Jean-Marie Bockel : « La France a aujourd’hui rattrapé son retard en matière de cybersécurité » share
back to to

Jean-Marie Bockel : « La France a aujourd’hui rattrapé son retard en matière de cybersécurité »

Cybersécurité 25 janvier 2016
Le ministère de la Défense, Bercy et même l'Elysée, sans oublier TV5Monde ou encore le Grand Cahors… Alors que la menace représentée par les cyberattaques prend une importance croissante, quels moyens la France déploie-t-elle pour se défendre ? Et ces derniers sont-ils à la hauteur ?

Trois ans et demi après la publication de son rapport « La cyberdéfense : un enjeu mondial, une priorité nationale », et alors que s’ouvre à Lille le 8e Forum International de la Cybersécurité (FIC), le sénateur du Haut-Rhin Jean-Marie Bockel a répondu à nos questions.

La cyberguerre est un « abus de langage » déclarait il y a un an le Vice-Amiral Coustillière. Êtes-vous du même avis ? 

Jean-Marie Bockel : Oui et non ! Je m’explique : aujourd’hui, hors terrorisme, la plupart des affrontements entre Etats sont des conflits armés « traditionnels ». Il peut, bien sûr, y avoir une « préparation » d’une attaque par des moyens cybers – comme autrefois on utilisait des tirs d’artillerie avant l’assaut. Il peut y avoir également, tout au long de la bataille, une dimension cyber pour déstabiliser l’adversaire (ses transmissions ou communications, son matériel, etc). Mais la guerre reste dans son ensemble relativement classique, même avec tous les moyens modernes que nous connaissons. De ce point de vue-là, le Vice-Amiral Coustillière a raison : la cyberguerre est un abus de langage. Lors de ses vœux, le 21 janvier dernier, Jean-Yves Le Drian a parlé d’une doctrine de cyberdéfense à redéfinir.

Pour autant, on ne peut nier que la cyberattaque et la cyberdéfense prennent une importance croissante dans les conflits. Et bien que ce ne soit pas le cas aujourd’hui, on peut très bien imaginer qu’une forme de guerre à dominante cyber devienne la norme. Prenons le cas du terrorisme : des cyberattaques existent déjà. Et il pourrait très bien émerger, à terme, un cyberterrorisme qui mettrait à mal les industries d’armement, les ordinateurs… mais surtout, dans nos pays modernes qui sont tous connectés, nos services publics, nos contrôles aériens, nos activités portuaires, ferroviaires, notre système de santé, nos hôpitaux et bien sûr à notre économie. Cela est une possibilité. En ce sens, la cyberguerre ne serait alors plus un abus de langage.

Outre les attaques des services publics donc vous parliez, à quels nouveaux types de menaces la France se voit-elle confrontée ?

Dans le cas de la France – et plus largement de ses alliés-, les cyberattaques que l’on répertorie vont de l’espionnage massif qui cause un préjudice à un pays – on a eu pendant le G8/G20 de 2011 une intrusion massive du ministère de l’Economie et des finances – aux cas d’école tels que les attaques contre des centrifugeuses de centrales nucléaires supposées militaires en Iran, en passant par les attaques contre tous les ordinateurs du géant pétrolier saoudien Saudi Aramco pendant lesquelles 30 000 ordinateurs ont été détruits par une cyberattaque. Ces attaques ont parfois une vocation économique et d’espionnage, parfois une vocation de saturation et de tentative de paralysie, que ce soit d’un concurrent ou d’un ennemi…

La France est-elle en mesure de répondre à ces attaques ?

Nous sommes l’un des pays au monde à s’être le mieux organisés dans ce domaine, il y a de cela pas mal d’années. Nous savons anticiper une attaque, nous défendre et y répondre. Les gens qui nous attaquent savent que l’on a une capacité de riposte à la fois cyber mais aussi classique. Tout le dispositif français s’est fortement renforcé, notamment depuis l’époque où j’avais fait mon rapport parlementaire [2012, NDLR]. Au sein de ce dispositif, l’ANSSI [Agence nationale de la sécurité des systèmes d’information, NDLR] tient une place de choix et constitue un organisme interministériel de premier ordre. Ce que j’avais préconisé à son sujet a été respecté au niveau de pouvoirs publics : elle s’est renforcée au niveau de ses moyens, de son personnel, de ses compétences technologiques et de recherche.

Vous estimez donc que les capacités de la France en matière de cybersécurité sont aujourd’hui à la hauteur ?

Soyons clairs : on ne sera jamais à la hauteur des Etats-Unis. Mais, si on prend les pays européens comme l’Allemagne ou la Grande-Bretagne, nous avons aujourd’hui rattrapé notre retard pour être au même niveau qu’eux, voire nous les dépassons dans certains domaines. Le standard européen auquel nous nous conformons est d’un très bon niveau, même s’il mérite de s’adapter en permanence.



Quid de la coopération entre Etats, que ce soit dans le cadre européen ou celui de l’OTAN ? Où en sommes-nous ? 

En matière de cybersécurité, le problème c’est le « maillon faible ». A partir du moment où l’on coopère à 10, 20 pays, il y en aura toujours un. Or, si vous vous connectez avec eux, c’est le cheval de Troie et tous les risques passeront par eux. Et auront un impact direct sur les autres.

Au niveau européen, le rôle de l’Europe est principalement de mettre en place des règles du jeu à travers des directives, notamment pour les opérateurs critiques ou OIV (Opérateurs d’importance vitale). Mais je ne désespère pas de voir un jour émerger une collaboration en profondeur…

A l’OTAN enfin, la stratégie cyber a été évoquée dès le début des années 2000 mais n’a commencé à  aboutir qu’à partir de 2014, quand les menaces se sont concrétisées. Nous disposons d’un think tank à Tallinn et l’OTAN est en train de se structurer mais nous sommes encore loin du compte. Et ce d’autant plus sachant le problème de souveraineté que cela pose !

Comment pensez-vous que le secteur va évoluer dans les années à venir ? Et comment la France va-t-elle s’y adapter ? 

Je pense qu’il y a trois grands enjeux à prendre en compte : la formation, la dimension industrielle et les smart cities.

Aujourd’hui, notre système de formation – universités, écoles d’ingénieurs, etc- ne produit pas encore assez de compétences. Des compétences qui s’arracheraient pourtant sur le marché du travail ! Et dans un an ou deux, nous risquons d’être dans l’incapacité de former assez de personnes par rapport à la demande.

Pour ce qui est du deuxième point, il faut prendre conscience du fait que la cyberdéfense est un risque mais aussi une opportunité industrielle. Il faut donc que les grandes entreprises spécialisées favorisent l’émergence d’une filière industrielle. A l’heure actuelle, le système présente une trop grande fragmentation.

L’apparition des smart cities enfin, et plus largement la numérisation progressive de notre société impliquent également de nouveaux risques. Qu’il est nécessaire de prévoir dès aujourd’hui ! C’est notamment pourquoi 1 milliard d’euros sera consacré à la cyberdéfense d’ici 2019, à savoir un triplement des moyens alloués, ce qui s’est déjà traduit dans les efforts en termes d’embauche du côté de l’ANSSI.

Chaque semaine,
recevez les immanquables
par email