Gestion de crise et chaînes cyber : organisation européenne et française

En novembre 2019, l'Institut avait publié une première cartographie des acteurs étatiques impliqués dans la gestion de crises d'origine cybernétique. Plusieurs mois de travaux et d’échanges avec les institutions concernées ont permis de l'actualiser.

 

Focus sur les quatre chaînes cyber : protection, défense, renseignement et judiciaire

Si les acteurs en présence ne sont pas tous directement impliqués dans la conduite de la gestion de crise, ils sont de près ou de loin partie prenante dans les situations de crise, par exemple c’est bien à ce titre que la chaîne judiciaire est mise en avant dans cet article. Notre conception de la gestion de crise se veut large car toute crise et tout incident nécessite la participation d’un nombre d’acteurs divers et variés.

La France, l’Union Européenne, et plus globalement l’Europe et l’échelon international se sont dotés de capacités de réponses face à la cybermenace et à la cybercriminalité. Un schéma de réponse a clairement été dessiné pour apporter une réponse forte de l’État en cas de crise majeure d'origine cybernétique, c'est-à-dire en cas de crise provoquée par la mise à mal de systèmes d'information comme ce fut le cas pour nombre d'entreprises et d'administrations françaises ces dernières années. Pourtant, des interrogations subsistent quant au schéma organisationnel de réponse. Le périmètre de chacune des institutions gagnerait à être précisé, spécifié, mais surtout partagé et connu de tous.

Cet article a pour vocation de partager une nouvelle version de cette cartographie amorcée en 2019 en complétant le tableau d’acteurs qui pourraient être impliqués dans la gestion et le traitement d’une crise ou d’un incident d’origine cybernétique : avant, pendant, après. Un soin tout particulier a été apporté à la mise en évidence des liens entre la chaîne de commandement territorial, les différentes chaînes de commandement ministériel et le secteur privé lors de la construction de cette cartographie, ainsi qu’à l’importance de l’échelon européen et a fortiori international dans le cas de la gestion des crises provenant de cet espace transfrontière qu'est l'espace numérique. En somme, c’est un regard synthétique sur les quatre chaines cyber que nous tentons de reproduire : protection, défense, renseignement et judiciaire.

La présente cartographie a été pensée comme un document unique (imprimable en format A3 pour un rendu optimal) permettant une photographie synthétique de l’organisation à l’échelle européenne et française. Des liens hypertextes permettent d’aller plus loin en cliquant sur les logos ou les noms des institutions, cellules de crises, mécanismes afin d’être redirigé vers une page officielle d’information.

 

Cartographie des acteurs formant la communauté étatique cyber française et européenne

Télécharger la cartographie au format A3 [ 12,3 Mo ]

Cybersécurité/cyberdéfense : quelle organisation à l’échelle européenne ?

Lors de la 12^e édition du Forum International de la Cybersécurité (FIC) en janvier 2020, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) appelait de ses vœux une gouvernance européenne renforcée au profit du développement d’une souveraineté européenne en matière de cybersécurité et à la promotion, au niveau international, des valeurs européennes pour la paix et la stabilité du cyberespace. Elle reconnaît néanmoins de solides fondations en matière de sécurité numérique sur le vieux continent. Les mécanismes de gestion de crise européens et internationaux sont d’autant plus importants dans le cas d’une crise d’origine cybernétique que cette dernière ne répond pas aux frontières géographiques de nos découpages administratifs à quelques niveaux qu’ils soient. Le caractère transfrontière du cyberespace et la transcendance géographique¹ des cyberattaques appelle une articulation des dispositifs nationaux, européens et internationaux. Si l’objet de cet article n’est pas de décrire l’ensemble des accords bilatéraux et coopérations internationales existant en matière de cybersécurité entre pays, la résolution d’affaires comme l’affaire « Rex Mundi » impliquant une enquête conjointe entre les autorités françaises (OCLCTIC), anglaises (Metropolitan Police de Londres), européennes (Europol) et thaïlandaises (Crime Suppression Division de Bangkok), témoignent de leur existence et leur nécessité.

 

L ’Union européenne

Deux clauses semblent pouvoir être invoquées par un État membre afin d’enclencher les mécanismes de gestion de crise européen : la clause de défense mutuelle de l’article 42 paragraphe 7 du Traité sur l’Union européenne (TUE) introduit en 2009 avec le traité de Lisbonne et la clause de solidarité (article 222 du traité sur le fonctionnement de l’Union européenne (TFUE) qui peut être évoquée en cas d’un « cyberincident ou une cyberattaque particulièrement sérieux ».

Au sein de l’Union européenne, plusieurs institutions participent à la cyberprotection et la cyberdéfense des européens et notamment la Commission Européenne, le Conseil de l’UE, le SEAE, État-major de l’UE, l’l’ENISA, le CERT-EU, Europol, Eurojust.

La Commission européenne adoptait en 2017 une recommandation : le Blueprint, définissant les procédures de coopération et d’échanges européens pour la gestion des incidents et crises de cybersécurité majeurs dépassant les capacités d’action du seul État membre concerné ou qui frappent plusieurs États membres. Trois niveaux de gestion de crise sont ainsi identifiés : politique, opérationnel et technique.

