Livre blanc de la défense : "Le cyberespace est un champ de confrontation à part entière"

Le chef de l'Etat s'est vu remettre ce 29 avril le livre blanc de la Défense, véritable programme d'orientation des forces militaires en France. Le document dresse comme l'une des priorités le risque de cyberattaques à l'encontre des réseaux de l'Etat, des opérateurs d'importance vitale et des « grandes entreprises nationales ou stratégiques ».

Comme les observateurs pouvaient s'y attendre, le Livre blanc de la défense (.pdf), remis ce lundi à François Hollande, le chef des armées, présente la stratégie de la France en matière de gestion des cybermenaces. Le document mis en ligne par l'Elysée rappelle en effet que « le cyberespace est donc désormais un champ de confrontation à part entière ».

En ce sens, la France et ses partenaires européens prend la possibilité « d'une attaque informatique majeure contre les systèmes d'information nationaux dans un scénario de guerre informatique » comme une « menace de première importance ». L'ambition de la Défense est donc de protéger certains réseaux d'opérateurs « d'importance vitale ».

« La récurrence actuelle de ces intrusions, notamment par des États, donne à penser que des informations sont méthodiquement collectées pour rendre possible, dans une situation de conflit, une attaque de grande envergure. Une telle attaque serait susceptible de paralyser des pans entiers de l'activité du pays, de déclencher des catastrophes technologiques ou écologiques, et de faire de nombreuses victimes. Elle pourrait donc constituer un véritable acte de guerre », précise le document.

La France doit donc être en mesure de protéger ses infrastructures vitales. Pour ce faire, elle entend développer l'activité de renseignement dans ce domaine afin de « permettre d'identifier l'origine des attaques, d'évaluer les capacités offensives des adversaires potentiels et de pouvoir ainsi les contrer. Les capacités d'identification et d'action offensive sont essentielles pour une riposte éventuelle et proportionnée à l'attaque ». Il ne s'agit donc pas uniquement d'une doctrine défensive mais également offensive.

Concrètement, une organisation de cyberdéfense sera intégrée aux forces, disposant de capacités défensives et offensives désignées pour préparer ou accompagner des opérations militaires. Un rôle dévolu à la direction générale de l'armement qui devra « connaître et anticiper la menace, de développer la recherche amont, et d'apporter son expertise en cas de crise informatique touchant le ministère de la Défense ».

Pas de routeurs chinois mais la France évoque le besoin de développer des outils de sécurité de manière autonome

L'an dernier, le sénateur Bockel avait formulé des préconisations visant à « interdire sur le territoire national et à l'échelle européenne le déploiement et l'utilisation de routeurs ou d'autres équipements de cœur de réseaux qui présentent un risque pour la sécurité nationale, en particulier les routeurs et certains équipements d'origine chinoise ». Les équipementiers Huawei et ZTE étaient clairement dans le collimateur du sénateur.

Le Livre blanc ne fait pas mention directement des routeurs provenant d'entreprises chinoises, éventuellement présents dans le cœur des réseaux d'infrastructures critiques mais il précise toutefois que la France doit posséder « la capacité de produire en toute autonomie nos dispositifs de sécurité » car cet élément revêt une importance de « souveraineté nationale ».

C'est pourquoi un « effort budgétaire annuel en faveur de l'investissement permettra la conception et le développement de produits de sécurité maîtrisés. Une attention particulière sera portée à la sécurité des réseaux de communication électroniques et aux équipements qui les composent. Le maintien d'une industrie nationale et européenne performante en la matière est un objectif essentiel ».

Pour les fournisseurs de produits et de services, les opérateurs de téléphonie mobile par exemple, « des clauses seront insérées dans les marchés afin de garantir le niveau de sécurité attendu ». Un niveau de sécurité devra donc être garanti pour qu'un équipement puisse être présent dans un tel réseau.

Une telle obligation sera même renforcée pour les activités jugées d'importance vitale pour le fonctionnement de l'Etat. Des textes de loi seront publiés afin que des standards de sécurité soient respectés pour que les opérateurs concernés « prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles ».