Rapport Bockel : la cyberdéfense doit être une priorité nationale et industrielle
Mieux se protéger, impliquer l’Etat et le secteur privé, favoriser l’indépendance technologique en matière de cœur de réseau, développer la formation d’ingénieur, pousser une politique industrielle, être capable d’attaquer sur les réseaux : le rapport Bockel dresse des perspectives ambitieuses pour doter la France et au-delà l’Europe d’une cyberdéfense à la hauteur des enjeux – et des risques - du XXIe siècle.
Un véritable plan de bataille pour la cyberdéfense. C’est ce qui ressort du rapport sur le sujet présenté ce jour au Sénat Jean-Marie Bockel, sénateur centriste du Haut-Rhin et rapporteur d'un ouvrage parlementaire baptisé « la cyberdéfense : enjeu mondial, une priorité nationale ».
Estimant que les réseaux informatiques constituent l’un des terrains d’affrontement futurs les plus importants Jean-Marie Bockel fixe une dizaine de priorité dont la première serait de « faire de la cyberdéfense et de la protection des systèmes d'information une priorité nationale, portée au plus haut niveau de l'Etat, notamment dans le contexte du nouveau Livre blanc et de la future loi de programmation militaire ».
Etre capable d’attaquer
Surtout, il s’agit selon lui de « s'interroger sur la pertinence de formuler une doctrine publique sur les capacités offensives ». En d’autres termes une réflexion doit être menée sur la capacité de la France à se doter d’organisation capable de mener des attaques contre des systèmes ennemis. Un point largement inspiré des récents développements autour de Stuxnet, ce virus destiné à infecter les équipements industriels Iraniens liés au nucléaire et dont les Etats-Unis sont fortement soupçonnés d’être à l’origine.
Renforcement de l’Anssi
Une mission qui pourrait être dévolu à l’Anssi (l'Agence nationale de sécurité des systèmes d'information) que Jean-Marie Bockel souhaite voir renforcer tant en terme d’effectifs que de moyens tout comme « les effectifs et les moyens dédiés au sein des armées, de la direction générale de l'armement et des services spécialisés ». Toujours pour l’Anssi, le rapport préconise d’introduire des modifications législatives pour lui donner les moyens « d'exercer ses missions et d’instituer un pôle juridictionnel spécialisé à compétence nationale pour réprimer les atteintes graves aux systèmes d'information ». Toujours au rayon défense il s’agit d’améliorer « la prise en compte de la protection des systèmes d'information dans l'action de chaque ministère, en renforçant la sensibilisation à tous les niveaux, en réduisant le nombre de passerelles entre les réseaux et l'Internet, en développant les systèmes d'analyse permettant de détecter les attaques, ainsi qu'en rehaussant l'autorité des fonctionnaires de sécurité des systèmes d'information ».
Un effort national
Mais au-delà de l’action de l’Etat proprement dit le rapport estime que l’effort doit être national et dépasser les pouvoirs publics. Il conseille ainsi de « rendre obligatoire pour les entreprises et les opérateurs d'importance vitale une déclaration d'incident en cas d'attaque importante contre les systèmes d'information et encourager les mesures de protection par des mesures incitatives ». Un système déclaratif déjà prévu pour 2014 au niveau européen concernant le vol de données et qui pourrait donc être étendu à d’autres types d’incidents.
Côté effort technique, Jean-Marie Bockel estime qu’il faut « renforcer la protection des systèmes d'information des opérateurs d'importance vitale, en réduisant le nombre de passerelles entre les réseaux et l'Internet, en développant les systèmes d'analyse, en généralisant les audits et en rendant obligatoire la déclaration des processus et automates industriels connectés à Internet ».
La cyberdéfense passe par une politique industrielle
Le rapport ne se cantonne cependant pas aux aspects « réactifs » mais préconise la mise en place d’une véritable politique industrielle volontariste, en favorisant l’émergence à l'échelle nationale et européenne pour soutenir le tissu industriel des entreprises françaises, notamment des PME, spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique. Au-delà il s’agit de favoriser plus largement, le secteur des technologies de l'information et de la communication, et de renforcer la coopération entre l'Etat et le secteur privé.
Une politique qui doit s’accompagner d’un volet formation avec la recherche d'ingénieurs spécialisés dans la protection des systèmes d'information et le développement de la recherche et des activités de conseil. Il s’agit selon les termes du rapport « de développer une véritable politique des ressources humaines ».
Indépendance des infrastructures Réseaux
Enfin, le rapport – sous l’intitulé « priorité n°10 » - jette une pierre dans le jardin de la mondialisation en matière d’industrie IT et ne craint pas de suciter la polémique en préconisant d’interdire « sur le territoire national et à l'échelle européenne le déploiement et l'utilisation de « routeurs » ou d'autres équipements de coeur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les « routeurs » et certains équipements d'origine chinoise ».
Consulter les éléments du rapport « la cyberdéfense : enjeu mondial, une priorité nationale »