Cyberdéfense française : quelles nouvelles du Front ?

En février 2018, deux documents majeurs concernant pour tout ou partie la stratégie de la France en matière de cyberdéfense ont été publiés : la Revue stratégique de cyberdéfense par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et le projet de loi de programmation militaire 2019-2025 (PLPM) par le Ministère des Armées. Si ce projet – composé d’un document de 49 pages établissant une programmation pluriannuelle des dépenses de l’État en matière militaire et d’un rapport annexé de 65 pages fixant les orientations relatives à la politique de défense et traçant une trajectoire de programmation des moyens militaires pour la période 2019-2025 – concerne l’ensemble de la chose militaire, il s’avère réserver une place particulière à la question de la cyberdéfense.

Ainsi, le budget consacré à la lutte dans le cyberespace s’élèvera à 1,6 milliards d’euros d’ici 2025. L’article 3 du PLPM met l’accent sur le « développement de la résilience ‘cyber' ». L’article 5 concrétise cette volonté en mentionnant une « trajectoire de 3 000 emplois supplémentaires [dans le domaine du renseignement et de la cyberdéfense] (…) sur la période 2019-2023 » soit, précise le rapport, une « trajectoire totale des effectifs [qui] s’élèverait à 6 000 postes supplémentaires » sur la durée de la présente LPM.

Ces cyber combattants seront intégrés au sein du commandement de la cyberdéfense (ComCyber) créé en septembre 2017 et placé sous l’autorité directe du chef d’état-major des armées, le général de division Olivier Bonnet de Paillerets. Une montée en puissance saluée par la ministre des armées, Florence Parly, lors du forum international de la cybersécurité co-organisé par la Gendarmerie en janvier 2018 :

Au cours des 7 derniers mois, la France a renouvelé et réaffirmé son ambition cyber. Nous consoliderons les missions de protection, de défense et d’actions offensives. Nous créerons un outil de cybercombat, pour pouvoir répondre à chaque instant à toute attaque sur nos intérêts nationaux. Nous mettrons en place une posture permanente de cyberdéfense autour du commandement cyber. Cette posture permanente montre notre détermination et envoie un signal à nos adversaires.

Une grande partie des unités dédiées à la cyberdéfense seront regroupées sur le pôle de Rennes. La ville, qui se spécialise sur la sécurité numérique, accueille déjà la nouvelle brigade numérique de la gendarmerie ainsi que la Délégation générale des l’armement – Maîtrise de l’information (DGA-MI).

La revue stratégique de cyberdéfense, s’attarde quant à elle sur l’organisation cyber militaire à la française. Ses auteurs préviennent : « S’il n’est pas compensé par une très forte coordination entre ses pôles défensif et offensif, le modèle français peut présenter en termes d’efficacité, l’inconvénient d’une bipolarité trop fortement assumée”. Ils ajoutent :

Nonobstant les avantages qu’il présente, notre modèle manque encore d’une confirmation de ses principes de bases, d’une description précise de sa gouvernance, d’une clarification de son organisation opérationnelle, ainsi que d’une meilleure prise en compte des objectifs liés aux missions de renseignement et aux actions judiciaires. Il exige, enfin, pour être plus efficace et cohérent, une plus grande fluidification des échanges au sein de la communauté de la cyberdéfense.

Au delà de l’investissement pour la formation et le recrutement qu’impose la nécessaire montée en puissance des pouvoirs publics sur la question cyber, les armées sont, comme l’administration, soumis aux impératifs qu’induit la transformation numérique. Il s’agit alors, non seulement d’organiser une véritable filière de ressources humaines dans ce domaine de compétence mais également d’accentuer recours au privé. L’article 19 du PLPM prévoit d’insérer un nouvel article dans le code des postes et des communications électroniques

afin d’autoriser les opérateurs de communications électroniques, pour les besoins de la défense et de la sécurité des systèmes d’information, à mettre en place des dispositifs permettant, à partir de marqueurs techniques, de détecter les événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés. Lorsqu’elle aura connaissance d’une menace, l’autorité nationale de sécurité des systèmes d’information pourra demander à ces opérateurs d’exploiter les marqueurs d’attaque informatique qu’elle leur fournira.

L’autorité pourra recevoir communication de l’existence des événements susceptibles d’affecter la sécurité des systèmes d’information détectés par les opérateurs de communication électronique. Enfin, dans le cas de vulnérabilités ou de compromissions dont elle aurait connaissance, elle pourra imposer aux opérateurs de communications électroniques d’alerter leurs abonnés, utilisateurs ou détenteurs des systèmes d’information affectés.

