Une brève histoire de la cybersécurité française (partie 4 : de 1970 à 2010)

Voici le quatrième article de notre « brève histoire de la cybersécurité française ». Après un premier article sur la période allant de l’invention de l’imprimerie à la fin de la Première Guerre mondiale, un deuxième s’intéressant à l’entre-deux-guerres et à la Seconde Guerre mondiale, et un troisième sur les années 50 et 60, voici la suite et la fin de notre dossier, qui retrace la période allant des années 70 au début des années 2010.


#8. Les années 70

Après les premiers travaux sur la commutation de paquets et les réseaux informatiques, le programme ARPANET – premier réseau à transfert de paquets, développé par la DARPA – voit le jour aux Etats-Unis à partir de 1966. Son premier lien est établi fin 1969. Cœur technique du futur Internet, son but initial est de faciliter les télécommunications entre chercheurs (une synergie est vite trouvée avec une recherche de résilience en cas d’attaque nucléaire…). Parmi les principes fondateurs d’ARPANET, la connectivité, la distribution et la déconcentration prennent largement le pas sur les questions de sécurité, malgré des avertissements comme celui lancé dès 1967 par Willis Ware sur les dangers potentiels de la réticulation.

ARPANET, entre 1969 et 1977

En France, l’essor d’ARPANET crée un engouement pour la notion de réseau informatique. En 1971, Louis Pouzin réunit une petite équipe pour conduire le projet Cyclades, destiné à créer un réseau global de télécommunication basé sur la commutation de paquets. Abandonnés en 1978, les travaux menés par Pouzin inspireront néanmoins ceux portant sur le développement d’Internet – avec l’invention notamment en 1973 du datagramme.

Louis Pouzin

Plus spécifiquement, dans le domaine du Chiffre français, André Cattieuw, arrivé au STC-CH en 62, succède en 1976 au général André Muller à la tête du service. L’année suivante, par le décret du 8 mars 1977, le STC-CH deviendra le Service central des chiffres et de la sécurité des télécommunications (SCCST), toujours sous autorité du SGG. Est créée par ailleurs la Commission interministérielle des chiffres et de la sécurité des télécommunications (CICST).

Ce changement de nom traduit la prise en compte d’une réalité qui s’était installée progressivement : l’interpénétration du Chiffre et des transmissions. Passant successivement du « crayon/papier » aux matériels mécaniques et électromécaniques puis électroniques, les moyens de chiffrement avaient fait des progrès considérables sur les décennies précédentes. Cette évolution a amené progressivement les domaines du Chiffre et des télécommunications à se rapprocher. Les autorités de l’époque prennent acte de leur interdépendance croissante et irréversible qui, au-delà d’une simple évolution des moyens mis en œuvre, appelait également une révision significative des doctrines d’emploi et de sécurité du Chiffre.

Le SCCST se voit confier un panel de missions de plus en plus larges :

  • coordination interministérielle (et notamment le secrétariat de la CICST et de sa sous-commission « Cryptologie », qui se réunissait alors mensuellement) ;
  • exploitation (et notamment la fabrication de clés cryptographiques pour les départements civils et militaires) ;
  • études et recherches cryptologiques et techniques ;
  • formation des personnels (via le CECS) ;
  • contrôle du commerce et de l’exportation des matériels de chiffrement ;
  • relations internationales en matière de Chiffre.

Le service, basé 57 boulevard des Invalides, compte alors entre 40 et 50 agents, issus du SGG, des armées et du ministère de la coopération. Le CECS peut compter par ailleurs sur des liens universitaires.

#9. Les années 80 et 90

En décembre 1980, une décision du Premier ministre, Raymond Barre, met en place une enceinte de coordination de haut niveau, le Directoire de cryptologie, pour « permettre au Gouvernement dans le domaine du Chiffre et de la sécurité des communications de se saisir de problèmes essentiels. »

Malgré toutes ces évolutions, le Service rencontre beaucoup de difficultés pour recruter son personnel. Le SGG demande alors un audit, effectué par le vice-amiral d’escadre Bernard Klotz. L’audit confirme la prise en compte des nouvelles tendances que sont « l’essor de l’informatique et de la téléinformatique, le développement des télécommunications numériques et l’apparition de services nouveaux comme le Minitel, la télévision à péage ou la carte à puce [inventée en 1974 par le français Roland Moreno]. »

Un Minitel

Des constats importants sont également faits quant à la cryptographie :

  • longtemps cantonnée essentiellement aux domaines militaires et diplomatiques, la cryptographie se répand progressivement dans la société civile (carte à puce, télévision à péage, échanges bancaires, etc.) ;
  • les technologies de l’époque permettent de réaliser des moyens de chiffrement à la fois puissants et bon marché ;
  • la cryptologie, alors qu’elle avait longtemps considérée comme une discipline autonome, est désormais une composante d’une discipline plus large, la sécurité informatique, que l’on ne tarderait plus à appeler « sécurité des systèmes d’information » (SSI).
Un des premiers prototypes de carte à puce, réalisé par Roland Moreno en 1975

Ainsi, en mars 1986, plusieurs textes réglementaires sont publiés pour créer :

  • le Directoire de la sécurité des systèmes d’information (DSSI) ;
  • la Délégation interministérielle pour la sécurité des systèmes d’information (DISSI) ;
  • le Service central de la sécurité des systèmes d’information (SCSSI) ;
  • la Commission interministérielle de la sécurité des systèmes d’information (CISSI) ;
  • et le Centre d’études supérieures de la SSI (CESSSI).

Dans les faits, la plupart de ces structures succèdent à des entités déjà existantes (SCCST -> SCSSI ; CICST -> CISSI ; CECS -> CESSSI).

Le Directoire de la SSI est placé auprès du Premier ministre et présidé par le SGG. Il est chargé de proposer la politique à suivre pour la SSI et d’en contrôler l’application. Il réunit deux fois par an des représentants des ministres chargés des finances, des relations extérieures, de la défense, de l’intérieur, de l’industrie, de la recherche et de la technologie, et des PTT. Prennent également part au DSSI : le chef de l’état-major particulier du Président de la République, le chef du cabinet militaire du Premier ministre, le SGDN, le DISSI (qui en assure le secrétariat) et le chef du SCSSI.

La Délégation interministérielle pour la SSI, seule entité vraiment nouvelle, est rattachée d’un point de vue administratif et budgétaire au SGG. Elle assure le secrétariat du DSSI et la présidence de la CISSI, et dispose de la SCSSI. Elle propose les mesures SSI « que l’intérêt national rendrait souhaitables » et coordonne l’activité des compétences françaises en SSI – essentiellement au sein de la Défense, des PTT et de la SCSSI. Elle s’intéresse aux domaines de la sécurité des communications, de la cryptologie, de la protection contre les rayonnements compromettants et de la sécurité logique. C’est une structure légère, composée d’un délégué et de deux adjoints (l’un proposé par le ministère de la défense, l’autre par celui des PTT). Le vice-amiral d’escadre Klotz devient le premier DISSI à compter de mars 1986. L’ingénieur général des télécoms Jacques Vincent-Carrefour lui succédera, de 1987 à 1996. Le colonel André Cattieuw, jusque-là chef du SCCST, devient l’un des adjoints du DISSI – jusqu’en 1993.

Le vice-amiral d’escadre Bernard Klotz
L’ingénieur des télécoms Jacques Vincent-Carrefour

Le SCSSI succède au SCCST. Cette nouvelle appellation s’inscrit dans la continuité du précédent changement de nom du service : il s’agit de traduire sa prise en compte de tous les aspects de la SSI. Le SCSSI évalue le niveau de protection des SI de l’Etat, participe aux activités de recherche, coordonne les études et développements dans le domaine de la SSI, contrôle les exportations des matériels de chiffrement, entretient des relations internationales dans le domaine de la SSI, etc. Le CESSSI lui est par ailleurs rattaché. Le premier chef du SCSSI est l’ingénieur de l’armement Pierre Mary.

