C. UN ENJEU DE DÉFENSE ET DE SÉCURITÉ NATIONALE
L'évolution des technologies va renforcer encore la place des réseaux de télécommunications dans notre société. Le renforcement de la surveillance et la résilience de ces réseaux est un enjeu majeur de défense et de sécurité nationale.
1. La résilience des réseaux : un enjeu d'intérêt vital
Ce secteur est déjà reconnu comme d'importance vitale au titre du code de la défense. Les opportunités offertes par les nouvelles technologies et leurs conséquences en matière de vulnérabilité rendent leur résilience et leur protection d'autant plus indispensables.
Au-delà du seul secteur des communications électroniques, l'utilisation des nouvelles technologies peut également concerner d'autres opérateurs dits « verticaux » qui disposent d'ores et déjà de réseaux de radioélectriques privatifs pour exploiter un certain nombre de leurs activités. Ces réseaux utilisent des fréquences attribuées aux opérateurs et des infrastructures propriétaires. Il pourrait concerner à l'avenir d'autres activités.
Certaines activités relèvent du régime légal de sécurité des activités d'importance vitale établi par le code de la défense. Ce régime repose sur un ensemble d'obligations faites aux « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation », selon l'article L. 1332-1 de ce code.
Les infrastructures critiques comprennent les entités publiques et privées qui fournissent des biens et services indispensables à la Nation ou peuvent présenter un danger grave pour la population. Cette définition recouvre généralement l'approvisionnement en énergie, les communications électroniques, les systèmes de transport, les services financiers, la santé publique, la gestion de l'eau et les services publics indispensables. La France a ainsi défini douze secteurs d'activité d'importance vitale et identifié plus de 200 opérateurs d'importance vitale (OIV) dont la liste est un document classifié. Le secteur des communications électroniques, de l'audiovisuel et de l'information étant reconnu comme un secteur d'activités d'importance vitale, on peut estimer que les principaux opérateurs de télécommunication, et notamment ceux exploitant des réseaux radioélectriques mobiles, figurent parmi ces OIV.
a) Le cadre législatif et réglementaire
Le dispositif de sécurité des activités d'importance vitale, inséré dans le code de la défense, constitue un cadre législatif et réglementaire permettant d'associer les OIV au système national de protection contre le terrorisme, le sabotage et les actes de malveillance. Il formalise le dialogue permanent entre l'État et ces opérateurs afin d'assurer leur sécurité.
Ces obligations peuvent porter sur la limitation de l'accès et sur des mesures de protection physique des sites et installations, mais également, depuis les dispositions introduites dans la loi n°2013-1168 du 18 décembre 2013 de programmation militaire sur les règles de sécurité nécessaires à la protection de certains des systèmes d'information des opérateurs d'importance vitale et des opérateurs publics ou privés qui participent à ces systèmes 16 ( * ) .
b) Les modalités d'action de l'État relative à la sécurité des systèmes d'information
Au même titre que la sécurisation des systèmes d'information de l'État, l'amélioration de la protection des organismes d'importance vitale fait partie des champs prioritaires définis par la Stratégie nationale de cyberdéfense de février 2018 17 ( * ) .
Identifiée comme une priorité par les documents stratégiques et les lois de programmation militaires successives depuis 2008, la sécurité des systèmes d'information et de communication contre les risques d'interception ou d'interférence, notamment par des moyens cybernétiques, fait partie intégrante de la stratégie de sécurité nationale et de la politique de défense que le Premier ministre a la charge de définir et de coordonner 18 ( * ) .
Il dispose à cette fin de l'Agence nationale de sécurité des systèmes d'information qui assure la fonction d'autorité nationale de sécurité des systèmes d'information.
Depuis sa création en 2009, l`ANSSI a progressivement renforcé son rôle auprès des OIV. Jusqu'en 2013, à l'exception du secteur des communications électroniques, pour lequel elle était déjà impliquée dans l'agrément des équipements au titre du dispositif de l'article 226-3 du code pénal dont l'objet la protection de la vie privée et du secret des correspondances ( voir infra p.25 ), les missions de l'ANSSI se limitaient à la diffusion d'informations et de conseils ou à la réalisation d'audits de sécurité à la demande des opérateurs.
