Une brève histoire de la cybersécurité française (partie 3 : de 1947 à 1970)

Cet article est la troisième partie d’une série d’écrits sur l’histoire de la sécurité numérique française : le premier couvrant une période allant de l’invention de l’imprimerie à la fin de la Première Guerre mondiale ; le second s’intéressant à l’entre-deux-guerres et à la Seconde Guerre mondiale.


#7. Les années 50 et 60

A la fin de la Seconde Guerre mondiale, la France est dotée d’une organisation du Chiffre qui posera les bases de la future organisation nationale de la cyberdéfense :

  • une séparation organique entre missions défensives et offensives,
  • et, pour la défense, une coordination au niveau interministérielle, avec la Direction technique des Chiffres (DTC) rattachée à l’Etat-Major de la Défense nationale (EMDN).

En 1947, il semblerait cependant que la DTC soit dissoute. Les modalités et raisons de cette opération sont peu claires mais il est possible qu’elles soient liées à des considérations administratives et budgétaires. Sans qu’un lien formel ne puisse à ce stade être établi, il est intéressant de « plonger » cette question dans le contexte politique de l’époque, post-libération, de réflexion sur le statut des fonctionnaires et des agents publics, qui sera formalisé par une loi parue en 1946. La coordination interministérielle du Chiffre semble à ce moment assurée par la section transmissions de l’EMGDN (successeur de l’EMDN).

En 1951, un décret du 4 janvier porte création d’une « commission interministérielle des chiffres » (CIC) et du « Service central technique du Chiffre«  (STC-CH), dans le giron du Secrétariat général du Gouvernement (SGG).

La commission a pour mission de coordonner et de contrôler les activités des services du Chiffre. Elle est présidée par le SGG et réunit les représentants des principaux ministères concernés. Elle s’appuiera sur les travaux de deux sous-commissions : une pour la Cryptologie et une pour les Affaires générales.

Le STC-CH, lui, assure les « travaux communs » et le secrétariat de la CIC. Son chef présidera la sous-commission « Cryptologie ». C’est au départ une structure très légère, de coordination, dotée seulement d’un chef et de deux adjoints. Dans les documents officiels établis au moment de sa création, trois noms sont cités : l’ambassadeur Philippe Grousset, chef du service du chiffre du ministère des affaires étrangères, qui sera ultérieurement (à compter de novembre 52) ambassadeur à Cuba ; le lieutenant puis capitaine de gendarmerie André Muller ; et le commandant Gerbaux, alors chef des transmissions gouvernementales au SGPDN (successeur de l’EMDN). Dans les faits, il semblerait que les nominations effectives des uns et des autres n’aient pas eu lieu immédiatement, et que seul le capitaine André Muller ait concrètement été affecté, comme chargé de mission à la Présidence du Conseil (SGG). André Muller jouera un rôle central pour le Chiffre français jusqu’à la fin de sa carrière, en 1976.

Ouvrage « Que sais-je ? Les écritures secrètes » d’André Muller, publié en 1971

Les années marquent le début de la Guerre froide. Ce climat géopolitique particulier, et plusieurs évènements plus spécifiques, auront des conséquences immédiates sur le Chiffre français. La crise de Suez, en 1956, est à ce titre particulièrement intéressant. Elle servira de révélateur pour les autorités françaises qui, comprenant qu’elles doivent se donner les moyens des ambitions internationales de la France, accentueront les efforts portés sur certains programmes liés aux enjeux de souveraineté. On peut citer évidemment le programme de dissuasion nucléaire mais également, et c’est moins connu, la filière française du Chiffre – et notamment son volet industriel.

Le SNLE « Le Téméraire »

En effet, à l’issue de la guerre, constat est fait que les moyens de chiffrement en place sont désormais inadaptés, notamment vis-à-vis des besoins modernes de communications et de l’essor des télétransmissions : dans les faits, des machines à chiffrer telles que la C-36 d’Hagelin, conçue au début des années 30, sont toujours en service . Les télécommunications relèvent du monopole des PTT, qui ne semblent pas toujours avoir conscience des enjeux liés à la confidentialité des communications. Il faut noter, par ailleurs, que si de gros progrès ont été réalisés durant la Seconde guerre mondiale dans le domaine du décryptement (notamment à Bletchley Park, dont les travaux sont qui plus est restés secrets longtemps après la fin du conflit, et était largement inconnus des autorités françaises), le monde du chiffrement/déchiffrement n’avait pas bénéficié du même essor.