Les 10 années qui suivront seront le théâtre d’un certain nombre de péripéties administratives logistiques :

  • en 1987, à la suite d’un audit demandé par le Premier ministre, la DISSI et le SCSSI sont rattachés au SGDN. La SCSSI est par ailleurs répartie géographiquement entre le boulevard des Invalides et le fort du Kremlin-Bicêtre ;
  • en 1990, le SCSSI se regroupe dans un bâtiment construit dans l’enceinte du fort d’Issy-les-Moulineaux ;
  • en 1993, la DISSI et le SCSSI sont de retour dans le giron du SGG ;
  • en 1996, la DISSI est dissoute (dans le cadre de la réforme de l’Etat et de l’allègement de ses structures), ses compétences sont transférées au SGDN, ses moyens répartis entre le SGDN et le SCSSI. Le SGDN préside le DSSI à la place du SGG et devient l’autorité chargée, au niveau interministériel, de mettre en œuvre la politique du Gouvernement en matière de SSI. Le SCSSI, quant à lui, est sous double tutelle du SGDN (pour l’emploi) et du SGG (pour la gestion). Il compte à ce stade environ 80 agents (ses homologues britanniques et allemands en comptent respectivement 370 et 335).

Sur cette période, les chefs successifs du SCSSI sont l’ingénieur de l’armement Michel Dages (1989-1995) et le général Jean-Louis Desvignes (1995-2000).

Le général Jean-Louis Desvignes

En parallèle, aux Etats-Unis, les années 80 constituent une période intéressante pour la prise en compte des enjeux cyber. Ainsi, en septembre 1984, le Président Reagan signe la NSDD-145, la National Policy on Telecommunications and Automated Information Systems Security. C’est la première fois qu’un président américain ou qu’une directive de la Maison blanche aborde la question de la cybersécurité. Au-delà de la prise de conscience, la question de la répartition des rôles se pose rapidement, dans une organisation nationale qui, outre la problématique du fédéralisme, ne sépare pas, comme en France les missions défensives et offensives. A cette époque, la seule entité réellement capable d’endosser des responsabilités de cybersécurité est la NSA, un service de renseignement désormais bien connu. Alors que la NSDD-145 désigne la NSA pour sécuriser les ordinateurs et serveurs américaines, cette disposition est rejetée par le Congrès, qui voit d’un mauvais oeil qu’un service de renseignement ayant vocation à intercepter les communications étrangères et ayant interdiction formelle d’espionner les citoyens US se voit confier une telle responsabilité.

Aux alentours de 1990, le SCSSI voit une évolution importante de ses missions : alors que les préoccupations initiales du service étaient essentiellement d’ordre gouvernemental, les aspects dits « commerciaux » prennent de plus en plus d’importance. Ceci se traduit notamment dans la loi 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, qui faisait un premier pas vers la libéralisation de la cryptologie. Si jusque-là les moyens de cryptologie étaient par défaut considérés comme des matériels de guerre, cette situation est devenue un cas particulier (i.e. ceux « spécialement conçus ou modifiés pour permettre ou faciliter l’utilisation ou la mise en œuvre des armes »). Dans les faits, les autorités françaises ont mené, entre 1990 et 1996, une politique facilitant l’accès des particuliers aux technologies de signature mais décourageant leur utilisation de moyens de chiffrement. L’essor d’Internet ayant largement répandu ces derniers, la posture française évolua encore. La loi sur les télécommunications du 26 juillet 1996 tenta ainsi, en s’appuyant sur un système de séquestre de clés cryptographiques auprès d’un tiers agréé par le Premier ministre, de favoriser encore la libéralisation de la cryptographie.

En parallèle, en 1997, le gouvernement du Premier ministre Lionel Jospin lance le Programme d’action gouvernementale pour la société de l’information (PAGSI). Dans son discours à l’Université d’été de la communication à Hourtin en 1997, le Premier ministre prend ainsi acte de « la généralisation de l’usage des technologies et des réseaux d’information », de « l’évolution technologique de plus en plus rapide, qui s’accompagne d’un développement exponentiel du marché » et de « la mondialisation des flux d’information ».

Deux ans plus tard, dans la continuité des travaux du comité interministériel pour la société de l’information de janvier 1999, Lionel Jospin prononcera, en août 1999, toujours à Hourtin, un discours fondateur pour la sécurité numérique française. De nombreuses décisions structurantes sont ainsi prises durant cette période :

  • la décision de libéraliser complètement l’utilisation des produits de cryptologie (sous réserve du maintien des contrôles à l’exportation), en passant notamment la limite de 40 à 128 bits ;
  • la transposition de la directive européenne de 1995 relative à la protection des données à caractère personnel ;
  • la prise en compte de la valeur probante des document numériques signés électroniquement ;
  • la création d’une capacité de cyberdéfense pour le compte de l’administration, le CERTA, qui sera rattaché au SCSSI, lui-même rattaché pleinement, courant 1999, au SGDN ;
  • l’accroissement des moyens techniques et humains affectés à la SSI, notamment le renforcement du SCSSI.

#10. Des années 2000 à nos jours

Outre le fameux « bug de l’an 2000 », l’entrée dans les années 2000 se fait sur fond d’attaques massives par DDoS envers des géants (ou futurs géants) américains du commerce électroniques tels que Yahoo!, Amazon et eBay, illustrant bien la dépendance de pans entiers de l’économie sur la disponibilité du réseau Internet. Alors que la problématique de la sécurité informatique était initialement portée sur la sécurité des messages échangés, on assiste petit à petit à l’essor des « cyberattaques » massives et visibles, avec des effets significatifs à l’encontre des systèmes.

En France, en juillet 2001 est créée la Direction centrale de la SSI (DCSSI), à la suite du SCSSI. Rattachée au SGDN, basée à l’Hôtel national des Invalides, et dotée alors d’environ 80 personnes, elle assure plusieurs grandes fonctions :

  • une fonction de stratégie et de régulation, en contribuant à la définition de la politique gouvernementale en matière de SSI ; en évaluant, certifiant et agréant les produits de sécurité ; en gérant les autorisations d’exportation ; en assurant les relations internationales en matière de SSI ; en analysant l’environnement technologique et industriel dans le domaine ;
  • une fonction opérationnelle, en évaluant les vulnérabilités et les menaces ; en donnant l’alerte ; en développant les capacités à les contrer et à les prévenir ; en assurant un rôle d’appui et de conseil au profit de l’administration ;
  • une fonction d’expertise, en développant l’expertise scientifique et technique dans le domaine de la SSI, pour l’administration et les services publics.

Son premier directeur est l’ingénieur des télécommunications Henri Serres, ancien directeur technique de la DGSE. C’est l’ingénieur des télécommunications Patrick Pailloux qui prendra sa suite en octobre 2005.

Henri Serres, premier directeur central de la SSI

Début 2007, une cyberattaque massive paralyse l’Estonie, sur fond de rivalités géopolitiques avec la Russie. L’Estonie ira jusqu’à invoquer l’article 5 du Traité de l’Atlantique Nord, qui prévoie l’assistance mutuelle aux Alliés en cas d’agression armée. Une cyberattaque menée contre un État et paralysant une partie de ses infrastructures peut-elle être considérée comme une agression armée ? Le cas échéant, quelle réponse prévoir ? Contre qui ? Si aucune suite ne sera donnée à l’époque par l’OTAN et les Alliés, les autorités françaises auront manifestement pris conscience de l’importance de ce qui sera désormais appelé le « risque cyber ». Preuve en est donnée dans le Livre blanc sur la défense et la sécurité nationale publié en 2008, qui place la SSI dans le « premier cercle » d’un « domaine de souveraineté, concentré sur les capacités nécessaires au maintien de l’autonomie stratégique et politique de la nation », aux côtés de la dissuasion nucléaire, des missiles balistiques et des sous-marins nucléaires d’attaque.

