Une succession logique de 0 et de 1 au sein d’un code informatique binaire pourra-t-elle demain provoquer autant de dégâts qu’un missile de croisière naval ou qu’un obus tiré par un canon Caesar en rendant inutilisables des équipements, des matériels ou des infrastructures militaires ? Un virus aux effets systémiques, par la désorganisation massive qu’il provoquera, aboutira-t-il à la mort d’êtres humains, y compris des civils ? Comme le souligne la Revue stratégique de cyberdéfense publiée en février 2018 par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) : « Il est probable qu’une attaque informatique de cette nature [actes de blocage ou de sabotage des systèmes informatiques] aura, un jour, des conséquences létales. »

Ce qui pouvait relever hier encore de la science-fiction ou, du moins, de scénarios catastrophes dont on peinait à envisager le caractère réalisable à un horizon prévisible apparaît dorénavant comme une possibilité sérieuse, comme une menace tangible et comme une éventualité stratégique à prendre en considération en termes de doctrine militaire, de conduite des opérations et, plus globalement, d’organisation de la protection et de la résilience de l’ensemble de la société.

L’intérêt et la compétence de la commission de la Défense nationale et des forces armées pour le « sujet cyber » sont légitimes car les fondements de notre système de cyberdéfense ont majoritairement été posés dans le cadre des différentes lois de programmation militaire (LPM) adoptées depuis 2009. La prochaine LPM 2019-2025, votée les 27 et 28 juin successivement à l’Assemblée nationale et au Sénat, ne fait pas exception : un chapitre spécifique, le chapitre III du titre II, est consacré à la cyberdéfense.

Il était donc naturel que la commission s’empare de ce sujet à l’occasion d’un travail de plus long cours que celui effectué, sous des délais forcément contraints et sur des dispositifs ciblés, à l’occasion de l’examen du projet de loi de programmation militaire 2019-2025. Il convient toutefois d’effectuer deux remarques à titre liminaire.

En premier lieu, le présent rapport ne prétend pas à l’exhaustivité, et ce pour plusieurs raisons :

• le cyber est par nature une réalité « universelle », globale, qui concerne peu ou prou tous les champs de l’activité sociale, aux niveaux local, national, européen, international. Il dépasse donc le champ de compétence d’une seule commission ;
• il s’agit d’un domaine extrêmement mouvant, en perpétuelle évolution ;
• ainsi que les rapporteurs ont pu le constater très rapidement et très directement, les analyses menées dans ce domaine se heurtent vite à l’obstacle du secret de la défense nationale ;
• la Revue stratégique de cyberdéfense précédemment évoquée a déjà dressé un panorama très complet de la question, et il était évidemment inutile de « doublonner » le travail déjà effectué dans ce cadre.

Face à un sujet inépuisable, les rapporteurs ont donc pris le parti de centrer leur analyse en insistant sur un certain nombre de points qui ont particulièrement retenu leur attention.

En second lieu, ce rapport n’a naturellement pas vocation à constituer le vade-mecum de référence du parfait cyber-attaquant ou du parfait cyber-défenseur. Les rapporteurs n’entreront donc pas dans des considérations excessivement techniques puisque tels ne sont ni la vocation, ni l’intérêt de leur travail.

S’agissant d’un rapport d’information élaboré au nom de la commission de la Défense, les rapporteurs s’attacheront certes plus particulièrement aux problématiques intéressant la défense, mais pas exclusivement, dès lors que le cyber irrigue tous les domaines et brouille les frontières traditionnelles entre les États, entre les acteurs, entre les secteurs.

De fait, le cyberespace est essentiellement composé d’éléments non militaires. Proportionnellement, seul un petit nombre de systèmes et d’équipements spécifiques est exclusivement de nature militaire les caractérisant comme des cibles légitimes au regard du droit des conflits armés. Dans le cyberespace, le rapport entre cibles militaires et cibles civiles s’inverse, du moins du point de vue quantitatif. Il s’agit là d’une réalité dont il faut tenir compte.

