Pacte cyber-défense : ce que devrait faire la France si elle voulait (vraiment) se protéger<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
France
Jean-Yves Le Drian a présenté le 7 février le "Pacte Cyber Défense" afin de doter la France d'un outil plus performant à l'encontre des attaques informatiques contre les structures d'Etat
Jean-Yves Le Drian a présenté le 7 février le "Pacte Cyber Défense" afin de doter la France d'un outil plus performant à l'encontre des attaques informatiques contre les structures d'Etat
©

Erreur 404

Jean-Yves Le Drian a présenté le 7 février le "Pacte Cyber Défense" afin de doter la France d'un outil plus performant à l'encontre des attaques informatiques contre les structures d'Etat. Près d'1 milliard d'euros seront ainsi débloqués sur deux ans pour moderniser le système. Mais ces améliorations sont-elles suffisantes ?

François-Bernard Huyghe

François-Bernard Huyghe

François-Bernard Huyghe, docteur d’État, hdr., est directeur de recherche à l’IRIS, spécialisé dans la communication, la cyberstratégie et l’intelligence économique, derniers livres : « L’art de la guerre idéologique » (le Cerf 2021) et  « Fake news Manip, infox et infodémie en 2021 » (VA éditeurs 2020).

Voir la bio »

Jean-Yves Le Drian a présenté le 7 février dernier le "Pacte Cyber Défense" afin de doter la France d'un outil plus performant à l'encontre des attaques informatiques contre les structures d'Etat. Près d'1 milliard d'euros seront ainsi débloqués sur deux ans pour moderniser le système. Les améliorations proposées sont-elles suffisantes à l'heure actuelle ?

François-Bernard Huyghe : Précisons d'abord qu'il ne s'agit pas de défendre seulement des objectifs militaires ou des organismes d'État plus des entreprises partenaires, mais des structures dites critiques ou de souveraineté, celles qui garantissent la vie d'une Nation (la distribution de l'énergie, la banque, les services d'urgence, etc. et que pourraient désorganiser des virus). Cela concerne même, plus largement nos entreprises, nos fleurons industriels y compris des PMI et PME qui subissent nombre d'attaques destinées à piller leurs données confidentielles. Cette prédation immatérielle représentent une perte considérable pour notre économie en termes de recherche ou de compétitivité, une richesse qui file à l'étranger sous forme de bits électroniques.

Cela dit, si l'on doit attribuer un milliard à la cyberdéfense quand ce gouvernement annonce qu'il faut en économiser ailleurs cinquante, et s'il fait un choix "sécuritaire" peu évident la gauche, personne ne va se plaindre. Ce plan joue sur la recherche, la formation, l'équipement, le long terme, la coopération public/privé : là non plus, il n'y a pas sujet à récrimination.

Mais, si nous subissons bien un nombre croissant d'attaques numériques (800 l'année dernière), leur niveau est très variable. Surtout, il importe d'en distinguer la nature. Beaucoup visent à s'emparer de secrets techniques, industriels ou stratégiques, et cette prédation nous affaiblit face des concurrents malhonnêtes ou dans des réunions internationales. En revanche, nous subissons peu d'attaques relevant du "sabotage", comparables à celles dont furent victimes l'Estonie ou l'Iran, des offensives qui servent à créer du chaos, un handicap,du retard et de la paralysie : celles-là servent à accompagner une vraie offensive militaire (ou la remplacer en économisant l'envoi de missiles dans le cas de. Natanz en Iran) voire à envoyer un message aux dirigeants « voyez le mal que nous pouvons vous faire par écran interposé, cédez à notre revendication, sinon!!! »! 

Il y a enfin des attaques dite  "de subversion" destinées à dénoncer ou ridiculiser une institution par une opération de hacker de type Anonnymous, mais qui ont un impact limité et que je vois mal une démocratie réprimer par les armes.


Sur le milliards d'euros prévus, 400 millions seront alloués aux équipements de lutte contre les cyberattaques (téléphones sécurisés, pare-feux, chiffreurs, cryptographie des échanges...). Quelle est l'efficacité concrète de ces moyens défensifs ? Devraient-ils être plus ambitieux ?