L’année suivante, en juillet 2009, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est créée. Toujours rattachée au SGDSN, elle succède à la DCSSI, en acquérant les statuts :

  • de « service à compétence nationale« , qui reconnaît son caractère opérationnel et lui permet de s’adresser notamment aux administrations centrales et déconcentrées sur l’ensemble du territoire national ;
  • et « d’autorité nationale de sécurité des systèmes d’information« , qui lui permet de continuer à exercer les missions confiées à la DCSSI mais avec une compétence propre donnée au directeur général de l’agence, qui peut signer des décisions au nom du Premier ministre et par délégation. En 2011, ce rôle d’autorité sera élargi à celui d’autorité de sécurité et de défense des SI.
Logo de l’ANSSI

L’agence intervient également officiellement dans la protection des infrastructures critiques de la Nation (concrètement : sur les systèmes d’information d’importance vitale (SIIV) des opérateurs d’importance vitale (OIV)). Ce sera l’objet d’importants travaux qui prendront corps notamment dans le Livre blanc sur la défense et la sécurité nationale de 2013, puis dans les dispositions de la Loi de Programmation militaire 2014-2019, promulguée la même année.

Livre blanc sur la défense et la sécurité nationale de 2013

En 2009, Patrick Pailloux devient le premier directeur général de l’ANSSI, rôle qu’il tiendra jusqu’en 2014. C’est Guillaume Poupard, un ingénieur de l’armement, qui prendra sa suite et encore à la tête de l’Agence à l’écriture de ces lignes…

Patrick Pailloux
Guillaume Poupard

Sur cette séquence très riche allant des années 70 au début des années 2010 peuvent être observées de nombreuses évolutions structurantes quant à la sécurité numérique française et mondiale :

  • l’interpénétration progressive et irréversible du Chiffre et des transmissions ;
  • l’apparition et le développement fulgurant de la mise en réseau de l’informatique, avec la création d’ARPANET puis l’essor d’Internet ;
  • l’essor des télécommunications et le développement des technologies numériques ;
  • l’arrivée du numérique et des enjeux de sécurité numérique dans la société civile et l’économie, au-delà de la seule sphère souveraine/régalienne/militaire ;
  • l’apparition des concepts de « SSI » puis de « cybersécurité » et de « cyberdéfense » – les deux derniers faisant écho à la recrudescence des cyberattaques ;
  • la prise en compte de la sécurité numérique comme un enjeu stratégique pour les Etats, non seulement au cœur de leurs stratégies de puissance mais également désormais partie intégrante de la conflictualité mondiale.

Notre dossier sur l’histoire de la sécurité numérique en France s’arrête ici, au début des années 2010, avec une sécurité numérique qui occupe désormais une place essentielle dans l’action publique, à la croisée :

  • des politiques publiques diplomatiques, industrielles et économiques,
  • des enjeux d’éducation et de formation,
  • des questions sociétales, juridiques et réglementaires,
  • et des problématiques de sécurité et de défense nationale.

Les lecteurs et lectrices intéressé(e)s par la décennie suivante pourront utilement se plonger dans un autre mini-dossier publié sur ce blog, « 2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà » :

La suite, c’est le futur de la sécurité numérique qui reste à construire !


Quelques sources utiles et accessibles en ligne qui ont inspiré cette série d’articles :

Également, quelques ouvrages :

  • Rémi Kauffer – Histoire mondiale des services secrets
  • Fred Kaplan – Dark Territory: The Secret History of Cyber War
  • Ouvrage de l’exposition « Le secret de l’Etat », tenue en 2015-2016 aux Archives nationales
  • Ouvrage de l’exposition « Guerres secrètes », tenue en 2016-2017 au musée de l’Armée

Enfin, l’auteur a eu la chance d’accéder à des travaux internes menés au SGDSN sur l’histoire de l’institution, ainsi qu’à certains documents conservés au Service historique de la Défense à Vincennes.

Une brève histoire de la cybersécurité française (partie 1 : du XVe siècle à 1918)

« Celui qui ne sait d’où il vient ne peut savoir où il va. »

Otto de Habsbourg-Lorraine

Alors que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) fête ses 10 ans, notre conviction est que toute réflexion sur les enjeux stratégiques actuels et futurs de la sécurité numérique se nourrira utilement d’un regard rétrospectif sur les origines de celle-ci.

Après un mini-dossier consacré aux développements liés à la cybersécurité sur la décennie 2009-2019 en France et au-delà (2010-2013, 2014-2016, 2017-2018), nous revenons ici sur les racines plus lointaines de la sécurité numérique française…


En préambule, notons que cette modeste réflexion nous a convaincus que l’on comprend mieux l’histoire de la cybersécurité française en s’intéressant à plusieurs sujets qui lui sont connexes : histoire de la France, de son contexte géopolitique, de l’évolution de son appareil politico-militaire à travers les âges, de l’histoire du renseignement, de l’imprimerie, des postes, des transmissions, des télécommunications, de l’informatique… et surtout : de la cryptologie ! Nos réflexions montrent en effet que la volonté de préserver le confidentialité de certains messages (ou à l’inverse d’en percer le secret) constitue la base de la sécurité numérique actuelle.

Pour rappel, la cryptologie, discipline passionnante, désigne, étymologiquement la « science du secret ». Elle regroupe la cryptographie, qui cherche à protéger des messages (en confidentialité, mais également en intégrité et par extension en authenticité) et la cryptanalyse, qui au contraire cherche à retrouver un message intelligible à partir d’un message chiffré – sans posséder la clé de déchiffrement. Nos lecteurs et lectrices intéressées par le sujet pourront utilement consulter le webdoc de l’ANSSI sur la cryptographie, ainsi que ce site très utile pour éviter de mélanger les termes « chiffrer », « déchiffrer » et « décrypter » 🙂


#1. De l’invention de l’imprimerie à la fin du XVIIIe siècle

Les origines de l’imprimerie, sans conteste l’une des ruptures les plus importantes de notre ère, sont attribuées à Gutenberg, dans les années 1450. En permettant de commencer à diffuser largement les informations, l’imprimerie a aussi – dans une certaine mesure – fait naître le besoin de les protéger efficacement.

En 1468, Louis XI crée la poste royale par l’édit de Luxies, pour son service et celui de son gouvernement. Les relais de poste et les chevaucheurs du Roi ne servent qu’à acheminer le courrier du Roi, et ne desservent que les théâtres d’opérations militaires.

A la fin du XVIe siècle, Blaise de Vigenère s’intéresse à la cryptographie. Il décrit un chiffrement qui prendra son nom et fera de lui l’un des pères fondateurs de la cryptographie française. Il publie en 1586 un « Traicté des chiffres ou secretes manières d’escrire« .

Blaise de Vigenère (1523-1596)

Sous Louis XIII (1610-1643), le très influent cardinal de Richelieu remarquera Antoine Rossignol. A l’âge de 26 ans, ce dernier s’illustre en décryptant une lettre interceptée sur un messager sortant de la ville de Réalmont, tenue par les huguenots et assiégée par l’armée du roi. Le message ainsi décrypté permettra à l’armée du roi de reprendre la ville dès le lendemain. Travaillant par la suite pendant plus de 50 ans au service de Louis XIII puis de Louis XIV, il concevra avec son fils, Bonaventure, le « Petit Chiffre » et le « Grand Chiffre ». Ce dernier, qui servira notamment à rendre inintelligibles des messages faisant référence au célèbre « Homme au masque de fer », résistera à la cryptanalyse jusqu’au XIXe siècle, lorsque le cryptologue Etienne Bazeries s’y attaquera avec succès.

Antoine Rossignol (1600-1682)

Le règne de Louis XIV (1643-1715) verra la signature des traités de Westphalie, qui institueront un nouvel équilibre politique et religieux au niveau international et jetteront les bases de la vision moderne de la souveraineté des États. La nécessaire protection de cette souveraineté contribuera significativement à développer les pratiques de renseignement des souverains. Parmi les proches du Roi-Soleil, Colbert puis Louvois seront ainsi à l’origine du fameux « Cabinet noir », qui interceptait et recopiait les correspondances personnelles jugées sensibles, mettant par ailleurs en avant les rapports étroits entre services postaux et renseignement.

