Rapport d'information fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur la cyberdéfense

LES 10 PRIORITÉS DU RAPPORT

INTRODUCTION

I. LES ATTAQUES CONTRE LES SYSTÈMES D’INFORMATION : UNE MENACE STRATÉGIQUE QUI S’EST CONCRÉTISÉE ET ACCENTUÉE AU COURS DE CES DERNIÈRES ANNÉES

A. DE TALLIN À TÉHÉRAN : AUCUN PAYS N’EST AUJOURD’HUI À L’ABRI DES ATTAQUES INFORMATIQUES

1. Le cas de l’Estonie : une perturbation massive de la vie courante d’un pays

2. STUXNET : une «arme informatique» des États-Unis dirigée contre le programme nucléaire militaire iranien?

3. FLAME : un vaste dispositif d’espionnage informatique ?

B. LA FRANCE N’EST PAS ÉPARGNÉE PAR CE FLÉAU

1. La perturbation de sites institutionnels : l’exemple du Sénat

2. L’attaque informatique ayant visé le ministère de l’économie et des finances

3. L’espionnage via l’Internet des entreprises : le cas d’AREVA

C. UNE MENACE PROTÉIFORME

1. Les principaux types d’attaques informatiques

2. Les cibles visées

3. Le profil des « attaquants » : pirates informatiques, cybercriminels, cyberterroristes, Etats étrangers ?

II. UNE MENACE DÉSORMAIS PRISE EN COMPTE AU NIVEAU INTERNATIONAL

A. UNE PRÉOCCUPATION PARTAGÉE PAR NOS PRINCIPAUX ALLIÉS

1. Les États-Unis

2. Le Royaume-Uni

3. L’Allemagne

B. UNE COOPÉRATION INTERNATIONALE ENCORE BALBUTIANTE

1. Des initiatives en ordre dispersé

2. Une priorité de l’OTAN qui tarde à se concrétiser

3. Une implication encore insuffisante de l’Union européenne

C. LES FREINS À LA COOPÉRATION INTERNATIONALE

III. LA FRANCE A COMMENCÉ À COMBLER SON RETARD MAIS NOTRE DISPOSITIF CONNAÎT ENCORE D’IMPORTANTES LACUNES

A. UNE PRISE DE CONSCIENCE TARDIVE

1. Le constat sévère du rapport Lasbordes de 2006

2. Le rapport Romani de 2008

3. Le Livre blanc sur la défense et la sécurité nationale de 2008

B. DE RÉELLES AVANCÉES DEPUIS 2008

1. La création de l’Agence nationale de la sécurité des systèmes d’information

2. La stratégie française en matière de cyberdéfense et de protection des systèmes d’information

3. Le passage d’une posture de protection passive à une stratégie de cyberdéfense en profondeur

4. Les mesures prises par les différents ministères : l’exemple du ministère de la défense

C. NOTRE DISPOSITIF CONNAÎT ENCORE D’IMPORTANTES LACUNES

1. Les effectifs et les moyens de l’ANSSI restent limités par rapport à ceux dont disposent nos principaux partenaires

2. La sécurité des systèmes d’information n’est pas toujours considérée comme une priorité par les différents ministères

3. Les entreprises et les opérateurs d’importance vitale demeurent encore insuffisamment sensibilisés à la menace

IV. FAIRE DE LA PROTECTION ET DE LA DÉFENSE DES SYSTÈMES D’INFORMATION UNE VÉRITABLE PRIORITÉ NATIONALE ET EUROPÉENNE

A. LA NÉCESSITÉ D’UNE FORTE MOBILISATION AU SEIN DE L’ETAT

1. Renforcer les effectifs et les prérogatives de l’ANSSI afin de les porter à la hauteur de ceux dont disposent nos principaux partenaires européens

2. Donner plus de force à la protection et à la défense des systèmes d’information au sein de chaque ministère

3. Une doctrine publique sur les capacités « offensives » ?

B. RENFORCER LE PARTENARIAT AVEC L’ENSEMBLE DES ACTEURS

1. Développer le partenariat avec le secteur économique

2. Assurer la protection des systèmes d’information des opérateurs d’importance vitale

3. Encourager la formation, soutenir la recherche et accentuer la sensibilisation

C. POUR UNE VÉRITABLE POLITIQUE DE CYBERSÉCURITÉ DE L’UNION EUROPÉENNE

1. Encourager la sécurité, la confiance et la résilience à l’échelle européenne

2. Renforcer les capacités de cyberdéfense des Etats membres et des institutions européennes

3. Un enjeu majeur : Pour une interdiction totale sur le territoire européen des « routeurs de cœur de réseaux » et autres équipements informatiques sensibles d’origine chinoise

LISTE DES 50 RECOMMANDATIONS

EXAMEN EN COMMISSION

ANNEXE I -   LISTE DES PERSONNES AUDITIONNÉES

ANNEXE II -   LISTE DES DÉPLACEMENTS

ANNEXE III - GLOSSAIRE