François-Bernard Huyghe : Il n'est pas absurde du tout de prendre ainsi le problème en amont, de chercher à se doter de matériel "de souveraineté" (comprenez qui ne nous a pas été vendu par des concurrents qui auraient pu y introduire des "portes de derrière" et autres pièges ou une cryptologie qu'ils peuvent décrypter). Avoir la maîtrise de ces infrastructures, et, plus, en amont, des capacités de recherche et le contrôle de leur fiabilité, c'est encore mieux. Même si nous y prenons un peu tard.  En ce moment, pour répondre à cette interview, j'utilise un appareil, un système, des applications, du stockage dans les nuages, un mail, etc. tous fabriqués à l'étranger et nos messages sont "adressés" et routés par des systèmes dont notre pays n'a pas la maîtrise. .


Autre point faible de notre cyber-défense, la protection des entreprises travaillant avec l'Etat, ces dernières étant souvent très mal protégées. Quelles méthodes permettraient de pallier à ce problème ?

François-Bernard Huyghe : Ça, c'est inhérent à tout système non soviétique où il faut protéger à la fois des systèmes publics et privés, les premiers se méfiant des seconds, les seconds ayant tendance à juger paranoïaque tout discours d'État sur la cyberstratégie, à ne pas déclarer les attaques ou pas assez tôt ou pas dans toute leur gravité, etc. Au cours de rencontres de "sensibilisation" ou en participant à la cyber réserve citoyenne, il m'a semblé que représentants du privé et du public (ces derniers étant souvent des militaires), apprennent à se parler. Ils partagent souvent une culture de l'ingénieur et sont sensibles, je le dis sans ironie, à des valeurs de patriotisme et de souveraineté. Une culture "fana cyber" s'ébauche au seins d'une communauté. Lors d'une réunion à Washington, nos interlocuteurs nous ont dit qu'ils admiraient notre peu bureaucratie et nos bons rapports privé/public. Précisons : dans le domaine cyber et par comparaison avec les pratiques américaines. Donc nous ne sommes pas les pires dans tous les domaines.


Plus largement, la logique défensive sur le plan numérique est souvent critiquée, les hackers évoluant généralement plus rapidement que les systèmes de protection. Ne faudrait-il pas opter pour une stratégie plus "offensive" au lieu d'opter pour une logique de la ligne Maginot ?

François-Bernard Huyghe : Ce qu'il y a de critiquable dans l'idée de cyberdéfense, c'est la notion même de défense, même complétée par la "résilience" (capacité de se remettre sans trop de mal d'une attaques qui sera, au final, inévitable). On ne peut pas se défendre tous azimuts, contre une attaque qui, par définition repose sur l'information, profite de la moindre vulnérabilité, change chaque matin et ne peut être attribuée avec certitude à un Etat souverain ou à un acteur ayant pignon sur rue. Pas prouvée, en tout cas.

Il est donc vital :

  • de se doter d'armes offensives pour que l'attaquant sache ce qu'il risque (sans trop préciser en quoi consiste l'arme que l'on cache dans le placard), ce qui est déjà commencé en France

  • d'avoir une doctrine d'emploi qui permette de réagir immédiatement et de manière proportionnée à un vrai péril et pas confusément à une farce de hacker

  • de connaître son adversaire (un exemple : on peut lire le "pacte" sans trouver une seule allusion à l'énormité des activités d'espionnage des USA révélés par Snowden, ni non plus celles des Chinois). Se défendre avec tous les moyens techniques, c'est bien, mais se défendre contre qui, poursuivant quel objectif, et  sur lequel on peut exercer quelle pression ou quelle rétorsion ? Et j'aurai la pudeur de ne pas parler de nos alliés européens dont o aimanterait savoir dans quelle équipe ils jouent en matière de cyberespionnage.

  • de faire du renseignement et encore et toujours du renseignement, si possible humain, pour savoir qui s'apprête à nous faire quoi, dans quel but, qu'elles sont ses faiblesses et sur quels points ils est assez vulnérable pour être menacé et découragé

  • de faire des choix politiques clairs en matière de souveraineté numérique.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !