21/11/2013 Marc Watin-Augouard Général d'armée (2S) - Fondateur du Forum International de la Cybersécurité et Directeur du centre de recherche de de l'EOGN
LE CERCLE. Cette convergence entre le public et le privé ne peut s’envisager sans une politique industrielle qui fasse émerger des "géants", si possible français, aux moins européens, car la seule question de la souveraineté est essentielle, sauf à accepter une domination américaine ou chinoise.
Seul espace entièrement créé par l’homme, le cyberspace est, comme tous les autres, porteur de liberté, de richesses, de croissance, mais il est aussi l’objet de convoitise de la part des prédateurs. Ces derniers, délinquants, terroristes, mercenaires, guerriers, ont compris que le rapport risques/profits leur est plus que jamais favorable. Nul besoin d’être puissant pour faire du fort un faible et du faible un fort.
Dans ce contexte, notre société, désormais modelée par le "tout numérique", ne peut laisser le champ libre aux pirates, aux bandits "des grands chemins de l’internet". La prise de conscience a été lente : nous avons progressé à tous petits pas à partir des années quatre-vingt-dix. Le Livre Blanc de 2008 marque le passage au trot. Désormais, il faut adopter le grand galop, s’il le faut avec l’aide d’éperons et de cravaches ! Nous n’avons pas le choix ! Soyons-en conscients : nous ne vivons pas une évolution, ni une révolution, mais une métamorphose de notre société. La chrysalide devient papillon.
Nous ne pouvons avoir recours aux modèles, organisations, modes d’action, qui ont prouvé leur efficacité dans le passé. Si nous ne sommes pas au rendez-vous, nous serons une "colonie du numérique", pour reprendre le titre d’un récent rapport sénatorial. Pire, nous serons les "esclaves du numérique". Cet impératif résulte du constat contemporain, mais il doit tenir compte de ce que nous réserve un avenir proche avec notamment l’interconnexion des objets, l’inscription de chaque individu dans une "bulle informationnelle" qui agrège l’ensemble des données à caractère personnel. Tout cela sera possible, car le nombre d’adresses IP permettant les connexions va passer de 4,3 milliards à 340 milliards de milliards de milliards de milliards. Chaque grain de sable du désert pourrait ainsi avoir une adresse…
Le récent Livre Blanc donne un sérieux coup d’accélérateur, notamment dans le domaine de la cyberdéfense, avec sa consécration législative inscrite dans la loi de programmation militaire. Pour la première fois, il reconnaît qu’une cyberattaque peut être un acte de guerre et ainsi justifier une riposte au titre de la légitime défense. La structuration de la cyberdéfense constitue une avancée au regard de la sécurité des systèmes mis en œuvre par les opérateurs des infrastructures critiques civiles et militaires.
Mais la cybersécurité ne se cantonne pas à la cyberdéfense et cette dernière n’est pas seulement la cybersécurité du ministère de la Défense. La cybersécurité concerne aussi tous les autres acteurs : administrations, collectivités territoriales, entreprises, particuliers, etc. qui doivent prendre une "cyberposture", car la chaine est souvent trahie par son maillon le plus faible. Il importe donc d’opérer une mobilisation générale, car chacun est un acteur de la cybersécurité, ne serait-ce qu’en adoptant des règles "d’hygiène informatique", selon l’excellente expression de Patrick Pailloux, directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
La cybersécurité repose sur un tryptique : la sécurité des systèmes d’information (intégrité, disponibilité, confidentialité), les mesures à la charge des utilisateurs (administrations, entreprises) la lutte contre la cybercriminalité et la cyberdéfense. Le continuum défense-sécurité est particulièrement affirmé dans le cyberespace. En effet, contrairement à ce que certains affirment, une cyberattaque relevant de la cyberdéfense relève du droit pénal tant que le droit des conflits armés n’est pas mis en œuvre. Il n’y a pas de distinction entre le "champ de bataille" et les "quartiers sensibles". Les prédateurs empruntent les mêmes voies, utilisent les mêmes armes.
Par exemple, une attaque par déni de services peut être le fait de délinquants qui cherchent un profit en opérant un chantage sur un opérateur de vente en ligne, de terroristes qui veulent désorganiser les secours simultanément à un attentat, ou le fait d’agresseurs qui veulent atteindre un État. Ce qui permet de qualifier une attaque, c’est son intention, sa complexité, la nature de la cible, le mobile poursuivi. Le continuum exige donc une coopération étroite entre les différents acteurs régaliens, civils ou militaires.