Table d’encodage du Grand Chiffre

Sous Louis XV (1715-1774), la mise en place du « Secret du Roy » consolidera un réseau clandestin de renseignement structuré, mobilisant une trentaine d’agents, faisant ainsi passer la France dans l’ère du renseignement moderne. Les noms du cardinal Fleury, du prince de Conti, du comte de Broglie et de Jean-Pierre Tercier marqueront l’histoire du service, dont l’objectif initial était le soutien au mouvement polonais pro-français. Dirigé par Charles-François de Broglie entre 1752 et 1774, le Secret du Roy deviendra une organisation permanente et structurée, chiffrant et déchiffrant les messages du Roi, et lui transmettant directement les résultats de ses interceptions.

Louis XV

Louis XVI (1774-1792), manifestement moins adepte des pratiques de renseignement, exigera la dissolution du service à son arrivée au pouvoir. En pratique, le Secret du Roy poursuivra ses activités jusqu’à la mort de de Broglie en 1781.

#2. Le XIXe siècle

Le XIXe siècle – entre 1790 et 1870 – constitue une période de déclin pour le Chiffre français : on évite la poste, on lui préfère la valise diplomatique. En particulier, si Napoléon Ier met en œuvre un système de renseignement complexe, le Chiffre français de l’époque ne laisse pas un souvenir mémorable.

Napoléon Ier

#3. De 1870 à la première guerre mondiale

Après la défaite française face aux Prussiens, le renversement de l’Empire et le début de la IIIe République, les autorités françaises repartent de loin sur les problématiques sécuritaires : il n’existe plus de concept de défense nationale consistant, il n’y a pas d’organisme de coordination et de synthèse politico-militaire. Si le chef de l’État dispose de la force armée, il n’a en pratique pas de place dans le système décisionnel et la responsabilité de la protection de la Nation est portée par le gouvernement, et essentiellement les ministères de la Guerre, de la Marine et des Colonies.

En 1871, l’État-Major général des Armées s’appuie sur 4 bureaux, dont le fameux « 2e bureau », chargé du renseignement.

En 1889, une « commission du chiffre » est créée au ministère de la Guerre, avec pour mission d’élaborer des codes et systèmes de chiffrement. Elle collaborera avec les services du ministère de l’Intérieur et du ministère des Affaires étrangères. En 1894, cette commission deviendra permanente. Entre 1900 et 1914, le capitaine François Cartier en assurera le secrétariat. Parmi les illustres membres de la commission, nous pouvons citer le général Penel, président en 1900, ou le général Berthaut, président entre 1902 et 1912.

C’est à cette époque que l’on assiste au développement des communications télégraphiques et à l’émergence de la cryptologie civile. En 1903, l’installation d’une antenne radio au sommet de la Tour Eiffel offre de belles possibilités d’émission… et donc de réception, et par conséquent d’interception. En parallèle, l’introduction du télégraphe dans les armées attire l’attention sur les questions liées au Chiffre.

La TSF et la Tour Eiffel.

Fin 1906 se tient la première réunion du Conseil supérieur de la défense nationale, ancêtre de l’actuel Conseil de sécurité et de défense nationale. Il est présidé par le chef de l’État (à l’époque Armand Fallières – Georges Clémenceau est alors président du Conseil) et permet de récréer une instance de coordination politico-stratégique sur les questions de défense.

En janvier 1909 est créée une « commission interministérielle du chiffre », chargée de promouvoir et de développer la collaboration des services du chiffre (de la Guerre, de la Marine, de la Sûreté générale à l’Intérieur, des Postes, des Affaires étrangères et des Colonies). Peu de traces concrètes de cette commission sont parvenues jusqu’à nous mais il semblerait qu’elle se soit réunie entre 1912 et 1922.

Début 1912, Alexandre Millerand devient ministre de la Guerre. Auprès de lui est affecté le capitaine Marcel Givierge, un Polytechnicien artilleur et polyglotte sorti quelques années plus tôt de l’Ecole supérieure de Guerre. Sa maîtrise des langues – et notamment du russe – avait amené Givierge, quelques années auparavant à découvrir la cryptologie, par l’intermédiaire de Jacques Haverna. Alors chef du « service photographique » à la Sûreté générale, le service de renseignement intérieur, Haverna avait décrypté des télégrammes chiffrés russes mais personne ne pouvait en comprendre le contenu. C’est le début de l’intérêt de Givierge pour la cryptologie, qui ne cessera plus, l’amenant notamment à publier plusieurs ouvrages qui feront référence sur le sujet. C’est également le début d’une collaboration très fructueuse entre l’Intérieur et la Guerre sur le sujet – portée par la bonne entente entre Haverna et Givierge.

Convaincu de l’intérêt du Chiffre, Givierge persuadera le ministre de créer une section permanente du chiffre au ministère de la Guerre, à compter de septembre 1912. Dans les faits, la section ne comprend que 3 personnes : Cartier, le chef ; Givierge, son adjoint ; et un officier d’administration. En lien avec ses homologues du Quai d’Orsay et de l’Intérieur, elle aura pour missions : le chiffrement et le déchiffrement des messages du ministère ; la conception, la réalisation, la diffusion et la comptabilité des moyens de chiffrement ; et les études de cryptologie et de décryptement.

#4. La première guerre mondiale

1er août 1914 : la mobilisation générale est déclarée en France, à l’aube du premier conflit mondial. Un « Grand Quartier général » (GQG) est créé dans la foulée, avec à sa tête le général Joffre, pour assurer le commandement de l’ensemble du corps de bataille français. Le Conseil supérieur de la défense nationale, qui s’était réuni à 11 reprises entre 1906 et 1914, s’interrompt, alors qu’il aurait pu – et dû – jouer un rôle central dans la gestion française du conflit.

Affiche « ordre de mobilisation générale » datée du 2 août 1914.

La nature même du GQG commandera la nécessité de le doter d’une capacité de Chiffre : c’est le chef d’escadron Marcel Givierge qui sera affecté à ce rôle dès la mobilisation. Il y sera l’année suivante remplacé par son adjoint, le capitaine Soudart, pour partir prendre un commandement.

En parallèle, le chef de bataillon François Cartier est à la tête de la section chiffre du ministère de la Guerre, secondé par l’officier Olivari. La section est composée de 4 bureaux : chiffrement/déchiffrement, cryptographie, TSF et goniométrie.

La section chiffre du GQG et la section chiffre du ministère de la Guerre semblent constituer les deux pôles majeurs du Chiffre français durant la première guerre mondiale. Celui-ci, s’il est techniquement prêt à servir dans la Grande Guerre, rencontre un certain nombre de difficultés.

L’une des grandes problématiques que rencontreront Givierge et Cartier sera celle des ressources, et notamment la difficulté de disposer d’officiers 1/ formés au Chiffre et 2/ effectivement affectés au Chiffre dans les différents groupes d’armées et état-majors.

En tout état de cause, il ne semble pas faux de dire que le Chiffre est alors l’apanage d’un nombre très réduit d’individus, souvent passionnés par le sujet.

Une question se pose par ailleurs de façon récurrente à cette époque : celle du positionnement de la fonction Chiffre, notamment par rapport à la fonction renseignement (dans les faits, le Chiffre semble souvent rattaché aux « 2e bureaux » – ce sera le cas de la section chiffre du GQG, celle du ministère de la Guerre restant visiblement rattaché au cabinet du ministre), aux transmissions et au courrier.

Au début de la guerre, la section chiffre du ministère est très occupée par le chiffrement/déchiffrement des télégrammes et a peu de temps pour étudier les messages allemands interceptés chiffrés. Fin 1914, les cryptologues français s’attaquent néanmoins avec succès à un Chiffre allemand, le code « Ubchi« . Alors qu’ils parviennent à décrypter rapidement le code au fur et à mesure des changements de clés, une indiscrétion amène le journal « Le Matin » à publier des informations sur les capacités françaises de décryptement, ce qui conduira les Allemands à cesser progressivement d’utiliser ce Chiffre. Il sera remplacé par d’autres méthodes, comme l’ABC (entre novembre 1914 et janvier 1915) puis l’ABCD (jusqu’en mars 1915). Il semblerait par ailleurs que la section joue un rôle significatif – mais trop peu documenté en sources ouvertes – dans l’anticipation de la bataille de la Marne.