Le cyberespace n’en est pas moins devenu un champ d’affrontement supplémentaire, qui vient s’ajouter aux champs traditionnels : terre, mer, air et espace. Sa spécificité est qu’il existe en tant que tel, mais qu’il est également présent à l’intérieur de ces champs traditionnels, dès lors qu’une cyberattaque peut produire des effets non seulement dans le cyberespace, mais également sur les théâtres physiques.

La dimension cyber est donc dorénavant une dimension à part entière du domaine de la défense. Comme le rappelle le rapport annexé à la LPM 2019-2025 : « En matière de lutte informatique offensive, de nouvelles capacités d’action, intégrées à la chaîne de planification et de conduite des opérations, seront systématiquement déployées en appui de la manœuvre des armées. »

(1) Militaire, baron de l’Empire, historien et théoricien de la stratégie militaire.

SYNTHÈSE DES RECOMMANDATIONS  

Élaborer une loi « cyber »

● Élaborer une loi « cyber » portant sur la globalité des problématiques et des acteurs.  

 
Recouvrer notre souveraineté numérique

● Créer des espaces de stockage souverains nationaux et européens afin de rapatrier et de stocker les données sensibles dans des territoires sous juridiction nationale ou européenne.

● Favoriser l’émergence de solutions techniques nationales et européennes de confiance.

Renforcer la résilience de l’ensemble des acteurs nationaux

● Durcir les dispositifs de prévention et de protection des autorités publiques et diffuser culture et prise de conscience du risque cyber par des actions ad hoc.

● Développer le recours aux bug bounties au sein des autorités publiques.

● Sensibiliser les acteurs économiques, et en premier lieu les PME/PMI, à la nécessité de se protéger contre les cyber menaces.

● Renforcer le réseau régional de l’ANSSI au bénéfice des acteurs territoriaux publics et privés, en métropole comme dans les outremers.

● Mettre en place des « référents cyber » au sein des collectivités territoriales, établissements publics et entreprises, en fonction de leur taille et de leur secteur d’activité.

● Éveiller les citoyennes et les citoyens dès leur plus jeune âge à la cyber hygiène : 

– sensibiliser les adultes sur leur lieu de travail ;

– enseigner la matière « informatique » en milieu scolaire ;

– créer un CAPES d’enseignement numérique.

● Attirer l’attention du grand public sur les dangers inhérents à l’usage des produits numériques par un marquage sur leur emballage et un développement dans leur notice d’utilisation.

Consolider une base industrielle et technologique de défense cyber

● Encourager la « cyber solidarité » entre grands groupes et sous-traitants.

● Financer la montée en gamme cyber des sous-traitants par un fonds cyber alimenté par les acteurs de la BITD et une partie des recettes issues des exportations d’armement.

● Établir une cartographie régulièrement mise à jour des entreprises et compétences critiques au sein de la BITD.

● Améliorer la régulation concernant certains produits pour limiter la prolifération de technologies offensives et les risques cyber systémiques.

● Soutenir le développement de la cryptographie et du chiffrement et investir, dans le développement de solutions « cyber-offensives ».

● Assurer le maintien en condition de sécurité des matériels d’ancienne génération. Ajuster la « ressource humaine cyber »

● Faire connaître davantage les métiers et formations du cyber.

● Augmenter le nombre de places dans les filières cyber.

● Renforcer les moyens budgétaires et humains de l’ANSSI.

● Adapter les modes de gestion des ressources humaines de l’État pour mieux fidéliser les personnels.

● Renforcer les capacités propres du COMCYBER en matière d’expertise numérique.

● Créer une École de cyberdéfense permettant de développer une culture partagée entre les différents acteurs de la chaîne cyber.

● Développer davantage les liens entre la réserve opérationnelle de cyberdéfense et la réserve citoyenne de cyberdéfense.  

Assurer les conditions de la cybersécurité collective

● Accompagner les efforts d’harmonisation de la certification au niveau européen.
 
● Développer l’influence normative de la France à l’échelle internationale.

● Favoriser l’élaboration d’un corpus juridique international commun.

● Soutenir la coopération internationale, par le partage des données et de l’analyse des menaces, l’approfondissement et la conclusion d’alliances.