Une brève histoire de la cybersécurité française (partie 4 : de 1970 à 2010)

Voici le quatrième article de notre « brève histoire de la cybersécurité française ». Après un premier article sur la période allant de l’invention de l’imprimerie à la fin de la Première Guerre mondiale, un deuxième s’intéressant à l’entre-deux-guerres et à la Seconde Guerre mondiale, et un troisième sur les années 50 et 60, voici la suite et la fin de notre dossier, qui retrace la période allant des années 70 au début des années 2010.


#8. Les années 70

Après les premiers travaux sur la commutation de paquets et les réseaux informatiques, le programme ARPANET – premier réseau à transfert de paquets, développé par la DARPA – voit le jour aux Etats-Unis à partir de 1966. Son premier lien est établi fin 1969. Cœur technique du futur Internet, son but initial est de faciliter les télécommunications entre chercheurs (une synergie est vite trouvée avec une recherche de résilience en cas d’attaque nucléaire…). Parmi les principes fondateurs d’ARPANET, la connectivité, la distribution et la déconcentration prennent largement le pas sur les questions de sécurité, malgré des avertissements comme celui lancé dès 1967 par Willis Ware sur les dangers potentiels de la réticulation.

ARPANET, entre 1969 et 1977

En France, l’essor d’ARPANET crée un engouement pour la notion de réseau informatique. En 1971, Louis Pouzin réunit une petite équipe pour conduire le projet Cyclades, destiné à créer un réseau global de télécommunication basé sur la commutation de paquets. Abandonnés en 1978, les travaux menés par Pouzin inspireront néanmoins ceux portant sur le développement d’Internet – avec l’invention notamment en 1973 du datagramme.

Louis Pouzin

Plus spécifiquement, dans le domaine du Chiffre français, André Cattieuw, arrivé au STC-CH en 62, succède en 1976 au général André Muller à la tête du service. L’année suivante, par le décret du 8 mars 1977, le STC-CH deviendra le Service central des chiffres et de la sécurité des télécommunications (SCCST), toujours sous autorité du SGG. Est créée par ailleurs la Commission interministérielle des chiffres et de la sécurité des télécommunications (CICST).

Ce changement de nom traduit la prise en compte d’une réalité qui s’était installée progressivement : l’interpénétration du Chiffre et des transmissions. Passant successivement du « crayon/papier » aux matériels mécaniques et électromécaniques puis électroniques, les moyens de chiffrement avaient fait des progrès considérables sur les décennies précédentes. Cette évolution a amené progressivement les domaines du Chiffre et des télécommunications à se rapprocher. Les autorités de l’époque prennent acte de leur interdépendance croissante et irréversible qui, au-delà d’une simple évolution des moyens mis en œuvre, appelait également une révision significative des doctrines d’emploi et de sécurité du Chiffre.

Le SCCST se voit confier un panel de missions de plus en plus larges :

  • coordination interministérielle (et notamment le secrétariat de la CICST et de sa sous-commission « Cryptologie », qui se réunissait alors mensuellement) ;
  • exploitation (et notamment la fabrication de clés cryptographiques pour les départements civils et militaires) ;
  • études et recherches cryptologiques et techniques ;
  • formation des personnels (via le CECS) ;
  • contrôle du commerce et de l’exportation des matériels de chiffrement ;
  • relations internationales en matière de Chiffre.

Le service, basé 57 boulevard des Invalides, compte alors entre 40 et 50 agents, issus du SGG, des armées et du ministère de la coopération. Le CECS peut compter par ailleurs sur des liens universitaires.

