Intervention de Sylvain Berrios

Vous avez abordé les capacités offensives et défensives, mais il est également un autre volet : la capacité préventive. L'actualité récente montre que le gouvernement américain s'est octroyé un pouvoir d'espionnage très large des données personnelles par l'intermédiaire de grandes firmes américaines opérant dans le secteur de l'Internet. Cela pose naturellement la question de la protection de nos données personnelles et de l'architecture de nos systèmes. En 2009, une de ces grandes compagnies américaines a bénéficié d'un accord-cadre avec le ministère de la Défense, à l'issue duquel devait normalement être mise en place en 2011-2012 une solution basée sur l'utilisation de logiciels libres, permettant ainsi d'avoir un meilleur accès aux codes sources et conférer ainsi d'une capacité préventive accrue. Pouvez-vous nous donner votre point de vue sur cette question ?

Contre-Amiral Arnaud Coustillière. De manière générale, les pays anglo-saxons ont choisi de confier l'ensemble de leur cyberdéfense aux services de renseignement. Cela ne correspond pas à notre culture et, en France, un partage des tâches est opéré entre les services de renseignement, d'une part, et l'ANSSI et mes services, d'autre part. Pour reprendre la comparaison avec les milieux, ce qui nous intéresse c'est en quelque sorte le contenant, les métadonnées, tandis qu'il appartient aux services de renseignement de caractériser les intentions et objectifs, le contenu. Ce partage me paraît sain.

S'agissant de l'utilisation des données personnelles confiées par les utilisateurs à de grandes sociétés opérant dans le domaine de l'Internet, il convient de relever le paradoxe entre cette remise volontaire par tout un chacun et le fait qu'en France l'État ne peut accéder à ces données que de manière extrêmement encadrée, sous le contrôle étroit de la CNIL. En ce qui concerne la prévention, les grands éditeurs de logiciels, dont les produits ont tendance à devenir des normes, ne sont pas forcément moins bons en matière de sécurité de leurs produits que les développeurs de logiciels libres. Ils ont en effet tout intérêt à faire évoluer leur produit commercial et à en assurer la fiabilité dans la durée. Inversement, le logiciel libre est développé par une communauté, parfois à géométrie variable. En tout état de cause, le débat entre logiciel commercial et logiciel libre tourne parfois à la « guerre de religion ».

Le ministère de la Défense a fait le choix d'un accord-cadre avec Microsoft, ce qui, de mon point de vue, ne présente pas un risque de sécurité supérieur par rapport à l'utilisation de logiciels libres. Dans ce dernier cas, il aurait fallu développer une capacité forte de suivi et de contrôle pour se garantir effectivement contre les risques éventuels. En la matière, il convient d'adopter une approche mesurée et pragmatique, tenant compte à la fois du coût, des risques et de contraintes opérationnelles, dont notamment le lien avec l'OTAN. On peut en outre constater que ce débat sur les logiciels libres a permis d'engager une baisse tendancielle des prix pratiqués par les grands éditeurs de logiciels et, parallèlement, à une décroissance du recours aux logiciels libres.

Ces éléments ne doivent pas être interprétés comme l'expression d'une forme de naïveté. Les risques de sécurité sont de plusieurs ordres. Évidents en cas de réseau connecté directement sur Internet, ils sont davantage mesurés lorsque des passerelles filtrées sont mises en oeuvre. Les attaques d'espionnage utilisent moins les failles éventuelles de produits Microsoft que celles de documents en format Pdf ou de logiciels de développements de sites. Enfin, s'agissant des réseaux classifiés, sans aucun contact physique avec des réseaux extérieurs, le risque d'attaque extérieure est en théorie plus faible, mais leur sécurité repose plus largement sur le comportement des utilisateurs, tout particulièrement en ce qui concerne l'usage des clés USB.