3. Le passage d'une posture de protection passive à une stratégie de cyberdéfense en profondeur

En réponse à la multiplication en France des attaques informatiques de grande ampleur, le gouvernement a décidé, le 25 mai 2011, d'accélérer la montée en puissance du dispositif national de sécurité et de défense des systèmes d'information en adoptant une série de mesures 48 ( * ) :

- un groupe d'intervention rapide placé à l'ANSSI, formé d'experts capables d'intervenir sur les systèmes d'information de l'Etat et des opérateurs qui en feraient la demande, permettra de traiter dans les meilleurs délais les attaques les plus graves ;

Ce groupe d'intervention aura notamment pour mandat d'intervenir dans les administrations et les organismes publics ou encore chez les opérateurs critiques, notamment les opérateurs d'importance vitale, lorsque des indices laissent à penser qu'ils ont été l'objet d'une attaque informatique susceptible de présenter un danger pour la sécurité de leur activité, de menacer l'intégrité de leur patrimoine informationnel, de déséquilibrer le fonctionnement économique du pays ou de porter atteinte à la vie quotidienne des Français.

Dans le cas où une compromission grave serait découverte, le groupe d'intervention rapide devrait être en mesure, à la demande et en appui des équipes de l'administration, de l'entreprise et d'éventuels prestataires, d'élaborer les plans de reconstruction des systèmes d'information compromis et de superviser leur mise en oeuvre, voire d'y contribuer directement.

Par ailleurs, doté de moyens aptes à être projetés, ce groupe d'intervention rapide devrait donner à la France une capacité d'assistance à nos alliés en cas de crise majeure de nature informatique.

- une politique interministérielle de sécurité des systèmes d'information de l'Etat visant à homogénéiser et accroître la sécurité dans l'ensemble des ministères sera adoptée .

L'objectif visé est d'élever et d'homogénéiser le niveau de sécurité de l'ensemble des systèmes d'information de l'Etat par la mise en oeuvre de sécurités minimales communes. La mise en place généralisée de cartes à puce, qui présente de meilleures garanties que les simples mots de passe, devrait également améliorer significativement la sécurité des systèmes d'information de l'administration.

Dans ce cadre, un réseau interministériel sécurisé (RIE) , regroupant l'ensemble des réseaux des ministères et permettant la continuité de l'action gouvernementale en cas de dysfonctionnent grave d'Internet, sera mis en place.

Aujourd'hui, chaque ministère dispose de son réseau informatique, avec des passerelles reliées à l'Internet. Il existe certes depuis 2007 un Intranet sécurisé interministériel, dénommé ISIS, mais celui-ci est réservé à l'information classifiée. Ce réseau permet l'échange et le partage de documents classifiés au titre du « confidentiel défense » entre acteurs gouvernementaux et remplace le traditionnel système de transport des plis « confidentiel défense » et « secret défense » par gendarme à motocyclette.

La construction d'un réseau interministériel de l'Etat (RIE) protégé et résilient , développé « à l'état de l'art », devrait assurer la continuité de l'action gouvernementale et administrative en cas de dysfonctionnement grave d'Internet, de limiter le nombre de passerelles d'interconnexion entre les administrations et l'Internet, qui sont autant de points de fragilité potentiels, et d'améliorer ainsi la détection des attaques au niveau des passerelles et notre capacité à y réagir. Accessoirement, un tel réseau permettrait de réduire les coûts de communications électroniques de l'Etat en réduisant le nombre de réseaux. Plusieurs pays, notamment l'Allemagne pour le gouvernement fédéral, disposent d'ores et déjà d'un tel réseau. Ce projet, qui représente un investissement de l'ordre de 70 millions d'euros par an, est sous la responsabilité de la direction interministérielle des systèmes d'information et de communication de l'Etat (DISIC), créée par le décret du 21 février 2012. D'après les informations recueillies par votre Rapporteur, le déploiement du RIE devrait commencer au printemps 2013 ;

- les opérateurs publics et privés chargés d'infrastructures vitales seront invités à participer avec l'Etat à un partenariat visant à renforcer la défense et la sécurité de leurs systèmes d'information ;

Ce partenariat entre l'Etat et les opérateurs d'infrastructures critiques doit notamment permettre d'améliorer la sensibilisation des opérateurs à la sécurité des systèmes d'information, de mieux connaître les faiblesses de leurs systèmes d'information, de prévenir les attaques sur les systèmes critiques et de définir les chaînes de compétence et de responsabilité en matière de sécurité des systèmes d'information.

Cela passe notamment par le développement des échanges d'information entre l'Etat et les opérateurs critiques, le partage et l'analyse des remontées d'incidents, ainsi que les audits de sécurité, et par la création d'un réseau d'alerte en cas d'attaque informatique.

- la sécurité des systèmes d'information sera incluse dans les formations supérieures , en commençant par les formations scientifiques et techniques, afin que l'ensemble des étudiants acquièrent un socle commun de connaissances et de bonnes pratiques en ce domaine ;

- un centre de recherche associant l'Etat et les entreprises sera créé afin d'optimiser les capacités de recherche existantes et de soutenir des projets structurants.


* 48 Compte rendu du Conseil des ministres du 25 mai 2011

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page