Cyber-défense : la France accuse « un réel retard »
Un nouveau rapport d’information du Sénat pointe les lacunes en termes de capacité de surveillance et de détection des attaques informatiques.
Il faudra combien de rapports d’information pour que les pouvoirs publics prennent conscience de la nécessité de renforcer la sécurité informatique des infrastructures françaises ? L’actualité sur la faille béante portant sur le système des noms de domaine (DNS) souligne à nouveau cette enjeu.
Alors que le récent Livre Blanc de la Défense évoque la protection vitale des réseaux Internet, Roger Romani, sénateur UMP (Ile-de-France) et membre de la commission des affaires étrangères, de la défense et des forces armées de la chambre haute du Parlement, vient de publier un rapport d’information* sur « la cyberdéfense ».
Le constat est amer : « la France y est aujourd’hui insuffisamment préparée, faute de moyens, notamment par rapport à l’Allemagne et au Royaume-Uni, mais aussi faute d’une organisation de nature à impulser une véritable politique de la sécurité des systèmes d’information, tant au sein de l’Etat qu’en direction du monde de l’entreprise. »
Etonnement et scepticisme
Pourtant, les pouvoirs publics sont informés des lacunes dans ce domaine. En janvier 2006, Pierre Lasbordes, député de l’Essonne, avait remis un rapport d’étude au gouvernement sur la sécurité des systèmes d’information déjà alarmant. Pour élaborer sa propre étude, Roger Romani en fait de nombreuses références.
C’est d’abord un problème de prise de conscience collective. « Quant aux activités d’ingérence ou d’espionnage par voie informatique, elles suscitent parfois l’étonnement ou le scepticisme », estime le sénateur dans le rapport.
« Que ce soit dans les services de l’Etat ou le monde de l’entreprise, la conscience de pouvoir devenir la cible d’une telle menace n’est guère répandue, du moins tant qu’elle ne s’est pas concrètement matérialisée », peut-on lire.
Création d’une agence centrale « sécurité IT » : du discours à l’acte
Une prompte séance de rattrapage s’avère nécessaire. « La France accuse ainsi un réel retard par rapport à nos principaux partenaires, en premier lieu l’Allemagne et le Royaume-Uni », analyse le sénateur spécialisé dans les questions de défense. « Nous ne disposons pas de véritable capacité de surveillance et de détection des attaques informatiques. »
Mais qui va donner l’impulsion ? A l’instar des recommandations inscrites dans le Livre Blanc de la Défense, le sénateur reprend à son compte l’idée de la création d’une agence centrale chargée de la sécurité des systèmes d’information.
Elle aura vocation à renforcer la cohérence et la capacité
propre des moyens de l’Etat et d’assurer le coordination interministérielle des efforts de sécurité IT à fournir.
Les entreprises cherchent un interlocuteur unique
Cette agence sera constituée à partir de l’actuelle Direction centrale de la sécurité des systèmes d’information (DCSSI) et relèvera du Premier ministre. Il ne faudra pas lésiner sur les moyens : la future agence chargée de la sécurité des systèmes d’information reprendra les effectifs et les moyens de la DCSSI « tout en les renforçant sensiblement ».
Avec un plan pluriannuel sur trois ou quatre ans, il serait souhaitable que l’effectif de la DCSSI triple, en passant de 110 agents à une « masse critique » de l’ordre de 300 agents.
C’est un peu hors sujet par rapport à la problématique initiale de la cyberdéfense mais Roger Romani a tenu à souligner l’enjeu d’une collaboration accrue avec les entreprises du secteur privé. Celles-ci cherchent un interlocuteur unique au niveau de l’Etat pour parler de la sécurité des systèmes d’information au sein de leurs propres structures.
*Rapport d’information sur la cyberdéfense de M. Roger ROMANI, fait au nom de la commission des affaires étrangères n° 449 (2007-2008) – 8 juillet 2008