Une brève histoire de la cybersécurité française (partie 2 : de 1918 à 1947)

Cet article est la suite d’un premier écrit sur l’histoire de la sécurité numérique française, couvrant une période allant de l’invention de l’imprimerie à la fin de la Première Guerre mondiale.


#5. L’entre-deux-guerres

La fin de la Première Guerre mondiale est l’occasion de tirer un certain nombre de leçons.

En mars 1919, une étude du 2e bureau du GQG portant sur « l’organisation du 2e bureau » s’interrogera notamment sur l’organisation du Chiffre en France, en lui reconnaissant deux grandes fonctions : le chiffrement/déchiffrement des messages d’une part, en lien avec les services de courrier ; et le décryptement et l’exploitation d’autre part. Cette étude, qui ne semble pas avoir donné lieu à des restructurations significatives, mettra en avant l’importance du décryptement pour le renseignement, l’ampleur des besoins en ressources (et notamment en ressources humaines bien formées), la question de la séparation entre le chiffrement/déchiffrement et le décryptement, ainsi que la distinction entre direction et exécution du Chiffre.

Plus largement, au niveau politico-stratégique, le Conseil supérieur de la défense nationale (CSDN) est réactivé en mars 1920 afin de tirer les enseignements du conflit qui vient de s’écouler. Prenant acte d’un manque d’anticipation et de préparation du dispositif français, les autorités décident, en novembre 1921 de créer un secrétariat général (pour la première fois permanent) du Conseil supérieur de la défense nationale (SG-CSDN).

Marcel Givierge était parti de la section chiffre du GQG en 1915 pour prendre un commandement. Il est de retour en 1921 pour prendre la suite du colonel Cartier à la tête de la section chiffre du ministère de la Guerre – qui quittera le cabinet du ministre pour rejoindre l’Etat-major des armées – et y restera jusqu’en 1927.

Dans les années 20, le CSDN perdra progressivement de son influence, à mesure de ses élargissements successifs. Le SG-CSDN devient, en février 1929, le Secrétariat général de la défense nationale (SGDN) et est rattaché au sous-secrétariat d’État à la présidence du Conseil. Le chef de bataillon Charles de Gaulle y sera affecté entre 1931 et 1936. Cette expérience, qui l’amènera notamment à assurer le secrétariat du CSDN, lui permettra sans aucun doute de faire significativement mûrir sa vision des questions politico-militaires, prenant conscience de la place occupée par le politique dans le domaine de la défense nationale.

Notation du commandant Charles de Gaulle au SGDN

Les années 1930 sont le théâtre d’une révolution importante : l’automatisation du Chiffre par des machines mécaniques et électro-mécaniques. La fameuse machine Enigma apparaît en Allemagne au milieu des années 20, avec plusieurs versions commerciales et d’autres adoptées par les différents corps de l’armée allemande.

Machine à chiffrer Enigma à 3 rotors

La machine Enigma n’est toutefois pas seule sur le marché des machines à chiffrer : l’industriel suédois Boris Hagelin fera ainsi fortune en vendant ses machines B-211, C-35, C-36 ou encore C-37 à différentes armées, dont l’armée française.

Machine à chiffrer C-36

La Pologne, indépendante depuis 1918, se sent menacée par ses voisins allemands et soviétiques. Prenant conscience de l’importance du chiffre dans les conflits, l’état-major de l’armée polonaise crée, en 1929, un cours secret de cryptographie pour les étudiants en mathématiques de l’université de Poznań (on apprendra plus tard qu’il était basé sur le livre de cryptographie publié par Marcel Givierge en 1925 !). Trois étudiants se font remarquer et intègrent le Biuro Szyfrów, le bureau du chiffre du renseignement militaire dirigé par Gwido Langer, créé en 1931 par fusion du bureau de renseignement transmissions et du bureau de cryptographie de l’état-major. Marian Rejewski, Jerzy Różycki et Henryk Zygalski s’affaireront ainsi entre 1931 et 1939 à essayer de « casser » Enigma.

Henryk Zygalski, Jerzy Różycki et Marian Rejewski

En France, fin 1930, le capitaine Gustave Bertrand devient chef de la section D (déchiffrement et interception) du 2e bureau, le service de renseignement de l’armée. Fin 1931, un employé au bureau du chiffre du ministère de la Reichswehr (l’armée allemande), Hans-Thilo Schmidt, entre en contact avec le service de renseignement français. Il lui fournira de précieuses informations jusqu’à son arrestation, en 1943. Fin 1932, Bertrand fournira aux Polonais des copies de documents allemands obtenus via Schmidt (aussi appelé « HE », « Asché » ou « Source D »), notamment des manuels de la machine Enigma et des pages de clés.

En février 1935, une nouvelle « commission interministérielle du chiffre » est créée. Aucune trace de son activité n’a été retrouvée.

Jusqu’à 1938, les Polonais du Biuro Szyfrów mettront au point plusieurs techniques visant à cryptanalyser les messages chiffrés par Enigma. Zygalski concevra les « feuilles de Zygalski« , des jeux de feuilles perforées pour chacune des six séquences initiales possibles d’insertion des trois rotors d’Enigma. En fonction des données d’entrée recueillies, les feuilles sont superposées et déplacées selon une séquence précise, limitant progressivement le nombre de perforations visibles. N’avoir plus qu’un trou visible procure ainsi assez de paramètres pour calculer la clé utilisée.

Feuille de Zygalski

Rejewski, quant à lui, ouvre la voie fin 1938 à une nouvelle rupture importante : l’automatisation mécanique de la cryptanalyse. Pour cela, il termine de mettre au point une « bombe cryptologique« . L’appareil électromécanique est conçu pour casser Enigma, en appliquant un test sur toutes les combinaisons de rotors possibles, successivement, faisant apparaître un nombre limité de possibilités.

Une bombe électromécanique, reconstruite à Bletchley Park

En 1939, dans un contexte de tension croissante et afin de les sauvegarder de l’invasion allemande imminente, les Polonais transmettent l’ensemble de leurs travaux aux Français et aux Britanniques. En particulier, en juillet 1939, lors d’une conférence tripartite entre Français, Polonais et Britanniques, les Polonais apportent une copie de la machine Enigma pour chacun des 2 autres partenaires. Ils n’avaient jusque-là pas informé leurs deux homologues des avancées significatives dans leurs travaux. Ces derniers, encore méconnus du grand public à ce jour, joueront un rôle capital dans les années suivantes.

#6. La seconde guerre mondiale

Septembre 1939 : l’invasion de la Pologne par l’Allemagne provoque l’entrée en guerre du Royaume-Uni et de la France, amorçant ainsi le second conflit mondial. Entre septembre 39 et mai 40 se déroule la « drôle de guerre« . Toutefois, si le conflit se tient alors sans combats majeurs sur le champ de bataille, la lutte du chiffre, elle, bat son plein.

Les questions de chiffre sont alors essentiellement organisées autour de 3 pôles : la section chiffre de l’EMA, le GQG et le PC Bruno. A la mobilisation, un certain commandant Jean Joubert des Ouches prend la direction de la section chiffre du GQG. Nous le retrouverons un peu plus tard…

Le commandant Bertrand prend, en octobre 1939, le commandement du « PC Bruno« , basé au château de Vignolles. Cellule dédiée au décryptement et rattaché au Service de renseignement (SR) militaire , le PC Bruno réunit des cryptologues français mais également les Polonais du Biuro Szyfrów – fermé au moment de l’invasion allemande – et des Espagnols travaillant sur les codes italiens et franquistes. Il coopérera avec le Government Code and Cypher School (GC&CS) britannique, fraîchement installé à Bletchley Park. En janvier 40, les Polonais du PC Bruno réussissent la première cryptanalyse de messages Enigma en temps de guerre, à l’aide des feuilles de Zygalski.

