Pacte Défense Cyber : les axes majeurs et les actions concrètes
Le plan qui valait un milliard
Comme prévu, Jean-Yves Le Drian, ministre de la Défense, a présenté vendredi les grandes lignes du « Pacte Défense Cyber », un grand plan de cyberdéfense venant se greffer à la loi de programmation militaire. Évalué à un coût d’un milliard d’euros, il sera développé sur six axes majeurs.
Cinquante actions réparties en six axes majeurs
C’est donc fait : Jean-Yves Le Drian a finalement présenté le fonctionnement et les objectifs du « Pacte Défense Cyber ». Le grand but de cette extension de la très critiquée loi de programmation militaire est de renforcer les défenses de la France face au monde mouvant des attaques en ligne. Des attaques qui peuvent viser aussi bien les particuliers que les entreprises, en passant par des réseaux cruciaux comme les banques, les services publics, les transports en commun et ainsi de suite.
Le Pacte comprend une cinquantaine d’actions réparties au sein de six axes majeurs. Le premier d’entre eux est le développement et l’usage de moyens techniques pour assurer l’autonomie de « certains produits clés ». De fait, l’action prioritaire ne sera pas étonnante puisqu’elle consiste à renforcer les défenses du ministère lui-même. Cela passera notamment par « l’acquisition et l’utilisation de produits développés ou bien maîtrisés nationalement ». L’action associée sera la mise en place d’outils présentant un niveau de sécurité élevé. Le ministère donne à titre d’exemple une tablette hautement sécurisée devant être prête d’ici à 2017. Un travail qui sera réalisé en « étroite collaboration » avec l’ANSSI (Agence nationale de la sécurité des systèmes d'information). Notez ici que jamais le texte ne mentionne les logiciels libres, et ce alors que le ministère de la Défense s'est attiré les critiques dans le cadre du contrat dit Open Bar avec Microsoft.
Une autonomie souveraine, mais sans logiciels libres
Parmi les autres mesures prévues, on notera également un travail particulier sur les outils de détection et d’intervention, un point sur lequel Jean-Yves Le Drian avait insisté il y a plusieurs semaines. Parallèlement, le chiffrement des données devient l’un des piliers du nouveau plan de cyberdéfense, et on peut noter ici une grande proximité avec les annonces récentes de grandes sociétés américaines face aux scandales révélés par Edward Snowden. La formation interne et la sensibilisation à la cybersécurité feront en outre partie intégrante du Pacte, et les agents concernés seront munis d’une identité numérique pour assurer une traçabilité continue ainsi qu’un contrôle accru des accès. Cette Carte d’Identité Professionnelle Multi-services Sécurisée (CIMS) sera mise en place d’ici l’année prochaine.
L’une des grandes modifications de ce premier axe touche l’ensemble des armées. En effet, elles devront inclure systématiquement un volet cyberdéfense de leurs exercices. Dans la pratique, cela signifie que la défense contre les cybermenaces bénéficiera toujours d’une préparation liée à chaque action, qu’il s’agisse des entrainements ou des opérations concrètes sur le terrain. Le Pacte précise d’ailleurs que la collaboration avec les alliés internationaux dans ce domaine sera encouragée.
La recherche, un enjeu désormais capital
Le deuxième axe majeur est nettement moins « basique » que le premier puisqu’il concerne la recherche. Jean-Yves Le Drian indique clairement qu’il « veut » que le ministère de la Défense « participe significativement » aux efforts dans tout ce qui touche au cyberespace. Concrètement, cela passera par une augmentation du nombre de thèses de doctorat portant sur ce domaine, notamment par un financement et un encadrement à travers des « conventions de recherche avec les laboratoires académiques ». Les écoles d’officiers disposeront d’ailleurs de chaires réservées à la cyberdéfense. Tout ce volet théorique sera d’autant plus important qu’il servira aussi de base à un renforcement des échanges avec les alliés internationaux. La France souhaite avoir sur ce point une monnaie d’échange pour profiter d’autres expertises.
