Rechercher un rapport, une publication, un expert...
L'Institut Montaigne propose une plateforme d'Expressions consacrée au débat et à l’actualité. Il offre un espace de décryptages et de dialogues pour valoriser le débat contradictoire et l'émergence de voix nouvelles.
10/11/2016

Quand la cybermenace pèse sur les démocraties

Imprimer
PARTAGER
Quand la cybermenace pèse sur les démocraties
 Institut Montaigne
Auteur
Institut Montaigne



La cyberattaque massive qui a touché plusieurs grands sites web, principalement aux États-Unis, le 21 octobre dernier, a de nouveau fait émerger les enjeux de sécurité liés au développement des objets connectés. Les craintes autour d'un trucage des élections américaines, ainsi que les controverses autour des données sensibles du gouvernement américain ont également remis sur le devant de la scène l'importance de la prise en compte de la cybermenace par les gouvernements occidentaux.

En effet, depuis 2000, les risques stratégiques qui pèsent sur la sécurité de la France, de l’Europe, et plus globalement de l’Occident, ont changé de nature et d’intensité. Aujourd’hui, le monopole de la violence échappe aux États et la guerre est devenue hybride : civile et interétatique, intérieure et extérieure, matérielle et immatérielle. Ces transformations bouleversent profondément les démocraties, leurs valeurs et leurs institutions. Afin de répondre à ces menaces, l’Institut Montaigne a formulé douze recommandations concrètes pour refonder la sécurité nationale.

Une nouvelle dimension à la conflictualité

Ce travail analyse l’importance croissante jouée par le cyberespace. Ce système de réseaux d’information qui associe des infrastructures, des services et des données, ouvre une nouvelle dimension à la conflictualité, échappe aux logiques territoriales et géographiques et s’affirme comme un espace stratégique à part entière, au croisement du militaire, de l’économique et du sociétal. Ainsi, le cyberespace soulève de multiples interrogations techniques, stratégiques, politiques et morales.

En outre, la porosité de la ligne de démarcation séparant intérêts économiques des entreprises et sécurité nationale font de la cybersécurité un enjeu de souveraineté décisif et de la cyberdéfense une "nouvelle donne stratégique", selon la qualification consacrée par le Livre blanc sur la sécurité et la défense nationale de 2013.

Comment se prémunir du risque cyber ?

L’unique traité international dans ce domaine, la Convention de Budapest sur la cybercriminalité (novembre 2001) – adoptée par le Conseil de l’Europe –, n’a pas été ratifié par la Chine et par la Russie. De surcroît, l’absence d’accord entre les États autour de normes juridiques communes contribue à accroître l’insécurité qui règne dans le cyberespace.

L’interconnexion des systèmes d’information et la mise en place de réseaux ouverts engendrent, par ailleurs, une certaine vulnérabilité des États, notamment des plus développés d’entre eux. Les atteintes portées aux infrastructures essentielles peuvent non seulement désorganiser les forces de sécurité, mais aussi entraver la continuité de la vie nationale, comme les cyberattaques russes en Géorgie, en Estonie ou en Ukraine en ont fait la démonstration.

Le cyberespace constitue également un théâtre d’opérations idéal pour les actions asymétriques, c’est-à-dire opposant des protagonistes aux moyens inégaux. Accessible à de nombreux groupes de natures diverses, voire à des individus isolés, le recours à la lutte informatique – tant défensive qu’offensive – n’est en rien réservé aux acteurs étatiques. Les attaques cybernétiques ne nécessitent pas la mobilisation d’un capital financier ou humain conséquent. Ainsi, même avec des moyens limités, un acteur isolé ou une organisation terroriste peuvent infliger des dommages majeurs à un État, notamment en s’attaquant aux opérateurs d’importance vitale (OIV) : usines chimiques, infrastructures de transport, réseaux d’alimentation en eau, centrales nucléaires, etc.

Un risque diffus et intrusif qui menace les démocraties

A quelques jours de l’élection présidentielle américaine, les peurs d’une attaque informatique venant entraver le système électoral américain ont resurgi. En raison de nombreuses alertes attestant de l’importance de la cybermenace, la Maison Blanche a dû renforcer les moyens du renseignement américain afin de prévenir les menaces qui pèsent sur le vote électronique et les failles du système informatique.

Le 24 juillet dernier, des informations confidentielles et sensibles concernant certains des donateurs de la campagne d’Hillary Clinton ont été volées. À la même période, le scandale des e-mails du Democratic National Committee a ébranlé l’équipe de la candidate : plusieurs milliers de courriels ont été révélés par Wikileaks, montrant comment les cadres du parti Démocrate ont défavorisé Bernie Sanders lors de la primaire. Enfin, en septembre dernier, le directeur du FBI James Comey, avait annoncé que "plusieurs activités d'inspections de sites internet, qui sont des actions préalables à une attaque, ainsi que des tentatives d'intrusions ont été observées sur des registres électoraux en ligne".

