III. L'AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (ANSSI), BRAS ARMÉ DE L'ÉTAT POUR LA CYBERDÉFENSE
Pour mettre en oeuvre la politique du Gouvernement en matière de sécurité des systèmes d'information 22 ( * ) , le SGDSN dispose de l'ANSSI 23 ( * ) . Ce positionnement de l'Agence a permis de faire valoir les enjeux au plus haut niveau de l'État. Il a, en revanche, pour inconvénient, d'inscrire l'ANSSI dans un circuit de décisions administratives et budgétaires contraignant et de rendre plus complexe l'analyse des emplois et crédits dans le programme annuel de performance (voir supra p.8).
Les missions de l'agence s'organisent autour de deux pôles :
• « sensibilisation et prévention », destiné à informer les acteurs publics des menaces présentes dans le cyberespace et des moyens de s'en protéger ;
• « réaction aux attaques », dans lequel le centre opérationnel de la sécurité des systèmes d'information (COSSI) assure la réponse de l'État en termes de défense.
La Revue stratégique de cyberdéfense 24 ( * ) trace le cadre doctrinal et d'organisation et s'attache à consolider le modèle français, fondé sur la séparation des fonctions offensives et défensives, ces dernières assurées, au premier chef, par l'ANSSI. Le dispositif législatif de la LPM 2019-2025 a élargi ses missions. Le rapport d'activité 2017 de l'ANSSI donne une vision détaillée des missions actuelles et à court terme 25 ( * ) .
A. UNE MENACE QUI NE CESSE DE S'ACCROÎTRE EN INTENSITÉ ET EN SOPHISTICATION
Les attaquants informatiques poursuivent quatre types d'objectifs non exclusifs entre eux : l'espionnage, les trafics illicites, la déstabilisation et le sabotage 26 ( * ) . Dans son rapport d'activité, l'ANSSI constate que « l'année 2017 aura été marquée par de nombreuses attaques cybernétiques, inédites par leur ampleur, leur mode de diffusion et leur caractère désormais non-discriminant » .
Le rapport met en exergue : • la publication d'outils d'attaques sophistiqués qui facilite leur duplication à l'infini et leur diffusion rapide, venant ainsi grossir les arsenaux des groupes malveillants et rendre .plus difficile voire impossible l'identification de l'origine des attaques ; • une recrudescence d'attaques aux effets destructeurs réalisées à des fins lucratives ou de sabotage. Parmi elles, l'agence observe depuis 2014 une hausse constante des attaques par rançongiciel, de virulence variable ; • l'espionnage par compromission d'éditeurs ou de prestataires informatiques afin d'obtenir à l'insu de la cible un avantage stratégique par le recours à des outils et modes opératoires adaptés au niveau de sécurité du système d'information ciblé. En 2017, ces opérations se sont particulièrement illustrées par leur caractère indirect avec des attaques visant notamment la chaîne d'approvisionnement de l'entreprise ciblée. Outre la persistance de ces menaces, l'ANSSI a relevé en 2018 : • de nombreuses vulnérabilités critiques affectant des composants et des équipements informatiques grand public pouvant affecter un nombre très important de systèmes d'information ; • des cas de ciblage aux fins de déstabilisation, des grands événements internationaux en raison de leur forte médiatisation, ainsi que des actions de déstabilisation à grande échelle, qui peuvent s'appuyer sur la compromission de systèmes d'information, afin de recueillir et divulguer massivement des données sensibles, notamment dans le cadre d'élections ; • des attaques sont menées afin d'utiliser, à l'insu de leurs propriétaires, la puissance de calcul d'équipements compromis pour « miner » des cryptomonnaies. |
Le rapport Symantec 27 ( * ) confirme l'analyse de l'ANSSI, donne des statistiques précises sur les cyberattaques et classe la France désormais au 9 ème rang mondial (et au 4 ème rang) européen des pays où la cybercriminalité est la plus active.
Le domaine cybernétique est reconnu comme un nouvel espace de conflictualité dans les doctrines militaires, ce qui se traduit par la création de structures de forces dans la plupart des grandes puissances, France incluse.
Enfin la dépendance croissante aux systèmes numériques couplée à une insuffisante prise en compte des enjeux de cybersécurité dans leur architecture et leur développement accroît leur vulnérabilité.
* 22 Article R 312-3 du code de la défense
* 23 Service à compétence nationale (décret n° 2009-834 du 7 juillet 2009 modifié).
* 24 http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf
* 25 https://www.ssi.gouv.fr/uploads/2018/04/rapport_annuel_2017_anssi.pdf
* 26 http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf
p.11 à 26
* 27 Symantec Internet Security Threat Report (ISTR) https://www.symantec.com/fr/fr/security-center/threat-report