Jean-Yves le Drian, ministre de la Défense
Une attention particulière sera en outre portée aux PME/PMI. Par exemple, la structuration de la filière cybersécurité continuera : recensement des entreprises de ce secteur, politique de soutien pour les stratégies de recherche et développement ou encore valorisation des produits à l’export. Il s’agira d’un échange « donnant/donnant », en fait une extension du programme RAPID (régime d’appui à l’innovation duale) qui permet d’accorder un appui à tout projet pouvant avoir des retombées aussi bien civiles que militaires, via un « fort potentiel technologique ». Enfin, l’État recrutera un nombre important d’ingénieurs de haut niveau pour renforcer les effets du centre DGA Maîtrise de l’Information, qui passera ainsi à 400 personnes d’ici 2017.
Une filière spécifique à la cybersécurité
Le troisième axe majeur est directement lié au précédent car il concerne le renforcement des « ressources humaines dédiées à la cyberdéfense » tout en mettant en place les « parcours professionnels associés ». L’axe est plus généraliste et décrit essentiellement un plan global de surveillance des besoins de chaque armée pour que les spécificités soient prises en compte. Il s’agit également de mettre en place une filière cohérente de formation à la cyberdéfense pour bâtir un véritable tronc commun capable de répondre aux exigences de tout ce qui est lié à la Défense.
La Bretagne va devenir un nouveau bassin d'emplois
L’axe suivant aura des répercussions beaucoup plus concrètes puisqu’il va consacrer la Bretagne comme terre d’accueil de tout ce qui touchera à la cyberdéfense. Le Pôle d’excellence de Rennes sera ainsi davantage développé pour répondre aux besoins d’unification et de concentration des compétences et moyens. Le Pacte indique d’ailleurs que ces mesures doivent « permettre la constitution d’un véritable bassin d’emplois « défense » en matière de cybersécurité ». Ce qui aura évidemment un impact conséquent pour l’économie de la région. Cette concentration entrainera de nouvelles synergies entre les écoles militaires et les centres d’expertise, mais également avec les écoles civiles, telles que Supelec et l’université Rennes I, et les entreprises privées quand cela est pertinent.
Tout aussi intéressant, le Pacte prévoit la mise en place d’un cursus très particulier pour former des officiers à « la conduite des opérations et à la gestion des crises cyber ». Les personnes inscrites seront formées à la « compréhension des phénomènes techniques » impliqués dans les crises. Des modules de droit, d’éthique et de relations internationales seront prévus. Le cursus sera ouvert aux officiers de toutes les armées, aux agents d’autres ministères, voire à des partenaires étrangers.
Une « vision commune des menaces » avec les alliés
Les partenaires étrangers sont justement le sujet principal du cinquième axe majeur. L'objectif ? Développer un réseau européen, dans l’Alliance Atlantique ainsi qu’au sein des zones d’intérêt stratégiques. Cela passera par une définition plus stricte de la position française pour tout ce qui touche à la cyberdéfense. Mais la France souhaite surtout mettre en place des « coopérations bilatérales » dans les domaines « opérationnels, techniques et industriels ».
Ce volet du Pacte impliquera notamment de lister les opérations militaires réalisées en commun avec les alliés afin de développer l’interopérabilité entre les mesures de cyberdéfense. Les échanges devront également contribuer à établir une « vision commune des menaces » avec pour objectif d’anticiper les attaques et d’y apporter des réponses cohérentes. Plus globalement encore, toute relation de défense établie avec un pays sera accompagnée d’un chapitre cyberdéfense, dont l’épaisseur dépendra du niveau de relation avec l’allié.