#9. Les années 80 et 90

En décembre 1980, une décision du Premier ministre, Raymond Barre, met en place une enceinte de coordination de haut niveau, le Directoire de cryptologie, pour « permettre au Gouvernement dans le domaine du Chiffre et de la sécurité des communications de se saisir de problèmes essentiels. »

Malgré toutes ces évolutions, le Service rencontre beaucoup de difficultés pour recruter son personnel. Le SGG demande alors un audit, effectué par le vice-amiral d’escadre Bernard Klotz. L’audit confirme la prise en compte des nouvelles tendances que sont « l’essor de l’informatique et de la téléinformatique, le développement des télécommunications numériques et l’apparition de services nouveaux comme le Minitel, la télévision à péage ou la carte à puce [inventée en 1974 par le français Roland Moreno]. »

Un Minitel

Des constats importants sont également faits quant à la cryptographie :

  • longtemps cantonnée essentiellement aux domaines militaires et diplomatiques, la cryptographie se répand progressivement dans la société civile (carte à puce, télévision à péage, échanges bancaires, etc.) ;
  • les technologies de l’époque permettent de réaliser des moyens de chiffrement à la fois puissants et bon marché ;
  • la cryptologie, alors qu’elle avait longtemps considérée comme une discipline autonome, est désormais une composante d’une discipline plus large, la sécurité informatique, que l’on ne tarderait plus à appeler « sécurité des systèmes d’information » (SSI).
Un des premiers prototypes de carte à puce, réalisé par Roland Moreno en 1975

Ainsi, en mars 1986, plusieurs textes réglementaires sont publiés pour créer :

  • le Directoire de la sécurité des systèmes d’information (DSSI) ;
  • la Délégation interministérielle pour la sécurité des systèmes d’information (DISSI) ;
  • le Service central de la sécurité des systèmes d’information (SCSSI) ;
  • la Commission interministérielle de la sécurité des systèmes d’information (CISSI) ;
  • et le Centre d’études supérieures de la SSI (CESSSI).

Dans les faits, la plupart de ces structures succèdent à des entités déjà existantes (SCCST -> SCSSI ; CICST -> CISSI ; CECS -> CESSSI).

Le Directoire de la SSI est placé auprès du Premier ministre et présidé par le SGG. Il est chargé de proposer la politique à suivre pour la SSI et d’en contrôler l’application. Il réunit deux fois par an des représentants des ministres chargés des finances, des relations extérieures, de la défense, de l’intérieur, de l’industrie, de la recherche et de la technologie, et des PTT. Prennent également part au DSSI : le chef de l’état-major particulier du Président de la République, le chef du cabinet militaire du Premier ministre, le SGDN, le DISSI (qui en assure le secrétariat) et le chef du SCSSI.

La Délégation interministérielle pour la SSI, seule entité vraiment nouvelle, est rattachée d’un point de vue administratif et budgétaire au SGG. Elle assure le secrétariat du DSSI et la présidence de la CISSI, et dispose de la SCSSI. Elle propose les mesures SSI « que l’intérêt national rendrait souhaitables » et coordonne l’activité des compétences françaises en SSI – essentiellement au sein de la Défense, des PTT et de la SCSSI. Elle s’intéresse aux domaines de la sécurité des communications, de la cryptologie, de la protection contre les rayonnements compromettants et de la sécurité logique. C’est une structure légère, composée d’un délégué et de deux adjoints (l’un proposé par le ministère de la défense, l’autre par celui des PTT). Le vice-amiral d’escadre Klotz devient le premier DISSI à compter de mars 1986. L’ingénieur général des télécoms Jacques Vincent-Carrefour lui succédera, de 1987 à 1996. Le colonel André Cattieuw, jusque-là chef du SCCST, devient l’un des adjoints du DISSI – jusqu’en 1993.

Le vice-amiral d’escadre Bernard Klotz
L’ingénieur des télécoms Jacques Vincent-Carrefour

Le SCSSI succède au SCCST. Cette nouvelle appellation s’inscrit dans la continuité du précédent changement de nom du service : il s’agit de traduire sa prise en compte de tous les aspects de la SSI. Le SCSSI évalue le niveau de protection des SI de l’Etat, participe aux activités de recherche, coordonne les études et développements dans le domaine de la SSI, contrôle les exportations des matériels de chiffrement, entretient des relations internationales dans le domaine de la SSI, etc. Le CESSSI lui est par ailleurs rattaché. Le premier chef du SCSSI est l’ingénieur de l’armement Pierre Mary.