Gustave Bertrand au PC Bruno, en 1939-40

Le 10 mai 1940, l’offensive allemande sur les Pays-Bas, la Belgique, le Luxembourg et la France signe la fin de la drôle de guerre. Paris est occupée le 14 juin, le gouvernement de Pétain signe l’armistice avec l’Allemagne le 22 juin. La France est scindée en deux : une zone sous occupation allemande et une zone libre, au sud. Elle se voit interdire d’organiser des services spéciaux. Le SGDN sera dissout fin juillet. Le gouvernement de Pétain s’établit à Vichy. Le général de Gaulle, pour sa part, a rejoint Londres, et lance son célèbre appel le 18 juin.

Le 18 juin 1940, le général de Gaulle lance son célèbre « appel ».

Durant la séquence de mai-juin 40, la « cote » du chiffre descend : l’afflux des messages provoque erreurs, retards, et fatigue ; le chiffre n’est pas présent aux PC avancés/tactiques ; les messages décryptés sont souvent obsolètes.

Le PC Bruno est fermé en juin, puis transféré au PC Cadix, en zone libre. Formellement, Bertrand reste un officier loyal au régime de Vichy, mais une partie de ses activités n’est pas connue du gouvernement pétainiste.

Les membres du PC Cadix

En parallèle, Louis Rivet, chef du SR depuis 1936, prononce fin juin 40 le serment de Bon-Encontre, qui jette les bases d’une organisation clandestine des services spéciaux de l’armée d’armistice. Placé sous l’autorité de Rivet, le Bureau des Menées antinationales (BMA), admis par la convention d’armistice et censé assurer la protection de l’armée, permettra de couvrir les actions clandestines d’autres structures : le SR Guerre (futur « réseau Kléber« ) du lieutenant-colonel André Perruche ; le service de contre-espionnage offensif du capitaine Paul Paillole, sous la couverture de l’entreprise des « travaux ruraux » (TR) ; le SR Air du colonel Georges Ronin.

A Londres, de Gaulle crée début juillet 40 un service de renseignement, le « deuxième bureau », au sein de l’état-major de la France libre, dont il confie la direction à André « Passy » Dewavrin. Le deuxième bureau deviendra le « SR » en avril 41 puis le « bureau central de renseignement et d’action militaire » (BCRAM) en janvier 42. En septembre 42, le BCRAM devient simplement le BCRA.

André « Passy » Dewavrin

A partir de 1941, les Britanniques donnent un nom officiel aux travaux secrets menés à Bletchley Park : c’est le programme « Ultra« . Depuis le début de la guerre, le GC&CS s’y est pleinement saisi de la problématique de la guerre du chiffre, affectant des moyens considérables à cette tâche. A Bletchley Park, à l’image de la démarche polonaise du début des années 30, les Britanniques recrutent de brillants mathématiciens, dont le célèbre Alan Turing.

Alan Turing en 1938

S’attelant à poursuivre et à améliorer les travaux initiaux des Polonais, les Britanniques reproduiront notamment les feuilles de Zygalski, mettront en service leur propre « bombe » et travailleront à la conception du premier calculateur électronique basé sur le système binaire – le Colossus. En coopération avec le PC Bruno, les Britanniques réussiront à décrypter de nombreux messages allemands. On estime le ratio de répartition des découvertes de clés journalières à 80% au GC&CS et 20% au PC Bruno, ce qui illustre l’importance donnée au gouvernement britannique de l’époque à la guerre du chiffre, dont les détails resteront secrets encore de nombreuses années après la fin du conflit.

Bletchley Park, hutte 6

En octobre 42, la défaite allemande à El-Alamei dans le désert de Libye marque un tournant de la guerre. Le 8 novembre 1942, les Alliés débarquent en Afrique du Nord (opération « Torch ») et prennent Alger. L’amiral Darlan prend la tête du Haut-commissariat de France en Afrique. Louis Rivet est nommé à la tête de la nouvellement créée Direction des services de renseignement et de la sécurité militaire (DSR/SM). En France, le PC Cadix est évacué le 9 novembre et les Allemands occupent la zone libre le 11 novembre.

Opération Torch

L’occupation partielle puis totale de la France entre 1940 et 1942 a soulevé de nombreux problèmes de sécurité et des difficultés de coordination entre les différents services. Dès la libération de l’Algérie, la coopération et la coordination des services revient à l’ordre du jour.

Fin 1942, le général Henri Giraud prend la suite de l’amiral Darlan, assassiné. Il est rejoint par Jean Joubert des Ouches pour élaborer une direction technique des chiffres, séparée des services de renseignement : le Chiffre français se réorganise.

La suite de l’histoire se joue sur fond de rivalité entre Giraud et de Gaulle, qui arrivera à Alger en mai 43. La vision des deux généraux est relativement différente : Giraud est un pur militaire et ne veut pas faire de politique ; de Gaulle, fort de son expérience au SGDN, a une conception de l’État dans laquelle le militaire est subordonné au politique. Fortement incités à s’entendre par leurs alliés lors de la conférence d’Anfa en janvier 43, les deux hommes créeront le Comité français de libération nationale (CFLN) le 3 juin 1943. De Gaulle et Giraud y sont co-présidents et sont entourés de commissaires (équivalents à des ministres).

Les généraux Giraud et de Gaulle, à la conférence d’Anfa en janvier 1943

Le 3 août 1943, un décret du CFLN crée une « direction technique des chiffres » (DTC) et un « service unique du chiffre », rattaché au secrétariat du CFLN, qui assure le chiffrement et déchiffrement des messages pour tous les commissariats. Cette structure – ancêtre de l’ANSSI actuelle – a également pour mission d’évaluer les procédés de chiffrement utilisés par les autorités françaises et de leur fournir des clés de chiffrement.

Cette organisation officialise une séparation entre les aspects défensifs et offensifs de la cryptologie, toujours en vigueur aujourd’hui – les premiers étant confiés à la DTC et les seconds relevant des services de renseignement. Le colonel Joubert des Ouches est nommé directeur technique des chiffres.

Le général Jean Joubert des Ouches, en 1973

Durant les mois suivants, de Gaulle va progressivement prendre la tête, seul, du CFLN, cantonnant Giraud aux seules opérations militaires. Un dernier chantier de taille dans l’organisation de l’appareil français à Alger reste à mener : la fusion des services de renseignement gaullistes et giraudistes. La Direction générale des services spéciaux (DGSS) est créée en novembre 43, de la fusion du BCRA gaulliste et de la DSR/SM de Rivet. C’est Jacques Soustelle, ancien chef du BCRA et commissaire à l’information du Comité national de Londres, qui en prend la tête.

Fin 43, le CFLN est organisé :

  • de Gaulle à sa tête ;
  • un Conseil de défense nationale (CDN) institué, avec un secrétariat ;
  • une direction technique des chiffres opérationnelle, confiée à Joubert des Ouches et chargée uniquement de cryptologie « défensive » ;
  • un service de renseignement unifié, la DGSS, en charge des actions « offensives » (i.e. interception et décryptement).

A Bletchley Park, le premier calculateur électronique fondé sur le système binaire, le Colossus Mark I, est opérationnel.

Un Colossus Mark II

En 1944, le CFLN devient le Gouvernement provisoire de la République française (GPRF). Le service du chiffre s’organise en juin pour comprendre 3 sections (affaires étrangères, colonies et intérieur). La DTC se scinde en deux en octobre, une fraction restant à Alger et l’autre regagnant Paris. A Paris, la DTC est rattachée à l’Etat-major de la défense nationale (EMDN) – alors dirigé par le général Juin – qui est la structure ayant succédé au secrétariat du CDN. Toutes choses égales par ailleurs, cette organisation n’est pas sans rappeler la subordination actuelle de l’ANSSI (descendante de la DTC) au SGDSN (descendant de l’EMDN).

Fin 1945, la DGSS, devenue entretemps DGER, devient le SDECE. Passy en est le directeur… et un certain Gustave Bertrand son adjoint. Bertrand est également à la tête du service technique de recherche (STR) au sein du SDECE.

