Cyberguerre : Le Sénat s'alarme et encense le livre blanc sur la défense

Quelques semaines après la présentation par Nicolas Sarkozy du livre blanc pour la défense nationale c’est au tour du sénat de se préoccuper des risques de cyberattaque. Dans un rapport d’information réalisé au nom de la commission des affaires étrangères, de la défense et des forces armées, la chambre haute estime que « la France est encore insuffisamment préparée et organisée ». Bigre. Surtout, dans son analyse comparée consacrée aux pays alliés, le rapport met en avant un sérieux retard français par rapport aux allemands, britanniques et américains.

Action Raffarin 2004, Rapport Lasbordes 2006… des mises en œuvre trop lentes

Revenant sur les conclusions sévères du rapport Lasbordes publié en 2006, le sénat estime que trop peu de choses ont changé, d’autant que – depuis – les phénomènes d’agression sont devenus de plus en plus préoccupants. Sont notamment mis en exergue le cas de l’Estonie – qui a vu une administration au système d’information particulièrement développé subir durant plusieurs jours une série d’attaques en déni de service – et des agressions dites « chinoises » du printemps 2007. Durant quelques semaines, différents SI gouvernementaux – dont ceux de la France et des Etats-Unis – avaient subi des tentatives d’intrusion en provenance de serveurs hébergés en Chine. Lors de sa présentation, Nicolas Sarkozy n’avait d’ailleurs pas caché que la France avait déjà subi des actes de cyberguerre.
Le sénat note que « que ce soit dans les services de l’état ou dans le monde de l’entreprise, la conscience de pouvoir devenir la cible d’une telle menace n’est guère répandue ».

Le talon d’Achille de la coordination interadministration
 
Concernant l’administration, le sénat estime notamment que les manques mis en avant dans le rapport Lasbordes n’ont pas été comblés. Aujourd’hui comme en 2006, « la DCSSI soufre d’un manque d’autorité et parfois de crédibilité auprès des publics concernés ». Surtout, avec seulement 100 personnes, la Direction centrale de la sécurité des systèmes d'information ne peut répondre à ses missions de base. Selon le rapport, « les homologues britannique ou allemand de la DCSSI disposent d’effectifs de quatre à cinq fois supérieurs ». Résultat, « la mise en œuvre de la sécurité des systèmes d’information est très hétérogène » estime la commission sénatoriale qui a audité le SI de cinq ministères. Roger Romani, le rapporteur, dénonce « l’absence d’une politique globale et coordonnée pour la sécurité des systèmes d’information des différents ministères qui augmente la vulnérabilité d’ensemble des réseaux ».

Une coopération internationale trop limitée

Outre les faiblesses dans l’administration – une partie du rapport se penche également sur la fragilité des SI en entreprises, notamment au niveau des PME – la commission sénatoriale considère que la coopération internationales, même si elle se développe, demeure trop faible. Surtout, si le réseau des Cert (computer emergency response team, centres d’alerte nationaux) regroupés au sein du First (Forum of incident response and security teams) est jugé efficace et si l’Otan a pris le problème à bras le corps avec en prévision la création d’une autorité en charge de la cyber défense (la CDMA, cyber defense management authority) l’Europe a encore une action trop lacunaire. L’action de l’Enisa (European network and information security agency) est notamment montrée du doigt.

Vers une DCSSI rebaptisée et fortement renforcée

Conclusion, le rapport sénatorial apporte essentiellement de l’eau au moulin du plan présenté par Nicolas Sarkozy qui fait la part belle à la cyberdéfense, à la dimension technologique des activités de renseignement voir à la capacité d’actions offensives en matière informatique. En point d’orgues, Roger Romani pousse à son tour à la création d’une agence de la sécurité des systèmes d’information, constituée à partir de l’actuelle DCSSI et relevant des services du premier ministre.