Les 10 années qui suivront seront le théâtre d’un certain nombre de péripéties administratives logistiques :

  • en 1987, à la suite d’un audit demandé par le Premier ministre, la DISSI et le SCSSI sont rattachés au SGDN. La SCSSI est par ailleurs répartie géographiquement entre le boulevard des Invalides et le fort du Kremlin-Bicêtre ;
  • en 1990, le SCSSI se regroupe dans un bâtiment construit dans l’enceinte du fort d’Issy-les-Moulineaux ;
  • en 1993, la DISSI et le SCSSI sont de retour dans le giron du SGG ;
  • en 1996, la DISSI est dissoute (dans le cadre de la réforme de l’Etat et de l’allègement de ses structures), ses compétences sont transférées au SGDN, ses moyens répartis entre le SGDN et le SCSSI. Le SGDN préside le DSSI à la place du SGG et devient l’autorité chargée, au niveau interministériel, de mettre en œuvre la politique du Gouvernement en matière de SSI. Le SCSSI, quant à lui, est sous double tutelle du SGDN (pour l’emploi) et du SGG (pour la gestion). Il compte à ce stade environ 80 agents (ses homologues britanniques et allemands en comptent respectivement 370 et 335).

Sur cette période, les chefs successifs du SCSSI sont l’ingénieur de l’armement Michel Dages (1989-1995) et le général Jean-Louis Desvignes (1995-2000).

Le général Jean-Louis Desvignes

En parallèle, aux Etats-Unis, les années 80 constituent une période intéressante pour la prise en compte des enjeux cyber. Ainsi, en septembre 1984, le Président Reagan signe la NSDD-145, la National Policy on Telecommunications and Automated Information Systems Security. C’est la première fois qu’un président américain ou qu’une directive de la Maison blanche aborde la question de la cybersécurité. Au-delà de la prise de conscience, la question de la répartition des rôles se pose rapidement, dans une organisation nationale qui, outre la problématique du fédéralisme, ne sépare pas, comme en France les missions défensives et offensives. A cette époque, la seule entité réellement capable d’endosser des responsabilités de cybersécurité est la NSA, un service de renseignement désormais bien connu. Alors que la NSDD-145 désigne la NSA pour sécuriser les ordinateurs et serveurs américaines, cette disposition est rejetée par le Congrès, qui voit d’un mauvais oeil qu’un service de renseignement ayant vocation à intercepter les communications étrangères et ayant interdiction formelle d’espionner les citoyens US se voit confier une telle responsabilité.

Aux alentours de 1990, le SCSSI voit une évolution importante de ses missions : alors que les préoccupations initiales du service étaient essentiellement d’ordre gouvernemental, les aspects dits « commerciaux » prennent de plus en plus d’importance. Ceci se traduit notamment dans la loi 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, qui faisait un premier pas vers la libéralisation de la cryptologie. Si jusque-là les moyens de cryptologie étaient par défaut considérés comme des matériels de guerre, cette situation est devenue un cas particulier (i.e. ceux « spécialement conçus ou modifiés pour permettre ou faciliter l’utilisation ou la mise en œuvre des armes »). Dans les faits, les autorités françaises ont mené, entre 1990 et 1996, une politique facilitant l’accès des particuliers aux technologies de signature mais décourageant leur utilisation de moyens de chiffrement. L’essor d’Internet ayant largement répandu ces derniers, la posture française évolua encore. La loi sur les télécommunications du 26 juillet 1996 tenta ainsi, en s’appuyant sur un système de séquestre de clés cryptographiques auprès d’un tiers agréé par le Premier ministre, de favoriser encore la libéralisation de la cryptographie.

En parallèle, en 1997, le gouvernement du Premier ministre Lionel Jospin lance le Programme d’action gouvernementale pour la société de l’information (PAGSI). Dans son discours à l’Université d’été de la communication à Hourtin en 1997, le Premier ministre prend ainsi acte de « la généralisation de l’usage des technologies et des réseaux d’information », de « l’évolution technologique de plus en plus rapide, qui s’accompagne d’un développement exponentiel du marché » et de « la mondialisation des flux d’information ».

