Close
  • Français
  • English

05/12/2012Cybersécurité : une nécessaire clarification sémantique [Par le Général d’armée (2S) Marc Watin-Augouard]

En 2008, dans la continuité du rapport critique du sénateur Romani, le Livre Blanc avait consacré plusieurs développements aux menaces visant le cyberespace. L’Estonie venait de faire l’objet d’une attaque massive, cas concret rendant plausibles les scénarios élaborés. Dans ce contexte, le Livre Blanc prônait « Le passage d’une stratégie de défense passive à une stratégie de défense active en profondeur, combinant protection intrinsèque des systèmes, surveillance permanente, réaction rapide et action offensive, impose une forte impulsion gouvernementale et un changement des mentalités ». Il osait évoquer, sans toutefois entrer dans le détail, une capacité de lutte informatique offensive avec « un cadre d’emploi couvrant spécifiquement l’ensemble des actions relevant de la lutte informatique, le développement d’outils spécialisés (armes numériques de réseaux, laboratoire technico-opérationnel, la formulation d’une doctrine d’emploi pour les capacités de LIO) ».

Depuis, comme le souligne le rapport du sénateur Bockel sur la cyberdéfense, la France a en partie comblé son retard, grâce à la création en 2009 de l’ANSSI, devenue autorité nationale, et celle presque concomitante du dispositif de cyberdéfense au sein du ministère de la défense (EMA/DGA-MI). Mais le satisfecit accordé s’accompagne aussi d’une invitation à poursuivre et à intensifier les efforts (montée en puissance de l’ANSSI, renforcement du dispositif de cyberdéfense). Le rapporteur préconise par ailleurs une meilleure transparence, tant en ce qui concerne les attaques subies qu’en ce qui concerne la doctrine de cyberdéfense (à l’instar de ce que pratiquent certains Etats qui ont clairement rendu publique la leur).

Le nouveau Livre Blanc doit être l’occasion d’élargir la brèche ouverte par le précédent en consacrant un développement plus important à la cybersécurité. Alors que le Livre Blanc de 2008 était orienté sur la « cyberdéfense », celui de 2013 doit couvrir le champ plus large de la « cybersécurité ».

Celle-ci est définie par la recommandation UIT–T X.1205 : « On entend par cybersécurité l’ensemble des outils, politiques, concepts de sécurité, mécanismes de sécurité, lignes directrices, méthodes de gestion des risques, actions, formations, bonnes pratiques, garanties et technologies qui peuvent être utilisés pour protéger le cyberenvironnement et les actifs des organisations et des utilisateurs. Les actifs des organisations et des utilisateurs comprennent les dispositifs informatiques connectés, le personnel, l’infrastructure, les applications, les services, les systèmes de télécommunication, et la totalité des informations transmises et/ou stockées dans le cyberenvironnement. La cybersécurité cherche à garantir que les propriétés de sécurité des actifs des organisations et des utilisateurs sont assurées et maintenues par rapport aux risques affectant la sécurité dans le cyberenvironnement. Les objectifs généraux en matière de sécurité sont les suivants :

Disponibilité;
Intégrité, qui peut englober l’authenticité et la non-répudiation;
Confidentialité.»

Plus simple est la définition donnée par l’ANSSI :

La cybersécurité est un « état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense ».

La cyberdéfense, quant à elle, est “l’ensemble des mesures techniques et non-techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels”.

La dualité “lutte contre la cyberciminalité”/”cyberdéfense” ne doit pas donner lieu à une interprétation opposant les deux pôles de la cybersécurité alors qu’ils se composent. Ainsi, dans son rapport, le sénateur Bockel dresse une frontière entre cyberdéfense et cybercriminalité qui est sujette à discussion : la cyberdéfense, écrit-il, « se distingue en particulier de la lutte contre la cybercriminalité […], volontairement écartée de sa réflexion pour se concentrer sur les attaques informatiques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation […]». Mais ces attaques constituent bien des infractions, certaines qualifiées de crime, prévues et réprimées par le livre IV du code pénal. En outre, en temps de paix, depuis la loi Godfrain, les atteintes aux systèmes de traitement automatisés de données, les vols, destructions, modifications de données sont des infractions. Les champs de la cybercriminalité et de la cyberdéfense s’interpénètrent. La première ne s’arrête pas là où commence la seconde. La cyberdéfense comme la lutte contre la cybercriminalité reposent sur la veille des réseaux, la détection des actes illicites, leur traçabilité, la mise en évidence de la preuve numérique. Le cyberterrorisme est une catégorie de cybercriminalité qui se caractérise par le mobile poursuivi et non par les moyens employés. Sans doute, le rapporteur voulait-il écarter du champ de son étude la cyberdélinquance (escroqueries, contrefaçon, fraudes à la carte bancaire, pédopornographie, etc.). S’il en était ainsi, une telle démarche serait concevable, car ces infractions ne concernent pas généralement la sécurité nationale. Mais on ne peut exclure de son champ la cybercriminalité la plus dangereuse dans ses conséquences, ses manifestations ou dans ses modes opératoires (criminalité organisée).

Il faut donc admettre que si tout le champ de la cyberdéfense (préventive ou offensive) relève de la sécurité nationale, celle-ci n’exclut pas la lutte contre la cybercriminalité, au moins dans le haut du spectre. Le traitement judiciaire des infractions ne s’arrête pas devant la « citadelle » de la cyberdéfense, même si il n’est pas la seule réponse aux attaques. D’autres actions peuvent se combiner ou prendre le relais (action diplomatique, voire action offensive), mais, même en cas d’application du droit des conflits armés, le juge conserve ses attributions.

[1] Ces considérations s’appliquent aussi à la cyberdéfense.