II – Lutte contre le cyberterrorisme

A/ Sensibilisation et formation

1) Prévenir la radicalisation dès le plus jeune âge 

Un discours caricatural tend à diaboliser le numérique alors que l’exposition à la propagande extrémiste par le cyberespace ne découle que rarement sur un militantisme : ce sont les interactions dans le monde réel qui sont la base du processus d’engagement. Il est également important de se questionner sur les mécanismes de sélection de contenus extrémistes chez les jeunes. La première piste serait liée au besoin cognitif, suite à des situations difficiles vécues tandis que la seconde serait liée à la méfiance envers les médias traditionnels. La recherche de contenus conspirationnistes, notamment par les réseaux sociaux, amplifie et facilite la radicalisation, par écho avec le discours extrémiste entendu dans le monde réel. Sur le fond, ces contenus, mis à jour en temps réel par les jeunes eux-mêmes, donnent l’impression d’une participation et d’une écoute répondant à des questionnements sociétaux. Sur la forme, le jeune est attiré par le mystère, le frisson de l’information transgressionnelle. Aider les jeunes, lors de leur scolarité, à devenir des cybercitoyens éclairés est un nouvel enjeu des programmes scolaires. 

Face à la vulnérabilité des jeunes devant les contenus numériques, le ministère de l’Education Nationale a récemment créé de nouveaux programmes de formation et de sensibilisation aux technologies de l’information et de la communication. Ils permettent de ne plus limiter l’utilisation du numérique à la seule sphère personnelle mais de l’élargir à l’école pour apprendre aux élèves à décoder les messages. Plus encore, ces apprentissages sont des moyens de prévenir les risques de radicalisation par une lecture critique et distanciée. Depuis 2012, le B2i (Brevet Informatique et Internet) atteste du niveau acquis par les élèves dans la maîtrise des outils multimédia et de l’internet. Plus récemment, la loi de refondation de l’école de 2013 inclut une « éducation renouvelée aux médias, à l’information et à l’usage responsable d’internet et des réseaux sociaux », à travers les programmes EMI (Education aux Médias et à l’Information). L’objectif est que les élèves acquièrent les « connaissances et compétences nécessaires à la maîtrise de l’information, devenue aujourd’hui une condition essentielle de l’accès aux autres savoirs » et s’inscrivant dans la construction de la citoyenneté. Pour mener à bien ces nouveaux programmes, la formation des enseignants doit être repensée. 

Hors champ scolaire, L’Etat a choisi de communiquer auprès des jeunes pour les aider à décrypter les théories du complot. La page « on te manipule », avec le tutoiement adopté et une vidéo jouée par un blogueur est clairement destinée au public jeune. http://www.gouvernement.fr/on-te-manipule 

2) La formation des enseignants

La scénarisation d’une intervention scolaire sur le numérique par les enseignants ne s’improvise pas. Il est essentiel qu’ils soient formés sur la culture des jeunes et co-construisent leur formation, en présentiel et à distance. Parmi les outils existants :

– Certificat informatique et internet de l’Enseignement supérieur de niveau 2 « Enseignant » (C2i2e) validé en formation ou dans les 3 années suivant la titularisation.

– Parcours de formation à distance pour les enseignants sur la plateforme M@gistère.

– Réseau social des professionnels de l’éducation consacré à l’innovation (RESPIRE) qui réunit aujourd’hui plus de 3 600 contributeurs actifs. 

– Multiplication des formations en ligne proposées par des partenaires : MOOC par exemple.

– Kit pédagogique créé avec le partenaire Premières Lignes (agence de presse)

– Site dédié, soutenu par l’Union Européenne, propose de la ressource pédagogique à destination des enseignants http://www.internetsanscrainte.fr/

3) Le développement des formations

La France s’est engagée dès 2002 à constituer un réseau d’experts en cybersécurité dans les secteurs public et privé. Plusieurs universités proposent des parcours de formation dont le contenu porte sur la protection de l’information numérique avec des intervenants issus du ministère de la Défense, de grandes entreprises, des écoles polytechniques ou du Centre d’évaluation de la sécurité des technologies de l’information. Par ailleurs, l’ANSSI offre des formations au personnel de l’Etat et des entreprises sous forme de stages. Certaines formations sont labellisées afin de les rendre plus attractives. C’est le cas de celles du pôle d’excellence de formation à la cyberdéfense de l’école de Saint Cyr-Coëtquidan. L’ANSSI a également mis en place la labellisation des formations appliquant les directives du projet CyberEdu, afin d’introduire les notions de cybersécurité dans l’ensemble des formations de France.