Décret de création du SDECE

Après la guerre, la DTC fonctionnera quelques années avant d’être supprimée en 1947, semble-t-il pour des raisons administratives et budgétaires. Elle exerçait deux missions : la coordination et le contrôle, au niveau interministériel et technique. Son directeur préside notamment une commission interministérielle des chiffres, qui réunit l’EMGDN (successeur de l’EMDN), les chefs de service du chiffre des ministères des affaires étrangères, de l’intérieur, de la guerre, de la marine, de l’air, des colonies, de la présidence du gouvernement et de la DGER. A sa suppression, la coordination interministérielle est assurée par l’EMGDN.


A la sortie de la Seconde guerre mondiale, nous retenons les quelques idées suivantes :

  • le Chiffre est toujours un important levier de puissance. Le maîtriser garantit l’initiative et procure des avantages décisifs sur l’adversaire, dans une logique de confrontation. Les moyens significatifs alloués à ce sujet par les Britanniques à Bletchley Park démontrent toute l’importance accordé au domaine par les autorités d’outre-Manche ;
  • sur le plan technique, on assiste à des avancées très significatives, motivées par le contexte de guerre : l’apport des mathématiques dans la cryptanalyse, la mécanisation et l’automatisation du décryptement ou encore l’apparition de l’électronique ;
  • si le sujet de la maîtrise du chiffre démontre son caractère décisif, il reste un domaine relativement confidentiel et l’apanage d’un nombre restreint de personnes ;
  • l’histoire de la cryptanalyse d’Enigma nous fournit un exemple consistant et intéressant de coopération internationale en matière de sécurité de l’information, avec toutes les difficultés ayant trait à la confiance mutuelle qu’il implique, encore de nos jours ;
  • l’exemple de la cryptanalyse d’Enigma nous fournit également de précieux enseignements sur les visions différentes françaises et britanniques de la valorisation de ce domaine et de ces travaux : 80% des décryptements des messages Enigma l’ont été par Bletchley Park ; on parle de 10000 personnes affectées au projet « Ultra » au sens large (probablement moins d’une centaine aux PC Bruno et Cadix) ; un imaginaire collectif aujourd’hui largement mis en avant par les Britanniques (cf. « Imitation Game », le musée de Bletchley Park, etc.) ; et un peuple français qui à l’heure actuelle, pour sa grande majorité, ignore le rôle joué par ses aïeuls du domaine du Chiffre dans la second conflit mondial ;
  • s’agissant de l’organisation, la sortie de la Seconde Guerre mondiale dotera la France d’une organisation du Chiffre, séparée en deux piliers distincts (i.e. « défense » pour le chiffrement/déchiffrement, et « attaque » pour l’interception/décryptement/renseignement), qui est toujours en vigueur à l’heure actuelle. On notera que chez de nombreuses grandes puissances, ces sujets sont encore souvent confiées aux mêmes structures – c’est le cas par exemple aux Etats-Unis (NSA) et au Royaume-Uni (GCHQ/NCSC) ;
  • enfin, la création de la DTC auprès du secrétariat du CFLN illustre une autre propriété de l’organisation française toujours en vigueur aujourd’hui : la nécessité de coordonner le sujet au niveau interministériel et de le placer au plus proche des hautes autorités et des enceintes de décisions politico-stratégiques.

La suite au prochain épisode !

Une brève histoire de la cybersécurité française (partie 1 : du XVe siècle à 1918)

« Celui qui ne sait d’où il vient ne peut savoir où il va. »

Otto de Habsbourg-Lorraine

Alors que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) fête ses 10 ans, notre conviction est que toute réflexion sur les enjeux stratégiques actuels et futurs de la sécurité numérique se nourrira utilement d’un regard rétrospectif sur les origines de celle-ci.

Après un mini-dossier consacré aux développements liés à la cybersécurité sur la décennie 2009-2019 en France et au-delà (2010-2013, 2014-2016, 2017-2018), nous revenons ici sur les racines plus lointaines de la sécurité numérique française…


En préambule, notons que cette modeste réflexion nous a convaincus que l’on comprend mieux l’histoire de la cybersécurité française en s’intéressant à plusieurs sujets qui lui sont connexes : histoire de la France, de son contexte géopolitique, de l’évolution de son appareil politico-militaire à travers les âges, de l’histoire du renseignement, de l’imprimerie, des postes, des transmissions, des télécommunications, de l’informatique… et surtout : de la cryptologie ! Nos réflexions montrent en effet que la volonté de préserver le confidentialité de certains messages (ou à l’inverse d’en percer le secret) constitue la base de la sécurité numérique actuelle.

Pour rappel, la cryptologie, discipline passionnante, désigne, étymologiquement la « science du secret ». Elle regroupe la cryptographie, qui cherche à protéger des messages (en confidentialité, mais également en intégrité et par extension en authenticité) et la cryptanalyse, qui au contraire cherche à retrouver un message intelligible à partir d’un message chiffré – sans posséder la clé de déchiffrement. Nos lecteurs et lectrices intéressées par le sujet pourront utilement consulter le webdoc de l’ANSSI sur la cryptographie, ainsi que ce site très utile pour éviter de mélanger les termes « chiffrer », « déchiffrer » et « décrypter » 🙂


#1. De l’invention de l’imprimerie à la fin du XVIIIe siècle

Les origines de l’imprimerie, sans conteste l’une des ruptures les plus importantes de notre ère, sont attribuées à Gutenberg, dans les années 1450. En permettant de commencer à diffuser largement les informations, l’imprimerie a aussi – dans une certaine mesure – fait naître le besoin de les protéger efficacement.

En 1468, Louis XI crée la poste royale par l’édit de Luxies, pour son service et celui de son gouvernement. Les relais de poste et les chevaucheurs du Roi ne servent qu’à acheminer le courrier du Roi, et ne desservent que les théâtres d’opérations militaires.

A la fin du XVIe siècle, Blaise de Vigenère s’intéresse à la cryptographie. Il décrit un chiffrement qui prendra son nom et fera de lui l’un des pères fondateurs de la cryptographie française. Il publie en 1586 un « Traicté des chiffres ou secretes manières d’escrire« .

Blaise de Vigenère (1523-1596)

Sous Louis XIII (1610-1643), le très influent cardinal de Richelieu remarquera Antoine Rossignol. A l’âge de 26 ans, ce dernier s’illustre en décryptant une lettre interceptée sur un messager sortant de la ville de Réalmont, tenue par les huguenots et assiégée par l’armée du roi. Le message ainsi décrypté permettra à l’armée du roi de reprendre la ville dès le lendemain. Travaillant par la suite pendant plus de 50 ans au service de Louis XIII puis de Louis XIV, il concevra avec son fils, Bonaventure, le « Petit Chiffre » et le « Grand Chiffre ». Ce dernier, qui servira notamment à rendre inintelligibles des messages faisant référence au célèbre « Homme au masque de fer », résistera à la cryptanalyse jusqu’au XIXe siècle, lorsque le cryptologue Etienne Bazeries s’y attaquera avec succès.

Antoine Rossignol (1600-1682)

Le règne de Louis XIV (1643-1715) verra la signature des traités de Westphalie, qui institueront un nouvel équilibre politique et religieux au niveau international et jetteront les bases de la vision moderne de la souveraineté des États. La nécessaire protection de cette souveraineté contribuera significativement à développer les pratiques de renseignement des souverains. Parmi les proches du Roi-Soleil, Colbert puis Louvois seront ainsi à l’origine du fameux « Cabinet noir », qui interceptait et recopiait les correspondances personnelles jugées sensibles, mettant par ailleurs en avant les rapports étroits entre services postaux et renseignement.

Table d’encodage du Grand Chiffre

Sous Louis XV (1715-1774), la mise en place du « Secret du Roy » consolidera un réseau clandestin de renseignement structuré, mobilisant une trentaine d’agents, faisant ainsi passer la France dans l’ère du renseignement moderne. Les noms du cardinal Fleury, du prince de Conti, du comte de Broglie et de Jean-Pierre Tercier marqueront l’histoire du service, dont l’objectif initial était le soutien au mouvement polonais pro-français. Dirigé par Charles-François de Broglie entre 1752 et 1774, le Secret du Roy deviendra une organisation permanente et structurée, chiffrant et déchiffrant les messages du Roi, et lui transmettant directement les résultats de ses interceptions.

