B. L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI)
La perception de plus en plus aiguë des risques engendrés par le développement des systèmes d'information, confortée par l'explosion du nombre d'intrusions informatiques contre les infrastructures nationales, a conduit à créer en 2009, à la suite du précédent Livre blanc sur la défense et la sécurité nationale de 2008, une agence nationale de la sécurité des systèmes d'information 5 ( * ) (ANSSI). Autorité nationale de défense des systèmes d'information, elle est chargée 24 heures sur 24 de prévenir et de réagir aux attaques contre nos infrastructures critiques. Elle est dirigée par M. Patrick Pailloux.
Rattachée au secrétaire général de la défense et de la sécurité nationale, son domaine d'intervention initialement centré sur les administrations et les organismes dépendant de l'État s'est rapidement élargi aux opérateurs d'importance vitale (OIV) et aux entreprises indispensables à notre stratégie de sécurité nationale. Le centre de transmission gouvernemental (CTG), mis pour emploi auprès de l'ANSSI, met en oeuvre une partie des systèmes de télécommunications sécurisés nécessaires à la continuité de l'action de l'État.
1. La cyberdéfense : une priorité nationale
a) Une menace majeure
Avec le développement de l'Internet, les systèmes d'information constituent aujourd'hui de véritables « centres nerveux » de nos sociétés, sans lesquels elles ne pourraient plus fonctionner.
Or, il apparaît aujourd'hui que le développement des systèmes d'information et leur interconnexion croissante, dans toutes les formes d'activités, ont souvent été réalisés au détriment des exigences de sécurité.
Depuis les attaques informatiques massives qui ont frappé l'Estonie en avril 2007, l'actualité s'est chargée de nous montrer la réalité de cette menace.
Il ne se passe pratiquement pas une semaine sans que l'on signale, quelque part dans le monde, des attaques ciblées contre les réseaux de gouvernements ou de grands organismes publics ou privés.
Depuis la publication du rapport d'information sur la cyberdéfense, présenté par votre commission en juillet 2012 6 ( * ) , le thème de la cybersécurité n'a d'ailleurs pas cessé de prendre de l'ampleur.
On peut distinguer quatre types d'attaques informatiques :
- tout d'abord, tout ce qui relève de la cybercriminalité, qui regroupe par exemple la fraude bancaire ou la pédopornographie sur Internet, et qui est en plein essor. Selon la Commission européenne, la cybercriminalité ferait plus d'un million de victimes chaque jour dans le monde ;
- deuxième objectif de l'attaquant : la déstabilisation. C'est l'attaque la plus souvent médiatisée car la plus visible : des messages de propagande ou d'hostilité sont placés sur des sites internet mal protégés à l'occasion de telle décision politique ou d'un conflit armé. C'est notamment le cas des attaques menées par le groupe Anonymous ;
- troisième objectif visé par les attaquants : le sabotage. L'attaquant cherche alors à faire dysfonctionner les installations connectées aux réseaux de communications électroniques. Certaines de ces cyberattaques peuvent mettre en cause la sécurité nationale : les attaques sur des systèmes étatiques, sur des réseaux essentiels touchant à des infrastructures critiques (comme une centrale électrique ou le réseau d'électricité par exemple), voire des systèmes de communication de nos équipements militaires ; depuis 2010, nous connaissions le programme STUXNET qui aurait détruit un millier de centrifugeuses de la centrale nucléaire iranienne de Natanz. Mais, en août dernier, deux attaques informatiques d'ampleur ont visé des sociétés du secteur de l'énergie au Moyen-Orient, dont le premier producteur mondial de pétrole Saudi Aramco. 30 000 ordinateurs ont été rendus inutilisables en quelques heures ;
- enfin, dernier type d'attaque, le cyberespionnage. Cet espionnage, souvent d'origine étatique, est massif, comme l'illustrent les révélations de l'ex-consultant de la NSA, Edward Snowden, sur le vaste programme d'espionnage informatique américain PRISM. En matière industrielle, il atteint tous nos secteurs de souveraineté.
La France n'est pas épargnée par ce phénomène.