Le 21 janvier 1915, le capitaine Georges Painvain, polytechnicien, ingénieur du corps des Mines et professeur en géologie et paléontologie, fait parvenir un mémoire à la section du chiffre, expliquant comment casser rapidement le code ABC. Painvain est alors officier d’ordonnance au sein de la 6e armée du général Maunoury basée à Villers-Cotterêts. En pleine guerre des tranchées, l’ennui de Painvain va conduire le brillant officier à se nouer d’amitié avec l’officier chiffre de la 6e armée, le capitaine Paulier, qui éveillera en lui une passion pour le Chiffre. Le mémoire envoyé par Painvain amènera Cartier à rendre visite au général Maunoury, le 27 janvier suivant, pour en savoir plus sur l’auteur du mystérieux document. Sur pression de Millerand lui-même, le général acceptera de laisser partir Painvain au « cabinet noir », où il s’illustra rapidement parmi les meilleurs cryptologues de sa génération.

Georges Painvain

A partir du 5 mars 1918, les Allemands, ayant pris conscience de la capacité française à percer leurs différents codes, mettront en place un nouveau Chiffre : l’ADFGX (dont le nom officiel allemand était « GEDEFU 18 ») significativement plus robuste que les précédents. Ceci intervient dans un contexte difficile pour les Français, quelques semaines avant le début des manœuvres allemandes de « l’Offensive du Printemps » (à partir du 21 mars). Après plusieurs semaines d’efforts, Painvain parvient début avril à reconstituer le système et les clés.

Dernière ligne droite dans la bataille du Chiffre : le 1er juin, les Allemands complexifient le système ADFGX, qui devient ADFGVX. Ceci intervient de nouveau à un moment difficile pour les Français. Au terme de 26 heures de travail, Painvain parviendra, le 2 juin 1918, à trouver la clé du message intercepté la veille. Le message provient du GQG allemand et est destiné aux avant-postes situés dans la région de Remaugies, près de Compiègnes. Ce texte, depuis connu sous le nom de « Radiogramme de la Victoire« , commande aux unités sur place : « Hâtez l’approvisionnement en munitions, le faire même de jour tant qu’on n’est pas vu.« 

Le Radiogramme de la Victoire

L’information, couplée à la radiogoniométrie, permet aux autorités françaises d’anticiper l’offensive allemande prévue sur Compiègnes le 9 juin, et au général Mangin de mener une contre-offensive décisive à Méry. L’échec de la manœuvre allemande lui ferme définitivement la voie pour Paris. Cette séquence restera secrète jusqu’en 1962, date à laquelle le général Desfemmes en fera publiquement état lors d’une conférence à l’École spéciale militaire de Coëtquidan.


A ce stade, à la fin de la Première Guerre mondiale, les constats suivants peuvent être dressés :

  • la protection de la confidentialité de l’information constitue le cœur des préoccupations ;
  • à cet égard, la cryptologie (i.e. cryptographie et cryptanalyse) est un levier quasiment incontournable de puissance – pour les dirigeants et plus largement les États : bien maîtrisée, elle assure le secret de ses communications, procure l’initiative, renseigne sur les desseins ennemis ;
  • les questions de protection/défense de l’information et « d’attaque » (i.e. interception, décryptement, et parfois même l’exploitation du renseignement ainsi obtenu) sont très entremêlées et gérées par des entités qui combinent les deux missions ;
  • progressivement, l’imprimerie/dactylographie va permettre d’avoir de plus en plus de messages à s’échanger, et la télégraphie (notamment sans fil) de se les transmettre de plus en plus vite et loin ;
  • le Chiffre s’est d’abord propagé « vers le bas » : d’abord l’apanage des rois et des décideurs, il a progressivement percolé dans le cœur de l’État – les hautes sphères décisionnelles et les ministères les plus régaliens – avec des entités structurées et permanentes chargées de le diriger et de l’exploiter ;
  • le sujet est toujours « technique » : il mobilise essentiellement des mathématiciens, ingénieurs, scientifiques, techniciens, opérateurs. S’il est utile, voire décisif, pour le politique et les décideurs militaires, il est seulement un moyen en support de leur information et de leurs décisions.

La suite au prochain épisode !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (3/3)

Suite et fin de notre mini-dossier consacré à la décennie 2009-2019 en matière de cybersécurité en France… et un peu au-delà. Après les périodes 2009-2013 et 2014-2016, nous couvrons ici les années 2017 et 2018 et tâcherons, en fin d’article et en guise de conclusion, d’identifier quelques grandes tendances et dynamiques.


L’année 2017 a été relativement chargée, notamment sur le plan opérationnel :

  • à partir du 1er janvier, le Commandement de la cyberdéfense (COMCYBER) rassemble l’ensemble des forces de cyberdéfense des armées françaises sous une même autorité opérationnelle, permanente et interarmée. Placé sous l’autorité du Chef d’État-Major des armées (CEMA), il assure le commandement des opérations militaires dans le cyberespace et notamment la protection et de la défense des systèmes d’information relevant du périmètre du ministère des Armées ;
  • début avril, la France, via le SGDSN et l’ANSSI, organise la première conférence internationale « Construire la paix et la sécurité internationales de la société numérique », à l’UNESCO. Pendant deux jours, les 6 et 7 avril, l’évènement a rassemblé des représentants de gouvernements, d’ONG, de la société civile, du monde la recherche et de l’économie numérique. Une passionnante étude juridique sur l’applicabilité du droit international au cyberespace, menée par Karine Bannelier et Théodore Christakis, a été publiée en amont de la conférence afin de nourrir les débats ;
Étude « Cyberattaques – Prévention-réactions : rôle des États et des acteurs privés », par Karine Bannelier et Théodore Christakis.
  • en mai 2017, la fin de l’élection présidentielle est marquée par les « MacronLeaks« , la publication de documents prétendument volés au parti politique « En Marche ! ». Cette action, rendue publique le vendredi 5 mai au soir, à la fin de la campagne et à l’aube du second tour du scrutin, fait suite à l’attaque du mouvement par un groupe de pirates. La divulgation de documents, non authentifiés et « marketés » comme « compromettants » durant la période de réserve qui interdit aux candidats, candidates à l’élection et à leurs soutiens de s’exprimer montre que cette attaque vise à perturber le processus électoral en cours et ainsi à s’en prendre à un symbole fort de la démocratie et du fonctionnement de l’État français ;
  • toujours en mai 2017, le monde découvre le rançongiciel WannaCry, utilisé dans le cadre d’une cyberattaque massive qui touchera plusieurs centaines de milliers de machines dans plus de 150 pays. Le logiciel malveillant, particulièrement virulent, se réplique et se propage très rapidement. Une fois qu’il prend pied sur une machine, il en chiffre les fichiers, les rendant indisponibles pour l’utilisateur, et demande une rançon en échange de la clé de déchiffrement. Paralysant ainsi le fonctionnement de nombreuses organisations (notamment le système de santé britannique), WannaCry donne une – triste – illustration de l’importance de l’aspect « disponibilité » dans la sécurité numérique, parfois un peu sous-estimé face aux questions plus « traditionnelles » de la confidentialité et de l’espionnage. Exploitant la faille dite « EternalBlue » – révélée quelques mois auparavant par le groupe The Shadow Brokers, qui revendiquait l’avoir dérobée à la NSA – WannaCry mettra également évidence des questions stratégiques comme la gestion des correctifs de sécurité par les utilisateurs ; la responsabilité des acteurs privés de portée systémique (tels que Microsoft, dont les systèmes d’exploitation sont les plus déployés au monde) dans la stabilité du cyberespace ; ou encore la gestion responsable des vulnérabilités par les gouvernements ;
L’interface du logiciel WannaCry, qui propose à l’utilisateur de payer une rançon de $300 en bitcoins pour transmettre la clé de déchiffrement.
  • en juin 2017, seulement quelques semaines après WannaCry, c’est au tour du logiciel NotPetya de défrayer la chronique. Parmi les victimes, on compte notamment l’armateur danois Maersk, qui annoncera une perte subséquente de 300 millions de dollars. Exploitant également la faille EternalBlue, NotPetya présente comme WannaCry les caractéristiques d’un rançongiciel… au moins en apparence. En effet, contrairement à ce que son interface laisse entendre, il n’existe pas de moyen de récupérer la clé de déchiffrement des données prises en otage par NotPetya, ce qui interroge sur les véritables finalités de ses concepteurs : sabotage et destruction, plutôt que rançonnage et extorsion ;
  • le 13 septembre, la Commission européenne présente le « EU Cybersecurity Act« , un ensemble (dit « paquet ») de mesures relatives à la cybersécurité en Europe, comprenant : 1/ une communication conjointe de la Commission et de la Haute représentante pour l’action extérieure (cheffe du Service européen d’action extérieure, le « ministère des affaires étrangères » de l’UE) listant des actions prioritaires en matière de cybersécurité ; 2/ une proposition de règlement européen comprenant un mandat permanent pour l’ENISA (agence européenne pour la sécurité des réseaux et de l’information, créée en 2004 et dotée jusque-là de mandats finis et renouvelables) et un projet de cadre européen de certification de sécurité ; 3/ une recommandation proposant un cadre européen de réponse aux crises cyber ; et 4/ une communication précisant certaines modalités de mise en œuvre de la directive NIS ;
  • en octobre, après une période d’expérimentation dans la région Hauts-de-France, la plateforme cybermalveillance.gouv.fr, pilotée par le GIE ACYMA, est lancée sur tout le territoire national. Incubée au sein de l’ANSSI avec le concours du Ministère de l’Intérieur, cette plate-forme joue notamment le rôle de guichet unique vers lequel peuvent se tourner les victimes d’actes de cybermalveillance (particuliers, TPE/PME, collectivités territoriales, etc.) afin d’être mises en contact avec des prestataires de proximité susceptibles de les assister. Le dispositif a également une mission de sensibilisation et d’information (-> le suivre sur Twitter).
Le dispositif d’assistance aux victimes d’actes de cybermalveillance.

