HUMEURS / Défenses

CYBERDEFENSE,
LA COMPOSANTE MILITAIRE INDISPENSABLE

Par les députés Bastien Lachaud
et Alexandra Valetta-Ardisson

D’après un Rapport d’information déposé par la commission de la défense nationale et des forces armées en conclusion des travaux d’une mission d’information sur la cyberdéfense, rédigé par les députés Bastien Lachaud et Alexandra Valetta-Ardisson.

Une succession logique de 0 et de 1 au sein d’un code informatique binaire pourra-t-elle demain provoquer autant de dégâts qu’un missile de croisière naval ou qu’un obus tiré par un canon Caesar en rendant inutilisables des équipements, des matériels ou des infrastructures militaires ? Un virus aux effets systémiques, par la désorganisation massive qu’il provoquera, aboutira-t-il à la mort d’êtres humains, y compris des civils ? Comme le souligne la Revue stratégique de cyberdéfense publiée en février 2018 par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) : « Il est probable qu’une attaque informatique de cette nature [actes de blocage ou de sabotage des systèmes informatiques] aura, un jour, des conséquences létales. »

Ce qui pouvait relever hier encore de la science-fiction ou, du moins, de scénarios catastrophes dont on peinait à envisager le caractère réalisable à un horizon prévisible apparaît dorénavant comme une possibilité sérieuse, comme une menace tangible et comme une éventualité stratégique à prendre en considération en termes de doctrine militaire, de conduite des opérations et, plus globalement, d’organisation de la protection et de la résilience de l’ensemble de la société.

Les fondements de notre système de cyberdéfense ont majoritairement été posés dans le cadre des différentes lois de programmation militaire (LPM) adoptées depuis 2009. La prochaine LPM 2019-2025, votée les 27 et 28 juin successivement à l’Assemblée nationale et au Sénat, ne fait pas exception : un chapitre spécifique, le chapitre III du titre II, est consacré à la cyberdéfense.

Il faut souligner que :

• le cyber est par nature une réalité « universelle », globale, qui concerne peu ou prou tous les champs de l’activité sociale, aux niveaux local, national, européen, international.
• il s’agit d’un domaine extrêmement mouvant, en perpétuelle évolution ;
• les analyses menées dans ce domaine se heurtent vite à l’obstacle du secret de la défense nationale ;
• la Revue stratégique de cyberdéfense précédemment évoquée a déjà dressé un panorama très complet de la question, nous ne reviendrons pas sur son contenu.

Cet article s’attache plus particulièrement aux problématiques intéressant la défense, mais pas exclusivement, dès lors que le cyber irrigue tous les domaines et brouille les frontières traditionnelles entre les États, entre les acteurs, entre les secteurs.

De fait, le cyberespace est essentiellement composé d’éléments non militaires. Proportionnellement, seul un petit nombre de systèmes et d’équipements spécifiques est exclusivement de nature militaire les caractérisant comme des cibles légitimes au regard du droit des conflits armés. Dans le cyberespace, le rapport entre cibles militaires et cibles civiles s’inverse, du moins du point de vue quantitatif. Il s’agit là d’une réalité dont il faut tenir compte.

Le cyberespace n’en est pas moins devenu un champ d’affrontement supplémentaire, qui vient s’ajouter aux champs traditionnels : terre, mer, air et espace. Sa spécificité est qu’il existe en tant que tel, mais qu’il est également présent à l’intérieur de ces champs traditionnels, dès lors qu’une cyberattaque peut produire des effets non seulement dans le cyberespace, mais également sur les théâtres physiques.

La dimension cyber est donc dorénavant une dimension à part entière du domaine de la défense. Comme le rappelle le rapport annexé à la LPM 2019-2025 : « En matière de lutte informatique offensive, de nouvelles capacités d’action, intégrées à la chaîne de planification et de conduite des opérations, seront systématiquement déployées en appui de la manœuvre des armées. »

PARMI LES RECOMMANDATIONS de la Commission

Élaborer une loi « cyber »

• Élaborer une loi « cyber » portant sur la globalité des problématiques et des acteurs.

Recouvrer notre souveraineté numérique

• Créer des espaces de stockage souverains nationaux et européens afin de rapatrier et

de stocker les données sensibles dans des territoires sous juridiction nationale ou

européenne.

• Favoriser l’émergence de solutions techniques nationales et européennes de

confiance.

Renforcer la résilience de l’ensemble des acteurs nationaux

• Durcir les dispositifs de prévention et de protection des autorités publiques et diffuser culture et prise de conscience du risque cyber par des actions ad hoc.
• Développer le recours aux bug bounties (1) au sein des autorités publiques.