S’il revient aux États membres de répondre aux incidents et crises de cybersécurité majeurs qui les touchent, La Commission, le Conseil de l’UE et le SEAE peuvent notamment jouer un rôle important en vertu du droit de l’Union et des mécanismes de gestion de crises « classiques ». En effet, en cas de crise majeure, la coordination pourra s’effectuer dans le cadre du système général d’alerte rapide « ARGUS » au sein de la Commission, tandis que le Conseil de l’Union européenne assurera la coordination politique via le dispositif intégré pour une réaction au niveau politique dans les situations de crise ( IPCR). Enfin, lorsque la crise comporte d'importantes implications liées à la politique extérieure ou à la politique de sécurité et de défense commune ( PSDC), le système de réponse aux crises (SRC) du Service européen pour l'action extérieure ( SEAE) pourra être activé. Bien sûr, les enceintes spécialisées sont au cœur de la réponse :

L’ENISA, l’Agence européenne chargée de la sécurité des réseaux et de l’information assure un rôle de conseil en fournissant des recommandations et en soutenant l’élaboration et la mise en œuvre de politiques en matière de sécurité de l’information auprès de la Commission européenne et des États membres. Son rôle se renforce, notamment en matière de certification et d’organisation d’exercices et à ce titre Blue OLEx 2019 a marqué un tournant en permettant de tester le niveau opérationnel du cadre européen de réponse au crises cyber en rassemblant les responsables d’autorités nationales de cybersécurité des États-membres de l’UE, la Commission européenne et l’ENISA.

Le " CERT-EU", Centre d'alerte et de réaction aux attaques informatiques (Computer Emergency Response Team) de l’UE intervient en cas d’urgence informatique via une équipe permanente au profit des institutions européennes. Il coopère notamment avec les CERTs des États membres et fait partie du CSIRTs Network, le réseau des CERT européens établi par la directive Network and Information Security (NIS) et soutenu par l’ENISA qui en assure notamment le secrétariat.

Le Général Didier Tisseyre, commandant de la cyberdéfense à l’État-major des armées (COMCYBER), indiquait lors d’une audition à l’Assemblée nationale pour la commission de la défense nationale et des forces armées que l’Union européenne est plutôt concentrée sur les questions de cybersécurité que de défense militaire. Cependant il précisait la présence du COMCYBER dans les groupes de travail dédiés à la cybersécurité et la cyberdéfense et également dans les opérations et les structures de commandement de l’Union européenne ou encore l’ État-major de l’UE (EMUE), structure militaire intégrée à l’UE.

Morgan JOU, Assistant de recherche à l’IRSEM en 2017, publiait un article en octobre 2019 dans lequel il partageait également ce constat puisqu’il indiquait que l’UE ne dispose pas d’une capacité de réponse opérationnelle spécifique au cyber aux côtés des capacités conventionnelles. Si l’EMUE est cependant bien en mesure de fournir une expertise militaire et opérationnelle via une division politique et plans (CON/CAP) et une division des systèmes d’information et de commandement (CIS), il n’existe pas de centre unique pour piloter la planification et la conduite opérationnelle dans le domaine cyber.

Le volet judiciaire, soit les compétences d’enquêtes et d’investigations relèvent de deux agences : Europol et d’Eurojust.

La première, Europol, est l’agence européenne spécialisée dans la répression de la criminalité internationale et le terorisme lutte contre la cybercriminalité, notamment via l’ European Cybercrime Centre (EC3) qui opère à un niveau stratégique mais également opérationnel, notamment via le Joint Cybercrime Action Taskforce (J-CAT).

La seconde, l’European Union Agency for Criminal Justice Cooperation (Eurojust) a pour principales missions la coordination des enquêtes et des poursuites, et la coopération entre les autorités des États membres. Elle cherche à rendre plus efficaces ces enquêtes et poursuites, notamment en matière de lutte contre la cybercriminalité. Elle soutient qui forme un réseau de procureurs et de spécialistes du cybercrime. Ce dernier vise à rendre plus efficace les enquêtes et poursuites engagées en matière de cybercrime en améliorant la coopération entre autorités judiciaires des États membres.

L’exemple mis en avant en introduction de ce développement sur l’UE, illustre bien la nécessité de coopération et coordination des autorités judiciaires et des services de police des différents pays en matière de lutte et d’enquête sur la cybercriminalité. Ces deux enjeux sont portés par Eurojust, et Europol.

Les services de renseignements apportent également leur appui. Le Centre d'analyse du renseignement de l'Union européenne (INTCEN) et la direction «Renseignement» de l'État-major de l'Union européenne (EUMS INT) sont tous deux au cœur de la capacité unique d'analyse du renseignement (SIAC, Single Intelligence Analysis Capacity) du SEAE. Ce dernier héberge également la salle de veille (SITROOM, soit la Situation room) de l'INTCEN et la cellule de fusion de l'Union européenne contre les menaces hybrides (au sein de l'INTCEN) en matière de cybersécurité notamment.

L’Union européenne peut également s’appuyer sur l’Organisation du Traité de l’Atlantique Nord (OTAN), notamment depuis la signature en février 2016 d’ un arrangement technique sur la cyberdéfense - visant à renforcer la coopération en matière d’informations, de formation, de recherche et d’exercices - entre l'équipe d'intervention en cas d'urgence informatique de l'UE (CERT-UE) et la capacité OTAN de réaction aux incidents informatiques (NCIRC).