Pour terminer cette rétrospective, plusieurs jalons politico-stratégiques majeurs sont à relever en 2018 :

  • le premier d’entre eux est sans conteste la publication de la Revue stratégique de cyberdéfense, en février. Comme ses deux prédécesseurs, le Président de la République a commandé, en arrivant à l’Élysée, une réflexion stratégique portant sur les questions de sécurité et de défense. Deux petites nouveautés pour le début de quinquennat d’Emmanuel Macron : 1/ le « Livre blanc sur la défense et la sécurité nationale » s’appelle désormais une « Revue stratégique sur la défense et la sécurité nationale » ; 2/ l’exercice se scinde en deux, avec un premier document couvrant le périmètre traditionnel « sécurité et défense » et un second document exclusivement consacré aux enjeux de cyberdéfense, la « Revue stratégique de cyberdéfense ». La réalisation de cette dernière sera confiée en juillet 2017 par le Premier ministre au Secrétaire général de la défense et de la sécurité nationale (SGDSN). Structurée en 3 grandes parties, cette Revue stratégique sera notamment l’occasion de formaliser et de confirmer l’organisation du modèle français de cyberdéfense, séparant organiquement les missions défensives et offensives ;
  • en juillet, la loi de programmation militaire (LPM) 2019-2025 est promulguée. Selon la même logique que celle mise en œuvre en 2013 pour donner un véhicule législatif aux mesures proposées par le Livre blanc (nous décrivions cela dans le premier article de ce mini-dossier), cette LPM de 2018 comporte, dans son article 34, des dispositions relatives au renforcement des capacités de détection de cyberattaques. Elle permet notamment aux opérateurs de communications électroniques de mettre en œuvre des dispositifs de détection d’attaques qui pourraient affecter les systèmes de leurs abonnés, afin de les en informer le cas échéant ;
  • en octobre, l’ANSSI lance la méthode d’analyse de risques EBIOS Risk Manager, héritière de la précédente méthode EBIOS et destinée à devenir la méthode française de référence pour le management des risques numériques. S’appuyant sur cinq ateliers et sur un label mettant de mettre en valeur des outils permettant de la déployer efficacement, elle se fixe pour objectif « de permettre aux dirigeants d’appréhender correctement les risques numériques, au même titre que les autres risques de nature stratégique » ;
EBIOS Risk Manager
  • le 12 novembre, le Président de la République lance « l’Appel de Paris pour la confiance et la sécurité dans le cyberespace » dans le cadre du 13e Forum sur la gouvernance de l’Internet. « Déclaration de haut niveau en faveur de l’élaboration de principes communs de sécurisation du cyberespace », cet Appel de Paris s’inscrit dans la continuité des réflexions internationales portant sur la stabilité de l’espace numérique (notamment les différentes sessions du GGE des Nations Unies, dont nous parlions ici et ici), en réaffirmant notamment que le droit international s’applique au cyberespace ;
  • dans la continuité de l’Appel de Paris et des travaux précédents sur la stabilité du cyberespace, est organisé, les 13 et 14 décembre, l’évènement inaugural du Global Forum de l’OCDE sur la sécurité numérique. Là où le GGE de l’ONU constituait une enceinte de travail exclusivement inter-gouvernementale, l’OCDE permet de mener les réflexions à une nouvelle étape, en faisant se rencontrer les représentants des gouvernements, du secteur privé, du monde académique et de la société civile, afin d’évoquer des sujets comme la « cyberdéfense active », la « sécurité by design« , la divulgation proactive et coordonnée des vulnérabilités ou la responsabilité des acteurs de portée systémique.

En guise de conclusion de ce mini-dossier, on se propose d’identifier quelques tendances structurantes dans l’évolution des questions liées à la cybersécurité sur la décennie qui vient de s’écouler. On groupera ces constats en 5 grandes catégories.

  1. La portée du « sujet cyber » – Si les racines de la cybersécurité sont fondamentalement techniques, il est acquis que le sujet n’est aujourd’hui plus un sujet réservé à des informaticiens, techniciens et ingénieurs. C’est un sujet de politique publique, de régulation, de confrontation, de développement économique, de concurrence, de développement sociétal. Il emporte des enjeux de niveau national, européen voire international. Les médias en parlent, le grand public en a conscience et, dans une certaine mesure, s’en préoccupe. Plus largement, la numérisation croissante de la société et de l’économie fait du numérique une opportunité pour tous – organisations publiques et privées, et individus – mais génère également des menaces qui pèsent sur tous.
  2. L’approche étatique du « sujet cyber » – Si elle est toujours traitée autour d’un cœur régalien « historique » comme un sujet de sécurité et de défense nationale (n’oublions pas qu’à l’origine, il y a la cryptographie, longtemps très ancrée dans la sphère militaire et assez fortement régulée), la sécurité numérique est également appréhendée par les gouvernements, en France et à l’étranger, de façon plus large. Au-delà de la sphère « souveraine », la cybersécurité est aussi comprise comme la garantie d’une transformation numérique menée en confiance de l’économie et de la société. Elle fait notamment l’objet de nombreux efforts de régulation et de réglementation, aux niveaux des pays et des organisations internationales comme l’UE.
  3. L’évolution de la menace d’origine cyber – La menace ancestrale et emblématique de l’espionnage est toujours présente et aiguë. Par ailleurs, l’omniprésence des systèmes numériques et l’avènement des objets connectés et des dispositifs de type « capteurs » et « actionneurs » – qui font le lien entre le monde numérique et le monde physique – font émerger une menace réelle de sabotage, de neutralisation et de destruction. Les effets potentiellement létaux d’une cyberattaque sont à cet égard de moins en moins théoriques. Également, plusieurs exemples récents mettent en exergue la réalité des menaces de déstabilisation et de désinformation, plus orientées sur les contenus que les contenants, et sur la couche sémantique que sur les couches logicielles et matérielles. Si ce dernier aspect, présentant une adhérence certaine avec les questions de contrôle de l’information, est intégré depuis longtemps dans les doctrines chinoises et russes, il constitue un nouveau défi que les doctrines occidentales doivent relever.
  4. L’évolution des objets à protéger – Alors que la sécurité informatique d’il y a quelques années s’intéressait majoritairement à la protection de systèmes d’information compris comme des « boites » avec des périmètres bien décrits, les enjeux de la sécurité numérique contemporaine ne permettent plus d’ignorer que la notion de « frontière » (technique, juridique, réglementaire, etc.) d’un système d’information est un concept de plus en plus flou et de plus en plus compliqué à appréhender.
  5. Le traitement du sujet à l’international – La décennie écoulée a vu les organisations internationales s’engager dans un premier grand cycle de prise en main du « sujet cyber » – avec plus ou moins de succès selon les organisations. L’ONU a ouvert la voie de la réflexion sur l’applicabilité du droit international au cyberespace, l’OTAN s’est attaché à transposer un certain nombre de ses problématiques plus militaires à l’espace numérique, et – last but not least! – l’Union européenne s’est illustrée comme un acteur et un échelon incontournable dans le domaine, avec notamment l’élaboration et la mise en œuvre de plusieurs réglementations de portée majeure. A l’échelle des nations, les 10 dernières années ont permis aux États de mettre en place des coopérations bilatérales et multilatérales importantes, sur les plans opérationnels, techniques et politico-stratégiques.