Louis XV

Louis XVI (1774-1792), manifestement moins adepte des pratiques de renseignement, exigera la dissolution du service à son arrivée au pouvoir. En pratique, le Secret du Roy poursuivra ses activités jusqu’à la mort de de Broglie en 1781.

#2. Le XIXe siècle

Le XIXe siècle – entre 1790 et 1870 – constitue une période de déclin pour le Chiffre français : on évite la poste, on lui préfère la valise diplomatique. En particulier, si Napoléon Ier met en œuvre un système de renseignement complexe, le Chiffre français de l’époque ne laisse pas un souvenir mémorable.

Napoléon Ier

#3. De 1870 à la première guerre mondiale

Après la défaite française face aux Prussiens, le renversement de l’Empire et le début de la IIIe République, les autorités françaises repartent de loin sur les problématiques sécuritaires : il n’existe plus de concept de défense nationale consistant, il n’y a pas d’organisme de coordination et de synthèse politico-militaire. Si le chef de l’État dispose de la force armée, il n’a en pratique pas de place dans le système décisionnel et la responsabilité de la protection de la Nation est portée par le gouvernement, et essentiellement les ministères de la Guerre, de la Marine et des Colonies.

En 1871, l’État-Major général des Armées s’appuie sur 4 bureaux, dont le fameux « 2e bureau », chargé du renseignement.

En 1889, une « commission du chiffre » est créée au ministère de la Guerre, avec pour mission d’élaborer des codes et systèmes de chiffrement. Elle collaborera avec les services du ministère de l’Intérieur et du ministère des Affaires étrangères. En 1894, cette commission deviendra permanente. Entre 1900 et 1914, le capitaine François Cartier en assurera le secrétariat. Parmi les illustres membres de la commission, nous pouvons citer le général Penel, président en 1900, ou le général Berthaut, président entre 1902 et 1912.

C’est à cette époque que l’on assiste au développement des communications télégraphiques et à l’émergence de la cryptologie civile. En 1903, l’installation d’une antenne radio au sommet de la Tour Eiffel offre de belles possibilités d’émission… et donc de réception, et par conséquent d’interception. En parallèle, l’introduction du télégraphe dans les armées attire l’attention sur les questions liées au Chiffre.

La TSF et la Tour Eiffel.

Fin 1906 se tient la première réunion du Conseil supérieur de la défense nationale, ancêtre de l’actuel Conseil de sécurité et de défense nationale. Il est présidé par le chef de l’État (à l’époque Armand Fallières – Georges Clémenceau est alors président du Conseil) et permet de récréer une instance de coordination politico-stratégique sur les questions de défense.

En janvier 1909 est créée une « commission interministérielle du chiffre », chargée de promouvoir et de développer la collaboration des services du chiffre (de la Guerre, de la Marine, de la Sûreté générale à l’Intérieur, des Postes, des Affaires étrangères et des Colonies). Peu de traces concrètes de cette commission sont parvenues jusqu’à nous mais il semblerait qu’elle se soit réunie entre 1912 et 1922.

Début 1912, Alexandre Millerand devient ministre de la Guerre. Auprès de lui est affecté le capitaine Marcel Givierge, un Polytechnicien artilleur et polyglotte sorti quelques années plus tôt de l’Ecole supérieure de Guerre. Sa maîtrise des langues – et notamment du russe – avait amené Givierge, quelques années auparavant à découvrir la cryptologie, par l’intermédiaire de Jacques Haverna. Alors chef du « service photographique » à la Sûreté générale, le service de renseignement intérieur, Haverna avait décrypté des télégrammes chiffrés russes mais personne ne pouvait en comprendre le contenu. C’est le début de l’intérêt de Givierge pour la cryptologie, qui ne cessera plus, l’amenant notamment à publier plusieurs ouvrages qui feront référence sur le sujet. C’est également le début d’une collaboration très fructueuse entre l’Intérieur et la Guerre sur le sujet – portée par la bonne entente entre Haverna et Givierge.

Convaincu de l’intérêt du Chiffre, Givierge persuadera le ministre de créer une section permanente du chiffre au ministère de la Guerre, à compter de septembre 1912. Dans les faits, la section ne comprend que 3 personnes : Cartier, le chef ; Givierge, son adjoint ; et un officier d’administration. En lien avec ses homologues du Quai d’Orsay et de l’Intérieur, elle aura pour missions : le chiffrement et le déchiffrement des messages du ministère ; la conception, la réalisation, la diffusion et la comptabilité des moyens de chiffrement ; et les études de cryptologie et de décryptement.

#4. La première guerre mondiale

1er août 1914 : la mobilisation générale est déclarée en France, à l’aube du premier conflit mondial. Un « Grand Quartier général » (GQG) est créé dans la foulée, avec à sa tête le général Joffre, pour assurer le commandement de l’ensemble du corps de bataille français. Le Conseil supérieur de la défense nationale, qui s’était réuni à 11 reprises entre 1906 et 1914, s’interrompt, alors qu’il aurait pu – et dû – jouer un rôle central dans la gestion française du conflit.

Affiche « ordre de mobilisation générale » datée du 2 août 1914.

La nature même du GQG commandera la nécessité de le doter d’une capacité de Chiffre : c’est le chef d’escadron Marcel Givierge qui sera affecté à ce rôle dès la mobilisation. Il y sera l’année suivante remplacé par son adjoint, le capitaine Soudart, pour partir prendre un commandement.

En parallèle, le chef de bataillon François Cartier est à la tête de la section chiffre du ministère de la Guerre, secondé par l’officier Olivari. La section est composée de 4 bureaux : chiffrement/déchiffrement, cryptographie, TSF et goniométrie.

La section chiffre du GQG et la section chiffre du ministère de la Guerre semblent constituer les deux pôles majeurs du Chiffre français durant la première guerre mondiale. Celui-ci, s’il est techniquement prêt à servir dans la Grande Guerre, rencontre un certain nombre de difficultés.

L’une des grandes problématiques que rencontreront Givierge et Cartier sera celle des ressources, et notamment la difficulté de disposer d’officiers 1/ formés au Chiffre et 2/ effectivement affectés au Chiffre dans les différents groupes d’armées et état-majors.

En tout état de cause, il ne semble pas faux de dire que le Chiffre est alors l’apanage d’un nombre très réduit d’individus, souvent passionnés par le sujet.

Une question se pose par ailleurs de façon récurrente à cette époque : celle du positionnement de la fonction Chiffre, notamment par rapport à la fonction renseignement (dans les faits, le Chiffre semble souvent rattaché aux « 2e bureaux » – ce sera le cas de la section chiffre du GQG, celle du ministère de la Guerre restant visiblement rattaché au cabinet du ministre), aux transmissions et au courrier.

Au début de la guerre, la section chiffre du ministère est très occupée par le chiffrement/déchiffrement des télégrammes et a peu de temps pour étudier les messages allemands interceptés chiffrés. Fin 1914, les cryptologues français s’attaquent néanmoins avec succès à un Chiffre allemand, le code « Ubchi« . Alors qu’ils parviennent à décrypter rapidement le code au fur et à mesure des changements de clés, une indiscrétion amène le journal « Le Matin » à publier des informations sur les capacités françaises de décryptement, ce qui conduira les Allemands à cesser progressivement d’utiliser ce Chiffre. Il sera remplacé par d’autres méthodes, comme l’ABC (entre novembre 1914 et janvier 1915) puis l’ABCD (jusqu’en mars 1915). Il semblerait par ailleurs que la section joue un rôle significatif – mais trop peu documenté en sources ouvertes – dans l’anticipation de la bataille de la Marne.

