[image:1,l]
Le quotidien breton, Le Télégramme, a révélé que le site Internet de l’Elysée avait été la cible de deux attaques de cyber-pirates, la première en janvier de cette année et la dernière entre le second tour de l’élection présidentielle, le 6 mai, et l’investiture de François Hollande, le 15 mai. Les hackers auraient littéralement nargué les systèmes de sécurité français. Incroyable.
Mercredi 11 juillet. Valérie Trierweiler, faisant fonction de « première Dame de France », dispose d’un cabinet à l’Elysée et bénéficie, on l’imagine, du plus haut niveau de sécurité possible. Et bien, pourtant, celle-ci se plaignait que son compte Twitter avait été ce jour-là piraté… Pas très normal. Incroyable.
Pourtant, l’e-sécurité est, de longue date, une priorité affichée des pouvoirs publics, d’ailleurs volontiers donneurs de leçons aux citoyens et entreprises en la matière. Pour preuve, les recommandations contenues dans une série de rapports publics auxquels JOL Press a pu avoir accès. Réalisés dans le cadre de commissions établies par le Ministère de l’Intérieur, de l’Outre-Mer et des Collectivités territoriales entre décembre 2008 et janvier 2010, la diffusion de ces rapports est restée bien trop confidentielle et, surtout, il semblerait que l’Etat, lui-même, n’ait que trop peu suivi les recommandations qu’ils contenaient. En matière de cyber-sécurité, les pouvoirs publics français, ce serait donc « Faites ce que je dis, pas ce que je fais » et il est urgent que ça cesse.
La recrudescence des attaques contre les services de l’Etat
Des efforts considérables ont été entrepris afin de développer la cyberadministration et au-delà la présence des pouvoirs publics sur la Toile. C’est indéniable. Pourtant, un certain nombre d’événements récents ont clairement mis en avance la vulnérabilité des ordinateurs et réseaux de l’Etat aux attaques des cyber-pirates. Au point que l’on peut se demander si toutes les précautions, prenant en compte régulièrement les nouvelles menaces, ont été – et sont – prises.
Après l’attaque du mois de mai, les « nettoyeurs » des services gouvernementaux ont dû passer trois jours à reconstruire l’ensemble des systèmes d’information du palais de l’Élysée. Et, aujourd’hui, on ne connaît toujours pas les motifs, ni les auteurs d’une telles cyber-attaque qu’il s’agisse des Anonymous ou de tel ou tel service secret d’une puissance étrangère.
Et, de plus, ces « deux cyber-attaques majeures », révélées par Le Télégramme, ont connu des précédents, nombreux. En mars 2011 des hackers s’en prenaient à Bercy. À l’époque, le gouvernement avait identifié cette attaque comme provenant d’Asie. Le Télégramme affirme même que les hackers « pourraient appartenir à des régiments spécialisés de l’armée chinoise, parfaitement identifiés et localisés ». Profitant de failles béantes dans l’e-protection du ministère de l’Economie et des Finances, ceux-ci auraient impunément pioché parmi les fichiers les plus confidentiels.
Révélées officiellement bien après, en décembre 2011, ces cyber-attaques auraient alors coûté 1% du PIB de la France !
Commissions, livre blanc : un risque clairement identifié mais insuffisamment traité
Incroyable, cette incurie quand on considère l’étendue des moyens mis en œuvre par l’Etat dans la défense de son réseau de télécommunications. La France a établi pour cela un organisme dédié, l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Celle-ci avait conduit un exercice de lutte contre le piratage, baptisé Piranet 2012. Malgré la mobilisation de plus de 200 experts, cette simulation n’a donc pas pu prévenir des cyber-attaques…
La communication officielle autour de Piranet 2012 ne dit pas si des vulnérabilités graves ont été décelées et, le cas échéant, leur origine. L’ANSSI, qui est un service rattaché au Secrétariat général de la défense et de la Sécurité nationale (SGDSN), donc dépendant indirectement du Premier ministre, s’est contenté de dire que le test a été « riche d’enseignements » et « permis de franchir de plusieurs étapes la préparation de la France à faire face à des cyber-attaques de grande ampleur ».
La politique de cyber-défense de la France se base sur le Livre blanc sur la défense et la sécurité nationale de 2008. Le document, qui définit la stratégie à suivre jusqu’en 2020, invite les autorités à doter le pays « de moyens offensifs » permettant de « conduire des ripostes graduées contre des États qui s’en prendraient aux réseaux français ». Mais cette capacité de riposte ne doit pas masquer le besoin de se protéger.
Un an après, en 2009, l’ANSSI a vu le jour : « Elle a pour principales missions d’assurer la sécurité des systèmes d’information de l’État et de veiller à celle des opérateurs nationaux d’importance vitale, de coordonner les actions de défense des systèmes d’information, de concevoir et déployer les réseaux sécurisés répondant aux besoins des plus hautes autorités de l’État et aux besoins interministériels ».
À l’image du plan Vigipirate, il existe un plan Piranet dédié aux systèmes d’information. Ce plan gouvernemental, classé secret défense, n’a jamais été déclenché. Il mobilise très certainement de multiples services, dont l’ANSSI, qui dispose d’un budget de 90 millions d’euros et d’un personnel fort de 250 personnes.
Et un rapport de plus ?
Mercredi 18 juillet, l’ancien secrétaire d’Etat à la Défense, le sénateur Jean-Marie Bockel, rendra public un rapport parlementaire dans lequel il doit pointer la vulnérabilité des ordinateurs et réseaux informatiques gouvernementaux. Il déplorera également l’inadaptation au risque actuel du dispositif français de cyber-défense.