Si les mots sont pesés, l’article dispose néanmoins que les pouvoirs publics vont s’appuyer sur les entreprises pour identifier ou prévenir les attaques. Ce qui n’est pas sans interroger sur la perspective commerciale qu’offre ce projet de loi aux opérateurs : l’étude d’impact du PLPM parle d’un texte qui donnerait à ces derniers « la capacité de fournir à leurs clients un flux sécurisé de données », en d’autres termes, un Internet « nettoyé ».

Ce rôle de cyber pompier (pour reprendre l’expression de l’excellent article de L’Essor) échoit à Guillaume Poupard, le directeur de l’Agence nationale de sécurité des systèmes d’information (ANSSI), à lui le défensif, aux armées (et aux services de renseignements) l’offensif. Cette tendance est confirmée par la publication, au Journal officiel daté du 27 février 2018, de la loi transposant la directive européenne du 6 juillet 2016 sur la sécurité des réseaux et des systèmes d’information (network and information security – NIS). Ce texte prévoit que les opérateurs dits de « services essentiels » (OSE), vont devoir appliquer les règles de cybersécurité élaborée par l’ANSSI. Ces opérateurs, désignés par le Premier Ministre, sont définis comme « offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services ». Autrement dit, la loi va élargir le dispositif de sécurité informatique mis en place depuis 2013 en France portant sur 230 opérateurs d’importances vitales (OIV) « qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation ».

869_4

En permettant la diffusion globale et immédiate d’une information comme d’une menace, les technologies numériques ont non seulement modifié les perceptions des limites géopolitiques de l’Etat-Nation mais également les conditions de leur défense. Le risque n’est plus seulement physique, il est aussi virtuel. Ce renforcement des moyens alloués à la cyberdéfense s’inscrit donc dans une volonté de protection du territoire national, de ses réseaux et de ses infrastructures connectées. Cette tendance suppose, dans le même temps, une accentuation du contrôle a priori et induit une immixtion des questions de sécurité extérieure dans les problématiques de sécurité intérieure. C’est ce que le chercheur Didier Bigo nomme le « nexus de sécurité ». Il écrit :

En terme organisationnel, le contrôle (…) s’exerce avant tout en amont (…) En terme technologique le filtrage suppose de plus en plus une acceptation des mécanismes de surveillance à distance (…) Les traces laissées lors du voyage/passage des corps, des paroles exprimées au téléphone, sont censées individualiser et sérier les individus et découvrir parmi eux les indésirables. (…) Le nexus actuel vit de cette tension permanente entre la réassurance d’un savoir et de techniques permettant d’assurer une sécurité prévenant la catastrophe, le crime, l’indésirable, et son fonctionnement chaotique fusionnant à tort des catégories et distinguant à tort aussi ce qui ne devrait pas l’être ; bref fonctionnant à l’arbitraire, à l’ambiguïté et non à la réduction de l’incertitude à son point minimal par une gouvernementalité fonctionnelle du risque.

Plus qu’une idée présidant à l’organisation de dispositifs de protections, le nexus de sécurité apparaît comme le « système justificatif d’une gouvernementalité (…) de l’inquiétude » et le chercheur de mettre en garde :

La question est posée de la prolongation des tendances observées. La pratique de présenter la technologie informatique-biométrique-prédictive comme une solution semble profondément enracinée dans les pratiques discursives des hommes politiques, mais la gestion aéroportuaire ou des demandeurs d’asile en montre les limites pratiques. Les déceptions ou révoltes peuvent être à hauteur des illusions actuelles des experts. La gestion du risque est certainement un élément central des sociétés contemporaines, y compris dans sa dimension préventive, mais la caricature du discours préventif/prédictif du précrime en matière sécuritaire, si on le rapporte aux savoirs médicaux ou environnementaux, peut se retourner en une crise profonde de légitimité de l’ensemble des institutions de sécurité qui usent et abusent d’une rhétorique de prédiction.        

Autrement dit, selon Didier Bigo, la généralisation et la systématisation de la surveillance au nom du principe de précaution, « cette gouvernementalité parfois présentée comme inéluctable, comme résultat d’un processus de routinisation de l’exceptionnel, inscrit dans une temporalité de l’exception », pourraient, en privant le citoyen de « ses vies politiques », menacer les principes qui président au bon fonctionnement démocratique.

Une réflexion au sujet de « Cyberdéfense française : quelles nouvelles du Front ? »

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s