Consolider une base industrielle et technologique de défense cyber

• Encourager la « cyber solidarité » entre grands groupes et sous-traitants.
• Financer la montée en gamme cyber des sous-traitants par un fonds cyber alimenté par les acteurs de la BITD (2) et une partie des recettes issues des exportations d’armement.
• Établir une cartographie régulièrement mise à jour des entreprises et compétences critiques au sein de la BITD.
• Améliorer la régulation concernant certains produits pour limiter la prolifération de technologies offensives et les risques cyber systémiques.
• Renforcer les capacités propres du COMCYBER (3) en matière d’expertise numérique.
• Renforcer les moyens budgétaires et humains de l’ANSSI (4).
• Soutenir le développement de la cryptographie et du chiffrement et investir, dans le développement de solutions « cyber-offensives ».
• Assurer le maintien en condition de sécurité des matériels d’ancienne génération. Ajuster la « ressource humaine cyber »

Soutenir la coopération internationale, par le partage des données et de l’analyse des

menaces, l’approfondissement et la conclusion d’alliances.

(NDLR :Les extraits et notes complémentaires sont de la Rédaction d’ESPRITSURCOUF)

• Un bug bountyest un programme proposé par de nombreux sites web et développeurs de logiciel qui permet à des personnes de recevoir reconnaissance et compensation après avoir reporté des bugs, surtout ceux concernant des exploits et des vulnérabilités. Ces programmes permettent aux développeurs de découvrir et de corriger des bugs avant que le grand public en soit informé, évitant ainsi des abus. Les premiers  bugs bounty ont été mis en place par de grandes sociétés américaines, en particulier les GAFA

(2)  On divise traditionnellement la BITD (Base industrielle et Technologique de Défense)  d’un pays en trois groupes d’entreprises :

• Ceux qui produisent des équipements stratégiques, à savoir le matériel militaire à proprement parler (systèmes d’armes et équipements létaux).
• Ceux qui fournissent des produits stratégiques non létaux mais permettant le fonctionnement des équipements de l’armée nationale, comme le carburant.
• Ceux qui fournissent toutes sortes de produits qu’utilisent les armées, comme les médicaments, les vivres.

Au sein de l’Union européenne par exemple, certains Etats membres , dont la France, militent pour le renforcement de la  BITD de l’Union Européenne

• Le Commandement de la cyberdéfense(COMCYBER), placé sous l’autorité du Chef d’Etat-Major des armées rassemble à compter du 1^er janvier 2017 l’ensemble des forces de cyberdéfense des armées françaises sous une même autorité opérationnelle, permanente et interarmées. Le COMCYBER est responsable de la protection des systèmes d’information placés sous la responsabilité du chef d’état-major des armées, de la conduite de la défense des systèmes d’information du ministère (à l’exclusion de ceux de la DGSE et DRSD) et de la conception, de la planification et de la conduite des opérations militaires de cyberdéfense, sous l’autorité du sous-chef d’état-major “opérations”. Il est également responsable de la préparation de l’avenir et de la politique RH du domaine cyber.

Le COMCYBER assiste et conseille le ministre des Armées dans son domaine de compétence. Il dispose d’un état-major (EM-CYBER) avec un centre des opérations CYBER (CO-CYBER). Basé à Paris et disposant d’une antenne à Rennes, l’état-major est resserré et structuré en 3 pôles.

• L’Agence nationale de la sécurité des systèmes d’information(ANSSI) est un service français créé par décret en juillet 2009. Ce service à compétence nationale est rattaché au  Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d’assister le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale.

SUR CE SUJET VOUS POUVEZ AUSSI CONSULTER :

FOCUS

• Du N° 29 Cybersécurité, Cyberdéfense « La cybersécurité prise en charge par l’Etat »
• Du N°30  Cybersécurité, Cyberdéfense « Les sociétés de service : Risques pour les entreprises françaises ?
• Du N° 72 Innovation – Transformation numérique

VIDÉOS

• N°55 Souveraineté numérique
• N°72 les combattants du numérique

Pour rester indépendant et objectif, 
nous ne recevons aucune subvention.
Seules vos cotisations ou vos dons nous permettent d'exister

Vous jugez intéressant et utile ESPRITSURCOUF
Soutenez espritcors@ire
Cotisation: 50€,soit 17€ net fiscal
Jeune ,étudiant: 20€ soit 6,80€ net fiscal
en cliquant ICI