2. Le rapport Romani de 2008
En février 2008, la commission des affaires étrangères, de la défense et des forces armées du Sénat, présidée à l'époque par M. Josselin de Rohan, a souhaité s'intéresser à ce sujet et a confié à l'un de ses membres, M. Roger Romani, la mission de préparer un rapport sur la cyberdéfense.
Publié le 8 juillet 2008, le rapport d'information, intitulé « Cyberdéfense : un nouvel enjeu de sécurité nationale » présenté par notre ancien collègue estimait que « la France n'est ni bien préparée, ni bien organisée » face à la menace d'attaques informatiques .
D'après ce rapport , le manque de moyens, notamment en comparaison avec nos voisins britanniques ou allemands, se conjugue à l'absence d'une autorité centrale véritablement susceptible d'impulser et de coordonner une politique d'ensemble de la sécurité des systèmes d'information .
Enfin, si le rapport approuve les orientations très positives retenues par le Livre blanc, notamment la création de l'Agence de la sécurité des systèmes d'information, il estime que cette agence devra être impérativement dotée des moyens et de l'autorité permettant de mener une action plus résolue dans le domaine de la sécurité des systèmes d'information, et il formule plusieurs propositions en ce sens.
3. Le Livre blanc sur la défense et la sécurité nationale de 2008
Le Livre blanc sur la défense et la sécurité nationale de 2008 a marqué un véritable « tournant ». En effet, avec le Livre blanc, la protection des systèmes d'information est clairement définie comme une composante à part entière de notre politique de défense et de sécurité .
Le Livre blanc accorde, pour la première fois, une place importante à la menace représentée par les attaques informatiques.
Il estime en effet que « le niveau quotidien actuel des agressions contre les systèmes d'information, qu'elles soient d'origine étatique ou non, laisse présager un potentiel très élevé de déstabilisation de la vie courante, de paralysie de réseaux critiques pour la vie de la nation, ou de déni de fonctionnement de certaines capacités militaires ».
Aux yeux des rédacteurs du Livre blanc, la multiplication des tentatives d'attaques menées par des acteurs non étatiques dans les quinze ans à venir constitue une certitude, alors que « plusieurs pays ont déjà défini des stratégies de lutte informatique offensive et se dotent effectivement de capacités techniques relayées par des pirates informatiques ».
Le Livre blanc juge que des tentatives d'attaques étatiques dissimulées sont hautement probables et que des actions massives menées ouvertement sont également plausibles.
Le Livre blanc de 2008 définit aussi une nouvelle approche en matière de sécurité des systèmes d'information.
Il préconise ainsi « le passage d'une stratégie de défense passive à une stratégie de défense active en profondeur , combinant protection intrinsèque des systèmes, surveillance permanente, réaction rapide et action offensive », une telle évolution supposant « une forte impulsion gouvernementale et un changement des mentalités ».
La défense passive peut être définie comme un simple recours aux systèmes automatiques de protection des réseaux (pare-feux, antivirus), placés à la frontière entre ceux-ci et l'extérieur. Ces outils sont indispensables, mais insuffisants, car ils ne sont pas infaillibles et peuvent être contournés puisqu'ils ne protègent que des menaces déjà identifiées contre lesquelles ils ont été conçus.
La défense active implique une véritable capacité de surveillance des « frontières » et l' aptitude à s'adapter en permanence à une menace qui évolue de manière quotidienne, de nouvelles vulnérabilités apparaissant en permanence.
Afin de renforcer la cohérence et la capacité propre des moyens de l'Etat, le Livre blanc prévoit la création d' une agence chargée de la sécurité des systèmes d'information . Relevant du Premier ministre et de la tutelle du SGDSN, cette agence « mettra en oeuvre une capacité centralisée de détection et de défense face aux attaques informatiques. Elle sera dotée des moyens de faire développer et d'acquérir les produits de sécurité essentiels à la protection des réseaux les plus sensibles de l'Etat. Elle sera également chargée d'assurer une mission de conseil du secteur privé, notamment dans les secteurs d'activité d'importance vitale » .
Enfin, le Livre blanc évoque pour la première fois les « capacités offensives » : « Dans la mesure où le cyberespace est devenu un nouveau champ d'action dans lequel se déroulent déjà des opérations militaires, la France devra développer une capacité de lutte dans cet espace. Des règles d'engagement appropriées, tenant compte des considérations juridiques à ce nouveau milieu, devront être élaborées ».