Face à une menace informatique croissante, le législateur, par la loi n°2013-1168 du 18 décembre 2013 de programmation militaire, a imposé des exigences en matière de sécurité informatique aux OIV 19 ( * ) , la France devenant ainsi un des premiers pays à légiférer dans le domaine de la cybersécurité des infrastructures critiques.
À ce titre, le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'informations des OIV, mais aussi des opérateurs publics ou privés qui participent à ces systèmes pour lesquels « l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population » 20 ( * ) .
Ces règles élaborées et proposées sont établies par arrêtés du Premier ministre après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernée. Elles peuvent être différentes selon le secteur ou le type d'activité de l'opérateur concerné. Chaque OIV tient à jour une liste des systèmes d'information d'importance vitale y compris ceux des opérateurs tiers qui participent à ces systèmes, auxquels s'appliquent les règles de sécurité. Il communique cette liste ainsi que ses mises à jour à l'ANSSI qui peut solliciter des modifications. Cette liste est couverte par le secret de la défense nationale.
Ces règles peuvent prescrire l'installation de systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité des systèmes d'information d'importance vitale, exploités sur le territoire national par des prestataires de services qualifiés, par l'ANSSI ou par d'autres services de l'État 21 ( * ) .
Elles créent une obligation de déclaration au Premier ministre de tout incident majeur qui affecterait le fonctionnement ou la sécurité de ces systèmes et les bases du dialogue qui intervient alors entre l'opérateur et l'ANSSI 22 ( * ) .
Elles permettent au Premier ministre de soumettre les opérateurs à un processus de contrôle et d'audit de leurs systèmes d'information d'importance vitale destiné à vérifier leur niveau de sécurité et le respect des règles de sécurité 23 ( * ) .
Pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d'information, le Premier ministre peut, en outre, décider des mesures que les OIV doivent mettre en oeuvre 24 ( * ) .
Le non-respect de ces règles est passible 25 ( * ) d'amendes.
Ces mesures ont fait l'objet d'une concertation approfondie avec les opérateurs. Elles sont désormais fixées par arrêtés sectoriels du Premier ministre et revêtent un caractère contraignant. L'ANSSI accompagne les OIV sur le plan technique dans la mise en oeuvre de ces arrêtés.
Ainsi, les acteurs du secteur des télécommunications sont-ils d'ores et déjà en lien étroit avec le SGDSN et l'ANSSI, dont ils apprécient le haut niveau de compétence technique.
Cependant, la Stratégie nationale de cyberdéfense de février 2018 26 ( * ) considère que cette étape a apporté des résultats importants mais que des insuffisances demeurent et qu'il convient en conséquence de « faire évoluer le modèle pour l'adapter davantage aux contraintes et à l'évolution de la cyber menace dans cinq directions : l'adaptation des règles de sécurité informatique aux métiers, le renforcement de la cyber sécurité des opérateurs « supercritiques », l'extension du dispositif réglementaire au traitement des incidents, la prise en compte des particularités des entreprises de services numériq ues et le développement de l'offre privée d'assistance technique en cyber sécurité. »
2. Les forces armées utiliseront ces réseaux pour leurs propres activités
Comme l'indique, en y consacrant des développements importants dans son rapport pour avis au nom de la commission de la défense et des forces armées de l'Assemblée nationale, M. Thomas Gassilloud 27 ( * ) , « tant les forces de sécurité intérieure que les armées s'appuient aujourd'hui sur les réseaux civils de télécommunications pour leur activité opérationnelle sur le territoire national. Elles sont autant concernées par les opportunités que par les vulnérabilités de la 5G qu'elles utiliseront pour des usages par nature sensibles ».
a) Forces de sécurité intérieure : un adossement croissant aux réseaux civils.
Les réseaux traditionnellement distincts des réseaux civils (Rubis pour la gendarmerie et l'infrastructure nationale partagée de télécommunications (INPT) pour la police (système Acropol) et les services d'incendie et de secours (Système Antarès) interopérables et couvrant ainsi 95 % à 98 % du territoire en télécommunications à bas débit, mis en place il y a une trentaine d'années restent opérationnels et sont plus résilients que les infrastructures civiles. Mais cette technologie devra faire place à des systèmes à plus haut débit pour répondre aux nouveaux comme le partage de situations tactiques en temps réel 28 ( * ) .
