Rapport annuel 2016 de l'ANSSI

La guerre numérique n’aura pas lieu

Dossier : Le Grand Magnan 2017Magazine N°727 Septembre 2017
Par Guillaume POUPARD (92)

Les mots ne sont pas assez nom­breux pour courir aus­si vite que la guerre » écrit Le Clézio1.

Il est effec­tive­ment pru­dent d’utiliser le mot « guerre » avec parci­monie. Et plus encore lorsqu’il est ques­tion de l’appliquer au numérique. 

Mal­gré tout, depuis quelques années, le terme fait florès et pré­tend car­ac­téris­er l’opposition entre nations man­i­festée dans le cyberespace. 

“ En 2016, les attaques informatiques auraient coûté 450 milliards de dollars aux entreprises ”

Des États comme des entre­pris­es dévelop­pent et vendent des armes infor­ma­tiques, des armées sont créées, des experts se réu­nis­sent à l’Otan ou à l’ONU pour évo­quer les con­di­tions qui devraient per­me­t­tre un déroule­ment ordon­né, con­forme aux principes du droit inter­na­tion­al d’une guerre numérique que cha­cun juge inéluctable ou plutôt déjà en cours. 

Mais pas de sang ver­sé ou de mort sur le champ de bataille numérique. Pas de pop­u­la­tions qui fuient les zones de com­bat cyberné­tique. Pas de ruines par­mi les nuages, les appli­ca­tions ou les sites internet. 

DES EFFETS DÉVASTATEURS

C’est que la guerre numérique n’existe pas. Seuls exis­tent les effets pro­duits par les attaques infor­ma­tiques dans le monde matériel. Et ils peu­vent être dévastateurs. 

Détru­ire des vies humaines, par exem­ple par une attaque con­tre une infra­struc­ture cri­tique de pro­duc­tion d’énergie, de dis­tri­b­u­tion d’eau, de trans­port ou de télé­com­mu­ni­ca­tion ou encore con­tre des usines pou­vant émet­tre des pro­duits toxiques. 

Au début de l’été dernier, deux vagues d’attaques suc­ces­sives ont eu le même effet, bien que pour­suiv­ant des objec­tifs dif­férents. En chiffrant les infor­ma­tions stock­ées dans les réseaux des entre­pris­es com­pro­mis­es, c’est la survie économique de ces entre­pris­es qui a été mise en jeu. 

Une étude judi­cieuse­ment inti­t­ulée « busi­ness black­out » pub­liée par le Lloyd’s mi-juil­let analyse le risque que font porter les attaques infor­ma­tiques sur l’économie. Selon les scé­nar­ios étudiés, les dom­mages attribués à une attaque infor­ma­tique d’envergure évolu­ent dans une fourchette allant de 15 à 120 mil­liards de dollars ! 

En 2016, les attaques infor­ma­tiques auraient coûté 450 mil­liards de dol­lars aux entreprises… 

LES X ET LA CYBERSÉCURITÉ


Dans le mod­èle français de cyber­sécu­rité, les mis­sions de défense et de sécu­rité sont con­fiées à l’agence nationale de la sécu­rité des sys­tèmes d’information (ANSSI)
Cou­ver­ture du rap­port annuel 2016

Ain­si, les armes infor­ma­tiques peu­vent se révéler de « destruc­tion économique mas­sive », et l’agresseur – État, ter­ror­iste, crim­inel – est poten­tielle­ment en mesure de porter atteinte à nos intérêts fon­da­men­taux par les con­séquences économiques et socié­tales d’une attaque. 

Si la guerre numérique n’existe pas, la sit­u­a­tion de guerre est, elle, bien réelle et per­ma­nente. Ce n’est sans doute pas un hasard si, dans ce con­texte et face à ces enjeux, tant de poly­tech­ni­ciens con­tribuent à la cyber­sécu­rité de la France. 