Deux ans plus tard, dans la continuité des travaux du comité interministériel pour la société de l’information de janvier 1999, Lionel Jospin prononcera, en août 1999, toujours à Hourtin, un discours fondateur pour la sécurité numérique française. De nombreuses décisions structurantes sont ainsi prises durant cette période :

  • la décision de libéraliser complètement l’utilisation des produits de cryptologie (sous réserve du maintien des contrôles à l’exportation), en passant notamment la limite de 40 à 128 bits ;
  • la transposition de la directive européenne de 1995 relative à la protection des données à caractère personnel ;
  • la prise en compte de la valeur probante des document numériques signés électroniquement ;
  • la création d’une capacité de cyberdéfense pour le compte de l’administration, le CERTA, qui sera rattaché au SCSSI, lui-même rattaché pleinement, courant 1999, au SGDN ;
  • l’accroissement des moyens techniques et humains affectés à la SSI, notamment le renforcement du SCSSI.

#10. Des années 2000 à nos jours

Outre le fameux « bug de l’an 2000 », l’entrée dans les années 2000 se fait sur fond d’attaques massives par DDoS envers des géants (ou futurs géants) américains du commerce électroniques tels que Yahoo!, Amazon et eBay, illustrant bien la dépendance de pans entiers de l’économie sur la disponibilité du réseau Internet. Alors que la problématique de la sécurité informatique était initialement portée sur la sécurité des messages échangés, on assiste petit à petit à l’essor des « cyberattaques » massives et visibles, avec des effets significatifs à l’encontre des systèmes.

En France, en juillet 2001 est créée la Direction centrale de la SSI (DCSSI), à la suite du SCSSI. Rattachée au SGDN, basée à l’Hôtel national des Invalides, et dotée alors d’environ 80 personnes, elle assure plusieurs grandes fonctions :

  • une fonction de stratégie et de régulation, en contribuant à la définition de la politique gouvernementale en matière de SSI ; en évaluant, certifiant et agréant les produits de sécurité ; en gérant les autorisations d’exportation ; en assurant les relations internationales en matière de SSI ; en analysant l’environnement technologique et industriel dans le domaine ;
  • une fonction opérationnelle, en évaluant les vulnérabilités et les menaces ; en donnant l’alerte ; en développant les capacités à les contrer et à les prévenir ; en assurant un rôle d’appui et de conseil au profit de l’administration ;
  • une fonction d’expertise, en développant l’expertise scientifique et technique dans le domaine de la SSI, pour l’administration et les services publics.

Son premier directeur est l’ingénieur des télécommunications Henri Serres, ancien directeur technique de la DGSE. C’est l’ingénieur des télécommunications Patrick Pailloux qui prendra sa suite en octobre 2005.

Henri Serres, premier directeur central de la SSI

Début 2007, une cyberattaque massive paralyse l’Estonie, sur fond de rivalités géopolitiques avec la Russie. L’Estonie ira jusqu’à invoquer l’article 5 du Traité de l’Atlantique Nord, qui prévoie l’assistance mutuelle aux Alliés en cas d’agression armée. Une cyberattaque menée contre un État et paralysant une partie de ses infrastructures peut-elle être considérée comme une agression armée ? Le cas échéant, quelle réponse prévoir ? Contre qui ? Si aucune suite ne sera donnée à l’époque par l’OTAN et les Alliés, les autorités françaises auront manifestement pris conscience de l’importance de ce qui sera désormais appelé le « risque cyber ». Preuve en est donnée dans le Livre blanc sur la défense et la sécurité nationale publié en 2008, qui place la SSI dans le « premier cercle » d’un « domaine de souveraineté, concentré sur les capacités nécessaires au maintien de l’autonomie stratégique et politique de la nation », aux côtés de la dissuasion nucléaire, des missiles balistiques et des sous-marins nucléaires d’attaque.