Le 21 janvier 1915, le capitaine Georges Painvain, polytechnicien, ingénieur du corps des Mines et professeur en géologie et paléontologie, fait parvenir un mémoire à la section du chiffre, expliquant comment casser rapidement le code ABC. Painvain est alors officier d’ordonnance au sein de la 6e armée du général Maunoury basée à Villers-Cotterêts. En pleine guerre des tranchées, l’ennui de Painvain va conduire le brillant officier à se nouer d’amitié avec l’officier chiffre de la 6e armée, le capitaine Paulier, qui éveillera en lui une passion pour le Chiffre. Le mémoire envoyé par Painvain amènera Cartier à rendre visite au général Maunoury, le 27 janvier suivant, pour en savoir plus sur l’auteur du mystérieux document. Sur pression de Millerand lui-même, le général acceptera de laisser partir Painvain au « cabinet noir », où il s’illustra rapidement parmi les meilleurs cryptologues de sa génération.

Georges Painvain

A partir du 5 mars 1918, les Allemands, ayant pris conscience de la capacité française à percer leurs différents codes, mettront en place un nouveau Chiffre : l’ADFGX (dont le nom officiel allemand était « GEDEFU 18 ») significativement plus robuste que les précédents. Ceci intervient dans un contexte difficile pour les Français, quelques semaines avant le début des manœuvres allemandes de « l’Offensive du Printemps » (à partir du 21 mars). Après plusieurs semaines d’efforts, Painvain parvient début avril à reconstituer le système et les clés.

Dernière ligne droite dans la bataille du Chiffre : le 1er juin, les Allemands complexifient le système ADFGX, qui devient ADFGVX. Ceci intervient de nouveau à un moment difficile pour les Français. Au terme de 26 heures de travail, Painvain parviendra, le 2 juin 1918, à trouver la clé du message intercepté la veille. Le message provient du GQG allemand et est destiné aux avant-postes situés dans la région de Remaugies, près de Compiègnes. Ce texte, depuis connu sous le nom de « Radiogramme de la Victoire« , commande aux unités sur place : « Hâtez l’approvisionnement en munitions, le faire même de jour tant qu’on n’est pas vu.« 

Le Radiogramme de la Victoire

L’information, couplée à la radiogoniométrie, permet aux autorités françaises d’anticiper l’offensive allemande prévue sur Compiègnes le 9 juin, et au général Mangin de mener une contre-offensive décisive à Méry. L’échec de la manœuvre allemande lui ferme définitivement la voie pour Paris. Cette séquence restera secrète jusqu’en 1962, date à laquelle le général Desfemmes en fera publiquement état lors d’une conférence à l’École spéciale militaire de Coëtquidan.


A ce stade, à la fin de la Première Guerre mondiale, les constats suivants peuvent être dressés :

  • la protection de la confidentialité de l’information constitue le cœur des préoccupations ;
  • à cet égard, la cryptologie (i.e. cryptographie et cryptanalyse) est un levier quasiment incontournable de puissance – pour les dirigeants et plus largement les États : bien maîtrisée, elle assure le secret de ses communications, procure l’initiative, renseigne sur les desseins ennemis ;
  • les questions de protection/défense de l’information et « d’attaque » (i.e. interception, décryptement, et parfois même l’exploitation du renseignement ainsi obtenu) sont très entremêlées et gérées par des entités qui combinent les deux missions ;
  • progressivement, l’imprimerie/dactylographie va permettre d’avoir de plus en plus de messages à s’échanger, et la télégraphie (notamment sans fil) de se les transmettre de plus en plus vite et loin ;
  • le Chiffre s’est d’abord propagé « vers le bas » : d’abord l’apanage des rois et des décideurs, il a progressivement percolé dans le cœur de l’État – les hautes sphères décisionnelles et les ministères les plus régaliens – avec des entités structurées et permanentes chargées de le diriger et de l’exploiter ;
  • le sujet est toujours « technique » : il mobilise essentiellement des mathématiciens, ingénieurs, scientifiques, techniciens, opérateurs. S’il est utile, voire décisif, pour le politique et les décideurs militaires, il est seulement un moyen en support de leur information et de leurs décisions.

La suite au prochain épisode !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (3/3)

Suite et fin de notre mini-dossier consacré à la décennie 2009-2019 en matière de cybersécurité en France… et un peu au-delà. Après les périodes 2009-2013 et 2014-2016, nous couvrons ici les années 2017 et 2018 et tâcherons, en fin d’article et en guise de conclusion, d’identifier quelques grandes tendances et dynamiques.


L’année 2017 a été relativement chargée, notamment sur le plan opérationnel :

  • à partir du 1er janvier, le Commandement de la cyberdéfense (COMCYBER) rassemble l’ensemble des forces de cyberdéfense des armées françaises sous une même autorité opérationnelle, permanente et interarmée. Placé sous l’autorité du Chef d’État-Major des armées (CEMA), il assure le commandement des opérations militaires dans le cyberespace et notamment la protection et de la défense des systèmes d’information relevant du périmètre du ministère des Armées ;
  • début avril, la France, via le SGDSN et l’ANSSI, organise la première conférence internationale « Construire la paix et la sécurité internationales de la société numérique », à l’UNESCO. Pendant deux jours, les 6 et 7 avril, l’évènement a rassemblé des représentants de gouvernements, d’ONG, de la société civile, du monde la recherche et de l’économie numérique. Une passionnante étude juridique sur l’applicabilité du droit international au cyberespace, menée par Karine Bannelier et Théodore Christakis, a été publiée en amont de la conférence afin de nourrir les débats ;
Étude « Cyberattaques – Prévention-réactions : rôle des États et des acteurs privés », par Karine Bannelier et Théodore Christakis.
  • en mai 2017, la fin de l’élection présidentielle est marquée par les « MacronLeaks« , la publication de documents prétendument volés au parti politique « En Marche ! ». Cette action, rendue publique le vendredi 5 mai au soir, à la fin de la campagne et à l’aube du second tour du scrutin, fait suite à l’attaque du mouvement par un groupe de pirates. La divulgation de documents, non authentifiés et « marketés » comme « compromettants » durant la période de réserve qui interdit aux candidats, candidates à l’élection et à leurs soutiens de s’exprimer montre que cette attaque vise à perturber le processus électoral en cours et ainsi à s’en prendre à un symbole fort de la démocratie et du fonctionnement de l’État français ;
  • toujours en mai 2017, le monde découvre le rançongiciel WannaCry, utilisé dans le cadre d’une cyberattaque massive qui touchera plusieurs centaines de milliers de machines dans plus de 150 pays. Le logiciel malveillant, particulièrement virulent, se réplique et se propage très rapidement. Une fois qu’il prend pied sur une machine, il en chiffre les fichiers, les rendant indisponibles pour l’utilisateur, et demande une rançon en échange de la clé de déchiffrement. Paralysant ainsi le fonctionnement de nombreuses organisations (notamment le système de santé britannique), WannaCry donne une – triste – illustration de l’importance de l’aspect « disponibilité » dans la sécurité numérique, parfois un peu sous-estimé face aux questions plus « traditionnelles » de la confidentialité et de l’espionnage. Exploitant la faille dite « EternalBlue » – révélée quelques mois auparavant par le groupe The Shadow Brokers, qui revendiquait l’avoir dérobée à la NSA – WannaCry mettra également évidence des questions stratégiques comme la gestion des correctifs de sécurité par les utilisateurs ; la responsabilité des acteurs privés de portée systémique (tels que Microsoft, dont les systèmes d’exploitation sont les plus déployés au monde) dans la stabilité du cyberespace ; ou encore la gestion responsable des vulnérabilités par les gouvernements ;
L’interface du logiciel WannaCry, qui propose à l’utilisateur de payer une rançon de $300 en bitcoins pour transmettre la clé de déchiffrement.
  • en juin 2017, seulement quelques semaines après WannaCry, c’est au tour du logiciel NotPetya de défrayer la chronique. Parmi les victimes, on compte notamment l’armateur danois Maersk, qui annoncera une perte subséquente de 300 millions de dollars. Exploitant également la faille EternalBlue, NotPetya présente comme WannaCry les caractéristiques d’un rançongiciel… au moins en apparence. En effet, contrairement à ce que son interface laisse entendre, il n’existe pas de moyen de récupérer la clé de déchiffrement des données prises en otage par NotPetya, ce qui interroge sur les véritables finalités de ses concepteurs : sabotage et destruction, plutôt que rançonnage et extorsion ;
  • le 13 septembre, la Commission européenne présente le « EU Cybersecurity Act« , un ensemble (dit « paquet ») de mesures relatives à la cybersécurité en Europe, comprenant : 1/ une communication conjointe de la Commission et de la Haute représentante pour l’action extérieure (cheffe du Service européen d’action extérieure, le « ministère des affaires étrangères » de l’UE) listant des actions prioritaires en matière de cybersécurité ; 2/ une proposition de règlement européen comprenant un mandat permanent pour l’ENISA (agence européenne pour la sécurité des réseaux et de l’information, créée en 2004 et dotée jusque-là de mandats finis et renouvelables) et un projet de cadre européen de certification de sécurité ; 3/ une recommandation proposant un cadre européen de réponse aux crises cyber ; et 4/ une communication précisant certaines modalités de mise en œuvre de la directive NIS ;
  • en octobre, après une période d’expérimentation dans la région Hauts-de-France, la plateforme cybermalveillance.gouv.fr, pilotée par le GIE ACYMA, est lancée sur tout le territoire national. Incubée au sein de l’ANSSI avec le concours du Ministère de l’Intérieur, cette plate-forme joue notamment le rôle de guichet unique vers lequel peuvent se tourner les victimes d’actes de cybermalveillance (particuliers, TPE/PME, collectivités territoriales, etc.) afin d’être mises en contact avec des prestataires de proximité susceptibles de les assister. Le dispositif a également une mission de sensibilisation et d’information (-> le suivre sur Twitter).
Le dispositif d’assistance aux victimes d’actes de cybermalveillance.

