Intervention de Bastien Lachaud

Troisième spécificité : l'attribution d'une cyberattaque est très complexe. Pour faire usage de la force de manière légitime, adaptée et proportionnée à l'égard d'un agresseur, il convient de l'avoir préalablement identifié et d'être en mesure de lui imputer de manière certaine l'acte qui justifie l'action exercée en retour. Or dans le cyberespace, l'attribution s'avère particulièrement difficile, ce qui complique singulièrement les capacités de réponse à une cyberattaque. Plusieurs raisons l'expliquent :

– les actions malveillantes menées dans ce milieu font très rarement – voire jamais – l'objet d'une revendication. Par ailleurs, l'attaquant originel, s'il peut être identifié, n'est pas nécessairement le commanditaire de l'action ;

– on l'a dit, rares sont les attaques directes déclenchées à partir d'un point A pour affecter immédiatement et sans détour un point B. Les cyber–attaquants s'efforcent de faire « rebondir » leurs attaques de serveur en serveur et de pays en pays afin de « masquer leurs traces » ;

– au-delà des victimes expressément ciblées, une cyberattaque peut également affecter des victimes « collatérales », que l'attaquant ne cherchait pas spécifiquement à atteindre ;

– le cyberespace offre à ses acteurs un degré d'anonymat sans équivalent, et remonter la « chaîne d'anonymisation » représente un défi majeur. C'est d'autant plus vrai s'agissant des entités, groupes ou individus qui agissent non pas sur les réseaux ouverts, mais sur le darkweb ;

– les effets de certaines atteintes peuvent se déclencher longtemps après la pénétration effective d'un système.

Il convient toutefois de souligner un aspect essentiel. Au-delà des aspects purement techniques, la décision d'attribuer une cyberattaque relève, en dernière analyse, d'une appréciation et donc d'une décision de nature politique. Plutôt que sur des certitudes absolues et des preuves irréfutables, une telle décision s'appuie sur un niveau suffisamment bas d'incertitudes, sur un faisceau d'indices à la lumière desquels l'autorité politique prend la responsabilité d'attribuer un acte. Contrairement à d'autres pays – États-Unis ou Royaume-Uni, par exemple –, la France n'attribue jamais officiellement les cyberattaques qui pourraient la cibler.

Comme l'affirmait Napoléon de manière particulièrement imagée mais très pertinente : « En guerre comme en amour, pour en finir, il faut se voir de près. » Or, le cyberespace empêche précisément de voir distinctement son adversaire. L'anonymat n'y est pas absolu et toute action numérique peut finir par être tracée. Mais les délais nécessaires pour lever cet anonymat et obtenir la parfaite traçabilité d'une action peuvent s'avérer incompatibles avec la conduite d'une action de représailles.

Une conséquence majeure de cette difficulté d'attribution est de rendre partiellement inopérants les mécanismes de défense collective existants : article 51 de la Charte des Nations unies, article 5 du traité de l'Atlantique Nord, article 42-7 du traité sur l'Union européenne. Vous trouverez dans le rapport écrit des développements à ce sujet.

Nous ne reviendrons pas sur les mesures qui ont déjà été prises en matière de cyberdéfense ces dernières années. Là aussi, vous trouverez toutes les éléments nécessaires dans le rapport publié. Nous allons maintenant vous faire part de nos principales réflexions, que nous avons choisi de présenter autour d'une grande recommandation « de principe » et de six grands thèmes. Nous les exposons en toute modestie, compte tenu du caractère global et extrêmement mouvant de la question.

Notre recommandation de principe est l'élaboration d'une grande loi cyber, à l'image de la loi « informatique et libertés » de 1978 ou encore des lois « bioéthiques ». En effet, le caractère global de la question cyber justifie :

– d'une part, une analyse approfondie et complète du sujet à l'échelle de notre pays ;

– et, d'autre part, la mise en place d'un cadre global et adapté, au–delà des dispositions qui ont été élaborées jusqu'alors, et qui ne concernent qu'un nombre réduit d'acteurs très spécifiques, à l'image des opérateurs d'importance vitale (OIV).

Une telle loi permettrait d'établir, à l'échelle nationale, une cartographie précise des vulnérabilités et des besoins, d'évaluer les ressources financières, matérielles et techniques nécessaires, et de déterminer les politiques à mettre en oeuvre, qu'il s'agisse de politique industrielle, de recherche, ou encore d'adaptation du cadre juridique.

Comme les lois « bioéthiques », cette loi « cyber » pourrait faire l'objet d'un suivi et de mises à jour régulières. Un comité consultatif national du cyber, non permanent, pourrait être créé. Il serait chargé des travaux préparatoires à la révision de la loi cyber. À l'issue du processus de révision, le suivi du texte pourrait être assuré par des structures existantes, comme l'ANSSI.

J'en viens maintenant à la première série de recommandations, qui visent à nous permettre de recouvrer notre souveraineté numérique. Certaines rejoignent les observations qu'ont pu faire nos collègues Becht et Gassilloud à l'occasion de leur rapport sur la numérisation des armées.

Nous pensons avant tout nécessaire de créer des espaces de stockage souverains qui permettraient de rapatrier et de stocker nos données sur des territoires sous juridiction nationale ou européenne. Car les données stockées à l'étranger ne bénéficient d'aucune garantie quant à leur sécurité. Par ailleurs, certains États prétendent à l'application extraterritoriale de leurs législations. C'est le cas du droit américain. Ainsi, des données stockées hors des États-Unis mais sur des serveurs appartenant à des sociétés américaines ne peuvent pas être considérées comme totalement sécurisées.

Il convient donc de développer des espaces de stockage à distance – en cloud –, ou des centres de stockage « en dur ». Nous sommes bien conscients que le cloud souverain ne constitue pas l'alpha et l'oméga de la sécurisation des données. Il reste toutefois un levier puissant à ne pas négliger, pour peu que l'on tire les leçons des échecs du passé dans ce domaine.

L'utilisation de ces solutions souveraines pourrait être rendue obligatoire pour certains acteurs : personnes publiques, OIV, entreprises de la BITD. Un travail préalable de classification des données, dont une partie seulement a vocation à être stockée dans un espace souverain, devra impérativement être effectué en amont. Cette évaluation de la nature des données et du niveau de protection requis est le gage de l'efficacité et, en définitive, de la viabilité des solutions qui seront proposées.

Ces solutions souveraines seraient aussi ouvertes aux autres acteurs, qui pourraient se voir délivrer un certificat par l'ANSSI qui attesterait du degré de sécurisation de leurs données. Un tel certificat pourrait même constituer un critère de valorisation des offres dans le cadre de l'attribution des marchés publics, sous réserve du respect de la réglementation européenne applicable et du code des marchés publics.

Sans se fondre dans un cloud transnational, les solutions nationales adoptées par la France et d'autres pays de l'Union européenne devront ouvrir la voie à un second niveau de stockage souverain, à l'échelle européenne. Celui-ci assurera un haut degré de protection aux données éligibles, qu'il conviendra de définir.