Le cinquième axe dispose en outre de tout un chapitre consacré à l’Europe. L’action 39 indique par exemple que la Défense soutiendra « la prise en compte de la cybersécurité comme priorité européennes », aussi bien pour les institutions que pour les États eux-mêmes. Le ministère appuiera en fait de son poids sur la question en profitant de ses relations. La Défense souhaite également que les solutions européennes soient préconisées quand aucune solution nationale n’est « accessible ou nécessaire ». Le Pacte indique enfin que la voix européenne devra mieux se faire entendre vis-à-vis de l’OTAN pour « une coopération accrue ». Cette dernière passera d’ailleurs par le partage avec les alliés des informations pointant vers des menaces « qui pourraient leur nuire ».
Une meilleure communication entre les acteurs publics et privés
Enfin, le sixième et dernier axe est concentré sur les relations entre le vaste plan du ministère et l’ensemble des acteurs impliqués dans la cyberdéfense, en particulier avec les services de l’État et les sociétés privées. Un programme de récompense spécifique sera ainsi mis en place pour valoriser les efforts accomplis dans ce domaine, probablement sous la forme de médailles ou d’insignes. Le Pacte prévoit également une infrastructure de communication pour lier l’ensemble des acteurs, en particulier autour du Pôle de Bretagne. Ce volet communication touche l’ensemble des réservistes citoyens de toutes les armées : entrepreneurs, communicants, juristes, parlementaires, etc.
Le Pacte Défense Cyber souhaite donc mettre en place une grande coopération nationale autour du thème de la sécurité. Une communication structurée, des cursus de formation, des outils pratiques tels que des indicateurs de surveillance, un suivi des menaces et surtout la manière la plus efficace d’y répondre. La France compte ainsi se doter d’une politique renforcée de cyberdéfense qui lui permettra de « compter » sur la scène internationale, notamment à travers les coopérations avec des alliés puissants, tels que les États-Unis et le Royaume-Uni, deux pays partageant de très nombreuses informations dans le domaine de la sécurité.
La mise en place d’une telle communauté devrait évidemment avoir un impact positif sur le niveau global de sécurité informatique dans le pays, notamment pour les échanges cruciaux entre les services, mais on peut remarquer plusieurs zones d’ombre. C’est particulièrement le cas de l’utilisation des fameux « moyens nationaux » pour sécuriser les communications et données critiques. Ici, le gouvernement aurait une occasion importante de promouvoir l’utilisation de solutions libres, dont le code peut être justement maîtrisé. Or, il n’en est rien : aucune mention n’est faite du monde de l’open source. Un choix pour le moins singulier à l’heure où le contrat « open bar » avec Microsoft est la cible des critiques.
Le ministère veut « des résultats rapides »
Mais la vraie question sera de savoir si la France mettra aussi rapidement sur pied un programme d’une telle envergure. La recrudescence des attaques est réelle et Jean-Yves Le Drian a précisé que le ministère de la Défense en avait essuyé 780 durant l’année 2013, contre 420 l’année précédente. Le ministre a répété qu’il voulait « des résultats rapides » mais le Pacte met en mouvement un très grand nombre d’acteurs. Or, l’essentiel de sa mise en œuvre doit être réalisé dès 2016 où un point aura lieu, presque à mi-chemin de la loi de programmation militaire 2014 - 2019. Un effort global qui engagera un milliard d’euros d’argent public sur les deux prochaines années.
À travers ce programme, c’est l’image même de l’État qui est engagée car le pays ne peut pas se permettre de laisser entrer des pirates dans ses infrastructures. Les dégâts occasionnés par le piratage de la chaine américaine Target donnent une petite idée du préjudice potentiel, sans parler de la sensibilité extrême des données qui seraient alors volées. Sur ce point, les conséquences pourraient être comparables aux câbles diplomatiques de WikiLeaks ou aux documents dérobés à la NSA par le lanceur d’alertes Edward Snowden. Notez d’ailleurs que le Pacte en lui-même a très probablement été influencé par la situation américaine et la révélation du puissant monde du renseignement outre-Atlantique.
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 10/02/2014 à 16h12
Une autonomie souveraine, mais sans logiciels libres
Pour moi, rien que pour ça, c’est zéro crédibilité.
