Le rapport national sur l’état de la cyberdéfense, dit « rapport Bockel », dresse un portrait de l’état de la France Numérique, des risques qu’elle encourt et des moyens de défense dont elle dispose. Il insiste surtout sur la nécessité urgente de doter le pays d’une véritable force de protection et de réaction face aux cybermenaces, dotation qui devrait en priorité concerner l’Anssi. Le mythe du Jihadiste numérique et du cyberpédophile violeur de parking a vécu, le véritable ennemi, c’est l’Etat-Nation d’en face.
Une importante part du rapport explique de manière relativement sommaire ce qu’est une attaque informatique, estime les dommages que l’on peut encourir, et émaille ces propos par différentes anecdotes tirées de l’actualité récente. Anecdotes dont la présentation et la rédaction éludent certains aspects, exagèrent l’importance d’autres points… omissions sans doute. Ainsi, à propos de l’affaire Areva, on laisse à un journaliste de l’Expansion la liberté de parler de « préjudices sur le plan stratégique, ce qui pourrait signifier le vol de secrets industriels » ou de soupçonner là une attaque d’origine asiatique. L’épouvantail Chinois demeure de la responsabilité d’un folliculaire. Mais lorsque l’on interroge la victime elle-même, les termes sont beaucoup plus prudents. Le rapporteur affirme s’être « longuement entretenu avec les représentants du groupe AREVA » et que « Ceux-ci ont présenté à votre rapporteur la manière dont cette attaque a été découverte et les mesures mises en place, avec l’aide de l’ANSSI »… révélations qui n’avouent pas la moindre perte effective d’information et encore moins la probabilité d’existence d’autres failles, d’autres attaques, d’autres fuites. Le mythe de l’intrusion qui a duré plus de 2 ans et qui n’a provoqué aucune fuite est entretenu.
Anecdote encore lorsque, plus de 4 ans après le Sénat US, l’équipe du rapport Bockel prend conscience que les Chinois Huawei et ZTE fabriquent des routeurs et que lesdits routeurs pourraient contenir quelques backdoors. Fort heureusement, SMT Goupil, Léanord, Bull-Micral, Logabax ou Thomson n’ont pas, comme Lenovo, été reprises par une entreprise de l’Empire du Milieu… on aurait pu craindre la présence de Spywares dans les machines de fabrication Française. Après tout, c’est une aubaine de ne plus avoir(ou presque) d’industrie nationale microinformatique matérielle. Que faire pour éviter ce risque ? « une interdiction totale sur le territoire européen des « routeurs de cœur de réseaux » et autres équipements informatiques sensibles d’origine chinoise ». Et les remplacer par quels équipements ? Du Cisco par exemple ? Sur cet air connu du fantasme d’espionnage, il faut se rappeler qu’aucun équipementier est innocent. Choisir une marque plutôt qu’une autre revient à choisir la nationalité de l’espion potentiel que l’on accepte à sa table (de routage, cela va sans dire).
Bref, les TIC doivent craindre le péril jaune, et, pour se défendre, faire confiance aux entreprises innovantes Françaises (les noms des sociétés en question semblent piochées sur le site Web de L’ANSSI, dans la section des produits ayant reçu un agrément CC ou CSPN) et se rapprocher des anglo-saxons. Pour se défendre également, le rapport Bockel conseille une union de plus en plus étroite avec l’Otan (10 recommandations en fin de rapport contre 4 relatives à l’organisation du Ministère de la Défense et 5 sur les nécessités de renforcer le rôle et les pouvoirs de l’Anssi). Rapprochement également avec la Grande Bretagne, pays membre de l’alliance UK-USA, laquelle alliance n’est pas une seule fois citée… étrange amnésie et évaporation du climat de suspicion qui teintait le début du rapport : il y a les cyber-barbouzes dont il faut avoir peur, de couleur jaune, les autres appartiennent à la catégorie des gentils ou ils n’existent pas. Sont également à courtiser, nos voisins d’Outre Rhin.
