Article

[France] Cybersécurité : le gouvernement veut mettre les télécoms à contribution pour détecter les attaques

En 2013, la loi de programmation militaire (LPM) dotait la France d’un cadre strict en matière de sécurité informatique. Cinq ans plus tard – le diagnostic fait consensus –, les menaces informatiques demeurent à un niveau sans précédent. Les craintes d’ingérence dans l’élection présidentielle, ainsi que les virus WannaCry et NotPetya, au printemps, ont durablement marqué les experts et le pouvoir politique français. Le gouvernement profite donc de la nouvelle loi de programmation militaire, présentée en conseil des ministres, jeudi 8 février, pour muscler encore le dispositif français en matière de cybersécurité.

Pour détecter certaines attaques, la LPM prévoit ainsi de mettre à contribution les opérateurs de télécommunications, une première. Ces derniers pourront scanner leurs réseaux à la recherche d’indices techniques d’une cyberattaque en cours ou à venir. Ces indicateurs pourront être fournis par l’Agence nationale de la sécurité des systèmes d’information (Anssi), le garde du corps numérique de l’Etat sous le contrôle, pour les menaces les plus graves, de l’Autorité de régulation des communications électroniques et des postes (Arcep). En cas de détection, les opérateurs n’auront pas l’obligation d’interrompre l’attaque, mais devront fournir à l’Anssi les traces informatiques laissées par les pirates et, dans certains cas, informer leurs abonnés victimes.

Actuellement, l’Anssi dispose déjà de ces indicateurs, mais ne peut les rechercher que sur les systèmes informatiques étatiques ou des entreprises ultrasensibles ; les seuls qui relèvent aujourd’hui de sa compétence. L’idée est donc d’élargir le champ de vision de l’agence. « La difficulté aujourd’hui c’est de chercher des traces d’attaques dans les flux des opérateurs. Ils transportent l’eau, qu’elle soit potable ou non. Nous sommes en retard sur la détection par rapport à nos alliés, qui voient beaucoup plus d’attaques que nous » a expliqué jeudi le directeur de l’Anssi, Guillaume Poupard, lors d’une conférence de presse.

Cette obligation de détection va contraindre les opérateurs à inspecter de près l’activité de leurs réseaux et à faire remonter aux pouvoirs publics des éléments précis, de quoi nourrir des craintes en matière de vie privée et de neutralité du Net, le principe qui veut qu’un opérateur n’interfère pas dans les flux de communication qu’il achemine. L’exécutif espère que l’implication de l’Anssi, un organisme dépourvu de pouvoir judiciaire ou de renseignement, désamorcera les craintes en matière d’intrusion dans les communications. Les agents de l’Anssi ne s’intéresseront qu’aux éléments techniques, pas aux contenus des communications, insiste une source proche du dossier. Côté neutralité du Net, l’Arcep devra s’assurer de la conformité des demandes de l’Anssi aux exceptions à ce principe que prévoit le droit européen.

La LPM prévoit aussi de donner la possibilité à l’Anssi, en cas d’attaque visant l’Etat ou des entreprises sensibles, de positionner ses capteurs sur les systèmes intermédiaires utilisés pour mener l’attaque – un serveur informatique situé en France et qui sert de relai par exemple.

Un livre blanc « cyber »

Cette nouvelle mesure de protection figure dans la « Revue stratégique de cyberdéfense », présentée en conseil des ministres en même temps que la LPM. Ce document, en partie classifié, se veut être un livre blanc « cyber », le premier du genre. Contenant une vingtaine de recommandations, il entend adapter la posture de la France aux menaces informatiques comme l’avait fait, en 1972, toutes proportions gardées, le premier livre blanc de la défense face à l’arme atomique. « La cyberprotection de la France devient une priorité stratégique », s’est réjoui le secrétaire général à la défense et à la sécurité nationale, Louis Gautier (par ailleurs membre du conseil de surveillance du Monde), qui a piloté les travaux de la revue de cyberdéfense.

Celle-ci distingue d’abord deux grands risques pesant sur la France. Les opérations étatiques d’espionnage, voire de sabotage, d’une part ; les dégâts provoqués par des virus qui échappent à leur créateur, similaires à WannaCry et NotPetya, d’autre part. Certains pays responsables d’attaques informatiques passées sont mentionnés, mais n’apparaîtront pas dans la version déclassifiée de la revue. Celle-ci définit également finement les différentes attaques informatiques menaçant la France, afin de faciliter une réaction homogène avec ses partenaires internationaux.

En matière plus opérationnelle, la revue s’attaque au « renseignement cyber », les opérations des services destinées à analyser et détecter les cyberattaques. La revue entend structurer ce nouveau champ du renseignement et préserve la séparation, au sein de l’Etat, entre les missions offensives et défensives.

Certains, au sein de l’appareil d’Etat, souhaitaient revenir sur cette stricte séparation et donner plus de pouvoirs aux services de renseignement en matière de surveillance. « Les crises récentes nous ont montré la pertinence du modèle français par rapport au modèle anglo-saxon, qui confie à une même entité la défense informatique et le renseignement offensif. L’Anssi est confortée dans son rôle de protection des systèmes informatiques, différent des missions confiées aux services de renseignement. C’est une question de principe démocratique mais aussi d’efficacité des moyens spécialisés qui sont déployés », relève Louis Gautier.

Les auteurs de la revue se sont aussi penchés sur la question de l’attribution des attaques informatiques. Dans ce domaine, où les faux-semblants sont nombreux et les incertitudes multiples, découvrir le responsable d’une attaque est très complexe. Alors que la France ne s’interdit rien en matière de riposte, elle manque de capacités d’attribution et va donc les muscler en la matière. Pour autant, Paris ne va pas pointer ouvertement du doigt des puissances étrangères à la moindre offensive. La France ne s’y est d’ailleurs à ce jour jamais risquée, à la différence d’autres pays comme les Etats-Unis et le Royaume-Uni. La décision d’attribuer publiquement une attaque ne sera qu’une option parmi d’autres et devra prendre en compte les risques d’escalade ou de tensions diplomatiques. Elle reviendra alors aux plus hautes instances de l’Etat.

Source ici