Ainsi, l’ANSSI, la composante cyberdéfense de l’état major des armées, les services de police et les unités de gendarmerie, les services de renseignement, etc. ont l’obligation de coopérer, car la complexité des atteintes au cyberespace nécessite la mobilisation de toutes les compétences, une plus grande transversalité.
La coopération ne se limite pas aux acteurs régaliens. La cybersécurité repose aussi sur des acteurs privés, opérateurs, intégrateurs, prestataires de services, etc. Il existe un secteur privé de la cybersécurité qu’il conviendrait de reconnaître au travers de la loi de 1983 relative aux activités privées de sécurité. Ces acteurs sont, dans une certaine mesure, des collaborateurs du service public. Dans le domaine de la cybersécurité, il faut s’attendre à ce que la part régalienne de l’offre de sécurité devienne minoritaire.
Cette convergence entre le public et le privé ne peut s’envisager sans une politique industrielle qui fasse émerger des "géants", si possible français, aux moins européens, car la seule question de la souveraineté est essentielle, sauf à accepter une domination américaine ou chinoise. Cette souveraineté est tributaire d’une capacité de recherche et développement qui garantisse une meilleure indépendance au regard des innovations technologiques. Elle repose également sur un effort en matière de formation, car les acteurs publics comme les acteurs privés sont aujourd’hui confrontés à une pénurie en matière de ressources humaines dans les domaines liés aux technologies numériques.
La gendarmerie a compris très tôt quels étaient les enjeux du cyberespace, ne serait-ce que parce que son maillage ressemble fortement à la "toile du net". L’architecture du réseau Rubis, conçu dans les années quatre-vingt, a pris le pari du numérique et de la convergence voix-image-texte. La prise en compte de la cybercriminalité remonte à la même époque, alors que le Parlement votait la loi Godfrain, relative aux atteintes aux systèmes de traitement automatisé de données.
Aujourd’hui, la communauté N’TECH s’appuie sur plus de mille gendarmes, renforcés par des réservistes opérationnels et citoyens (dont certains appartiennent au réseau des réservistes cyberdéfense). Le pôle "police judiciaire" développé notamment autour de l’Institut de recherche criminelle (IRCGN) et du Service technique de recherches judiciaires et de documentation (STRJD) témoigne de la volonté d’adapter l’organisation. La nomination récente d’un conseiller "cybersécurité" auprès du directeur général reflète la prise en compte du caractère stratégique de l’action qui se développe.
Mais il faut aller encore beaucoup plus loin ! En effet, la cybercriminalité est la criminalité du XXIe siècle. À l’origine, lorsque seul dominait le secteur primaire agricole, les prédateurs s’en prenaient aux personnes : Cain tuait Abel… Meurtres, assassinats, agressions, enlèvements, esclavages constituaient l’essentiel des transgressions. L’apparition du secteur secondaire, avec les produits manufacturés, a entrainé un glissement vers les atteintes aux biens. Voler, détruire, receler offre un meilleur rapport profit/risque pénal.
Puis, le secteur tertiaire, lié aux services a ouvert le champ de la délinquance intelligente en "col blanc". Escroqueries, blanchiment, fraudes, faux, etc., sont des infractions complexes plus difficiles à combattre par les enquêteurs et la justice. Un nouveau glissement a été observé au travers de l’émergence de la délinquance économique et financière.
Aujourd’hui, le "tout numérique" délimite un secteur quaternaire, celui de l’immatériel. Là encore, un transfert s’observe, car, dans le cyberespace, la victime n’a jamais été aussi près de son agresseur, ce dernier n’ayant jamais été aussi éloigné de son juge. La cybercriminalité est un domaine où le "chiffre noir" est très important. Les victimes ignorent souvent qu’elles ont été attaquées.
La lutte est à armes inégales, car, faute d’un droit international universel, le droit national n’est pas adapté à des phénomènes par nature transfrontaliers. La vitesse et l’adaptation permanente du cybercrime heurtent la lenteur de la procédure et de l’entraide judiciaire. Si les institutions, dont la gendarmerie, ne prennent pas immédiatement le virage, le dérapage est assuré avec un risque majeur d’incapacité de l’état à assurer la première des fonctions régaliennes.
C’est pourquoi la lutte contre la cybercriminalité ne peut être exclue du champ de sécurité nationale, ne serait-ce que dans le haut du spectre. La gendarmerie doit donc poursuivre ses efforts dans un contexte budgétairement difficile. Cela passe notamment par une formation accrue de tous les militaires, officiers et sous-officiers, un recrutement plus important de scientifiques et une démarche prospective anticipant les conséquences positives et négatives de nouvelles technologies sur les pratiques professionnelles.