Après cette décennie riche pour la cybersécurité française et mondiale, l’avènement et le développement de sujets majeurs comme l’intelligence artificielle ou les technologies quantiques promettent une décennie à venir qui devrait être au moins aussi passionnante !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (2/3)

Ceci est la suite d’un premier article couvrant la période 2009-2013. Nous parcourons ici les années 2014 à 2016 de cette décennie de cybersécurité en France… et un peu au-delà. 🙂


En 2014, plusieurs points notables :

  • au niveau européen, le Parlement et le Conseil adoptent en juillet le règlement 910/2014, dit « eIDAS ». Applicable à partir de 2016, celui-ci a pour vocation de contribuer à l’émergence d’un « marché unique numérique », en améliorant la confiance dans les transactions électroniques. Il établit pour cela un cadre d’interopérabilité et de reconnaissance mutuelle en matière d’identification électronique ;
  • au niveau otanien, le sommet de Newport aborde les questions de cybersécurité en indiquant notamment qu’il est nécessaire que les alliés renforcent leurs capacités nationales en matière de cyberdéfense. Avancée doctrinale notable par ailleurs : le lien entre cyberattaque et invocation de l’article 5 du traité de Washington (qui prévoit l’assistance des membres de l’OTAN en cas d’attaque majeure contre l’un d’entre eux) est explicitement établi. Si en théorie le lien est désormais explicitement établi, l’opérationnalisation de cette disposition est à l’époque (et c’est probablement encore le cas aujourd’hui) loin d’être acquise…

En 2015 :

  • en avril, la chaîne de télévision francophone TV5 Monde est frappée par une cyberattaque qui entraîne notamment l’arrêt de la diffusion de ses programmes. Les comptes Twitter et Facebook de la chaîne sont également compromis, et y sont publiés des messages de soutien à l’Etat islamique. Cette attaque est la première cyberattaque visant des intérêts français et comportant des effets de sabotage majeurs. La mobilisation des équipes de la chaîne, ainsi que de l’ANSSI, permettra la reprise de l’activité dès le lendemain. Accessible auprès de 290 millions de foyers dans le monde, la chaîne constitue un symbole majeur de la francophonie. L’attaque, revendiquée par un groupe se faisant appeler « CyberCaliphate », mais dont l’identité exacte reste floue, coutera plusieurs millions d’euros à TV5 Monde ;
  • à l’été, avancée majeure à l’ONU : le GGE parvient à un socle d’engagements volontaires de bonne conduite pour les Etats dans le cyberespace, notamment : le fait que les Etats doivent protéger leurs infrastructures critiques (« la meilleure défense, c’est la défense ») ; qu’ils doivent coopérer quand une attaque émane de leur territoire (application du principe de due diligence au cyberespace) ; qu’ils doivent faire preuve de transparence sur leur organisation et leur stratégie nationale en matière de sécurité ; ou encore qu’il est interdit d’attaquer les infrastructures critiques en temps (cf. Stuxnet) ;
  • en octobre, le Premier ministre présente la stratégie nationale pour la sécurité du numérique. La signature du Premier ministre consacre le caractère interministériel de ce document, dont l’élaboration aura duré près d’une année. On notera un choix sémantique important : on parle désormais de « sécurité du numérique ». Cet intitulé, qui pourrait paraître anodin, démontre en fait que l’Etat ne traite plus seulement la cybersécurité comme un sujet « souverain » mais prend également acte du besoin d’accompagner plus largement la transformation numérique de la société et de l’économie. Le document décline 5 « objectifs stratégiques » : garantir la souveraineté nationale ; apporter une réponse forte contre les actes de cybermalveillance ; informer le grand public ; faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et renforcer la voix de la France à l’international.
Stratégie nationale pour la sécurité du numérique (2015)

L’année 2016 est une année dense en matière de sécurité du numérique :

  • les conclusions du 18e conseil des ministres franco-allemand confirment la dynamique de la coopération bilatérale entre l’Allemagne et la France en matière de cybersécurité, ainsi que l’importance accordée par les deux Etats à l’autonomie stratégique européenne en matière de sécurité numérique ;
  • en avril, le Parlement européen adopte le Règlement général sur la protection des données (dit « RGPD »), afin de renforcer la protection des données à caractère personnel. Si elles ne portent pas à proprement parlé sur la cybersécurité, la mise en conformité avec les dispositions du RGPD présente une adhérence significative avec les questions de sécurité des systèmes d’information (pour aller plus loin : [CNIL] « RGPD : se préparer en 6 étapes« ) ;
  • à l’été, le premier contrat de partenariat public-privé (dit « cPPP ») en matière de cybersécurité est signé entre l’association European Cybersecurity Organisation (ECSO) – créée pour l’occasion – et la Commission européenne. En consacrant 450 millions d’euros du fonds européen H2020 sur les questions industrielles et de R&D, cette démarche doit concourir à la construction de l’autonomie stratégique européenne en matière de cybersécurité ;
  • début juillet, le sommet de l’OTAN aboutit sur plusieurs conclusions significatives, et notamment la reconnaissance du cyberespace comme domaine d’opérations dans lequel l’Alliance doit se défendre. Les Alliés ont par ailleurs signé le « Cyber Defence Pledge« , dans lequel ils s’engagent à renforcer leurs capacités nationales de cyberdéfense ;
  • fin juillet, c’est à l’Union européenne que l’on note une avancée très significative, avec l’adoption, après plusieurs années de négociation, de la directive sur la sécurité des réseaux et de l’information, dite « directive NIS« . Celle-ci prévoit le renforcement des capacités nationales des Etats membres en matière de cybersécurité, l’établissement d’un cadre de coopération volontaire entre les Etats membres, le renforcement de la cybersécurité des « opérateurs de services essentiels » (OSE) au fonctionnement de l’économie et de la société, et l’instauration de règles communes pour les fournisseurs de services numériques (cloud, moteurs de recherche et places de marché). Une philosophie très alignée avec la LPM française adoptée quelques années auparavant !
  • en novembre, les élections présidentielles étatsuniennes sont marquées par une vague de cyberattaques à l’encontre du Comité national démocrate (DNC), ayant entrainé la publication de documents confidentiels. Le monde entier prend ainsi conscience de l’acuité de la menace d’origine cyber portant sur les processus démocratiques.

Voilà pour cette période 2014-2016, bien chargée ! Suite et fin au prochain épisode !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (1/3)

En 2008, le Livre blanc sur la défense et la sécurité nationale, qui vise à définir les grands axes stratégiques des politiques publiques de sécurité et de défense nationale, est le premier document de ce niveau à prendre acte de l’importance de la sécurité des systèmes d’information (SSI).

La France doit garder un domaine de souveraineté, concentré sur les capacités nécessaires au maintien de l’autonomie stratégique et politique de la nation : la dissuasion nucléaire, le secteur des missiles balistiques, les sous-marins nucléaires d’attaque, la SSI font partie de ce premier cercle.