C’est dans ce contexte qu’en 1957, sous l’impulsion notamment d’André Muller, un plan de modernisation des équipements de chiffrement est approuvé par la CIC. Après l’achat de la licence de fabrication de la machine CX52, il est décidé de lancer des travaux de conception d’une nouvelle machine à chiffrer, sous la forme d’un « concours national« . Chacune des trois armées y présente un projet :

  • « Myosotis » pour l’armée de terre, avec la CSF (qui deviendra plus tard Thomson-CSF puis Thales) ;
  • « Ulysse » pour la Marine, avec la SEA ;
  • et « Violette » pour l’armée de l’air, avec la SAGEM (qui donnera plus tard naissance au groupe Safran).

Ceci s’inscrit par ailleurs dans le cadre plus large de l’Alliance atlantique. L’intervention franco-britannique de 56 a en effet également mis en évidence l’inadéquation des moyens de chiffrement au niveau otanien. Au début des années 60, l’OTAN décidera ainsi du lancement d’un concours, similaire à celui lancé en France, afin de faire émerger, à l’horizon 1963, une nouvelle machine à chiffrer pour remplacer les matériels en place depuis plusieurs années. Quatre nations y participeront : les Etats-Unis (avec le KW-7), le Royaume-Uni (avec l’ALVIS), l’Allemagne (avec l’ELCROTEL) et… la France.

C’est le projet Myosotis qui est retenu au niveau français, et qui est soumis au concours de l’OTAN. La machine Myosotis est la première machine à chiffrer entièrement électronique, à base de transistors (inventés à la fin des années 40) au germanium. Elle est le résultat d’une coopération entre la CSF (industriel), la Délégation ministérielle pour l’armement (qui deviendra la DGA), le STC-CH et la sous-commission Cryptologie de la CIC.

La machine Myosotis

Si elle ne remporte pas le concours de l’OTAN (c’est l’ALVIS britannique qui est choisi par l’organisation en 63), la machine Myosotis recevra tout de même un agrément du comité militaire pour traiter de l’information classifiée de l’OTAN « à tous les niveaux ». Considérée par certains comme la « meilleure machine cryptographique de son époque », elle permet à la France de se placer dans le tout premier cercle des « puissances cryptographiques » au niveau mondial.

Agrément de Myosotis à protéger de l’information classifiée OTAN

Cet épisode aura pour vertus de doter la France :

  • d’une industrie nationale du Chiffre de premier rang, toujours existante aujourd’hui,
  • et d’une doctrine, notamment pour la conception et l’évaluation de produits cryptographiques.

En parallèle de la séquence Myosotis, les besoins grandissants en experts compétents en cryptographie conduisent les autorités à créer, en 1957, le Centre d’études cryptographiques supérieures (CECS), chargé de « former les spécialistes en cryptographie dont la France a besoin ». En 1962, le CECS est rattaché au STC-CH.

Dernier point important à signaler sur cette période : le lancement en 1966, par le président de Gaulle, du plan Calcul. La prise de contrôle, en 1964, de l’entreprise française Bull par l’américain General Electric conduit la première dans une situation où elle se trouve incapable d’investir dans les besoins de ses gros clients comme la Marine nationale ou EDF. Le gouvernement lance alors le plan Calcul, avec l’objectif de développer une industrie informatique nationale, dans la perspective de bâtir une industrie européenne. Cela entrainera notamment la création de l’IRIA (devenu depuis l’INRIA) et de la Compagnie internationale pour l’informatique (CII), qui in fine fusionnera avec Honeywell-Bull.


