées, dans une démarche co-construite avec les opérateurs notamment télécoms ou de cloud. Cette démarche sera placée sous le contrôle de l'ARCEP. Un débat est également en cours sur la prise en compte comptable (provisions pour risques) des cyber-risques. Et L'Etat est bien conscient des risques particuliers impliqués par la dématérialisation générale des procédures, y compris les procédures judiciaires.
La concertation se fera également à l'échelle internationale. La France portera ainsi des propositions de régulation, notamment pour reconnaître comme armes les outils de cyber-attaques. Et il s'agira également de rechercher la responsabilité des Etats non seulement pour leurs actions directes (d'offices d'espionnage par exemple) mais aussi pour leurs absences d'actions (création de paradis pour hackers sur le modèle des paradis fiscaux). A l'inverse, la France veut absolument éviter le développement du « hack back », c'est à dire de la loi du Talion opérée par des entreprises attaquées qui ripostent en dehors de tout contrôle, y compris avec un risque de mauvaise identification de l'attaquant.

Opérateurs et entreprises au coeur de nouveaux dispositifs

Aujourd'hui, les opérateurs télécoms n'ont pas le droit de regarder le contenu des flux passant par leurs infrastructures. Et l'ANSSI ne peut pas non plus aller examiner un serveur chez un hébergeur, du moins sans un recours judiciaire qui entraînerait la fuite immédiate à l'étranger ou la destruction d'éléments de preuve en cas de rebonds. Le cryptage, les VPN, etc. sont des éléments du travail quotidien de l'ANSSI a précisé Guillaume Poupard, directeur général de l'ANSSI. Certains alliés détectent davantage de cyber-attaques que la France et Louis Gautier craint que ce ne soit pas parce qu'ils sont davantage attaqués.
L'ANSSI pourra désormais transmettre des marqueurs d'attaques (types de flux, listes d'adresses IP, protocoles...) aux opérateurs qui, en retour, pourront signaler à l'agence lorsque ces types d'attaques passent par leurs infrastructures avec les éléments caractérisant l'attaque. Dès lors, l'ANSSI pourra intervenir en contre-offensive. De la même façon, l'ANSSI pourra placer un dispositif de détection local sur un serveur d'hébergeur lorsque ce serveur opère un rôle dans une menace grave. A la demande du Conseil d'Etat, une limitation de la durée de conservation des données collectées a été fixée à cinq ans et le texte de la LPM 2018 insiste sur les limites de ces opérations à grand coups de « strictement nécessaire » au fil du texte. Mais l'Enfer est pavé de bonnes intentions.