Je grossis énormément le trait mais je ne dois pas être si loin de la réalité avec tout les scandales de NSA etc etc.
Le 10/02/2014 à 16h29
Le 10/02/2014 à 16h33
Et Bull dans tout ça? Ils pourraient être fournisseur de hard et de soft non?
Le 10/02/2014 à 16h49
Et voila, 5 milliards jetés par la fenêtre !
" />
Le 10/02/2014 à 16h53
Le 10/02/2014 à 17h20
Tiens la carte national d’identités n’étant pas passé, les fabricants de puces électronique ont trouvé un nouveau débouché…
Je rejoins l’avis du journaliste, parler de sécurité ou de souveraineté en informatique sans avoir les sources et spécificité logiciels et matériels est une plaisanterie.
Le 10/02/2014 à 17h21
Le 10/02/2014 à 17h27
La formation interne et la sensibilisation à la cybersécurité feront en outre partie intégrante du Pacte, et les agents concernés seront munis d’une identité numérique pour assurer une traçabilité continue ainsi qu’un contrôle accru des accès. Cette Carte d’Identité Professionnelle Multi-services Sécurisée (CIMS) sera mise en place d’ici l’année prochaine.
En 2000, il était déjà question d’une “carte d’agent public” pour les fonctionnaires (signature et chiffrement).
Rien n’a jamais été fait, l’État ne sachant pas combien il a de fonctionnaires (à 10 000 ou 50 000 près), il est dans l’impossibilité de mettre sur pied une infrastructure de gestion de clés digne de ce nom.
Et là, AMHA, ça va pas être triste !
Le 10/02/2014 à 17h39
Pour ce qui est de la Gendarmerie - corps d’armée à part entière - la CIMS est déployée depuis plus 2 ans, Linux est présent dans toutes les brigades, sur chaque serveurs, et tous les postes de travail sont sous Open Office, Firefox, Thunderbird et autres.
Du point de vu de la sécurité des transmissions, le système français est toujours envié même par les américains.
Ces changements ont été initiés largement avant le changement de ministère, je serai surpris que les autres corps d’armée n’utilisent pas plus de Libre à ce jour.
Cette annonce va dans le bon sens en tous points, assure une communication, de la recherche, un travail Européen.
En matière de sécurité des moyens de communication, nos militaires français sont au point, pour eux même, ce qui n’est à ce jour, selon moi, pas le cas du secteur privé, quand on voit que certaines banques n’utilisent même pas de routeurs chiffreurs pour transmettre des données.
Le 10/02/2014 à 18h09
Thèses de doctorat, écoles d’officier, … Des thèses de mathématique pour les cryptographie c’est très bien. Mais pour mettre les mains dans le cambouis, creuser les vulnérabilités, passer des soirées à déchiffrer de l’assembleur il faut d’autres profils qu’on ne trouvera ni à Normale ni à Saint-Cyr.
Après des décennies on trouve encore le moyen d’ignorer les hackers. Incroyable.
J’offre au responsable un billet d’avion pour aller rencontrer le Chaos Computer Club à Berlin.
Une « vision commune des menaces » avec les alliés
Lesquels ? Parce que j’ai bien l’impression que parmi eux se cache la plus importante des cyber-menaces.
Le 10/02/2014 à 18h47
Le 10/02/2014 à 19h56
Le 10/02/2014 à 19h57
Et en attendant, ça licencie chez Cassidian et CyberSecurity
" />
Le 10/02/2014 à 20h54
Le 10/02/2014 à 23h13
Le 10/02/2014 à 23h19
Le 11/02/2014 à 08h35
Ah, Brux, que de souvenirs…
" />
Le 11/02/2014 à 08h58
C’est du vent ! Vous savez, au gouv, ce genre d’initiatives, c’est simplement pour donner des postes bien placés à quelques potes, et chopper des pots de vin sur les investissements. Je suis parano ? Vous auriez fait quoi à leur place ?
Le 11/02/2014 à 10h23