Les Etats-Unis ? « La grosse Bertha », avec un budget de 50 milliards de dollars. La Grande-Bretagne et l’Allemagne ? « Meilleurs que nous ». Jean-Marie Bockel, sénateur UCR, n’y va pas par quatre chemins quand il présente son rapport titré « La cyberdéfense : un enjeu mondial, une priorité nationale » et les cinquante recommandations qu’il contient. Car, qu’on ne s’y trompe pas, la cyberdéfense est une affaire de « sécurité et de souveraineté » nationale.
Le rapporteur sénatorial définit les choses d’emblée. Une vision souverainiste qui explique sans doute que Jean-Marie Bockel balaie rapidement la question d’une action conjointe européenne – « L’Europe a un rôle à jouer ». Le sénateur pense que la solution se trouve plus du côté de « coopérations binationales », au-delà, les choses deviennent trop compliquées, la confiance n’y est plus.
Besoin d’une prise de conscience du pouvoir
Et puis la France a ses spécificités à entretenir. Un Etat fort et une structure dédiée, l’Anssi (Agence nationale de la sécurité des systèmes d’informations), qui fonctionne bien, faisant le pont entre défense et exécutif. Une agence que Jean-Marie Bockel recommande de renforcer en termes de moyens et d’effectifs et aussi en termes de prérogatives.
Mais il faut également que le président de la République s’investisse dans ce débat et qu’il prenne des positions fortes, selon le sénateur. Un peu comme « Barack Obama qui s’exprime lui-même sur le sujet ». La cyberdéfense ne peut être prise au sérieux que si l’Elysée le veut. Et les enjeux sont nombreux dans ce domaine, que ce soit au niveau de la souveraineté, mais également d’un point de vue économique.
De la cyberdéfense au protectionnisme
Des enjeux qui peuvent impliquer des choix assimilables à du protectionnisme. Comme les Etats-Unis l’ont fait en bannissant certains équipementiers chinois (Huawei et ZTE) jugés peu fiables, la France pourrait avoir à faire des choix similaires. Quitte à assumer de retenir un acteur plus sûr, français, tel qu’Alcatel-Lucent, ou européen, comme Nokia Siemens. C’est en tout cas un argument qui peut-être avancé dans le cadre d’une négociation internationale, avance le sénateur du Haut-Rhin.
Mais l’enjeu économique ne passe pas uniquement par les risques d’espionnage, même si Jean-Marie Bockel rappelle que le ministère de l’Economie et des Finances a été longuement cyberattaqué et que la Chine est peut-être derrière tout ça. Pour lui, il y a un fort besoin d’évolution, d’information et de formation. Il est nécessaire qu’on « progresse sur le plan doctrinal ». Autrement dit, il est nécessaire de réfléchir à notre cyberdéfense nationale et de former des personnes capables de la mettre en place.
Pour autant, le tableau n’est pas totalement noir. « On n’est plus dans l’état de grande faiblesse dans lequel on était il y a trois ou quatre ans. » Mieux, « on est respectés et considérés comme plutôt bons » par les acteurs qui comptent, les trois pays susnommés en tête. Et de résumer les choses ainsi : « on n’est pas des manchots… », où les points de suspension en disent beaucoup malgré une fierté évidente. La formule reviendra en tout cas à plusieurs reprises au cours de la présentation du rapport devant la presse.
Hygiène élémentaire
Il est nécessaire qu’il y ait une prise de conscience, que l’habitude soit prise d’une « hygiène élémentaire » en matière de cybersécurité, pour reprendre la formule de Patrick Pailloux, directeur général de l’Anssi. Pour cela, il faut imposer des obligations de sécurité, même aux PME, qui ont tout intérêt à se protéger. Des obligations qui ne seront pas accompagnées d’aides financières, pas plus que de sanctions. « Jouer au père fouettard ne fait pas de sens », rassure Jean-Marie Bockel.
La cybersécurité doit devenir quelque chose de naturel, un réflexe. Il faut « changer d’état d’esprit. On n’est pas mauvais parce qu’on est attaqué, mais c’est mauvais de ne rien faire si on l’est », scande didactique le rapporteur. Un gros travail d’évangélisation semble se dessiner à l’horizon, là où certaines TPE/PME ont difficilement passé le cap de l’Internet. Et Jean-Marie Bockel de préciser : « A aucun moment le message n’est : mettons le pied sur le frein à l’évolution de la société numérique. » On s’en doutait.
Cyberdéfense et cyberoffensive
Mais quelle est ou devrait être la position de l’Etat, chargé de la cyberdéfense, en cas de cyberattaque sur des entreprises de petite ou de grande taille, comme ça a été le cas d’Areva récemment ? Après avoir précisé que ce n’était pas à lui, sénateur, de définir la politique en la matière, Jean-Marie Bockel lâche tout de même sur le ton de l’évidence : « On a un panel de réponses. Mais elles sont de natures différentes selon les attaques. » Et de donner un exemple : « piller les fleurons de notre économie est gravissime », mais « c’est très différent d’une attaque qui arrêterait nos hôpitaux ». Une différence entre l’essentiel et le vital, définit par une liste officielle déjà existante, qui, selon son rapport, devrait être repensée et réadaptée.
« Pour se protéger, il faut savoir montrer les dents », continue-t-il, pour autant, la France, contrairement aux Etats-Unis, ne semble pas prête à répondre à une cyberattaque par une frappe conventionnelle. Comprendre envoyer l’armée après une attaque venant de l’étranger… Qu’en est-il des capacités de cyberoffensive de la France dans ce cas ? Après quelques secondes de réflexion, Jean-Marie Bockel répond : « Mon sentiment en termes de cyberoffensive est qu’on n’est pas manchot, mais pas assez structuré. »
Une situation appelée à changer si le Gouvernement, malgré la situation de crise, prend le problème à bras-le-corps. Mais le changement pourrait bien être déjà en route dans l’Hexagone. Au début du mois de juillet, une chaire de cyberdéfense a été inaugurée dans la prestigieuse école militaire de Saint-Cyr Coëtquidan. Un grand pas en matière de structuration, s’il en est…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.