 

Focus sur l’Organisation du Traité de l’Atlantique Nord

L’Alliance est un support important pour les questions de cyberdéfense en Europe puisqu’elle a pour principal fonction la défense collective, la gestion de crise et la sécurité coopérative. Si sa priorité reste la défense de ses propres réseaux, elle s’attache à renforcer le niveau de résilience des pays membres de l’Alliance. Ses actions visent à faciliter le partage d’informations et l’assistance mutuelle en cas de crise avec notamment - à disposition des pays membres, sur demande et approbation de l’Alliance - des équipes de réaction rapide de l’OTAN pouvant intervenir 24 heures sur 24 au nom de la clause d’assistance mutuelle de l’article 5 du traité de l’Atlantique nord (TAN).

Au sein de la capacité OTAN de réaction aux incidents informatiques (NCIRC) - qui fait partie de l’Agence OTAN d’information et de communication (NCIA) - quelques 200 experts assurent la protection des SI de l’Alliance en temps de paix et en temps de crise. Mais c’est en 2018 qu’un tournant en matière de réponse à incidents semble se dessiner puisque les membres de l’Alliance ont engagé - au sommet de Bruxelles – la création d’un Centre des cyberopérations (CyOC) intégré à la structure de commandement de l’OTAN qui pourraient faire appel aux capacités cyber des pays pour ses missions et opérations. Ce dernier devrait être opérationnel d’ici 2023. Néanmoins, le Général Didier Tisseyre, soulignait également la nécessité pour l’OTAN de développer le cyber offensif².

Le Centre d’excellence de cyberdéfense coopérative (CCDCOE), basé à Tallinn est le centre de l’OTAN spécialisé dans la recherche et l’éducation en élaborant notamment les règles de comportement dans le cyberespace et notamment la question de l'applicabilité du droit international aux cyberattaques employées dans le cadre de conflits armés via le "Manuel de Tallinn". Les exercices européens de cybedéfense de l’OTAN, Cyber Coalition et Locked Shields y sont organisés.

 

Pour aller plus loin, Morgan Jouy, interrogeait Le Conseil de l’Europe

Le Conseil de l’Europe aide à protéger les sociétés contre les menaces de la cybercriminalité via la Convention de Budapest signée le 23 novembre 2001, qui reste encore aujourd’hui le cadre juridique international contraignant de référence pour les différentes législations nationales, mais aussi via son comité de la convention sur la cybercriminalité ( T-CY) ou encore son bureau du programme sur la cybercriminalité (C-PROC). Depuis 2017, des négociations sur le protocole ont débuté pour un second protocole additionnel et devrait simplifier la coopération judiciaire entre les 63 pays adhérents à la convention et de faciliter la coopération directe avec les fournisseurs de services sur Internet des autres pays membres.

Le Conseil de l’Europe agit à une échelle internationale, et est l’occasion de rappeler le rôle des institutions internationales même si, elles ne font pas l’objet d’un développement spécifique ici.

 

Cybersécurité/cyberdéfense : quelle organisation pour l'État français ?

Présentée comme le « premier grand exercice de synthèse stratégique dans ce domaine », la Revue stratégique de cyberdéfense (RSC) publiée en février 2018 par le Secrétariat général à la défense et la sécurité nationale (SGDSN) affirmait le cadre organisationnel et sommital français en matière de cyberdéfense et cybersécurité. Pourtant, il n'en demeure pas moins difficile d'établir une cartographie précise des acteurs institutionnels – compétents – amenés à répondre aux crises cybernétiques majeures et à lutter contre la cybercriminalité.

La connaissance des acteurs du domaine cyber par les acteurs et les décideurs en gestion de crise – hors acteurs techniques du champ de la sécurité, et plus spécifiquement de la sécurité informatique – reste trop peu développée. Cette méconnaissance pourrait contraindre une réponse non adéquate en temps de crise. Questionner l'organisation gouvernementale des instances et échelons de gestion de crise en fonction des chaînes de responsabilité afférentes permet de mettre en lumière les difficultés et les solutions mises en place.

 

Séparation des capacités défensives et offensives : vers la fin du particularisme du modèle de gouvernance français ?

Le modèle français d'organisation de la réponse aux incidents numériques repose sur une doctrine de séparation entre le volet offensif (lutte informatique offensive, LIO) et défensif (lutte informatique défensive, LID).

La LIO, c'est-à-dire la stratégie offensive, est la prérogative de l'Elysée via le Conseil de défense et de sécurité nationale (CDSN) qui est en charge de produire les orientations et directives dans le domaine cyber. C'est le Comité de direction de la cyberdéfense (CDC) qui les met en œuvre en allouant aux services étatiques les moyens nécessaires. Co-présidé par le coordonnateur national du renseignement et de la lutte contre le terrorisme (CNRLT), le chef d'état-major particulier du Président de la République (CEMP) et le directeur de cabinet du Premier ministre, le CDC est également en charge de coordonner les diverses chaînes opérationnelles – cyberdéfense, contre-ingérence cyber, répression.