La France collabore au niveau européen ou international avec divers partenaires. Ainsi, l’agence européenne chargée de la sécurité des réseaux et de l’information, l’ENISA, organise des forums permettant aux experts de confronter leurs pratiques. La France a adhéré le 3 juin 2014 au « centre d’excellence sur la cyberdéfense » rattaché à l’OTAN, basé à Tallin en Estonie. Ce centre est un organisme militaire international qui forme des spécialistes en cyberdéfense de pays partenaires ou membres de l’OTAN. 

Face à la recrudescence des cyberattaques, des sessions de formation sont dispensées auprès des acteurs privés et publics sur les risques qui pèsent sur les institutions. Ainsi, l’Institut des hautes études de défense nationale organise chaque année des séminaires d’information et de sensibilisation. De même, la Direction générale de la sécurité intérieure dispense également des formations destinées aux cadres et aux futurs cadres de l’administration. Des évènements sont organisés afin de mieux connaître et faire connaître les enjeux multiples des risques inhérents au cyberterrorisme, tels que le forum international de la cybersécurité, qui est également l’occasion pour des associations, des PME, des groupements de faire connaître leurs actions pour amener les acteurs économiques à prendre les mesures de sécurité efficaces. L’association CLUSIF (Club de la sécurité de l’information français) en est un exemple.

Créée en 2012, la réserve citoyenne cyberdéfense (RCC) regroupe aussi des collaborateurs bénévoles du service public afin de mettre en place des actions de lutte contre les cyberattaques. L’objectif est de mutualiser compétences et expertises d’ingénierie, de droit, de management etc. Les principales actions menées sont les suivantes :  

– Interventions dans les écoles et dans les entreprises

– Animation de groupes de travail

– Organisation d’évènements, de conférences autour de la cyberdéfense

– Création de jeux de société éducatifs

– Travaux de veille sur ce qui existe en matière de cyberdéfense à l’étranger.

B/ Les moyens régaliens de lutte contre le cyberterrorisme

1) La cyberdéfense : un enjeu mondial, une priorité nationale

  • Renforcer l’expertise

Désormais, des programmes capables d’identifier avec certitude et précision l’origine des cyberattaques sont nécessaires. L’effort de recherche, tant technique et académique qu’opérationnel, doit être intensifié. Dans un rapport d’information du Sénat, intitulé « La Cyberdéfense : un enjeu mondial, une priorité nationale » (2012), Jean-Marie Bockel prône le renforcement des ressources humaines dédiées (experts, effectifs du Centre d’analyse de lutte informatique défensive, effectifs « cyber » de la Direction générale de l’armement…). Ainsi, le CALID, bras armé du ministère de la Défense en matière de détection, de réaction aux attaques informatiques et de veille de la sécurité des sites de l’armée française, verra ses effectifs augmenter de 20 à 120 experts d’ici 2019, tandis que ceux du centre « Maîtrise de l’information » de la DGA devraient doubler et passer de 200 à 450 personnes. Le Conseil des ministres du 14 janvier 2015 a par ailleurs acté que les capacités des services de renseignements seraient renforcées au sein de la Direction générale de la sécurité intérieure et du Service central du renseignement territorial.

  • Augmenter le niveau de sécurité

Le « Pacte Défense Cyber 2016 » (sécuriser, dissuader, anticiper, réagir) souligne que la croissance continue de la menace, l’importance accrue des systèmes d’information et l’évolution très rapide des technologies imposent d’augmenter le niveau de sécurité et les moyens de défense de nos systèmes d’information. Face à la croissance des menaces dans le cyberespace, ce Pacte vise à sécuriser les systèmes d’information vitaux de la France, tels que ceux de l’armement, de l’industrie ou de la finance, mais aussi des entreprises phares de l’économie française. Il s’agit d’être en capacité de répondre efficacement aux cyberattaques. En conséquence, la France doit produire ses propres dispositifs (cryptologie, détection d’attaques), augmenter le budget consacré et maintenir une industrie nationale et européenne. La loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale autorise le Premier ministre à désigner par décret des opérateurs d’importance vitale (télécoms, énergie, transports…). Ces derniers sont dès lors soumis à des obligations en termes de diagnostic de sécurité réseau par des agents assermentés de l’ANSSI, qui peuvent prescrire toute mesure corrective, aux frais de l’opérateur.