Pour terminer cette rétrospective, plusieurs jalons politico-stratégiques majeurs sont à relever en 2018 :

  • le premier d’entre eux est sans conteste la publication de la Revue stratégique de cyberdéfense, en février. Comme ses deux prédécesseurs, le Président de la République a commandé, en arrivant à l’Élysée, une réflexion stratégique portant sur les questions de sécurité et de défense. Deux petites nouveautés pour le début de quinquennat d’Emmanuel Macron : 1/ le « Livre blanc sur la défense et la sécurité nationale » s’appelle désormais une « Revue stratégique sur la défense et la sécurité nationale » ; 2/ l’exercice se scinde en deux, avec un premier document couvrant le périmètre traditionnel « sécurité et défense » et un second document exclusivement consacré aux enjeux de cyberdéfense, la « Revue stratégique de cyberdéfense ». La réalisation de cette dernière sera confiée en juillet 2017 par le Premier ministre au Secrétaire général de la défense et de la sécurité nationale (SGDSN). Structurée en 3 grandes parties, cette Revue stratégique sera notamment l’occasion de formaliser et de confirmer l’organisation du modèle français de cyberdéfense, séparant organiquement les missions défensives et offensives ;
  • en juillet, la loi de programmation militaire (LPM) 2019-2025 est promulguée. Selon la même logique que celle mise en œuvre en 2013 pour donner un véhicule législatif aux mesures proposées par le Livre blanc (nous décrivions cela dans le premier article de ce mini-dossier), cette LPM de 2018 comporte, dans son article 34, des dispositions relatives au renforcement des capacités de détection de cyberattaques. Elle permet notamment aux opérateurs de communications électroniques de mettre en œuvre des dispositifs de détection d’attaques qui pourraient affecter les systèmes de leurs abonnés, afin de les en informer le cas échéant ;
  • en octobre, l’ANSSI lance la méthode d’analyse de risques EBIOS Risk Manager, héritière de la précédente méthode EBIOS et destinée à devenir la méthode française de référence pour le management des risques numériques. S’appuyant sur cinq ateliers et sur un label mettant de mettre en valeur des outils permettant de la déployer efficacement, elle se fixe pour objectif « de permettre aux dirigeants d’appréhender correctement les risques numériques, au même titre que les autres risques de nature stratégique » ;
EBIOS Risk Manager
  • le 12 novembre, le Président de la République lance « l’Appel de Paris pour la confiance et la sécurité dans le cyberespace » dans le cadre du 13e Forum sur la gouvernance de l’Internet. « Déclaration de haut niveau en faveur de l’élaboration de principes communs de sécurisation du cyberespace », cet Appel de Paris s’inscrit dans la continuité des réflexions internationales portant sur la stabilité de l’espace numérique (notamment les différentes sessions du GGE des Nations Unies, dont nous parlions ici et ici), en réaffirmant notamment que le droit international s’applique au cyberespace ;
  • dans la continuité de l’Appel de Paris et des travaux précédents sur la stabilité du cyberespace, est organisé, les 13 et 14 décembre, l’évènement inaugural du Global Forum de l’OCDE sur la sécurité numérique. Là où le GGE de l’ONU constituait une enceinte de travail exclusivement inter-gouvernementale, l’OCDE permet de mener les réflexions à une nouvelle étape, en faisant se rencontrer les représentants des gouvernements, du secteur privé, du monde académique et de la société civile, afin d’évoquer des sujets comme la « cyberdéfense active », la « sécurité by design« , la divulgation proactive et coordonnée des vulnérabilités ou la responsabilité des acteurs de portée systémique.

En guise de conclusion de ce mini-dossier, on se propose d’identifier quelques tendances structurantes dans l’évolution des questions liées à la cybersécurité sur la décennie qui vient de s’écouler. On groupera ces constats en 5 grandes catégories.

  1. La portée du « sujet cyber » – Si les racines de la cybersécurité sont fondamentalement techniques, il est acquis que le sujet n’est aujourd’hui plus un sujet réservé à des informaticiens, techniciens et ingénieurs. C’est un sujet de politique publique, de régulation, de confrontation, de développement économique, de concurrence, de développement sociétal. Il emporte des enjeux de niveau national, européen voire international. Les médias en parlent, le grand public en a conscience et, dans une certaine mesure, s’en préoccupe. Plus largement, la numérisation croissante de la société et de l’économie fait du numérique une opportunité pour tous – organisations publiques et privées, et individus – mais génère également des menaces qui pèsent sur tous.
  2. L’approche étatique du « sujet cyber » – Si elle est toujours traitée autour d’un cœur régalien « historique » comme un sujet de sécurité et de défense nationale (n’oublions pas qu’à l’origine, il y a la cryptographie, longtemps très ancrée dans la sphère militaire et assez fortement régulée), la sécurité numérique est également appréhendée par les gouvernements, en France et à l’étranger, de façon plus large. Au-delà de la sphère « souveraine », la cybersécurité est aussi comprise comme la garantie d’une transformation numérique menée en confiance de l’économie et de la société. Elle fait notamment l’objet de nombreux efforts de régulation et de réglementation, aux niveaux des pays et des organisations internationales comme l’UE.
  3. L’évolution de la menace d’origine cyber – La menace ancestrale et emblématique de l’espionnage est toujours présente et aiguë. Par ailleurs, l’omniprésence des systèmes numériques et l’avènement des objets connectés et des dispositifs de type « capteurs » et « actionneurs » – qui font le lien entre le monde numérique et le monde physique – font émerger une menace réelle de sabotage, de neutralisation et de destruction. Les effets potentiellement létaux d’une cyberattaque sont à cet égard de moins en moins théoriques. Également, plusieurs exemples récents mettent en exergue la réalité des menaces de déstabilisation et de désinformation, plus orientées sur les contenus que les contenants, et sur la couche sémantique que sur les couches logicielles et matérielles. Si ce dernier aspect, présentant une adhérence certaine avec les questions de contrôle de l’information, est intégré depuis longtemps dans les doctrines chinoises et russes, il constitue un nouveau défi que les doctrines occidentales doivent relever.
  4. L’évolution des objets à protéger – Alors que la sécurité informatique d’il y a quelques années s’intéressait majoritairement à la protection de systèmes d’information compris comme des « boites » avec des périmètres bien décrits, les enjeux de la sécurité numérique contemporaine ne permettent plus d’ignorer que la notion de « frontière » (technique, juridique, réglementaire, etc.) d’un système d’information est un concept de plus en plus flou et de plus en plus compliqué à appréhender.
  5. Le traitement du sujet à l’international – La décennie écoulée a vu les organisations internationales s’engager dans un premier grand cycle de prise en main du « sujet cyber » – avec plus ou moins de succès selon les organisations. L’ONU a ouvert la voie de la réflexion sur l’applicabilité du droit international au cyberespace, l’OTAN s’est attaché à transposer un certain nombre de ses problématiques plus militaires à l’espace numérique, et – last but not least! – l’Union européenne s’est illustrée comme un acteur et un échelon incontournable dans le domaine, avec notamment l’élaboration et la mise en œuvre de plusieurs réglementations de portée majeure. A l’échelle des nations, les 10 dernières années ont permis aux États de mettre en place des coopérations bilatérales et multilatérales importantes, sur les plans opérationnels, techniques et politico-stratégiques.