Pour se défendre , enfin, le rapport confirme l’existence d’un cyber-corps d’armée possédant des capacités offensives « à des fins de dissuasion »… et d’insister sur le fait que cette dissuasion, contrairement à la dissuasion nucléaire, n’était en aucun cas virtuelle et psychologique : nos ninjas de l’attaque informatique ont des muscles bien réels. Mais les muscles en question sont une nouvelle fois dépeints comme une structure militaire traditionnelle, avec ses règles, sa morale, ses exercices et ses grandes manœuvres, et non comme un corps soumis aux mêmes contraintes que celles qui conditionnent le fonctionnement de tous services secrets : règles élastiques, morale auto adaptative, opacité totale quant à ses actions et invisibilité totale de ses effectifs. Et, comme cela est le cas pour tout service de renseignement, on ne peut imaginer qu’un tel corps puisse rester inactif entre deux périodes de crise : un hacker, en uniforme ou en T-shirt/Blue Jean, régresse s’il ne fait rien. Pis encore, il donne l’avantage à ses adversaires. D’ailleurs, qu’il vienne de Chine, des USA ou de Grande Bretagne, l’intrus qui passe ses jours dans les réseaux d’Areva, de Bercy ou de l’Elysée prouve à quel point la notion de « force offensive de dissuasion » est une vue de l’esprit propre aux parlementaires.
En marge de ces grandes interrogations stratégiques, le rapport Bockel suggère, de manière très discrète, la mise en place d’un service de surveillance des flux dans le but de détecter la présence de méchants espions venus de Chine ou d’ailleurs. Rien de tel qu’une bonne poussée d’espionnite aigüe pour justifier un flicage Orwellien portant sur la totalité des échanges IP de la population. Après tout, si ce principe a fonctionné, des années durant, lors de la Chasse aux Sorcières organisée par Joseph McCarthy, ça pourrait bien fonctionner aussi en France, même si l’on a encore en mémoire que ces mêmes mesures ont déjà été préconisées pour bouter les pédophiles et les cyberterroristes hors du beau pays François. Les ennemis changent de nom, les méthodes demeurent.
2 ans après les USA, le rapport Bockel suggère de « Rendre obligatoire une déclaration d’incident à l’ANSSI en cas d’attaque importante contre les systèmes d’information et encourager les mesures de protection par des mesures incitatives ». Déclarer à l’Anssi, cela ne veut pas dire « rendre public »… il ne s’agit pas d’informer les citoyens mais de fournir des informations à notre Police du Numérique, ce qui ne risque pas d’être du goût de tous les industriels résidants sur le sol Français. Surtout ceux dont le QG se trouve aux USA par exemple. Et puis, cette obligation ne risque-t-elle pas de rester lettre morte ? Faute inavouée n’est pas à pardonner, intrusion laissée secrète n’est pas à déclarer. Ce n’est certainement pas celui ou ceux qui ont « intrusé » un système qui iront signaler ce manquement aux lois.
L’Anssi devra également être tenue au courant de l’existence de tout « système de contrôle des processus ou des automates industriels (SCADA) connectés à l’Internet »… l’ennui, c’est que les intéressés eux-mêmes ne le savent pas toujours. En outre, l’affaire Stuxnet a montré que la présence d’Internet n’était pas nécessaire pour dérégler un automate programmable ou s’attaquer à une infrastructure Scada. Pour qu’une recommandation politique ait quelque chance d’être efficace, elle doit être totalement dé-corrélée des « détails » techniques propres à des évènements passés.
Si les propositions de renforcement des moyens donnés à l’Anssi et la confirmation dans ses fonction d’une armée cyber-offensive semblent s’inscrire dans le sens de l’histoire, d’autres suggestions du rapport Bockel feront certainement l’objet de débats parlementaires houleux avant de déboucher sur des propositions concrètes. Les obligations de publication d’intrusion pour l’ensemble de l’industrie pourraient entraîner un cortège de dispositions légales très complexes et certainement contraignantes. La coloration très Atlantiste du rapport, suggérée par les conseils de rapprochement avec l’Otan, de collaboration avec la Grande Bretagne sur les problématiques Scada tout en recommandant une défiance certaine vis-à-vis des pays asiatiques procède d’une sorte de confiance angélique vis-à-vis de certains de nos « pays frères ».