On estime que nos administrations, nos entreprises ou nos opérateurs d'importance vitale sont victimes chaque jour de plusieurs millions d'attaques informatiques. Certaines de ces attaques prennent la forme d'une prise de contrôle durable et d'une exfiltration massive de données sensibles
D'une manière générale, les attaques informatiques peuvent être menées par des pirates informatiques, des groupes d'activistes, des organisations criminelles, mais aussi par des entreprises concurrentes, voire par d'autres Etats.
Cette cybermenace ira inévitablement en s'accentuant, pour plusieurs raisons :
- nous sommes tous les jours plus dépendants des systèmes d'information et d'internet, ce qui en fait des cibles particulièrement sensibles ;
- l'interconnexion des réseaux est croissante et l'utilisation de produits standards, dont les vulnérabilités sont en permanence scrutées par les attaquants, se généralise ;
- le profil des attaquant se professionnalise, avec l'apparition de véritables groupes de hackers capables de monnayer leur savoir-faire auprès d'un large éventail de commanditaires ;
- certains Etats eux-mêmes se dotent de capacités offensives ;
- enfin, ce type d'attaque reste peu coûteux et peu risqué pour celui qui le met en oeuvre.
Pour ces raisons, votre commission recommandait dans son rapport d'information, à l'été 2012, de faire de la cyberdéfense une véritable priorité nationale et proposait 50 recommandations concrètes et 10 priorités.
b) Le nouveau Livre blanc
Le nouveau Livre blanc sur la défense et la sécurité nationale, publié en avril 2013, marque une nouvelle étape dans la prise en compte par les pouvoirs publics des questions liées à la cybersécurité.
Dans sa préface, le Président de la République y affirme la nécessité de protéger les Français « y compris face aux risques de la cybermenace » présentée dans l'introduction comme pouvant « affecter gravement la sécurité de la Nation ».
Parmi les priorités identifiées par le nouveau Livre blanc figurent notamment :
- le renforcement des moyens humains qui sont consacrés à la défense et à la sécurité de nos systèmes d'information, « à la hauteur des efforts consentis par nos partenaires britannique et allemand » ;
- « la capacité de produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d'attaque » ;
- une politique des systèmes d'information de l'Etat qui « s'appuiera notamment sur le maintien de réseaux de haute sécurité irrigant les autorités de l'État, sur une politique appropriée d'achat public et sur une gestion adaptée des équipements de communications mobiles » ;
- pour renforcer le niveau de sécurité des systèmes d'information des infrastructures critiques nationales, « l'État fixera, par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l'égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles. » . Les opérateurs concernés devront notifier ces incidents et l'agence nationale de la sécurité des systèmes d'information (ANSSI) ou d'autres services de l'Etat pourront intervenir en cas de crise grave ;
- un approfondissement de nos relations avec nos partenaires privilégiés et, au niveau européen, le soutien à la mise en place d'une politique européenne de cybersécurité.
Enfin, le Livre blanc précise qu' « une attention particulière sera portée à la sécurité des réseaux de communication électroniques et aux équipements qui les composent ».
c) Une priorité européenne
La Commission européenne a présenté le 7 février 2013 une stratégie européenne de cybersécurité et une proposition de directive européenne en matière de sécurité des réseaux et des systèmes d'information (COM (2013) 48 final).
Dans son chapitre IV, cette proposition de directive prévoit l'extension à un ensemble d'« opérateurs de marché » des dispositions prévues par les articles 13 a et b de la directive cadre du paquet Télécom, en particulier :
- l'instauration du principe de notification obligatoire d'incidents informatiques significatifs par les opérateurs économiques visés par la directive ;
- l'introduction de la possibilité pour l'autorité nationale de cybersécurité ou pour des prestataires qualifiés de conduire des audits réguliers et d'exiger la mise à disposition par les opérateurs des informations nécessaires à la conduite des audits ;
- l'introduction du principe de « sanction » en cas de non-respect de ces dispositions.
Ces orientations ont été approuvées par votre commission dans un rapport présenté par vos deux rapporteurs pour avis 7 ( * ) et ont donné lieu à une résolution du Sénat du 19 avril 2013.
d) Les dispositions de la Loi de programmation militaire
Dans le prolongement du nouveau Livre blanc sur la défense et la sécurité nationale, le chapitre III du projet de loi relatif à la programmation militaire pour les années 2014 à 2019 contient des « Dispositions relatives à la protection des infrastructures vitales contre la cybermenace ».
Quatre principales dispositions sont proposées.
Tout d'abord, les dispositions prévues visent à préciser les responsabilités du Premier ministre en matière de défense et de sécurité des systèmes d'information.
Elles visent également, en cas d'attaque informatique grave, à donner aux agents appartenant aux services de l'Etat compétents en matière de sécurité et de défense des systèmes d'information, désignés par le Premier ministre, la capacité à mener les opérations techniques nécessaires à la caractérisation de cette attaque ou à la limitation de ses effets. Dans une situation où l'attaquant a généralement l'avantage sur le défenseur, les agents de l'Etat en charge de la sécurité et de la défense des systèmes d'information doivent pouvoir être en mesure d'utiliser toutes leurs capacités pour mieux appréhender la nature et l'ampleur d'une attaque et la motivation de son ou de ses auteurs et d'en prévenir, d'en atténuer les effets ou de la faire cesser lorsque les circonstances l'exigent.
Le projet de LPM a également pour objectif d'amener les opérateurs d'importance vitale à respecter des règles de sécurité informatique, conjointement élaborées par l'ANSSI avec les opérateurs concernés sous le pilotage du ministère coordonnateur du secteur, nécessaires à la protection des systèmes d'information essentiels à leur coeur de métier. Ces règles pourront comprendre la mise en oeuvre d'un système de détection d'attaques informatiques.
Le projet impose aux opérateurs d'importance vitale la notification des incidents informatiques qui touchent leurs systèmes d'information critiques. Cette notification permettra d'identifier les attaques informatiques nécessitant une intervention de l'ANSSI, d'une autre administration de l'État ou d'un prestataire.
Le texte d'application précisera par secteur d'activité le type d'incidents à notifier, les niveaux de gravité et les délais dans lesquels ces incidents devront être déclarés. La confidentialité des informations fournies par les opérateurs sera préservée.
Le texte du projet de loi donne la capacité aux acteurs désignés d'effectuer les audits permettant, notamment, d'évaluer le niveau de sécurité des systèmes d'information visés par les articles précédents, voire de détecter l'éventuelle compromission de ces systèmes, et de vérifier que les règles édictées sont bien respectées.
Le projet de LPM donne au Premier ministre la capacité d'imposer, en cas de crise majeure concernant les systèmes d'information, des mesures techniques que les opérateurs d'importance vitale seront tenus de mettre en oeuvre. En effet, dans les crises auxquelles l'État se prépare, les attaques informatiques ont une cinétique et une capacité d'expansion particulière. Des exemples d'attaques récentes montrent que, en quelques minutes, des dizaines de milliers d'ordinateurs d'un opérateur peuvent être mis hors d'état de fonctionnement tandis qu'un programme informatique malveillant peut se diffuser dans des systèmes d'information du monde entier en quelques heures.
Le texte prévoit des sanctions visant les personnes physiques et morales manquant aux obligations prévues.
Enfin, il est proposé d'étendre le contrôle étatique aux équipements informatiques permettant de réaliser des interceptions, même si cette capacité n'est pas leur fonction essentielle.
Ces dispositions ont été approuvées par votre commission des affaires étrangères, de la défense et des forces armées, puis par le Sénat, lors de l'adoption du projet de loi de programmation militaire.
A l'initiative de la commission des affaires étrangères, de la défense et des forces armées du Sénat, les dispositions du projet de LPM relatives à la cybersécurité ont été complétées sur deux aspects :
- en permettant à l'ANSSI d'accéder aux coordonnées des utilisateurs d'adresses internet à des fins de prévention ou de traitement des attaques informatiques ;
- en clarifiant le régime juridique en matière d'activités économiques ou de recherche portant sur la sécurité des systèmes informatiques.
Parallèlement, votre commission a souhaité préciser, dans le rapport annexé, l'augmentation des moyens humains consacrés à la cyberdéfense, tant de l'ANSSI qu'au sein des armées.
2. Les missions de l'ANSSI
Les missions de l'ANSSI sont fixées dans le décret n° 2009-834 du 7 juillet 2009 portant création de cette agence, modifié par le décret n° 2011-170 du 11 février 2011.