  • Améliorer la gestion du cyberespace

Depuis les attaques terroristes de 2015, le gouvernement a aussi renforcé son action sur le web avec la campagne stop-djihadisme.gouv.fr, permettant aux familles et aux proches d’être mieux accompagnés et orientés pour contacter les services de l’Etat. Le numéro vert 0 800 00 56 96 a permis de signaler près de 4 000 personnes en vingt mois. Deux comptes Twitter et Facebook intitulés « #stopdjihadisme » ont été ouverts afin de produire et diffuser sur le web un contre-discours face à la propagande des organisations terroristes islamistes et démonter les mécanismes d’embrigadement via les réseaux sociaux. Plus généralement, les pouvoirs publics entendent mobiliser les citoyens en vue de signaler les publications sensibles (signalement.fr).

  • Développer les partenariats nationaux et la coopération européenne et internationale

L’Etat doit se donner les moyens de faire émerger une concertation interministérielle sous l’égide du Premier ministre et une communauté nationale de cyberdéfense s’appuyant sur divers partenaires (collectivités territoriales, établissements publics et principaux utilisateurs du cyberespace). Les cyberattaques entraînent presque systématiquement des conséquences transfrontalières. Par conséquent, la stratégie nationale ne se conçoit pas en-dehors du cadre de l’Alliance Atlantique et de l’engagement de la France dans l’Union européenne. De plus, le Livre blanc sur la défense et la sécurité nationale de 2013 préconise de développer des relations étroites avec les partenaires internationaux de confiance (Royaume-Uni, Allemagne). Le renforcement des capacités, en vue d’améliorer les compétences et la résilience des infrastructures vitales et des réseaux de communications électroniques est inscrit dans les politiques de cybersécurité de nombreux pays et dans la stratégie de cybersécurité de l’UE. Enfin, la lutte contre la cybercriminalité nécessite des contacts privilégiés avec les experts, fournisseurs d’accès et acteurs de l’internet mondial.

2) La « lutte informatique offensive n’est plus un tabou »

« La cyber n’est plus seulement un enjeu défensif, […] je parle ici, employons le terme, de lutte informatique offensive », Jean-Yves LE DRIAN, ministre de la Défense, discours d’ouverture du colloque international de cyberdéfense, Paris, le 24 septembre 2015.

  • Un appui tactique maîtrisé

Le cyberespace est devenu un domaine militaire à part entière, dans lequel il faut positionner ses forces, défendre sa puissance et exploiter les opportunités pour vaincre l’adversaire. Il en résulte la nécessité de combiner le combat numérique avec les autres formes de combat. Ainsi, l’arme informatique constitue une nouvelle forme de frappe en profondeur, comme l’a illustrée l’attaque d’une centrale nucléaire iranienne par le virus Stuxnet. Elle peut également appuyer les forces conventionnelles et par exemple perturber les défenses anti-aériennes, en leurrant ou en neutralisant des systèmes radars. La France dispose de capacités offensives limitées en la matière, mais dont le développement est érigé en priorité. La chaîne de commandement opérationnel dédiée à la cyberdéfense doit ainsi assurer la sécurité des systèmes projetés avec nos forces. Un embryon d’unité a d’ores et déjà été créé, équipé et déployé et doit être pleinement opérationnel en 2018.

  • Un cadre juridique clarifié

La loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale fournit un cadre juridique dans lequel peut s’envisager une doctrine de lutte informatique offensive.

Code de la défense – Article L2321-2

Créé par LOI n°2013-1168 du 18 décembre 2013 – art. 21

« Pour répondre à une attaque informatique qui vise les systèmes d’information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l’Etat peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui sont à l’origine de l’attaque.

Pour être en mesure de répondre aux attaques mentionnées au premier alinéa, les services de l’Etat déterminés par le Premier ministre peuvent détenir des équipements, des instruments, des programmes informatiques et toutes données susceptibles de permettre la réalisation d’une ou plusieurs des infractions prévues aux articles 323-1 à 323-3 du code pénal [1], en vue d’analyser leur conception et d’observer leur fonctionnement. »

3) Un volet répressif

En matière de terrorisme, la justice dispose d’un arsenal répressif spécifique et d’acteurs spécialisés. Cette particularité du droit pénal français se décline en matière de cyberterrorisme.

  • L’arsenal répressif en matière de cyberterrorisme

Le dispositif français en matière de lutte antiterroriste s’est adapté aux modes d’actions des terroristes et à l’émergence de la menace cyberterroriste en créant des infractions spécifiques et des procédures exorbitantes du droit commun. L’acte de terrorisme est défini à l’article 421-1 du code pénal comme l’infraction « ayant pour but de troubler gravement l’ordre public par l’intimidation ou la terreur ». Les atteintes au système de traitement automatisé de données (STAD) constituent potentiellement des actes de terrorisme en vertu de l’article 421-1 2° du code pénal. Cette réponse pénale permet de qualifier d’actions terroristes potentielles l’accès, le maintien frauduleux, l’entrave au fonctionnement ou l’altération d’un système de traitement automatisé de données, ainsi que l’introduction, l’extraction, la détention, la reproduction, la transmission, la suppression ou la modification frauduleuse de données contenues dans un tel système. Parmi les autres dispositions spécifiques au cyberterrorisme, peuvent être citées :

– la consultation habituelle de sites internet, élément constitutif du délit d’entreprise terroriste individuelle (article 421-2-6 du code pénal) ;

– l’apologie et la provocation au terrorisme sur internet (article 421-2-5 du code pénal) : sites, blogs, qui expliquent comment fabriquer un explosif ou encouragent/vantent le passage à l’acte.