Des réflexions ont donc été conduites jusqu'en 2018 sur la modernisation des communications tactiques, aboutissant à un programme appelé PC-Storm pour lequel, en raison du montant des investissements nécessaires et de la couverture offerte, il a été décidé de s'en remettre à la suite d'un appel d'offres aux services d'un opérateur civil - en l'espèce, Orange -, qui fournira aux forces de sécurité intérieure des services de télécommunications mobiles et leur garantira, en cas de saturation d'une cellule de communications, des moyens propres à assurer la résilience des forces 29 ( * ) .
Les opportunités qu'offre la 5G et les vulnérabilités qu'elle crée sont prises en compte avec le concept de politique de numérisation nomade « brigade sans fil », développé par la gendarmerie dont les premières applications sont déployées dans le cadre du programme appelé Néogend qui permet aux brigades dotées de smartphones tant d'accéder à nombre d'applications depuis le terrain, sans avoir à consulter les réseaux concernés depuis un poste fixe. Mais le nomadisme a des ambitions plus grandes, dans les domaines de la vidéo, de la biométrie, de l'internet des objets, ou encore de l'exploitation de la domotique pour lesquels l'accroissement des débits permis par la 5G est très attendu.
Le Rapporteur pour avis de l'Assemblée nationale souligne en outre les modalités de traitements des vulnérabilités associés à l'utilisation des réseaux civils, grâce à l'appui de l'ANSSI, aux leviers offerts par le droit des marchés publics de défense et de sécurité, permettant le choix d'un opérateur faisant preuve d'une grande maturité dans la prise en compte des besoins des forces.
b) Des perspectives dans le domaine militaire.
Le Rapporteur pour avis de l'Assemblée nationale expose deux systèmes conçus pour s'adosser ? au moins en partie ? à des réseaux civils :
• Auxylium permet aux militaires, grâce à un téléphone de gamme commerciale utilisant les réseaux civils de télécommunication, relié par Bluetooth à un poste radio, d'accéder à leurs propres réseaux de communication, tout en utilisant les réseaux civils de télécommunication. L'articulation trouvée entre réseaux civils et militaires permet d'utiliser le système pour transmettre des ordres certifiés, y compris des ordres de tir, et géolocaliser les unités.
• DIPAD repose en partie sur les réseaux GSM, peut être connecté au réseau Acropol (des forces de sécurité intérieure) en basculant d'un réseau d'arrondissement parisien à un autre, tout en étant compatible avec les réseaux militaires et doté d'une fonction de géoréférencement. Il vise à assurer la liaison entre les centres et les hommes sur le terrain.
Ces deux dispositifs ont été utilisés dans le cadre de l'opération Sentinelle.
* 16 Article l 1332-6-1 du code de la défense et suivants
* 17 http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/
* 18 Article L 2331-1 et suivants du code de la défense.
* 19 Cette évolution figurait parmi les recommandations du rapport d'information de M. Jean-Marie Bockel au nom de la commission des affaires étrangères de la défense et des forces armées « La cyberdéfense : un enjeu mondial, une priorité nationale » Sénat n° 681 (2011-2012) .
* 20 Article L. 1332-6-1 du code de la défense
* 21 Alinéa 2 de l'article L 1332-6-1 et articles R 1332-41-3, R 1332-41-9 du code de la défense
* 22 Article L. 1332-6-2 et R. 1332-41-10 et R.1332-41-11 du code de la défense
* 23 Article L .1332-6-3 et R. 1332-41-11 à R. 1332-41-16 du code de la défense
* 24 Article L .1332-6-4 du code de la défense
* 25 Article L .1332-7 et R. 1332-41-23 et R.1332-42 du code de la défense
* 26 http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/ p.60
* 27 Assemblée nationale - XVème législature - Avis n°1830 http://www.assemblee-nationale.fr/15/rapports/r1830.asp
* 28 Les attentats de 2015 ont montré les limites des outils actuels pour le partage de situations tactiques au sein des forces de sécurité intérieure ; à défaut, les opérateurs ont été conduits à utiliser des réseaux civils de téléphonie peu sécurisés voire des applications de messagerie instantanées.
* 29 L'architecture des communications tactiques des forces de sécurité intérieure reposera donc sur les services d'un fournisseur civil, que compléteront des systèmes projetables de bulles tactiques qui peuvent être déployées en cas de défaillance de l'opérateur et le maintien des bandes 28 et 68 dans la fréquence des 700 MHz, allouées au ministère de l'Intérieur, capacités qui permettront si besoin un moyen de fonctionnement « en mode dégradé ».