L'ANSSI, autorité nationale en matière de sécurité et de défense des systèmes d'information, a la responsabilité de conduire ou de coordonner l'ensemble des actions destinées à prévenir la réussite des attaques contre les systèmes d'information, et à réagir en cas d'atteinte à leur disponibilité ou à leur intégrité. Son action s'exerce principalement au profit de l'État, mais vise également les opérateurs d'importance vitale du secteur privé et, plus généralement, l'ensemble des acteurs de la société de l'information.
a) En amont
Dans le domaine de la prévention des attaques informatiques, l'ANSSI est principalement chargée :
• d'élaborer les règles et les mesures
à appliquer pour la protection des systèmes d'information de
l'État, et d'en vérifier l'application ;
• de développer et d'acquérir les
produits essentiels à la protection des systèmes d'information
les plus sensibles de l'État (autres que ceux spécifiquement
militaires) ;
• de concevoir, de faire réaliser et de mettre
en oeuvre les moyens interministériels sécurisés de
communications électroniques nécessaires au Président de
la République et au Gouvernement, notamment le réseau
téléphonique Rimbaud et l'intranet ISIS. Elle dispose à
cette fin pour emploi du centre de transmissions gouvernemental (CTG) ;
• d'assister les administrations et les
opérateurs d'importance vitale (OIV) dans la sécurisation de
leurs systèmes d'information ;
• de mener des audits et des inspections des
systèmes d'information ;
• de délivrer des labels aux produits et aux
mécanismes de sécurité destinés à
protéger les informations, notamment celles couvertes par le secret de
la défense nationale, et les systèmes qui les traitent, ainsi
qu'aux prestataires de services de confiance qui interviennent dans les
domaines des technologies de l'information. Elle établit dans ce but des
référentiels techniques dans tous les domaines de la
sécurité des systèmes d'information ;
• de contribuer à la sensibilisation des
agents de l'État et d'assurer la formation de ses experts dans les
divers aspects de la sécurité des systèmes d'information
;
• de contribuer au développement de la
confiance dans l'économie numérique ;
• de contribuer à la promotion des
technologies, des systèmes et des savoir-faire nationaux ;
• de promouvoir, en liaison avec les
ministères concernés, la cybersécurité dans
l'enseignement supérieur et dans la recherche.
b) En aval
Dans le domaine de la réaction aux attaques informatiques, l'ANSSI est principalement chargée d'exercer la fonction d'autorité nationale de défense des systèmes d'information et, à ce titre, de décider des mesures que l'État met en oeuvre pour répondre aux crises affectant ou menaçant la sécurité des systèmes d'information des autorités publiques et des opérateurs d'importance vitale et de coordonner l'action gouvernementale en cas d'attaque ou de compromission des systèmes. L'agence s'appuie sur :
• un système de détection des
événements susceptibles d'affecter la sécurité des
systèmes d'information de l'État et des opérateurs
d'importance vitale ;
• un réseau d'alerte permanent permettant
l'échange rapide d'informations techniques et opérationnelles
utiles à la cybersécurité ;
• des groupes d'intervention rapide en mesure de
rechercher et de détecter les compromissions affectant les
systèmes d'information de l'État et des opérateurs
d'importance vitale, de superviser les opérations de traitement
d'incident ou de reconstruction des systèmes compromis, et
éventuellement de porter assistance à nos alliés en cas de
crise informatique.
3. Les principales actions réalisées ou engagées en 2012 et 2013
a) La réponse aux attaques
Le centre de détection des attaques informatiques, entré en phase opérationnelle début 2010, a augmenté sa couverture en équipant les réseaux de nouveaux ministères et a amélioré ses capacités techniques de détection.
L'ANSSI accompagne également le projet de réseau interministériel de l'Etat (RIE) sur le volet de la sécurité et a développé des sondes adaptées pour détecter les attaques qui le viseraient.
L'ANSSI a traité de très nombreuses cyberattaques majeures visant des administrations ou de grandes entreprises nationales, notamment à des fins d'espionnage, dans lesquelles les attaquants ont eu un contrôle total du système d'information.
Ces opérations, lourdes, ont pour premier objectif de reprendre le contrôle des systèmes touchés. Elles incluent non seulement une remise en état des éléments compromis, mais également un renforcement global de ce système pour éviter ou au moins retarder une reprise de contrôle ultérieure par l'attaquant.
En 2012, 27 affaires ont ainsi été traitées par l'ANSSI. Les effectifs actuels de l'agence n'ont pas permis de traiter toutes les attaques dont elle a eu connaissance.