  • La spécialisation des magistrats et des services enquêteurs

Au plan répressif, il n’existe pas de pôle ou de parquet spécialisé. Le droit existant prévoit toutefois la compétence nationale du tribunal de grande instance de Paris pour les individus mis en cause pour des infractions terroristes. En matière d’actes de terrorisme, le juge pénal dispose de services enquêteurs judiciaires spécialisés, telle que la sous-direction antiterroriste de la police judiciaire (SDAT), qui peuvent connaître des infractions terroristes commises par le biais d’un système de communication en ligne. Les services enquêteurs peuvent recourir aux services de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), service d’investigations judiciaire qui gère la « plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements » (PHAROS) qui est chargée de traiter les signalements liés à la cybercriminalité.

  • La coopération internationale

La France a ratifié un certain nombre de conventions internationales de coopération judiciaire en matière pénale. Elle a notamment ratifié, le 10 janvier 2006, la convention du Conseil de l’Europe sur la cybercriminalité adoptée le 23 novembre 2001 qui comporte des dispositions de coopération judiciaire dans la lutte contre toutes les formes de cybercriminalité, qu’elles soient ou non en lien avec le terrorisme.

C/ La réponse opérationnelle au cyberterrorisme

1) Une réponse coordonnée par l’ANSSI

Créé par le décret n° 2009-834 du 7 juillet 2009, l’Agence nationale de la sécurité des systèmes d’information a deux missions : la sécurité des systèmes d’informations de l’État et le conseil et soutien aux administrations et aux OIV. Sa participation à la recherche et au développement des technologies de sécurité et à leur promotion contribue à la sécurité de la société de l’information. Cet enjeu de sécurité nationale est coordonné sous l’autorité du Premier ministre, et repose sur une coopération étroite des services de l’État. Dans une logique de gestion de crise, les objectifs principaux sont d’anticiper, prévenir, répondre à une situation dégradée et de se rapprocher de la situation nominale.

2) Une organisation de veille et opérationnelle  

Opérationnel en permanence, le Centre de cyberdéfense regroupe au sein d’une même infrastructure les différentes entités:

– du Centre opérationnel de la sécurité des systèmes d’information (COSSI) consacrées à la veille sur les menaces cyber, à l’alerte des autorités gouvernementales et des victime,

– au pilotage des opérations de cyberdéfense de l’ANSSI

– ainsi qu’à la gestion des relations opérationnelles du COSSI avec ses partenaires.

Une cinquantaine d’agents y sont affectés (jusqu’à 80 en cas de crise majeure). La co-localisation du Centre de cyberdéfense de l’ANSSI avec le Centre d’analyse de lutte informatique défensive (CALID) du ministère de la Défense permet d’assurer une coordination étroite entre les deux centres et de faire collaborer civils et militaires. Les principales missions du COSSI sont :

– Assurer la veille et alerter sans délai les victimes potentielles et les autorités gouvernementales en cas d’apparition de signes d’attaque potentielle,

– Détecter à l’échelle internationale l’apparition d’éventuels signes d’attaques dans les médias et sur Internet ou communiqués à l’ANSSI par ses partenaires ;

– Superviser la sécurité de sites Internet et de réseaux gouvernementaux afin de détecter au plus tôt toute attaque ou tentative d’attaque qui pourrait les altérer.

Une opération de cyberdéfense est la coordination des différents moyens visant à comprendre une attaque informatique d’envergure en vue de l’entraver (la bloquer durablement). Elle se décompose en plusieurs phases : la détection, la qualification (confirmer l’attaque et la comprendre pour la bloquer), la remédiation (« action coup de poing »). Sur des attaques d’envergure – par exemple celle subie en avril 2015 par TV5 Monde, entraînant l’arrêt de la diffusion des programmes de la chaîne – l’ANSSI est capable de conseiller ou d’apporter une expertise technique, mobilisant des différentes compétences : audit, investigation numérique, analyse de vulnérabilités, supervision et reconstruction.