De cette séquence, on retiendra un certain nombre de points relativement structurants :

  • la plongée franche dans l’ère de l’électronique, à la suite des périodes du « papier/crayon », de la mécanisation et de l’électro-mécanisation ;
  • l’émergence du besoin d’évaluer les questions relatives aux rayonnements compromettants (le « TEMPEST »), au-delà des problématiques purement cryptographiques ;
  • l’arrivée de problématiques de politique industrielle dans le domaine du Chiffre : entre le début des années 30 et le début des années 50, quelques industriels (comme Hagelin) produisaient des machines à chiffrer et les vendaient aux armées. On voit ici apparaître une démarche d’origine politique : pour se donner les moyens de ses ambitions internationales et assurer correctement sa souveraineté, la France décide de faire produire des équipements de chiffrement (que l’on pourra souvent de « souverains ») par un industriel. Cela suppose notamment de mettre en place une coopération efficace entre pouvoirs publics et industriels, de réfléchir à une logique de financement, d’intégrer des logiques de marché et d’envisager des problématiques d’export ;
  • le rôle intéressant de l’OTAN, dont la nature militaire l’amènera à être la première organisation internationale à se saisir franchement des problématiques de Chiffre puis de sécurité informatique. Dans la séquence, l’OTAN aura joué un rôle de stimulateur, de créateur d’émulation, et permettra également de fournir un marché export à une filière industrielle du Chiffre pointue… mais coûteuse ;
  • l’émergence de problématiques d’exportation. Le coût de conception et de production des nouvelles machines à chiffrer électroniques conduit les industriels à rechercher des marchés au-delà des seuls marchés domestiques. Or, il est indéniable que ces équipements sont basés sur des technologies sensibles, dont la maîtrise et l’implémentation mettent en œuvre des savoir-faire rares. C’est à cette époque que les premières questions relatives à l’exportation des produits cryptographiques semblent se poser. Elles amèneront notamment les autorités françaises à considérer les équipements cryptographiques comme des « matériels de guerre », avec toutes les mesures de contrôle d’exportation subséquentes.

Le prochain épisode très bientôt !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (2/3)

Ceci est la suite d’un premier article couvrant la période 2009-2013. Nous parcourons ici les années 2014 à 2016 de cette décennie de cybersécurité en France… et un peu au-delà. 🙂


En 2014, plusieurs points notables :

  • au niveau européen, le Parlement et le Conseil adoptent en juillet le règlement 910/2014, dit « eIDAS ». Applicable à partir de 2016, celui-ci a pour vocation de contribuer à l’émergence d’un « marché unique numérique », en améliorant la confiance dans les transactions électroniques. Il établit pour cela un cadre d’interopérabilité et de reconnaissance mutuelle en matière d’identification électronique ;
  • au niveau otanien, le sommet de Newport aborde les questions de cybersécurité en indiquant notamment qu’il est nécessaire que les alliés renforcent leurs capacités nationales en matière de cyberdéfense. Avancée doctrinale notable par ailleurs : le lien entre cyberattaque et invocation de l’article 5 du traité de Washington (qui prévoit l’assistance des membres de l’OTAN en cas d’attaque majeure contre l’un d’entre eux) est explicitement établi. Si en théorie le lien est désormais explicitement établi, l’opérationnalisation de cette disposition est à l’époque (et c’est probablement encore le cas aujourd’hui) loin d’être acquise…

En 2015 :