Après cette décennie riche pour la cybersécurité française et mondiale, l’avènement et le développement de sujets majeurs comme l’intelligence artificielle ou les technologies quantiques promettent une décennie à venir qui devrait être au moins aussi passionnante !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (2/3)

Ceci est la suite d’un premier article couvrant la période 2009-2013. Nous parcourons ici les années 2014 à 2016 de cette décennie de cybersécurité en France… et un peu au-delà. 🙂


En 2014, plusieurs points notables :

  • au niveau européen, le Parlement et le Conseil adoptent en juillet le règlement 910/2014, dit « eIDAS ». Applicable à partir de 2016, celui-ci a pour vocation de contribuer à l’émergence d’un « marché unique numérique », en améliorant la confiance dans les transactions électroniques. Il établit pour cela un cadre d’interopérabilité et de reconnaissance mutuelle en matière d’identification électronique ;
  • au niveau otanien, le sommet de Newport aborde les questions de cybersécurité en indiquant notamment qu’il est nécessaire que les alliés renforcent leurs capacités nationales en matière de cyberdéfense. Avancée doctrinale notable par ailleurs : le lien entre cyberattaque et invocation de l’article 5 du traité de Washington (qui prévoit l’assistance des membres de l’OTAN en cas d’attaque majeure contre l’un d’entre eux) est explicitement établi. Si en théorie le lien est désormais explicitement établi, l’opérationnalisation de cette disposition est à l’époque (et c’est probablement encore le cas aujourd’hui) loin d’être acquise…

En 2015 :

  • en avril, la chaîne de télévision francophone TV5 Monde est frappée par une cyberattaque qui entraîne notamment l’arrêt de la diffusion de ses programmes. Les comptes Twitter et Facebook de la chaîne sont également compromis, et y sont publiés des messages de soutien à l’Etat islamique. Cette attaque est la première cyberattaque visant des intérêts français et comportant des effets de sabotage majeurs. La mobilisation des équipes de la chaîne, ainsi que de l’ANSSI, permettra la reprise de l’activité dès le lendemain. Accessible auprès de 290 millions de foyers dans le monde, la chaîne constitue un symbole majeur de la francophonie. L’attaque, revendiquée par un groupe se faisant appeler « CyberCaliphate », mais dont l’identité exacte reste floue, coutera plusieurs millions d’euros à TV5 Monde ;
  • à l’été, avancée majeure à l’ONU : le GGE parvient à un socle d’engagements volontaires de bonne conduite pour les Etats dans le cyberespace, notamment : le fait que les Etats doivent protéger leurs infrastructures critiques (« la meilleure défense, c’est la défense ») ; qu’ils doivent coopérer quand une attaque émane de leur territoire (application du principe de due diligence au cyberespace) ; qu’ils doivent faire preuve de transparence sur leur organisation et leur stratégie nationale en matière de sécurité ; ou encore qu’il est interdit d’attaquer les infrastructures critiques en temps (cf. Stuxnet) ;
  • en octobre, le Premier ministre présente la stratégie nationale pour la sécurité du numérique. La signature du Premier ministre consacre le caractère interministériel de ce document, dont l’élaboration aura duré près d’une année. On notera un choix sémantique important : on parle désormais de « sécurité du numérique ». Cet intitulé, qui pourrait paraître anodin, démontre en fait que l’Etat ne traite plus seulement la cybersécurité comme un sujet « souverain » mais prend également acte du besoin d’accompagner plus largement la transformation numérique de la société et de l’économie. Le document décline 5 « objectifs stratégiques » : garantir la souveraineté nationale ; apporter une réponse forte contre les actes de cybermalveillance ; informer le grand public ; faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et renforcer la voix de la France à l’international.
Stratégie nationale pour la sécurité du numérique (2015)

L’année 2016 est une année dense en matière de sécurité du numérique :

  • les conclusions du 18e conseil des ministres franco-allemand confirment la dynamique de la coopération bilatérale entre l’Allemagne et la France en matière de cybersécurité, ainsi que l’importance accordée par les deux Etats à l’autonomie stratégique européenne en matière de sécurité numérique ;
  • en avril, le Parlement européen adopte le Règlement général sur la protection des données (dit « RGPD »), afin de renforcer la protection des données à caractère personnel. Si elles ne portent pas à proprement parlé sur la cybersécurité, la mise en conformité avec les dispositions du RGPD présente une adhérence significative avec les questions de sécurité des systèmes d’information (pour aller plus loin : [CNIL] « RGPD : se préparer en 6 étapes« ) ;
  • à l’été, le premier contrat de partenariat public-privé (dit « cPPP ») en matière de cybersécurité est signé entre l’association European Cybersecurity Organisation (ECSO) – créée pour l’occasion – et la Commission européenne. En consacrant 450 millions d’euros du fonds européen H2020 sur les questions industrielles et de R&D, cette démarche doit concourir à la construction de l’autonomie stratégique européenne en matière de cybersécurité ;
  • début juillet, le sommet de l’OTAN aboutit sur plusieurs conclusions significatives, et notamment la reconnaissance du cyberespace comme domaine d’opérations dans lequel l’Alliance doit se défendre. Les Alliés ont par ailleurs signé le « Cyber Defence Pledge« , dans lequel ils s’engagent à renforcer leurs capacités nationales de cyberdéfense ;
  • fin juillet, c’est à l’Union européenne que l’on note une avancée très significative, avec l’adoption, après plusieurs années de négociation, de la directive sur la sécurité des réseaux et de l’information, dite « directive NIS« . Celle-ci prévoit le renforcement des capacités nationales des Etats membres en matière de cybersécurité, l’établissement d’un cadre de coopération volontaire entre les Etats membres, le renforcement de la cybersécurité des « opérateurs de services essentiels » (OSE) au fonctionnement de l’économie et de la société, et l’instauration de règles communes pour les fournisseurs de services numériques (cloud, moteurs de recherche et places de marché). Une philosophie très alignée avec la LPM française adoptée quelques années auparavant !
  • en novembre, les élections présidentielles étatsuniennes sont marquées par une vague de cyberattaques à l’encontre du Comité national démocrate (DNC), ayant entrainé la publication de documents confidentiels. Le monde entier prend ainsi conscience de l’acuité de la menace d’origine cyber portant sur les processus démocratiques.

Voilà pour cette période 2014-2016, bien chargée ! Suite et fin au prochain épisode !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (1/3)

En 2008, le Livre blanc sur la défense et la sécurité nationale, qui vise à définir les grands axes stratégiques des politiques publiques de sécurité et de défense nationale, est le premier document de ce niveau à prendre acte de l’importance de la sécurité des systèmes d’information (SSI).

La France doit garder un domaine de souveraineté, concentré sur les capacités nécessaires au maintien de l’autonomie stratégique et politique de la nation : la dissuasion nucléaire, le secteur des missiles balistiques, les sous-marins nucléaires d’attaque, la SSI font partie de ce premier cercle.