L'arme informatique est donc un usage souverain, à la main du Président de la République, chef des armées, qui décide de la mise en œuvre d’une action cyber au même titre que d’une action militaire³. La Direction générale de l'armement-Maîtrise de l‘information (DGA-MII) est en charge de concevoir ces armes cybernétiques au profit du ministère des Armées, que ce soit pour les services de renseignement où pour les forces du COMCYBER. Créé en 2017, le commandement des forces de cyberdéfense des armées françaises (COMCYBER) assure la protection des systèmes d'information placés sous la responsabilité du chef d'état-major des armées en sa qualité d'autorité qualifiée pour la sécurité des systèmes d'information. Il assure également la conduite de la défense des systèmes d'information du ministère des Armées à l'exclusion de ceux de la direction générale de la sécurité extérieure (DGSE) et de la direction du renseignement et de la sécurité de la défense (DRSD). Si le COMCYBER a autorité sur 3 organismes interarmées – que sont le Centre d'analyse en lutte informatique défensive (CALID), le Centre d'audits de la sécurité des systèmes d'information (CASSI) et le Centre de la réserve et de la préparation opérationnelle de cyberdéfense (CRPOC) – le CALID en est le bras armé en tant que centre opérationnel défendant l'espace numérique des armées. Pour orienter le travail du CALID et des SOC1, le COMCYBER s'appuie sur le centre des opérations cyber (CO Cyber), également nommé le centre cyber des opérations (CCO). Ce dernier est colocalisé avec la cellule de gestion de crise du Ministère des Armées, le Centre de planification et de conduite des opérations (CPCO), avec laquelle il entretient une étroite relation, au point où la composante « renseignement » du CCO cumule ses fonctions avec celle de référent cyber du bureau renseignement du CPCO (J2/cyber)⁴.

Le COMCYBER prend appuie sur les chaînes d'armées – Terre, Mer, Air -, et plus précisément les chaînes de lutte informatique défensive d'armées – direction et services – qui sont au cœur de leur propre système. Ainsi, l'ensemble des états-majors, directions et services (EMDS) rattachés au ministère des Armées, animent chacun une chaîne SSI et LID. Placés sous l'autorité fonctionnelle d'un OGCYBER (OGCYBER Terre, Air, et ALCYBER pour la Marine).

Les 3 armées disposent de centres techniques dédiés :

• Le Centre technique de lutte informatique défensive dédié au combat numérique de l’armée de Terre, ainsi que la 807e compagnie de transmissions (807eCTRS), spécialisée dans la lutte informatique défensive et pouvant venir en appui des unités de la Défense en France ou en opération extérieure. Si elle dépend organiquement du COMSIC, elle se trouve sous l'autorité fonctionnelle conjointe de l'armée de Terre (mission Terre) et du COMCYBER (mission EMA).
• Le Centre support Cyberdéfense (CSC) qui intervient au profit de toutes les composantes opérationnelles de la Marine grâce aux groupements d’intervention rapide (GIC).
• L’escadron des systèmes d’information opérationnels et de cyberdéfense (ESIOC) de la base aérienne (BA) 118 de Mont-de-Marsan arme un groupement d’intervention rapide (GIC) pour l'armée de l'Air.

Le COMCYBER contribue - en cas de besoin - à la défense des SI en dehors de son périmètre aux côtés de l’ANSSI, notamment en matière d’assistance.

Il est également important de souligner le développement de la lutte informatique d’influence (L2I), portée par le centre interarmées des actions sur l’environnement (CIAE) centre de référence dans le domaine de l’influence militaire, notamment dans les champs opérationnels numériques (CIAE numérique).

Il faut enfin noter que s’il existe toujours une distinction entre une "réserve opérationnelle" (qui s’inscrit dans la Garde nationale) et une "réserve citoyenne", le principe de réservistes à vocation opérationnelle a disparu. Ce changement de paradigme peut être entendu comme une évolution liée à la prise en compte du cyber à un niveau de décision stratégique, comme en témoignent les profils de cette "réserve citoyenne" : Jérôme Notin, directeur général de la plateforme cybermalveillance.gouv.fr ; Kevin Limonier, maître de conférences en études slaves à l’Institut Français de Géopolitique (Université Paris 8) et également directeur adjoint du centre Géode et directeur scientifique de l’Observatoire de l’infosphère russophone ; Aude Géry, doctorante en droit international public à l'Université de Rouen. En somme, des spécialistes dans leurs domaines d’expertise qui pourraient enrichir le débat en temps de crise ?

La LID, c'est-à-dire la stratégie défensive, est la prérogative du Premier ministre via le Comité de pilotage de la cybersécurité (CPC) dirigé par l'ANSSI, autorité nationale de défense des systèmes d'information qui a à sa charge l'organisation de la réponse et le pilotage des opérations en cas d'attaque informatique majeure contre la Nation. Il s'agit de l'institution en charge de la réponse à incident en cas de crise majeure. Plus précisément, c'est la sous-direction des opérations (SDO) de l'ANSSI qui joue un rôle opérationnel lorsque surviennent des crises d'origine cyber : 16 opérations de cyberdéfense ont ainsi été menées en 2019 contre 14 en 2018.

En cas d’attaques cyber, la réaction de l’Etat est avant tout basé sur la posture de vigilance permanente mise en œuvre dans le cadre du plan VIGIPIRATE qui vise à attribuer des moyens pour augmenter la résilience du pays pour une meilleure prévention, une organisation de la réponse et une diffusion d’une culture commune de la sécurité.