  • en avril, la chaîne de télévision francophone TV5 Monde est frappée par une cyberattaque qui entraîne notamment l’arrêt de la diffusion de ses programmes. Les comptes Twitter et Facebook de la chaîne sont également compromis, et y sont publiés des messages de soutien à l’Etat islamique. Cette attaque est la première cyberattaque visant des intérêts français et comportant des effets de sabotage majeurs. La mobilisation des équipes de la chaîne, ainsi que de l’ANSSI, permettra la reprise de l’activité dès le lendemain. Accessible auprès de 290 millions de foyers dans le monde, la chaîne constitue un symbole majeur de la francophonie. L’attaque, revendiquée par un groupe se faisant appeler « CyberCaliphate », mais dont l’identité exacte reste floue, coutera plusieurs millions d’euros à TV5 Monde ;
  • à l’été, avancée majeure à l’ONU : le GGE parvient à un socle d’engagements volontaires de bonne conduite pour les Etats dans le cyberespace, notamment : le fait que les Etats doivent protéger leurs infrastructures critiques (« la meilleure défense, c’est la défense ») ; qu’ils doivent coopérer quand une attaque émane de leur territoire (application du principe de due diligence au cyberespace) ; qu’ils doivent faire preuve de transparence sur leur organisation et leur stratégie nationale en matière de sécurité ; ou encore qu’il est interdit d’attaquer les infrastructures critiques en temps (cf. Stuxnet) ;
  • en octobre, le Premier ministre présente la stratégie nationale pour la sécurité du numérique. La signature du Premier ministre consacre le caractère interministériel de ce document, dont l’élaboration aura duré près d’une année. On notera un choix sémantique important : on parle désormais de « sécurité du numérique ». Cet intitulé, qui pourrait paraître anodin, démontre en fait que l’Etat ne traite plus seulement la cybersécurité comme un sujet « souverain » mais prend également acte du besoin d’accompagner plus largement la transformation numérique de la société et de l’économie. Le document décline 5 « objectifs stratégiques » : garantir la souveraineté nationale ; apporter une réponse forte contre les actes de cybermalveillance ; informer le grand public ; faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et renforcer la voix de la France à l’international.
Stratégie nationale pour la sécurité du numérique (2015)

L’année 2016 est une année dense en matière de sécurité du numérique :

  • les conclusions du 18e conseil des ministres franco-allemand confirment la dynamique de la coopération bilatérale entre l’Allemagne et la France en matière de cybersécurité, ainsi que l’importance accordée par les deux Etats à l’autonomie stratégique européenne en matière de sécurité numérique ;
  • en avril, le Parlement européen adopte le Règlement général sur la protection des données (dit « RGPD »), afin de renforcer la protection des données à caractère personnel. Si elles ne portent pas à proprement parlé sur la cybersécurité, la mise en conformité avec les dispositions du RGPD présente une adhérence significative avec les questions de sécurité des systèmes d’information (pour aller plus loin : [CNIL] « RGPD : se préparer en 6 étapes« ) ;
  • à l’été, le premier contrat de partenariat public-privé (dit « cPPP ») en matière de cybersécurité est signé entre l’association European Cybersecurity Organisation (ECSO) – créée pour l’occasion – et la Commission européenne. En consacrant 450 millions d’euros du fonds européen H2020 sur les questions industrielles et de R&D, cette démarche doit concourir à la construction de l’autonomie stratégique européenne en matière de cybersécurité ;
  • début juillet, le sommet de l’OTAN aboutit sur plusieurs conclusions significatives, et notamment la reconnaissance du cyberespace comme domaine d’opérations dans lequel l’Alliance doit se défendre. Les Alliés ont par ailleurs signé le « Cyber Defence Pledge« , dans lequel ils s’engagent à renforcer leurs capacités nationales de cyberdéfense ;
  • fin juillet, c’est à l’Union européenne que l’on note une avancée très significative, avec l’adoption, après plusieurs années de négociation, de la directive sur la sécurité des réseaux et de l’information, dite « directive NIS« . Celle-ci prévoit le renforcement des capacités nationales des Etats membres en matière de cybersécurité, l’établissement d’un cadre de coopération volontaire entre les Etats membres, le renforcement de la cybersécurité des « opérateurs de services essentiels » (OSE) au fonctionnement de l’économie et de la société, et l’instauration de règles communes pour les fournisseurs de services numériques (cloud, moteurs de recherche et places de marché). Une philosophie très alignée avec la LPM française adoptée quelques années auparavant !
  • en novembre, les élections présidentielles étatsuniennes sont marquées par une vague de cyberattaques à l’encontre du Comité national démocrate (DNC), ayant entrainé la publication de documents confidentiels. Le monde entier prend ainsi conscience de l’acuité de la menace d’origine cyber portant sur les processus démocratiques.

Voilà pour cette période 2014-2016, bien chargée ! Suite et fin au prochain épisode !