2. Assurer la protection des systèmes d'information des opérateurs d'importance vitale
Dans un rapport remis au Secrétaire général de la défense et de la sécurité nationale, portant sur « les réponses aux nouvelles cybermenaces sur les systèmes d'information, de communication et de production d'importance vitale » , d'avril 2011, le Conseil général de l'industrie, de l'énergie et des technologies (CGIET), rebaptisé depuis Conseil général de l'économie, de l'industrie, de l'énergie et des technologies (CGEIET), organisme rattaché au ministère de l'économie et des finances, a formulé une série de recommandations afin de renforcer la protection des opérateurs d'importance vitale, préconisations qui n'ont pas été rendues publiques.
Votre rapporteur, qui s'est longuement entretenu avec les auteurs de ce rapport, estime que la sécurité des systèmes d'information des opérateurs d'importance vitale constitue aujourd'hui la principale lacune du dispositif français et qu'il est indispensable qu'elle soit érigée en véritable priorité nationale.
Il importe d'abord de renforcer les échanges entre l'ANSSI et les opérateurs d'importance vitale, sur une base sectorielle.
Les opérateurs d'importance vitale attendent, en effet, de l'Etat des informations sur l'état de la menace, les vulnérabilités et les moyens de protection, alors que l'ANSSI a besoin de connaître l'état de la situation.
Pour votre rapporteur, il conviendrait de rendre obligatoire pour tous les opérateurs d'importance vitale :
- une déclaration d'incident à l'ANSSI dès la détection d'un incident informatique susceptible de relever d'une attaque contre les systèmes d'information ;
- le maintien d'une cartographie à jour des systèmes d'information ;
- une déclaration à l'ANSSI de systèmes de contrôle des processus ou des automates industriels (SCADA) connectés à l'Internet ;
- un audit annuel en matière de sécurité des systèmes d'information , dont les résultats devraient être tenus à la disposition de l'autorité nationale de défense des systèmes d'information ;
- la réduction du nombre de passerelles entre les réseaux et l'Internet et le déploiement de systèmes de surveillance des flux permettant de détecter les attaques informatiques, agréé par l'ANSSI et favoriser le groupement d'opérateurs d'importance vitale autour de systèmes de détection partagés , opérationnels 24 heures sur 24, 7 jours sur 7.
3. Encourager la formation, soutenir la recherche et accentuer la sensibilisation
Il existe en France peu d'ingénieurs spécialisés dans la protection des systèmes d'information et les administrations ainsi que les entreprises rencontrent des difficultés pour en recruter.
D'après les informations recueillies par votre rapporteur, il y aurait dans ce domaine quatre à cinq fois plus d'offres d'emplois disponibles, dans les administrations ou les entreprises, que d'ingénieurs spécialement formés à la sécurité informatique sortant des écoles d'ingénieurs.
Il apparaît donc indispensable d'encourager les écoles d'ingénieurs à développer des formations en matière de sécurité des systèmes d'information.
Plus généralement, la protection des systèmes d'information devrait être une étape obligée dans le cursus de l'ensemble des formations d'ingénieurs ou d'informatique, avec un module spécifique.
Trop d'ingénieurs ou d'informaticiens sortent, en effet, des écoles d'ingénieurs ou d'informatique sans avoir été jamais sensibilisés à l'importance d'assurer la protection des systèmes d'information.
De manière plus générale, il semblerait utile d'inclure une sensibilisation obligatoire dans les écoles formant les cadres de l'administration (comme l'ENA par exemple) et de proposer une telle sensibilisation aux formations de management destinées aux entreprises .
Une autre priorité concerne le soutien à la recherche.
Si la France dispose de centres d'excellence reconnus dans certains domaines clés pour la défense et la sécurité des systèmes d'information, comme celui de la cryptologie ou des cartes à puces, de manière générale, la recherche semble insuffisamment développée en France.
Cela concerne en premier lieu les filières scientifiques, comme l'informatique, mais aussi d'autres disciplines, comme les sciences humaines ou sociales, le droit, la géostratégie, etc.
Notre pays manque ainsi cruellement de laboratoires travaillant sur des sujets clés, essentiels à une réelle maîtrise des enjeux nationaux en termes de sécurité des systèmes d'information.
