Le nouveau Livre Blanc de la Défense et de la Sécurité Nationale a été publié lundi 29 avril 2013. Ce document de référence de la stratégie de défense nationale de la France inclut pour la première fois significativement des éléments concernant les cybermenaces au niveau stratégique. Se défendre contre les cybermenaces est, du coup, l'un des axes majeurs du texte.

Ce Livre Blanc devrait déboucher sur le vote d'une loi de programmation militaire d'ici la fin de l'année 2013. Le sénateur Jean-Marie Bockel, malgré ses réserves sur d'autres sujets abordés, s'est réjoui publiquement de la place ainsi donnée à la cybersécurité, sujet sur lequel il a déjà rendu un rapport objet de vives polémiques.

Le terme même de cybermenace est mentionné dès l'introduction signée par le Président de la République, François Hollande, et est répété pratiquement à chaque chapitre. On est donc très au dessus des quelques mentions marginales des livres blancs précédents.

Les actions cybernétiques sont considérées dans ce texte comme pouvant être offensives, même de la part d'états comme les Etats-Unis : de telles actions, sans engagement d'hommes ou de matériel sur le terrain, sont considérées comme encore plus économiques que l'envoi de forces spéciales en faible quantité. Des actions de cybercommandos sont donc considérées comme des moyens militaires à utiliser lorsqu'il y a des menaces proportionnées. « Les interventions classiques continueront d'être politiquement plus difficiles et parfois moins efficaces » est-il noté dans le Livre Blanc.

La légitime défense cybernétique en question

Une question préoccupe les rédacteurs du rapport : la charte de l'ONU prévoit la légitime défense pour les états. Mais cette légitime défense pourrait-elle être invoquée dans le cas d'une cyberattaque ? Pourrait-on répondre par une voie militaire classique à une cyberagression ? Une cyber-contre-attaque à une menace est-elle légitime ?

Une cyberattaque d'origine chinoise contre les intérêts occidentaux est explicitement envisagée. Pour les rédacteurs du Livre Blanc, les cyberattaques sont moins coûteuses et potentiellement bien plus redoutables que des attaques classiques contre lesquels les contre-mesures sont davantage maîtrisées. La fragilité des entreprises, y compris sensibles, contre les cyberattaques est soulevée plusieurs fois. Il est demandé d'inclure dans tous les marchés publics comprenant des éléments numériques des clauses drastiques concernant la sécurité.

Les cybermenaces ne seraient en effet pas prises suffisamment au sérieux. Le Livre Blanc indique ainsi : « Les cyberattaques, parce qu'elles n'ont pas, jusqu'à présent, causé la mort d'hommes, n'ont pas dans l'opinion l'impact d'actes terroristes. »

Cybersouveraineté nationale

Le renforcement des moyens de cyberdéfense est donc réclamé par le Livre Blanc. Les forces nouvelles créées dans ce cadre devraient être rattachées aux services de renseignement.

Un autre point d'inquiétude est soulevé dans le Livre Blanc : la souveraineté nationale en matière d'outils de sécurité. Il est ainsi noté : « La capacité de produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d'attaque, est (...) une composante essentielle de la souveraineté nationale. Un effort budgétaire annuel en faveur de l'investissement permettra la conception et le développement de produits de sécurité maîtrisés. Une attention particulière sera portée à la sécurité des réseaux de communication électroniques et aux équipements qui les composent. Le maintien d'une industrie nationale et européenne performante en la matière est un objectif essentiel. »

La récente consolidation des acteurs français autour de Cassidian est probablement une première mesure inspirée de la philosophie du Livre Blanc en la matière.