D’abord parce que notre for­ma­tion nous per­met d’appréhender la com­plex­ité de l’environnement et de pren­dre en compte l’ensemble des fac­teurs per­ti­nents pour la prise de déci­sion. C’est ain­si que nous avons grande­ment par­ticipé à la con­cep­tion, à l’instruction de la déci­sion poli­tique puis à la mise en place du mod­èle français de cyber­sécu­rité, décidé il y a moins de dix ans au tra­vers du Livre blanc sur la défense et la sécu­rité nationale. 

Le mod­èle retenu qui, j’en suis per­suadé, s’imposera aux États mem­bres de l’Union européenne, est le seul capa­ble de con­cili­er sta­bil­ité et développe­ment économique durable par la sépa­ra­tion entre mis­sions de défense et de sécu­rité con­fiées à l’agence nationale de la sécu­rité des sys­tèmes d’information (ANSSI) et des capac­ités d’attaque con­fiées au min­istère des Armées. 

RISQUE DE DISSÉMINATION DES VULNÉRABILITÉS

Les pays qui ont choisi un mod­èle regroupant capac­ités opéra­tionnelles de défense et d’attaque don­nent pri­or­ité à cette dernière et par­ticipent même, par­fois mal­gré eux, à la dif­fu­sion de vul­néra­bil­ités infor­ma­tiques sus­cep­ti­bles de détru­ire une large part du pro­grès économique porté par le numérique. 

C’est ce qu’ont mon­tré les attaques de l’été dernier, notam­ment ren­dues pos­si­bles par la dis­sémi­na­tion de vul­néra­bil­ités infor­ma­tiques volées – par une attaque infor­ma­tique – à la NSA américaine. 

L’USAGE DÉLICAT DE LA LÉGITIME DÉFENSE

En matière de sécu­rité du numérique, il est indis­pens­able de maîtris­er des aspects tech­niques issus de domaines sci­en­tifiques mul­ti­ples pour éviter de repro­duire des raison­nements tirés du monde matériel mais inap­plic­a­bles dans ce con­texte, comme il est égale­ment néces­saire d’inclure les fac­teurs poli­tiques, humains ou les rela­tions entre États pour con­cevoir et met­tre en place les straté­gies qui per­me­t­tront à la France de tenir son rang par­mi les nations, de résis­ter à des attaques infor­ma­tiques majeures comme de par­ticiper à la sta­bil­ité du cyberespace. 

À titre d’exemple, c’est bien la con­nais­sance tech­nique des modes d’attaques util­isés et de la dif­fi­culté d’attribuer une attaque infor­ma­tique qui per­met d’expliquer aux spé­cial­istes du droit inter­na­tion­al comme aux décideurs poli­tiques qu’il n’est pas souhaitable de laiss­er se met­tre en place sans pré­cau­tion par­ti­c­ulière un mécan­isme de légitime défense en cas d’attaque infor­ma­tique quand bien même le droit inter­na­tion­al le prévoit dans le monde matériel. 

CONSTRUIRE LA PAIX

Enfin, comme l’a affir­mé le Prési­dent de la République le 13 juil­let dernier, « Le rôle de la France, c’est de partout con­stru­ire la paix. Mais nous ne pou­vons con­stru­ire la paix dans le monde d’aujourd’hui que si nous sommes crédi­bles, autonomes dans nos stratégies. » 

“ Il est indispensable de maîtriser des aspects techniques issus de domaines scientifiques multiples ”

En matière de sécu­rité du numérique et pour con­stru­ire cette crédi­bil­ité, des poly­tech­ni­ciens par­ticipent à la con­cep­tion d’armes infor­ma­tiques au min­istère des Armées pour pro­téger nos intérêts pen­dant que d’autres, notam­ment à l’ANSSI, tra­vail­lent à con­stru­ire la défense et la sécu­rité de notre espace numérique national. 

C’est de cette com­pé­tence, de cet engage­ment et de la cohérence glob­ale de cette approche que dépen­dra dans un futur proche une part impor­tante de notre sou­veraineté nationale. 

_______________________________
1. In La Guerre, Gal­li­mard, 1970.

Poster un commentaire