19 mai 2011 sgdsn.gouv.fr
La France n’est pas en guerre mais, comme d’autres nations, la France est attaquée. Durement, quotidiennement, par des individus ; des organisations mafieuses ou terroristes, des États. Visant des systèmes d’information d’entreprises, des pouvoirs publics ou d’organisations internationales, des attaques informatiques ont lieu afin de dérober des informations sensibles tandis que les ordinateurs de milliers de nos compatriotes sont pénétrés pour être intégrés dans des réseaux de machines loués pour des envois massifs de courriels frauduleux ou pour l’attaque en disponibilité de sites internet.
Ces attaques contre les systèmes d’information restent le plus souvent invisibles du grand public et des médias. Elles n’en sont pas moins une atteinte grave aux libertés individuelles des Français, à notre prospérité, à notre sécurité.
Or les systèmes d’information sont partout dans nos vies : dans nos téléphones, nos ordinateurs, nos voitures, les étiquettes des produits ou les appareils médicaux. Demain, par les progrès de la robotique et le croisement des bio et nanotechnologies, ils seront présents dans une multitude d’objets autonomes, minuscules et interconnectés qui pourront être manipulés à distance à travers le cyberespace.
Si les progrès scientifiques et techniques portés par les technologies de l’information participent à notre confort et renforcent la compétitivité des entreprises, la nature duale de leur développement nécessite que les États anticipent et analysent les menaces et les risques qui les accompagnent afin de remplir leur première mission : assurer la défense et la sécurité de leurs citoyens.
La France agit et le Gouvernement a engagé depuis quelques années un renfort significatif des capacités nationales en matière de cyberdéfense. Le Livre blanc sur la défense et la sécurité nationale paru en 2008 identifie les attaques informatiques de grande envergure contre les infrastructures nationales comme une des menaces majeures pour la France. En application du Livre blanc, une agence nationale de la sécurité des systèmes d’information (ANSSI), rattachée au SGDSN, a été créée.
Récemment, une stratégie de sécurité des systèmes d’information a été arrêtée au plus haut niveau de l’État. Elle a été rendue publique le 15 février 2011 sous la forme d’un document publié à l’attention de tous qui énonce les quatre objectifs de la France en ce domaine.
Le premier objectif est de placer notre pays aux premiers rangs mondiaux en matière de cybersécurité. Le cyberspace, bien que dépendant d’infrastructures physiques, permet une transgression furtive des frontières propice au développement d’activités illicites. L’utilisation par rebonds d’ordinateurs compromis situés à des milliers de kilomètres permet à un attaquant de masquer son identité, sa nationalité. Aussi, la cybersécurité repose sur la coopération internationale, tant en matière de sécurité des systèmes d’information, que de cyberdéfense ou de lutte contre la cybercriminalité. Le deuxième objectif est de garantir à notre pays sa liberté de décision et d’action par la protection de l’information de souveraineté. Comme dans le monde matériel, des puissances étrangères cherchent à obtenir des informations dont la compromission pourrait affecter notre patrimoine, notre sécurité ou notre défense. La France doit donc maintenir et développer ses ressources en matière de cryptographie et de conception de produits de sécurité. Elle doit également disposer de moyens de communications résilients et sécurisés au service des décideurs publics et des forces armées.
Le troisième objectif est de protéger les systèmes d’information des entreprises et les infrastructures numériques qui soutiennent la vie économique de notre pays, peuvent participer à sa défense ou sont essentiels à la vie et à la santé de nos compatriotes. En temps de paix, certains de ces « opérateurs d’importance vitale » font l’objet de tentatives d’espionnage informatique, cause d’appauvrissement national. En cas de conflit armé, ils seraient une cible pour un ennemi qui chercherait à perturber ou à stopper l’activité de ces opérateurs.
Le quatrième objectif, enfin, tend à renforcer la sécurité de la société de l’information. En ce domaine, les administrations doivent se montrer exemplaires dans leurs relations avec les usagers via le cyberespace. Notre droit doit être pleinement appliqué au numérique et la lutte contre la cybercriminalité renforcée, notamment par l’accroissement de l’entraide judiciaire internationale. Enfin l’État doit jouer un rôle de sensibilisation et d’information, particulièrement à destination des petites et moyennes entreprises et du grand public.
Ces quatre objectifs constituent pour la France un défi majeur à relever dans les années à venir pour sa sécurité, son rayonnement et son développement dans la société de l’information.