En fonction de l'importance de la crise, dès que des dysfonctionnements majeurs nécessitant une coordination interministérielle se font jour, le plan Piranet et la cellule interministérielle de crise (CIC) doivent être activées par le Premier ministre, et le directeur général de l'ANSSI en prendra la tête. La direction générale de la sécurité civile et de la gestion des crises (DGSCGC) du ministère de l’Intérieur en assure toujours la charge fonctionnelle et administrative, tandis que le secrétariat général à la défense et la sécurité nationale (SGDSN), duquel dépend l’ANSSI, assure des fonctions d’aide à l’anticipation pendant la crise, mais également de retour d’expérience. La direction générale de la sécurité intérieure (DGSI), pourra venir en appui pour mener l'enquête. La création du centre de coordination des crises cyber (C4) souhaitée de ses vœux par la RSC assoie l'importance des échanges et du soutien interministériel et inter-service nécessaire pour préparer la doctrine de réponse en cas d'attaque mais également pour faciliter la réponse opérationnelle. Présidé par la SGDSN et se réunissant mensuellement, le niveau stratégique (C4 STRAT) définit et propose aux autorités les réponses adaptées. Au niveau technico-opérationnel, le C4 TECHOPS assure la coordination pour la partie technique des crises liées au numérique donc un partage d'information quotidien sur l’analyse de la menace et le dialogue entre acteurs.

À ce titre, l'ANSSI a renforcé ses partenariats public-privé, avec plusieurs autorités nationales sectorielles : l'Autorité de contrôle prudentiel et de résolution (ACPR), l'Autorité des marchés financiers (AMF), l'Établissement public de sécurité ferroviaire (EPSF), la Direction de la sécurité de l'aviation civile (DSAC). Elle continue son travail auprès des opérateurs d'importance vitale (OIV), des opérateurs de services essentiels (OSE), des fournisseurs de service numérique (FSN) et peut à présent s'appuyer sur les opérateurs de communications électroniques (OCE) pour détecter les attaques.

Les liens entre les organismes préposés à la LIA et ceux préposés à la LID restent néanmoins serrés puisque CALID comme DGA-MII partagent avec l'ANSSI les savoirs qui lui permettent de protéger l'espace numérique français. Guillaume Poupard indiquait d’ailleurs lors du Forum International de la cybersécurité en janvier 2020 le rapprochement de l’Agence avec les acteurs institutionnels majeurs du ministère des Armées.

 

Cybercriminalité : un maillage territorial, des capacités de réponses et d’enquêtes

Alors que le cybercrime agit quotidiennement sans émettre de bruit médiatique, il est prioritairement la prérogative d'autres institutions que l'ANSSI et le ministère des Armées. En effet, la lutte contre la cybercriminalité est principalement le fait du ministère de l'Intérieur, mais également du ministère de l'Action et des Comptes publics et bien évidemment du ministère de la Justice et des institutions judiciaires.

 

Le ministère de l’Intérieur

La défense des systèmes d’information du ministère de l’Intérieur revient au Centre de Cyberdéfense (C2MI) relevant du Service du Haut Fonctionnaire de Défense (SHFD). Le C2MI a notamment pour mission de détecter les attaques sur le SI du ministère et coordonner la gestion des incidents de sécurité en lien avec le centre opérationnel de l’ANSSI.

Quatre institutions opérationnelles agissent quotidiennement pour lutter contre la cybercriminalité : la direction générale de la police nationale (DGPN) via la Sous-direction de la lutte contre la cybercriminalité (SDLC), la Préfecture de police (PP) via la Brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI), la direction générale de la gendarmerie nationale (DGPN), notamment via son Centre de lutte contre les criminalités numériques (C3N) et la direction générale de la sécurité intérieure (DGSI).

La SDLC est notamment composée d'un bureau de coordination stratégique, l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), et une division en charge de l'anticipation et de l'analyse (D2A). C'est cette dernière qui a « vocation à construire une réponse publique aux particuliers et aux entreprises non identifiées comme des « opérateurs d'importance vitale » et cibles privilégiées des cyber-attaques ». Elle développe actuellement une plateforme, nommée Thésée - traitement harmonisé des enquêtes et signalements pour les e-escroqueries - qui devrait permettre aux citoyens de porter plainte pour tout fait d’escroqueries effectuées via Internet. Son développement semble avoir pris du retard puisqu’elle était annoncée pour 2019. Enfin, il existe un réseau de référents cybermenaces depuis mars 2018 qui a notamment pour mission d’animer le réseau inter-directionnel local et devrait être généralisé sur l’ensemble du territoire. Ainsi, un commissaire référent au sein de la direction interrégionale de Police judiciaire (DIPJ) du chef-lieu de la zone, pilote le réseau zonal et assure le relai entre la SDLC et celui-ci⁵.

La BEFTI exerce, elle, sa compétence sur le ressort de Paris et de la petite couronne, sous l'autorité des Procureurs de la République et des juges d'instruction. Service de police judiciaire rattachée à la Direction centrale du renseignement intérieur (DCRI) au sein de la Préfecture de Police de Paris et spécialisé dans la lutte contre la cybercriminalité.

Globalement la police nationale dispose de primo intervenants en cybercriminalité (PICC) en mesure de recueillir les plaintes des particuliers et d’assurer les opérations de préservation et de saisie de preuves numériques, mais également de fonctionnaires spécialisés, les investigateurs en CyberCriminalité (ICC).

Enfin la police nationale, et plus précisément la direction centrale de la police judiciaire (DCPJ) gère la plateforme PHAROS – plateforme d’harmonisation, de recoupement et d’orientation des signalements - qui permet de lutter contre les contenus illicites du web, centraliser les signalements des infractions pénales et qui met en œuvre en tant qu’autorité administrative le dispositif de retrait, blocage et déférencement de sites pédopornographiques ou faisant l’apologie ou provoquant au actes de terrorisme.