L'ANSSI héberge, au sein de son centre opérationnel, le centre d'alerte et de réaction aux attaques informatiques (CERT).
Le CERT analyse les vulnérabilités (failles de sécurité) et les codes malveillants qui les exploitent. En 2012, le CERT a émis 766 avis, 10 alertes et 52 bulletins d'actualité.
Le CERT est alerté sur des incidents qui peuvent être le fait d'attaques de plus ou moins grande ampleur. Le CERT analyse des codes malveillants, effectue des synthèses des incidents traités, en tire les enseignements et propose, le cas échéant, des mesures générales de prévention. Le CERT intervient également régulièrement en matière judiciaire comme auxiliaire de justice. En 2012, le CERT a reçu plus de 700 signalements et a pu traiter directement environ 70 incidents.
Le centre opérationnel de la sécurité des systèmes d'information (COSSI) de l'ANSSI et le centre d'analyse de lutte informatique défensive (CALID) du ministère de la défense sont désormais colocalisés dans les nouveaux locaux de l'ANSSI, dans l'immeuble « Tour Mercure » dans le XVe arrondissement de Paris.
Ce rapprochement géographique renforce une collaboration déjà étroite avec le ministère de la défense et facilitera l'appui que l'état-major des armées pourra fournir à l'ANSSI, et réciproquement, notamment en cas de crise majeure.
b) La sécurisation des systèmes d'information des entreprises appartenant aux secteurs d'activité d'importance vitale
Parmi les actions concrètes menées par l'ANSSI en 2013 au profit des secteurs d'activité d'importance vitale, on peut citer :
- la mise en place d'un groupe de travail regroupant des opérateurs d'importance vitale, des équipementiers et des intégrateurs, portant sur la sécurisation des systèmes de contrôle-commande des processus industriels ;
- l'élaboration, en lien avec la direction générale de la compétitivité, de l'industrie et des services (DGCIS), d'un référentiel de sécurité du système de compteurs électriques intelligents LINKY qui sera déployé par Electricité Réseau Distribution France (ERDF) ;
- le lancement de l'élaboration d'une procédure de labellisation des prestataires d'informatique en nuage ( cloud computing ) ;
- la conduite, à la demande du ministre chargé des communications électroniques, des premiers contrôles de sécurité chez les quatre principaux opérateurs de communications électroniques. L'agence a également conduit des audits d'opérateurs dans les domaines de l'énergie et du transport ;
- la poursuite, conjointement avec l'association française pour le nommage d'internet en coopération (AFNIC), des travaux de l'Observatoire de la résilience de l'Internet français.
L'adoption définitive des dispositions prévues par le projet de loi de programmation militaire permettrait à l'ANSSI :
• d'être en mesure de suivre la conception de
systèmes de détection d'attaques informatiques, de labelliser des
outils de surveillance et de suivre et de former les prestataires capables de
participer au traitement de cyberattaques ;
• d'élaborer, en concertation étroite
avec les opérateurs concernés, des référentiels de
sécurité en fonction de leur secteur d'activité et de leur
nature ;
• de mettre en place les dispositifs de notification
d'incidents prenant en compte le secteur d'activité et son
organisation.
4. Les autres actions de l'ANSSI
a) Labellisation de produits et
développement d'un tissu industriel
« de
confiance »
La labellisation de produit et de services constitue une brique essentielle de la sécurisation des systèmes d'information. Dans la mesure où ils sont disponibles, le choix de produits et de services labellisés est obligatoire pour toutes les autorités administratives, même si ces dernières ne respectent pas toujours cette obligation.
Le succès des certifications, tant chez les utilisateurs que chez les développeurs de produits, entraîne une augmentation du nombre de projets gérés par l'ANSSI et une saturation du centre de certification qui doit augmenter rapidement ses effectifs.
L'ANSSI qualifie aussi des prestataires de confiance en matière d'audit de la sécurité des systèmes d'information.
L'agence apporte aussi son expertise technique dans le cadre des investissements d'avenir en faveur du développement de l'économie numérique, financés par l'emprunt national (4,5 milliards d'euros).
