I/ Un arsenal législatif complet et prioritaire.

L’arsenal législatif souligne toute la gamme de dispositions législatives les mieux à mêmes de pouvoir répondre aux atteintes du réseau informatique français. Ainsi, il existe des réponses pénales à la défense du réseau informatique français (voir ici), tout en sachant que la réponse administrative est l’une des attributions des services du Premier ministre (voir ici). Plus encore, cette action de cyberdéfense s’observe par la montée en puissance de l’Agence nationale de sécurité des systèmes d’information (voir ici).
Par ailleurs, cette cyberdéfense est expressément prise en compte dans le cadre de la loi de programmation militaire [1] du 18 décembre 2013 [2] qui introduit dans le code de la défense l’article L. 2321-2 disposant que « pour répondre à une attaque informatique qui vise les systèmes d’information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l’État peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui sont à l’origine de l’attaque ».

Comme le dispose l’article L. 1111 du code de la défense, « la politique de défense pour objet d’assurer l’intégrité du territoire et la protection de la population contre les agressions armées ». En cela, la cyberdéfense au sein du ministère des Armées est une priorité du Livre blanc sur la défense et la sécurité nationale de 2013 en tant que « le développement de capacités de cyberdéfense militaire fera l’objet d’un effort marqué, en relation étroite avec le domaine du renseignement » [3], ce que confirme aussi l’ancien directeur du renseignement de la DGSE Alain Juillet : il estime que « la guerre aujourd’hui, c’est devant un ordinateur » [4]. C’est la raison pour laquelle le ministre des Armées, Jean-Yves Le Drian, avait annoncé, le 7 février 2014, le pacte « Défense cyber 2016 » dont « le premier axe vise à renforcer le niveau de sécurité des systèmes d’information [5], ainsi que les moyens de défense et d’intervention du ministère et de ses partenaires ».

II/ Un arsenal législatif complété par les services de renseignement du ministère des Armées.

Afin de répondre à cette mission prioritaire de cyberdéfense, le ministère de la Défense dispose de nombreux services à commencer par les services de renseignement que sont la Direction générale de la sécurité extérieure, et la Direction du renseignement et de la sécurité de la défense. Cette action est assurée et complétée par d’autres services du ministère des Armées.

A/ Les services de renseignement du ministère des Armées.

Les services de renseignement du ministère de la Défense ayant pour mission la cyberdéfense sont la Direction générale de la sécurité extérieure et la Direction du renseignement et la sécurité de la défense.

La Direction générale de la sécurité extérieure.

Comme le prévoit l’article D. 3126-2 du code de la défense, « la Direction générale de la sécurité extérieure a pour mission, au profit du Gouvernement et en collaboration étroite avec les autres organismes concernés, de rechercher et d’exploiter les renseignements intéressant la sécurité de la France, ainsi que de détecter et d’entraver, hors du territoire national, les activités d’espionnage dirigées contre les intérêts français afin d’en prévenir les conséquences ».
A ce titre, le travail de cyberdéfense est mené par la Direction technique « chargée de rechercher et d’exploiter les renseignements d’origine technique ainsi que de proposer et de mettre en œuvre les orientations de la Direction générale de la sécurité extérieure dans les domaines techniques » [6]. Pour cette Direction, le travail de cyberdéfense et de renseignement en dehors du territoire national a été par la loi du 30 novembre 2015 relative aux mesures de surveillance des communications électroniques internationales [7] en ce qu’il lui donne aujourd’hui un cadre légal. Le travail de cette Direction en matière de cyberdéfense s’observe dans une posture offensive : en effet, « si les opérations défensives sont conduites par l’ANSSI, les missions offensives relèvent en principe des services de la Direction générale de la sécurité extérieure » [8].

La Direction du renseignement et de la sécurité de la défense

L’article D3126-6 du code de la défense vient fixer les attributions de la Direction du renseignement et de la sécurité de la défense en matière de cyberdéfense en ce qu’elle doit mettre « en œuvre des mesures de contre-ingérence pour s’opposer à toute menace pouvant prendre la forme d’activités de terrorisme, d’espionnage, de subversion, de sabotage ou de crime organisé ». Ce décret est complété par l’arrêté du 22 octobre 2013 portant organisation de la Direction du renseignement et de la sécurité et de la défense [9]. A cet effet, la Sous-direction des centres nationaux d’expertise est en charge de la cyberdéfense, avec une section cybersécurité au sein du centre du conseil, de la prévention et des inspections, mais encore le centre des systèmes d’information et de communication.

Plus précisément, cette Sous-direction a pour objectifs :
 « 4° De réaliser des missions d’inspection, d’audit et de contrôle concourant à la sécurité des installations, des informations et des systèmes d’information du ministère de la défense et de l’industrie de défense ;
 5° D’assurer la direction, l’exploitation, la sécurité et le maintien en condition opérationnelle des systèmes d’information et de communication de la direction de la protection et de la sécurité de la défense » [10].

En février 2004, le ministère des Armées lança un appel d’offres pour sécuriser les réseaux informatiques dont la solution a été proposée par la société Thalès, associée à l’entreprise Baltimore, le spécialiste des logiciels de chiffrement pour sécuriser les communications électroniques. Mais, sans que la Direction du renseignement et de la sécurité et de la défense n’alerte les autorités françaises, l’appel d’offres fut maintenu alors même l’entreprise Baltimore est rachetée par One Equity Partners (OEP), un fonds d’investissement très largement suspecté de « mener des missions pour le compte du Gouvernement américain » [11].

Outre les missions de protection instituées par l’arrêté du 22 octobre 2013, le travail de cette Direction consiste enfin dans la sensibilisation « des personnels militaires de la Défense pour leur faire connaître les vulnérabilités du cyberespace et leur montrer que l’application des consignes d’emploi des systèmes les protège » [12].

Ce qu’il faut en retenir, c’est un nombre important de services liés à la cyberdéfense, avec un rôle prééminent de l’Agence nationale de la sécurité des systèmes d’information. Mais il ne faut cependant pas occulter le rôle important des services de renseignement, qui travaillent jour après jour à la lutte contre les ingérences informatiques.