En dehors de certaines initiatives récentes, telles que la création par l'Institut des hautes études de la défense et de la sécurité nationale (IHEDN), avec le soutien de EADS Cassidian, d'une chaire Castex de cyberstratégie dirigée par le professeur M. François Géré, l'organisation d'un séminaire consacré à la sécurité numérique par l'Institut national des hautes études de la sécurité et de la justice (INHESJ) animé par M. Nicolas Arpagian ou encore l'inauguration, le 2 juillet dernier, de la chaire cyberdéfense des écoles de Saint-Cyr Coëtquidan, en partenariat avec Sogeti et Thales, ce sujet ne semble pas susciter l'attention qu'il mérite de la part des universités, des grandes écoles ou des centres de recherche. Ainsi, on dénombre peu de chercheurs ou de spécialistes de ces questions, même s'il existe quelques experts reconnus, comme MM. Nicolas Arpagian, Olivier Kempf et Daniel Ventre, avec lesquels votre rapporteur s'est d'ailleurs entretenu.
Par ailleurs, notre pays souffre d'un manque de stratégie commune et de l'éparpillement des différents organismes publics de recherche (CNRS, INRIA, CEA-LETI) , qui s'ignorent le plus souvent et d'une coopération insuffisante de ces organismes avec l'ANSSI ou la DGA.
Afin de renforcer la cohérence et l'efficacité de notre dispositif, il semblerait utile que l'Etat fixe des objectifs en matière de recherche et développement en matière de cybersécurité à l'ANSSI, à la direction générale de l'armement ainsi qu'aux autres organismes de l'Etat.
On pourrait également envisager la création d'un budget spécifique de recherche et développement dans ce secteur , de type « budget civil de recherche et développement » (BCRD), qui regroupe l'ensemble des crédits publics consacrés à la recherche civile et au développement technologique, à l'image de ce qui a été fait pour soutenir le Centre national d'études spatiales (CNES).
De même qu'il existe un comité mixte sur l'armement nucléaire, regroupant le Commissariat de l'énergie atomique et les armées, il pourrait être utile de rapprocher l'ANSSI, la DGA, l'INRIA, le CEA-LETI et les laboratoires concernés du CNRS, en créant un comité mixte sur la recherche en matière de protection et de défense des systèmes d'information, ou du moins un comité stratégique visant à coordonner les efforts.
Afin de renforcer la recherche et de rapprocher les différents acteurs publics, mais aussi l'Etat, les entreprises, les universités et les centres de recherches, la création d' une fondation serait actuellement à l'étude.
Cette fondation doit se former sur la base d'un partenariat entre le secteur public et le secteur privé avec un financement mixte provenant de fonds publics et privés. Elle devrait avoir comme premier objectif d'identifier les laboratoires ayant une réelle expertise dans les domaines qui semblent aujourd'hui insuffisamment pilotés et partagés. Cette fondation pourrait également encourager la recherche dans des domaines délaissés jusqu'à présent au niveau national, notamment par le financement de chaires, de bourses de thèses et de post-doctorat, de centres de recherches, de laboratoires, et par la valorisation de cette recherche au travers de séminaires, de formations ou de stages, et de la publication des résultats de ces travaux, le tout dans une optique pluridisciplinaire.
Pour votre rapporteur, la création d'une telle fondation apparaît, en effet, souhaitable , car elle participe à la construction d'une vision prospective, au niveau national, à une meilleure évaluation des risques et des menaces et au renforcement des mesures permettant d'y faire face. Elle contribuera aussi à renforcer la présence et l'influence de la France au niveau international dans un domaine largement dominé actuellement par des laboratoires situés outre-Atlantique.
Il semble également souhaitable d'encourager et de développer le rôle des sociétés privées de conseil et d'assistance en matière de sécurité informatique .
Comme cela a été confirmé à votre rapporteur lors de ses auditions, l'activité des sociétés privées de conseil et d'assistance en matière de sécurité informatique n'est pas encore suffisamment reconnue en France et se heurte toujours à des difficultés juridiques.
La France dispose pourtant de sociétés de conseil en sécurité informatique aux compétences reconnues, à l'image de Sysdream, qui réalise notamment des formations et des audits pour le ministère de la défense et pour de grandes entreprises et dont votre rapporteur a rencontré des représentants.
Comment expliquer, par exemple, que la législation française interdit la communication, même à des fins de conseils aux entreprises ou de recherche, de failles dans les systèmes d'information décelées lors d'une intrusion informatique ?
C'est pourtant le meilleur moyen de sensibiliser une entreprise à assurer une plus grande protection de ses systèmes d'information.
D'ailleurs, certaines entreprises américaines, à l'image de Microsoft ou de Facebook, ne s'y sont pas trompées, en lançant un appel public à tous les « hackers » pour déceler les vulnérabilités de leurs systèmes informatiques, réalisant ainsi gratuitement et à l'échelle mondiale un audit de leur sécurité informatique.