L’année suivante, en juillet 2009, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est créée. Toujours rattachée au SGDSN, elle succède à la DCSSI, en acquérant les statuts :

  • de « service à compétence nationale« , qui reconnaît son caractère opérationnel et lui permet de s’adresser notamment aux administrations centrales et déconcentrées sur l’ensemble du territoire national ;
  • et « d’autorité nationale de sécurité des systèmes d’information« , qui lui permet de continuer à exercer les missions confiées à la DCSSI mais avec une compétence propre donnée au directeur général de l’agence, qui peut signer des décisions au nom du Premier ministre et par délégation. En 2011, ce rôle d’autorité sera élargi à celui d’autorité de sécurité et de défense des SI.
Logo de l’ANSSI

L’agence intervient également officiellement dans la protection des infrastructures critiques de la Nation (concrètement : sur les systèmes d’information d’importance vitale (SIIV) des opérateurs d’importance vitale (OIV)). Ce sera l’objet d’importants travaux qui prendront corps notamment dans le Livre blanc sur la défense et la sécurité nationale de 2013, puis dans les dispositions de la Loi de Programmation militaire 2014-2019, promulguée la même année.

Livre blanc sur la défense et la sécurité nationale de 2013

En 2009, Patrick Pailloux devient le premier directeur général de l’ANSSI, rôle qu’il tiendra jusqu’en 2014. C’est Guillaume Poupard, un ingénieur de l’armement, qui prendra sa suite et encore à la tête de l’Agence à l’écriture de ces lignes…

Patrick Pailloux
Guillaume Poupard

Sur cette séquence très riche allant des années 70 au début des années 2010 peuvent être observées de nombreuses évolutions structurantes quant à la sécurité numérique française et mondiale :

  • l’interpénétration progressive et irréversible du Chiffre et des transmissions ;
  • l’apparition et le développement fulgurant de la mise en réseau de l’informatique, avec la création d’ARPANET puis l’essor d’Internet ;
  • l’essor des télécommunications et le développement des technologies numériques ;
  • l’arrivée du numérique et des enjeux de sécurité numérique dans la société civile et l’économie, au-delà de la seule sphère souveraine/régalienne/militaire ;
  • l’apparition des concepts de « SSI » puis de « cybersécurité » et de « cyberdéfense » – les deux derniers faisant écho à la recrudescence des cyberattaques ;
  • la prise en compte de la sécurité numérique comme un enjeu stratégique pour les Etats, non seulement au cœur de leurs stratégies de puissance mais également désormais partie intégrante de la conflictualité mondiale.

Notre dossier sur l’histoire de la sécurité numérique en France s’arrête ici, au début des années 2010, avec une sécurité numérique qui occupe désormais une place essentielle dans l’action publique, à la croisée :

  • des politiques publiques diplomatiques, industrielles et économiques,
  • des enjeux d’éducation et de formation,
  • des questions sociétales, juridiques et réglementaires,
  • et des problématiques de sécurité et de défense nationale.

Les lecteurs et lectrices intéressé(e)s par la décennie suivante pourront utilement se plonger dans un autre mini-dossier publié sur ce blog, « 2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà » :

La suite, c’est le futur de la sécurité numérique qui reste à construire !


Quelques sources utiles et accessibles en ligne qui ont inspiré cette série d’articles :

Également, quelques ouvrages :

  • Rémi Kauffer – Histoire mondiale des services secrets
  • Fred Kaplan – Dark Territory: The Secret History of Cyber War
  • Ouvrage de l’exposition « Le secret de l’Etat », tenue en 2015-2016 aux Archives nationales
  • Ouvrage de l’exposition « Guerres secrètes », tenue en 2016-2017 au musée de l’Armée

Enfin, l’auteur a eu la chance d’accéder à des travaux internes menés au SGDSN sur l’histoire de l’institution, ainsi qu’à certains documents conservés au Service historique de la Défense à Vincennes.