Elle est consultée par la direction générale du trésor du ministère de l'économie et des finances lorsque des demandes d'autorisation d'investissements étrangers concernent des entreprises du secteur de la sécurité des systèmes d'information.
b) Développement et mise en oeuvre de produits et de réseaux de sécurité
L'ANSSI gère les systèmes de communication de haute sécurité pour les besoins de l'État, avec le soutien du centre de transmissions gouvernemental (CTG) ainsi que les systèmes d'information internes de l'ANSSI.
Pour protéger les communications les plus importantes ou les plus secrètes des autorités, l'ANSSI a largement déployé en 2012 les téléphones sécurisés Teorem sur le réseau Rimbaud, réseau résilient de plus de 4 000 abonnés, initialement destiné aux communications de crise, capable de fonctionner même lorsque les réseaux commerciaux des opérateurs ne fonctionnent plus correctement (tempêtes, inondations, ...).
Environ 2 300 téléphones ont été livrés aux ministères et plus de 1 600 sont installés et en fonction sur le réseau Rimbaud. De plus, une quarantaine de Teorem sont en fonctionnement au ministère des affaires étrangères et dans les ambassades.
S'agissant de la téléphonie mobile sécurisée de niveau inférieur à Confidentiel Défense, et compte tenu des attentes très fortes des hautes autorités en matière d'ergonomie, l'ANSSI accompagne désormais les ministères dans le choix de solutions commerciales. L'ANSSI poursuit toutefois le développement d'une expertise interne dans ce domaine.
Le réseau de données interministériel ISIS, initialement déployé pour la gestion de crises, est en cours de modernisation.
c) Le centre de transmissions gouvernemental (CTG)
Le CTG compte 180 personnels des trois armées et dispose de locaux sur les sites de la forteresse du Mont-Valérien à Suresnes et de l'hôtel national des Invalides. Organisme militaire mis pour emploi auprès de l'ANSSI, le CTG intervient dans la mise à disposition d'une partie des systèmes de télécommunication sécurisés nécessaires à la continuité de l'action de l'État.
En 2012, le CTG a maintenu à très haut niveau de disponibilité les systèmes déployés au profit du chef de l'État et du chef du gouvernement lors de leurs déplacements en France ou à l'étranger. Le CTG a continué d'apporter son expertise technique dans les différents programmes auxquels il participe ou qu'il conduit pour le compte du SGDSN :
- la réalisation d'un réseau gouvernemental à haute disponibilité ;
- le suivi du projet relatif au traitement interministériel des messages de niveau secret défense ;
- la modernisation des moyens de communications présidentielles et du Premier ministre pour les différents types de déplacement.
d) Formation et sensibilisation
L'ANSSI mène une politique de communication de plus en plus active. Cette communication qui vise à sensibiliser les acteurs passe aujourd'hui par la publication de documents, des interventions dans les médias ou des conférences et la présence sur des salons. Des opérations de sensibilisation ciblées sont également conduites vers les entreprises. Enfin des opérations de communication sont spécifiquement menées à des fins de recrutement.
L'ANSSI, grâce à son centre de formation à la sécurité des systèmes d'information (CFSSI), sensibilise et forme des acteurs publics à la SSI. En 2012, le CFSSI a accueilli 1 500 stagiaires de l'administration sur une vingtaine de sujets, pour des durées allant d'une journée à cinq semaines et un objectif allant de la sensibilisation à l'acquisition d'une expertise.
Le CFSSI forme par an, au profit des administrations, 8 à 10 experts en sécurité des systèmes d'information (ESSI) par un enseignement long (13 mois). Le même titre est délivré par l'École Télécom Sud Paris dans le cadre d'un partenariat avec l'ANSSI.
Parmi les documents publiés, il convient de signaler la diffusion du « guide d'hygiène informatique ». Ce guide donne 40 mesures simples qui doivent impérativement être appliquées par toutes les organisations publiques et/ou privées qui estiment devoir un minimum protéger leurs systèmes d'information. Ce document est la référence de la communication de l'ANSSI.
* 5 Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information ».
* 6 Rapport d'information n°681 (2011-2012) sur la cyberdéfense présenté par M. Jean-Marie Bockel au nom de la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, le 18 juillet 2012.
* 7 Rapport n°491 (2012-2013) de MM. Jacques Berthou et Jean-Marie Bockel, fait au nom de la commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, déposé le 10 avril 2013 et proposition de résolution européenne n°138 (2012-2013).