Il semble donc souhaitable de reconnaître, par un système d'agrément ou de label, et d'encourager l'activité de ces sociétés privées de conseil et d'assistance en matière de sécurité informatique, en soutenant leur activité, notamment auprès des entreprises, et en adaptant notre législation.
Plus largement, il conviendrait de renforcer les liens avec la « communauté de hackers » présente en France.
D'après les informations recueillies par votre rapporteur, la « communauté des hackers » serait estimée en France à environ 4 000 personnes. Nombre d'entre eux seraient désireux de mettre leurs compétences et leurs talents au service de notre pays.
Ainsi, selon M. Eric Filiol, directeur du laboratoire de sécurité informatique de l'Ecole supérieure internationale d'administration des entreprises (ESIAE), « il faut chercher les ressources là où elles sont. Chez les hackers que l'on a tendance à diaboliser à l'excès » 57 ( * ) .
Aux Etats-Unis, les « communautés de hackers » sont d'ailleurs largement reconnues et entretiennent des relations étroites avec les autorités chargées de la sécurité des systèmes d'information. On peut ainsi mentionner la communauté de « hackers » « Defcon » , qui compte plus de 12 000 membres aux Etats-Unis et qui entretient des relations avec le département de la défense et l'agence de sécurité nationale (NSA).
La plupart de ces « hackers » ne sont pas, en effet, des « cybercriminels » ou « chapeaux noirs » , mais des personnes capables d'analyser en profondeur un système informatique afin d'y déceler d'éventuelles vulnérabilités.
Leur objectif est de déceler des failles ou vulnérabilités dans les systèmes d'information, non pas dans une intention malveillante, mais au contraire dans un souci de corriger ces failles et renforcer ainsi la sécurité.
La principale motivation de ces « chapeaux blancs » ou « chapeaux gris » est, en effet, la renommée qu'ils peuvent acquérir au sein de leur communauté et auprès du public en publiant le résultat de leurs investigations.
Or, actuellement, notre législation ne permet pas la publication, même à des fins scientifiques, de vulnérabilités décelées à la suite d'intrusions dans les systèmes informatiques, ce qui oblige les « pirates informatiques » français à publier le résultat de leurs recherches dans les revues d'autres pays, notamment aux Etats-Unis, ou lors de conférences de « hackers ».
Comme le souligne M. Eric Filiol, « depuis quatre ans, les avancées majeures en matière de cryptanalyse ne sont plus publiées dans les conférences académiques mais dans les conférences de hackers ». À ses yeux, il existe une véritable fracture en France entre « un monde d'anciens qui administrent mais qui ne comprennent rien à la technique et de jeunes hackers qui maîtrisent mais qui n'administrent pas ».
Enfin, la sensibilisation des usagers et du grand public mériterait d'être renforcée , car, en définitive, la sécurité des systèmes d'information repose pour une large part sur un ensemble de règles de comportements qui relèvent des utilisateurs.
Or, ces règles, que le directeur général de l'ANSSI, M. Patrick Pailloux, qualifie souvent de « règles d'hygiène » élémentaires, sont le plus souvent largement ignorées par la plupart des utilisateurs qui les considèrent comme autant de contraintes.
Ainsi, des règles élémentaires, comme le choix de mots de passe robustes, la non utilisation d'équipements informatiques personnels, comme des ordinateurs portables, des clés USB, des ordiphones ou des tablettes, dans un cadre professionnel, la prudence à l'égard des liens et des pièces jointes contenus dans les courriels, ne sont pas respectées alors qu'elles représentent des conditions essentielles pour la sécurité des systèmes d'information.
Il importe donc de renforcer les mesures de sensibilisation à destination des acteurs, comme du grand public .
L'ANSSI a certes développé une politique de communication, avec, par un exemple un portail Internet consacré à la sécurité informatique 58 ( * ) , un petit guide de sécurité informatique destiné aux collaborateurs des cabinets ministériels ou encore un guide sur la sécurité informatique des systèmes industriels.
On peut également mentionner la création d'un logo spécifique 59 ( * ) , qui vise à renforcer la visibilité de l'ANSSI à l'extérieur :
Mais, ces mesures restent très insuffisantes.
Si la compétence et l'efficacité de l'Agence nationale de sécurité des systèmes d'information sont unanimement reconnues, en France comme à l'étranger, comme votre rapporteur a pu lui-même le constater lors de ses différents déplacements, en revanche, sa notoriété est notoirement insuffisante et sa politique de communication est largement inaudible.