Au sein du C3N, la chaîne cybercriminalité bénéficie d'un réseau de proximité au niveau local composé de référents Cyber, de spécialistes au niveau départemental (Cyber N'tech). Des experts travaillent également à l'échelle nationale au sein du Pôle judiciaire de la Gendarmerie nationale (PJGN) qui réunit les compétences du C3N mais aussi du département informatique et électronique de l'Institut de recherche criminelle de la Gendarmerie nationale (IRCGN).

Le C3N travaille essentiellement d'initiative et assure le pilotage et l'appui spécialisé de l'action de la Gendarmerie contre la cybercriminalité et les criminalités numériques de façon plus générale. Il mène et coordonne les investigations d'ampleur nationale ayant trait à la cybercriminalité et réalise une surveillance permanente de l'Internet pour y détecter et collecter les preuves des infractions qui peuvent y être commises. A cet effet, il pilote et anime le réseau CYBERGEND, réseau d'enquêteurs spécialisés de la Gendarmerie formant une chaîne globale et cohérente de plus de 5000 gendarmes avec près de 260 enquêteurs NTECH, 5 100 correspondants C-NTECH, 200 enquêteurs sous pseudonymes. Pour assurer sa mission, il bénéficie également du de l’appui du pôle national de lutte contre les cybermenaces, directement rattaché à la direction générale de la gendarmerie, qui a pour mission de mettre en place et dynamiser le plan d’action de la gendarmerie nationale dans le domaine cyber. Enfin, depuis octobre 2018, comme les policiers, tous les élèves gendarmes sont formés en tant que primo-intervenants en nouvelles technologies numériques (P-NTECH).

Il faut également souligner que la Gendarmerie nationale dispose depuis juin 2018 d’une plateforme, nommée Perceval, permettant aux citoyens de signaler les escroqueries bancaires effectuées via Internet.

La Direction générale de la sécurité intérieure (DGSI)⁶ dispose, au sein de sa sous-direction des affaires judiciaires, d’une section spécialisée dans le traitement des affaires liées à la cybercriminalité et notamment les cas de cyberattaques dirigées contre les systèmes et réseaux gouvernementaux ou des opérateurs d’importances vitales (OIV) ou des établissements disposant de zones à régimes restrictifs, et enfin, toute atteinte à un système susceptible de nuire aux intérêts fondamentaux de la Nation. La DGSI possède également un département cyber au sein de sa direction technique dont la mission est notamment de collaborer avec l’ANSSI afin de lutter contre les menaces pesant sur les réseaux des OIV et des OSE français.

Enfin, le risque cyber est également pris en compte par la direction générale de la sécurité civile et de la gestion des crises (DGSCGC) dans les travaux de planification e de gestion des crises, ce qui témoigne d’une réelle prise de conscience des acteurs de gestion de crise.

 

Le ministère de l'Action et des Comptes publics

Au sein du ministère de l'Action et des Comptes publics, deux institutions agissent contre la criminalité numérique : la Direction nationale du renseignement et des enquêtes douanières (DNRED) et l'organisme de Traitement du renseignement et action contre les circuits financiers clandestins (Tracfin).

La DNRED dispose d'un service spécialisé nommé cellule Cyberdouane, en charge de la détection des fraudes douanières sur Internet. Sur la base de son travail de veille, la cellule Cyberdouane est amenée à diligenter des enquêtes menées par la DNRED dans le cas d'une procédure administrative ou le Service national de douane judiciaire (SNDJ) dans le cas d'une procédure judiciaire. Tracfin est en charge de la lutte contre la fraude, le blanchiment d'argent et le financement du terrorisme. À ce titre, il dispose d'une division d'enquête spécialisée sur la «cybercriminalité financière ».

 

Le ministère de la Justice et les institutions judiciaires

Il est opportun de replacer la justice au cœur de la gestion de crise. Si le juriste a trouvé sa place dans les cellules de crise privées, il n’en va pas de même en cellule de crise publique. Pourtant le juriste est bien – à la fois - la cheville ouvrière d’application des lois et le gardien de l’état de droit. L’ensemble des travaux d’enquêtes sont menés par les services d’enquêtes pré-cités servent d’appui aux différentes juridictions.

Le pouvoir judiciaire possède une organisation dédiée aux problématiques de cybercriminalité, et ce, à tous les échelons administratifs. En septembre 2014, une section spécialisée « F1 » du parquet de Paris était créée pour le traitement des dossiers judiciaires concernant les affaires de cybercriminalité de très haut vol. De juin 2016 jusqu’à 2020, une compétence concurrente nationale lui permettait de conduire les enquêtes liées aux atteintes aux systèmes de traitement automatisé des données (STAD) et aux crimes et sabotages informatiques. En février 2020, cette section dite « F1 » intègre la troisième division du parquet de Paris et devient la Section J3 Cybercriminalité, soit l’une des trois juridictions interrégionales spécialisées (JIRS) au côté de la section J1 JIRS criminalité organisée et la section J2 JIRS criminalité financière. Cette division est en charge des contentieux de très haut vol, de complexe à très complexe, comme ceux relatifs au rançongiciel WannaCry et au logiciel malveillant NotPetya, ayant frappé un nombre considérable d’organisations et d’institution à travers le monde en 2017.