S’il n’existe pas à ce jour de preuve tangible permettant d’établir l'origine exacte des attaques, les soupçons solides d’implication de la Russie ont considérablement tendu les relations entre cette dernière et les États-Unis dans la dernière ligne droite pour la course à la Maison Blanche.

La crainte d’une fuite de données ou du piratage des sites officiels plane également sur la prochaine campagne électorale française. Les candidats en campagne utilisent de plus en plus les réseaux sociaux, les sites Internet et autres bases de données stockées en ligne. Si cela permet une communication directe avec les électeurs, les candidats se retrouvent face à une menace virtuelle et déstabilisante qui pourrait peser sur leur campagne.

C’est pourquoi l’État a décidé d’organiser un séminaire de sensibilisation aux risques de piratage informatique le mercredi 26 octobre, à l’initiative du Secrétariat général de la défense et de la sécurité nationale (SGDSN). Le but était de sensibiliser et de préparer les responsables informatiques des partis politiques français à de possibles attaques informatiques en vue de la présidentielle 2017. Les scénarios d’attaques informatiques sont en effet très nombreux et les méthodes protéiformes. De plus, tous les partis ne sont pas égaux devant cette menace : si Les Républicains et le Parti Socialiste disposent, par exemple, de leur propre Direction des systèmes d’information (DSI) et effectuent des audits réguliers, les plus petits partis gèrent seuls la protection de leur site comme de leurs comptes sur les réseaux sociaux.

Des conseils basiques – mais pourtant essentiels – leur ont été transmis (vérifier l’émetteur du mail, choisir un mot de passe complexe, mettre à jour les antivirus, etc.). À la fin du mois de mai 2016, la Commission nationale de l’informatique et des libertés (Cnil) avait repéré l’existence d’une faille de sécurité sur le site du Parti Socialiste, entraînant une fuite possible de données : les mesures garantissant la sécurité et la confidentialité des données détenues par le PS étaient insuffisantes et donnaient accès à la liste de plusieurs dizaines de milliers d’adhérents.

Notons, enfin, que les entreprises, elles aussi, sont encore largement démunies face à la cybermenace, ou la sous-estiment.

Quelles bonnes pratiques ?

Si l’initiative portée par le gouvernement français et le SGDSN atteste d’une réelle prise de conscience de la cybermenace, peu d’acteurs nationaux (particuliers, partis politiques, industriels) peuvent aujourd’hui s’assurer que leurs données bénéficient d’une sécurisation absolue, même dans des domaines sensibles tels que la défense ou le stockage de données personnelles. C’est pourquoi, il est plus que jamais nécessaire d’investir dans des opérations de sensibilisation à la cybersécurité et dans la formation des professionnels. En outre, les systèmes de verrouillage des réseaux doivent être renforcés et les techniques de cryptologie développées. Enfin, les contrôles en ligne réalisés par des autorités compétentes telles que la Cnil doivent être systématisés.

Dans ce contexte de recrudescence des attaques informatiques dans les pays industrialisés, le Royaume-Uni a mis en place une nouvelle stratégie, articulée autour de trois axes : le renforcement des systèmes de défense, la dissuasion et le développement des connaissances sur la cybercriminalité. Cette nouvelle stratégie repose sur un plan quinquennal, doté d'une enveloppe de 1,9 milliard de livres (2,1 milliards d'euros). Pour mener ce plan à bien, Londres compte sur un partenariat avec les entreprises, afin d'assurer la protection des infrastructures clefs du pays (notamment les secteurs de l'énergie ou des transports), des universitaires et des entreprises spécialisés dans la sécurité informatique.

En France, la menace cyber est gérée par plusieurs entités et organisations :

•    le ministère de l'Intérieur avec la création, en 2014,  d’un préfet coordinateur cyber (cybercriminalité) ;
•    l’Agence nationale de la sécurité des systèmes d'information (ANSSI) : cybersécurité. L’ANSSI fixe les règles de protection pour les entreprises et impose des règles aux secteurs d'intérêts vitaux ;
•    le ministère de la Défense. Il gère toutes les questions qui ressortent de son périmètre d’action (cyberguerre et cyberdéfense).

En février 2014, un "Pôle d’excellence cyber" a également été créé. Ses missions sont :

•    créer une offre de formation cyber ;
•    animer une recherche académique sur ces questions ;
•    créer une offre de services et de produits de confiance ;
•    développer une base industrielle et technologique de cyberdéfense.

Le Pôle d’excellence cyber rassemble plus de 50 partenaires : équipes cyber du ministère de la Défense, écoles et universités, laboratoires de recherche, grands groupes prestataires, Opérateurs d’importance vitale (OIV), PME ou agences de développement économique.

Par Marie-Alix Véran pour l'Institut Montaigne

Recevez chaque semaine l’actualité de l’Institut Montaigne
Je m'abonne