Livre blanc sur la défense et la sécurité nationale (2008)

Dans la foulée de ce Livre blanc, le 7 juillet 2009, le décret 2009-834 créait l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la désignant au passage comme autorité nationale de sécurité des systèmes d’information. L’année 2019 sera donc l’occasion pour l’Agence de souffler sa 10e bougie !

Le logo de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

10 ans après, quel chemin parcouru par la cybersécurité française ? et dans quel contexte ? Revenons sur quelques dates qui ont marqué cette décennie de sécurité numérique – en France et un peu plus largement…


En 2010, le monde découvre Stuxnet, qui aurait été co-conçu par les Etats-Unis et Israël afin de ralentir le programme d’enrichissement nucléaire iranien. Le cas échéant, ce serait le premier logiciel malveillant connu du grand public et conçu à des fins de sabotage dans le cadre d’une rivalité entre Etats. Si l’origine étatique de l’attaque était avérée, ce serait également un important exemple de cyberattaque contre une infrastructure critique d’un autre pays en « temps de paix », ce qui – au-delà du fait de ne pas être gentil du tout – pourrait nous amener à nous poser la question de la licéité de cette action au regard du droit international… Pour aller plus loin, lire ce bel article du NY Times sur Stuxnet.


En 2011, est publiée la première stratégie nationale en matière de défense et de sécurité des systèmes d’information, par l’ANSSI. Définissant 4 « objectifs stratégiques » (au fait, ça veut dire quoi « stratégique » ? 🙂 ) et 7 axes d’effort, elle évoque déjà la protection de l’information de souveraineté, la protection des infrastructures critiques ou les questions relatives au droit. On pourrait également noter 2 autres points intéressants : le glossaire à la fin, encore souvent cité par de nombreux ouvrages et articles qui cherchent à définir les termes « cyberespace » ou « cybersécurité » ; et la place à part entière accordée aux enjeux de communication et de sensibilisation, qui ont, on le voit, connu une croissance spectaculaire ces dernières années.

Défense et sécurité des systèmes d’information – Stratégie de la France (2011)

En 2012 :

  • à l’été, le code malveillant Shamoon terrasse plusieurs entreprises majeures du secteur de l’énergie comme Aramco (à l’époque, 1er exportateur mondial de pétrole brut) et RasGas . L’attaque, qui cherche à détruire le plus grand nombre de machines possible, est soutenue par une campagne de DDoS et de propagande sur les réseaux sociaux. Elle mettra plus de 30000 machines hors service et paralysera le réseau principal des victimes pendant une quinzaine de jours ;
  • fin 2012, l’ANSSI publie un appel à commentaires pour son premier guide d’hygiène informatique (publication début 2013, nouvelle version début 2017). Se voulant la « transposition dans le monde numérique de règles élémentaires de sécurité sanitaire », elles constituent un socle fondamental d’une quarantaine de règles de sécurité qui ne permet pas de se protéger des attaques les plus sophistiquées, mais doit permettre de parer au « tout venant ».

L’année 2013 aura été dense pour la cybersécurité :

  • en avril, un nouveau Livre blanc sur la sécurité et la défense nationale (un autre lien pertinent) est publié. Le Livre blanc de 2008 avait été « commandé » par le nouveau Président de la République de l’époque, Nicolas Sarkozy. Celui-ci est, de même, commandé par le Président nouvellement élu, François Hollande. Côté cybersécurité, il identifie clairement les cyber menaces comme des menaces majeures pour la sécurité nationale, au même titre que la guerre ou le terrorisme. Il prend acte de l’augmentation de la quantité et de la sophistication des cyberattaques, et du risque élevé qu’elles constituent du fait à la fois de leur forte probabilité et de leurs forts impacts potentiels. Le Livre blanc fait état des finalités d’espionnage de nombre de ces cyberattaques, mais aussi – et c’est essentiel – du risque de sabotage qu’elles emportent. Ce dernier constat, notamment, plaide pour un renforcement du niveau de sécurité des SI essentiels au bon fonctionnement des infrastructures critiques de la Nation ;
Livre blanc sur la défense et la sécurité nationale (2013)
  • quelques mois plus tard, l’affaire Snowden défraye la chronique. Edward Snowden, qui travaille pour un sous-traitant de la fameuse National Security Agency (NSA), transmet une grande quantité de documents classifiés qu’il aurait dérobé à l’agence étatsunienne de renseignement, parmi les plus puissantes au monde. Ces révélations, qui contribueront à ouvrir un large débat sur l’équilibre entre le respect de la vie privée et les pratiques des services de renseignement, permettront également d’illustrer concrètement certains modes opératoires d’attaques cyber. Or une meilleure connaissance de ces modes opératoires devrait (au moins en théorie) permettre aux défenseurs de mieux s’en protéger…
  • à l’été, le Groupe des experts gouvernementaux (GGE) sur les « développements dans le domaine de l’information et des télécommunications dans le contexte de la sécurité internationale » de l’ONU parvient à une avancée nettement moins médiatisée mais tout de même fondamentale : il s’accorde sur le fait que le droit international existant, en particulier la Charte des Nations Unies, s’applique dans le cyberespace. C’est une étape majeure dans les travaux sur le sujet de la régulation du cyberespace. Qu’est-ce qui constitue une cyber attaque ? Quel rôle doivent jouer les gouvernements dans la réponse contre les cyber attaques visant leurs citoyens ou les entreprises privées ? A partir de quand cela devient-il un sujet de sécurité nationale ? Y a-t-il des « règles de conduite » dans le cyberespace ? Le cas échéant, sont-elles contraignantes, sur qui/quoi s’appliquent-elles ? Autant de questions soulevées par cette réflexion. Ancrer ce débat dans l’enceinte des Nations Unies, dans une dimension intergouvernementale, et le rattacher à un droit existant – dont il restera à convenir des modalités concrètes d’application – est une première étape significative dans cette longue réflexion ;
  • enfin, pour clore cette année 2013 haute en cyber couleurs, c’est la promulgation, en décembre, de la Loi de programmation militaire 2014-2019 qui retiendra toute notre attention. Une « LPM » (comme on dit chez les initié/e/s) est une loi qui vise à « établir une programmation pluriannuelle [en l’occurrence, depuis 2003, des périodes de 6 ans] des dépenses que l’État français consacre à ses forces armées » (merci à Wikipédia pour cette formulation que je ne saurais mieux tourner 😉 ). Depuis 2008, la logique est de : 1/ faire écrire un Livre blanc par des « sachant/e/s » pour prendre acte du contexte stratégique (oh, encore ce mot, « stratégique« , décidément ! 🙂 ) sur les questions de sécurité et de défense nationale et proposer des orientations ; 2/ faire voter une loi pour acter la programmation des moyens permettant de répondre à ces orientations. Comme une importante partie des orientations des Livres blancs sur la sécurité et la défense nationale porte sur des questions de défense, et donc des enjeux militaires, le véhicule législatif qui permet d’acter la programmation capacitaire subséquente à ces orientations est une loi dite de… « programmation militaire ». Cette loi peut néanmoins contenir des dispositions non strictement militaires. C’est ainsi que, le Livre blanc de 2013 prenant acte de la nécessité de mieux protéger les infrastructures critiques contre les attaques cyber, il a été décidé d’inclure dans la LPM 2014-2019 d’importantes dispositions en ce sens (cf. chapitre IV de ladite loi). En particulier, l’article 22 de la loi prévoit notamment que le Premier ministre (dans les faits : l’ANSSI, qui fait partie des services du Premier ministre) fixera des mesures de sécurité pour les SI dits « d’importance vitale » (les « SIIV ») des opérateurs qui sont eux-mêmes « d’importance vitale » (les « OIV » de leur petit nom). Au-delà de l’aspect purement technique, il est important de souligner que cette démarche consistant pour un pays de légiférer sur la sécurité numérique de ses infrastructures critiques est probablement une première mondiale, qui inspirera par la suite d’autres pays et même l’Union européenne quelques années plus tard…
Projet de loi de programmation militaire 2014-2019

Voilà pour cette première partie de la décennie 2009-2019. La suite au prochain épisode…