Livre blanc sur la défense et la sécurité nationale (2008)

Dans la foulée de ce Livre blanc, le 7 juillet 2009, le décret 2009-834 créait l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la désignant au passage comme autorité nationale de sécurité des systèmes d’information. L’année 2019 sera donc l’occasion pour l’Agence de souffler sa 10e bougie !

Le logo de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

10 ans après, quel chemin parcouru par la cybersécurité française ? et dans quel contexte ? Revenons sur quelques dates qui ont marqué cette décennie de sécurité numérique – en France et un peu plus largement…


En 2010, le monde découvre Stuxnet, qui aurait été co-conçu par les Etats-Unis et Israël afin de ralentir le programme d’enrichissement nucléaire iranien. Le cas échéant, ce serait le premier logiciel malveillant connu du grand public et conçu à des fins de sabotage dans le cadre d’une rivalité entre Etats. Si l’origine étatique de l’attaque était avérée, ce serait également un important exemple de cyberattaque contre une infrastructure critique d’un autre pays en « temps de paix », ce qui – au-delà du fait de ne pas être gentil du tout – pourrait nous amener à nous poser la question de la licéité de cette action au regard du droit international… Pour aller plus loin, lire ce bel article du NY Times sur Stuxnet.


En 2011, est publiée la première stratégie nationale en matière de défense et de sécurité des systèmes d’information, par l’ANSSI. Définissant 4 « objectifs stratégiques » (au fait, ça veut dire quoi « stratégique » ? 🙂 ) et 7 axes d’effort, elle évoque déjà la protection de l’information de souveraineté, la protection des infrastructures critiques ou les questions relatives au droit. On pourrait également noter 2 autres points intéressants : le glossaire à la fin, encore souvent cité par de nombreux ouvrages et articles qui cherchent à définir les termes « cyberespace » ou « cybersécurité » ; et la place à part entière accordée aux enjeux de communication et de sensibilisation, qui ont, on le voit, connu une croissance spectaculaire ces dernières années.

Défense et sécurité des systèmes d’information – Stratégie de la France (2011)

En 2012 :

  • à l’été, le code malveillant Shamoon terrasse plusieurs entreprises majeures du secteur de l’énergie comme Aramco (à l’époque, 1er exportateur mondial de pétrole brut) et RasGas . L’attaque, qui cherche à détruire le plus grand nombre de machines possible, est soutenue par une campagne de DDoS et de propagande sur les réseaux sociaux. Elle mettra plus de 30000 machines hors service et paralysera le réseau principal des victimes pendant une quinzaine de jours ;
  • fin 2012, l’ANSSI publie un appel à commentaires pour son premier guide d’hygiène informatique (publication début 2013, nouvelle version début 2017). Se voulant la « transposition dans le monde numérique de règles élémentaires de sécurité sanitaire », elles constituent un socle fondamental d’une quarantaine de règles de sécurité qui ne permet pas de se protéger des attaques les plus sophistiquées, mais doit permettre de parer au « tout venant ».

L’année 2013 aura été dense pour la cybersécurité :

  • en avril, un nouveau Livre blanc sur la sécurité et la défense nationale (un autre lien pertinent) est publié. Le Livre blanc de 2008 avait été « commandé » par le nouveau Président de la République de l’époque, Nicolas Sarkozy. Celui-ci est, de même, commandé par le Président nouvellement élu, François Hollande. Côté cybersécurité, il identifie clairement les cyber menaces comme des menaces majeures pour la sécurité nationale, au même titre que la guerre ou le terrorisme. Il prend acte de l’augmentation de la quantité et de la sophistication des cyberattaques, et du risque élevé qu’elles constituent du fait à la fois de leur forte probabilité et de leurs forts impacts potentiels. Le Livre blanc fait état des finalités d’espionnage de nombre de ces cyberattaques, mais aussi – et c’est essentiel – du risque de sabotage qu’elles emportent. Ce dernier constat, notamment, plaide pour un renforcement du niveau de sécurité des SI essentiels au bon fonctionnement des infrastructures critiques de la Nation ;
Livre blanc sur la défense et la sécurité nationale (2013)
  • quelques mois plus tard, l’affaire Snowden défraye la chronique. Edward Snowden, qui travaille pour un sous-traitant de la fameuse National Security Agency (NSA), transmet une grande quantité de documents classifiés qu’il aurait dérobé à l’agence étatsunienne de renseignement, parmi les plus puissantes au monde. Ces révélations, qui contribueront à ouvrir un large débat sur l’équilibre entre le respect de la vie privée et les pratiques des services de renseignement, permettront également d’illustrer concrètement certains modes opératoires d’attaques cyber. Or une meilleure connaissance de ces modes opératoires devrait (au moins en théorie) permettre aux défenseurs de mieux s’en protéger…
  • à l’été, le Groupe des experts gouvernementaux (GGE) sur les « développements dans le domaine de l’information et des télécommunications dans le contexte de la sécurité internationale » de l’ONU parvient à une avancée nettement moins médiatisée mais tout de même fondamentale : il s’accorde sur le fait que le droit international existant, en particulier la Charte des Nations Unies, s’applique dans le cyberespace. C’est une étape majeure dans les travaux sur le sujet de la régulation du cyberespace. Qu’est-ce qui constitue une cyber attaque ? Quel rôle doivent jouer les gouvernements dans la réponse contre les cyber attaques visant leurs citoyens ou les entreprises privées ? A partir de quand cela devient-il un sujet de sécurité nationale ? Y a-t-il des « règles de conduite » dans le cyberespace ? Le cas échéant, sont-elles contraignantes, sur qui/quoi s’appliquent-elles ? Autant de questions soulevées par cette réflexion. Ancrer ce débat dans l’enceinte des Nations Unies, dans une dimension intergouvernementale, et le rattacher à un droit existant – dont il restera à convenir des modalités concrètes d’application – est une première étape significative dans cette longue réflexion ;
  • enfin, pour clore cette année 2013 haute en cyber couleurs, c’est la promulgation, en décembre, de la Loi de programmation militaire 2014-2019 qui retiendra toute notre attention. Une « LPM » (comme on dit chez les initié/e/s) est une loi qui vise à « établir une programmation pluriannuelle [en l’occurrence, depuis 2003, des périodes de 6 ans] des dépenses que l’État français consacre à ses forces armées » (merci à Wikipédia pour cette formulation que je ne saurais mieux tourner 😉 ). Depuis 2008, la logique est de : 1/ faire écrire un Livre blanc par des « sachant/e/s » pour prendre acte du contexte stratégique (oh, encore ce mot, « stratégique« , décidément ! 🙂 ) sur les questions de sécurité et de défense nationale et proposer des orientations ; 2/ faire voter une loi pour acter la programmation des moyens permettant de répondre à ces orientations. Comme une importante partie des orientations des Livres blancs sur la sécurité et la défense nationale porte sur des questions de défense, et donc des enjeux militaires, le véhicule législatif qui permet d’acter la programmation capacitaire subséquente à ces orientations est une loi dite de… « programmation militaire ». Cette loi peut néanmoins contenir des dispositions non strictement militaires. C’est ainsi que, le Livre blanc de 2013 prenant acte de la nécessité de mieux protéger les infrastructures critiques contre les attaques cyber, il a été décidé d’inclure dans la LPM 2014-2019 d’importantes dispositions en ce sens (cf. chapitre IV de ladite loi). En particulier, l’article 22 de la loi prévoit notamment que le Premier ministre (dans les faits : l’ANSSI, qui fait partie des services du Premier ministre) fixera des mesures de sécurité pour les SI dits « d’importance vitale » (les « SIIV ») des opérateurs qui sont eux-mêmes « d’importance vitale » (les « OIV » de leur petit nom). Au-delà de l’aspect purement technique, il est important de souligner que cette démarche consistant pour un pays de légiférer sur la sécurité numérique de ses infrastructures critiques est probablement une première mondiale, qui inspirera par la suite d’autres pays et même l’Union européenne quelques années plus tard…
Projet de loi de programmation militaire 2014-2019

Voilà pour cette première partie de la décennie 2009-2019. La suite au prochain épisode…