Alice Chérif, procureure pilotant les dossiers judiciaires de cette section J3 cybercriminalité indiquait, fin 2019, que 150 affaires au titre de la compétence nationale étaient en cours, sur les 2500 affaires traités par le parquet de paris. Composé de 3 magistrats, d’un assistant spécialisé et de deux greffières, la section s’appuie également sur quatre juges d’instructions du pôle financier de Paris formés aux problématiques cyber.

Il est aussi important de souligner les réflexions sur la généralisation d’un réseau de magistrats « cyber-référents » au sein des tribunaux, cours d’appel et JIRS, et le rôle de la Mission de lutte contre la cybercriminalité de la direction des affaires criminelles et des grâces (DACG) du ministère de la justice. Cette dernière contribue en effet aux travaux stratégiques du C4 mais également aux réunions du Groupe de Contact permanent (GCP). Piloté par la délégation ministérielle en charge des industries de sécurité et à la lutte contre les cybermenaces (DMISC), ce dernier a pour objectif d’améliorer le dialogue avec les acteurs privés, notamment les GAFAM (Apple, Google, Twitter, Microsoft, Facebook). La DACG jour également un rôle en matière de lutte contre la cybermalveillance puisqu’elle est membre du conseil d’administration du GIP ACYMA qui pilote la plateforme d’assistance et prévention du risque numérique cybermalveillance.gouv.fr.

Comme pour tout ministère concourant en matière de gestion de crise, deux chaînes de commandement existent afin que la justice réponde à l’appel des situations de crises ne touchant pas directement le ministère, autrement dit à sa vocation d’incarnation du pouvoir judiciaire, mais également pour qu’il soit en capacité de répondre si la crise le touche directement afin d’assurer la résilience du secteur d’activités d’importance vitale des activités judiciaires (SAIVAJ).

Cela se traduit concrètement par un schéma organisationnel correspondant au découpage administratif français sur lequel la chaîne de commandement territorial est organisée (national, zonal, départemental). On retrouve ainsi une cellule de crise du ministère de la Justice, le haut fonctionnaire de défense et de sécurité (HFDS) qui coordonne l’organisation de prévention de crise et de gestion de situation d’urgence et assure le lien avec la CIC et la cellule interministérielle d’aide aux victimes (CIAV).

Deux entités spécialisées complètent l’échelon ministériel : la délégation interministérielle d’aide aux victimes (DIAV) qui coordonne les actions des différents ministères et le comité interministériel du suivi des victimes (CISV) qui peut prendre le relai en fin de crise.

A l’échelon zonal, les chefs cours d’appel des zones de défense et de sécurité (CCAZDS)⁷ exercent leur fonction près la cour d’appel du chef-lieu de la zone de défense et de sécurité, de manière indépendante, même si leur action doit être coordonnée avec celle de l’autorité préfectorale. Ils sont appuyés par les secrétaires généraux auprès des chefs de cour de zone de défense et de sécurité qui ont à leur charge la continuité des fonctions de délégué zonal à la défense et à la sécurité (DZDS). Ce sont eux qui portent les questions relatives à la gestion de crise. En matière de sécurité des systèmes d’information, ils peuvent compter sur le responsable zonal de la sécurité des systèmes d’information (RZSSI).

Enfin ce sont les procureurs de la République et les autorités des établissements judiciaires qui font office de dernier niveau en matière de gestion de crise. En cas de crise d’origine cyber, ils peuvent idéalement être soutenues en matière de sécurité des SI par un responsable de la sécurité des systèmes d’information (RSSI). A noter, que les comités locaux d’aide aux victimes (CLAV), co-présidés par les préfets et les procureurs de la République, font figure de déclinaisons du CISV au niveau départemental.

 

Gestion de crise majeure d'origine cyber : quelle articulation des chaînes de commandement ?

De manière plus globale, il est important de retenir qu’en dehors des spécificités attenantes à chaque ministère, une organisation générale permet à chaque ministère de rester responsable de la sécurité de ses propres systèmes d'information. L'organisation repose toujours sur les HFDS, placés auprès de chaque ministre, assistés d'un FSSI, en charge de la politique SSI du ministère. De plus, chaque ministère doit désigner des autorités qualifiées en sécurité des systèmes d'information (AQSSI), responsables de la sécurité des SI au sein de leur périmètre.

Enfin, aux différents échelons administratifs, RZSSI et des RSSI sont nommés et peuvent appuyer le préfet de zone ou le préfet de département qui est en charge du risque cyber sur le territoire qu’il administre. Il faut toutefois souligner les difficultés pour les services de ressources humaines de recruter des RSSI, faute souvent de budget permettant le recrutement de ces profils très recherchés sur le marché de l’emploi et surtout relativement cher.

L’organisation spécifique dédiée à la gestion des crises majeures prend, bien évidemment, en compte le risque de crise majeure d’origine cybernétique et la description précédente témoigne de la responsabilité de chaque ministère – sous l’autorité du Premier ministre - en matière de défense et de sécurité nationale.

Ainsi le dispositif institutionnel de gestion des incidents cyber est déjà particulièrement structuré, avec notamment des espaces de discussions interministérielles, un plan dédié, des périmètres d'intervention pour les différents acteurs des chaînes de responsabilité afférentes. Néanmoins, la méconnaissance de ces dernières par les acteurs et les décideurs en gestion de crise – hors acteurs techniques du champ de la sécurité, et plus spécifiquement de la sécurité informatique – reste un frein pour la mise en œuvre d'une réponse optimale à la crise. En effet, comment alerter, lorsque l'on ne connaît pas qui doit l'être et qui est en mesure d'apporter son soutien ?