Ainsi, n'est-il pas paradoxal que le portail de la sécurité informatique ou le site Internet de l'agence française de sécurité des systèmes d'information soient aussi ternes et peu attractifs pour les internautes , avec notamment l'absence de tout moteur de recherche et des mises à jour aléatoires ?
Les informaticiens de l'agence sont pourtant réputés être les meilleurs de leur spécialité. Il devrait être relativement simple de rendre le site Internet de l'ANSSI et le portail plus attractifs et plus dynamiques, à l'image de ce qui existe d'ailleurs chez la plupart de nos partenaires étrangers.
De même, on peut regretter l'absence de toute politique de communication de l'agence dirigée spécialement vers les PME , alors même qu'elles sont les plus vulnérables aux attaques informatiques.
L'Agence pourrait, en liaison avec le ministère délégué chargé des PME, de l'innovation et de l'économie numérique, travailler avec les chambres de commerce et d'industrie, relais traditionnels vers les PME.
L'Agence devrait donc améliorer sa politique de communication - qu'il s'agisse des responsables politiques, des administrations, des entreprises ou du grand public. Ainsi, pourquoi ne pas diffuser plus largement la synthèse d'actualité de l'ANSSI sur les incidents informatiques, qui est actuellement envoyée à un nombre très restreint de personnes ?
Les mesures de sensibilisation des utilisateurs mériteraient également d'être fortement accentuées.
Cela passe notamment par l'établissement de chartes à l'usage des utilisateurs au sein des entreprises comme des administrations, par un développement de la communication et de la formation, etc.
Ainsi, il semblerait utile de développer le programme de formation de l'ANSSI et de l'élargir à d'autres publics, notamment issu du secteur privé.
La politique de sensibilisation à destination du grand public ne doit pas non plus être négligée.
De même qu'il existe un plan national de prévention en matière de sécurité routière, pourquoi ne pas imaginer également un plan de communication en matière de sécurité des systèmes d'information ?
Un exemple de mesure de sensibilisation : Les 10 commandements de la sécurité sur l'internet - Tu passeras tes supports amovibles sur une station blanche et tu ne connecteras pas de supports personnels sur une station professionnelle - Tu effaceras toutes les données sensibles inutiles de tes clés USB avant de voyager - Tu rendras compte de toute détection virale aux organismes compétents - Tu vérifieras régulièrement qu'aucun équipement anormal n'est connecté sur ta station professionnelle - Tu utiliseras des mots de passe robustes - Tu ne laisseras pas ton mot de passe accessible - Tu ne communiqueras ton adresse mail professionnelle qu'à des personnes de confiance - Tu vérifieras l'expéditeur des mails que tu reçois - Tu seras vigilant avant d'ouvrir des pièces jointes à un courriel - Tu n'enverras pas de fichier sensible par Internet sans protection |
Enfin, il semblerait souhaitable, aux yeux de votre rapporteur, que les responsables politiques de notre pays, y compris au plus haut niveau de l'Etat, se saisissent des enjeux liés à la sécurité des systèmes d'information afin que ces questions soient portées publiquement et qu'elles ne soient plus réservées uniquement à un petit cercle de spécialistes.
Comme on l'a vu aux Etats-Unis , le Président Barack Obama a fait de la cybersécurité une priorité de son mandat et il s'est fortement investi sur ce sujet en consacrant plusieurs discours aux enjeux liés à la sécurité des systèmes d'information.
De même, au Royaume-Uni , le Premier ministre M. David Cameron est également intervenu à de nombreuses reprises sur ce thème. Il a notamment reçu personnellement les représentants des principaux opérateurs d'importance vitale pour les inciter à renforcer la coopération entre le secteur public et le secteur privé et il a pris l'initiative de réunir une grande conférence internationale à Londres consacrée à la cybersécurité, en novembre dernier.
Pour votre rapporteur, l'importance des enjeux liés à la protection et la défense des systèmes d'information justifie que ces questions fassent l'objet d' une véritable priorité nationale, portée au plus haut niveau de l'Etat.
* 57 Valery Marchive, « Cyberguerre : l'impréparation reste la norme », lemagit, 20 septembre 2011
* 58 http://www.securite-informatique.gouv.fr/
* 59 A titre anecdotique, le logo de l'ANSSI contient un code caché sous forme de chiffres et de lettres que les spécialistes peuvent s'amuser à déchiffrer