C'est pourquoi la réalisation d'un document unique de cartographie des acteurs est apparue nécessaire pour participer à la sensibilisation des acteurs de gestion de crise.

Le développement de scénarios de crise majeure d'origine cybernétique, impactant notamment des systèmes industriels (SCADA), a ainsi permis de questionner les capacités de réponse des services de l'État sur l'ensemble du territoire, mais également en fonction de scénarios multi-acteurs face auxquels l’ensemble des acteurs pourraient se voir mobilisés.

La question territoriale entre en compte et ce à deux niveaux :

• Tout d’abord, la sécurité de l’espace numérique, transfrontière, doit prendre en compte la possible origine extérieur d’une attaque, mais également les possibles conséquences d’une attaque impactant plusieurs pays. Le cadre européen, dont la France est partie prenant (traité de Lisbonne et traité de l’Atlantique Nord), fournit ainsi des capacités de réaction coordonnée face aux incidents et crises et incidents cyber majeurs. Elle oblige l’organisation gouvernementale à s’appuyer sur son ministère de l’Europe et des affaires étrangères (MEAE) et sa cellule de crise, le centre de crise et de soutien ( CDCS), afin d’assurer les échanges avec les centres de crises des gouvernements étrangers et des organisations internationales (Union européenne, Organisation du Traité de l’Atlantique Nord, etc.).

 

• Ensuite, les services de sécurité informatique de l'État sont principalement présents en région parisienne. L'ANSSI qui concentre son activité sur les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE), ne possède pas, à ce jour, de maillage territorial en région – si ce n'est la présence de 13 délégués territoriaux – contrairement aux services de la Police nationale et de la Gendarmerie. Ainsi, en cas de crise majeure impliquant différents services de l'État (une préfecture par exemple), des systèmes d'information essentiels (SIE) d'un OIV (un système industriel par exemple), mais également des sites non classés OIV, OSE ou Seveso, comme des salles de concerts ou de spectacles, c’est bien l’ensemble des chaînes de commandement présentées dans ce document qui concourraient pendant, et après la crise sur leur périmètre respectif.

Dans le cas d’attaques d’ampleur, affectant d’importantes parties du tissu économique, mettant en danger la vie de citoyens, c’est bien l’ensemble de différentes chaînes cyber et chaînes de commandement dédiées à la gestion de crise qui pourraient être impliquées.

Les multiples réalités des cellules de crise impliquent la connaissance de l’ensemble des acteurs pour espérer répondre au mieux aux crises auxquels nos sociétés devront faire face. Ainsi la préparation, l’entrainement des acteurs de la gestion de crise doit se faire en permettant une montée en compétence générale de ces derniers en matière de risque cyber. Évidemment, si cette montée en compétence pourra difficilement se faire sur le volet technique, il apparaît qu’aborder et sensibiliser les acteurs sur le volet organisationnel puisse être une des solutions pertinentes pour accompagner nos décideurs, que l’on se place au niveau politique, stratégique ou opérationnelle.

 

Prépondérance de la sécurité privée dans le dispositif national de cybersécurité & cyberdéfense.

Enfin, il est opportun de faire la part belle au secteur privé qui tient une place prépondérante dans le dispositif national de cybersécurité. La labélisation d’acteurs de sécurité numérique le démontre, que ce soit dans le cas de du label ExpertCyber ou la qualification des prestataires de réponse aux incidents de sécurité qualifiés (PRIS) par l’ANSSI.

Les dispositifs nationaux mis en place en témoignent également : Cybermalveillance.gouv.fr, le dispositif de prévention du risque numérique et d’assistance aux victimes piloté par le GIP ACYMA qui permet la mise en relation entre victimes (TPE/PME et citoyens) et services professionnels de sécurité informatique ou bien la Brigade du numérique (BNUM) de la gendarmerie nationale.

Nous pouvons enfin souligner la force du partenariat public-privé en matière de cybersécurité et cyberdéfense au sein du ministère des Armées avec : la signature par la ministre des Armées d’une convention avec les huit principaux grands maîtres d'œuvre de la défense pour faire en sorte d’élever collectivement le niveau de sécurité et de construire collectivement une chaîne cyber défensive de bout en bout.⁸ par un partage d’informations accru, mais aussi la création du Pôle d’Excellence Cyber (PEC) auprès du Comcyber et de la CyberDefense Factory auprès de la DGA.

Plus globalement, le secteur privé n’a pas attendu la mise en place de label pour prendre part à l’amélioration de la réponse aux incidents de sécurité numérique et de nombreuses associations parsèment le paysage de la cybersécurité et réuinnissent le secteur privé et le secteur public à la même table pour une meilleure réponse : l’ARCSI qui effectue depuis mai 2020 un travail régulièrement mis à jour pour présenter l’écosystème de la cybersécurité dans sa globalité, le CESIN, le CLUSIF, le CECyF, le CyberCercle, etc. Mais également des associations qui ne sont pas exclusivement dédiées à la cyber comme le CDSE, le CCA, l’AMRAE, et encore tant d’autres.

La France et l’Europe se sont dotés d'un paysage d'acteurs performants et complémentaires, il est maintenant primordial de continuer à les adapter et les tester pour assurer l’articulation stratégique et opérationnelle de ces dispositifs en cas de crise ou d’incident majeur d'origine cybernétique.

 

 

Crédit photo : Anthony Choren (Unsplash) / Pixabay / INHESJ