La France prend la mesure de la cyberguerre, ce nouveau champ de bataille très secret. Elle avait notamment besoin d'une souplesse pour lutter à armes égales avec les Etats, voire des individus, prêts à lancer des attaques informatiques. Dans ce cadre, le projet de la loi de programmation (LPM) offre à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) les outils juridiques indispensables pour lui permettre de défendre efficacement les systèmes d'information stratégiques contre des attaques informatiques sans risquer d'entrer dans le champ des incriminations prévues 323-1 à 323-3 du code pénal. Ils pourront ainsi étudier l'action de logiciels malveillants ou accéder à un serveur informatique à l'origine d'une attaque afin d'en neutraliser les effets. « Nous nous dotons le droit de détecter puis de neutraliser des sites malveillants », explique-t-on dans l'entourage du ministre.

En outre, la LPM permettra aux services français de ne pas tomber dans le champ de deux incriminations pénales prévues en cas de fabrication, de détention ou d'utilisation de matériels pouvant servir à enregistrer des conversations privées, à capter des données informatiques ou à intercepter des correspondances. « L'extension consiste à couvrir non plus seulement les seuls matériels conçus pour commettre des atteintes à la vie privée mais également ceux qui sont susceptibles d'être utilisés à ces fins », précise le projet de LPM.

Priorité de la stratégie de défense

Le Livre blanc de 2013 a fait de la cybersécurité l'une des priorités de notre stratégie de défense et de sécurité nationale pour se protéger d'une attaque informatique majeure « pouvant désormais constituer un véritable acte de guerre. « Le projet de loi traduit la nouvelle donne stratégique que constitue, pour le présent et pour l'avenir, la cyberdéfense », explique le projet de LPM. Outre une adaptation du droit, il prévoit notamment le renforcement des capacités militaires dans ce domaine, notamment à travers le recrutement de plusieurs centaines de spécialistes, la mise en place d'une organisation et d'une chaîne opérationnelle centralisée et un effort important dans le cadre des études amont, pour développer les instruments de pilotage de la cyberdéfense dont doit disposer le gouvernement et pour permettre une protection plus efficace des opérateurs d'importance vitale (OIV).

Le Premier ministre pourra imposer aux opérateurs d'importance vitale des obligations en matière de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d'information sur les attaques qu'ils peuvent subir et de soumission à des contrôles de leur niveau de sécurité informatique ou de l'application des règles édictées. « Des sanctions pénales sont prévues par le projet de loi en cas de non-respect de ces obligations », explique-t-on dans l'entourage du ministre. Des amendes, voire des poursuites.

Capacités offensives

Le projet de loi de programmation militaire prévoit un effort marqué dans le développement des capacités de cyberdéfense militaires. Soit la mise en place d'un dispositif, étroitement intégrée aux forces et en relation avec le domaine du renseignement. Ce dispositif comprend notamment des capacités défensives et offensives pour préparer ou accompagner les opérations militaires. Il s'appuiera sur une chaîne opérationnelle de cyberdéfense cohérente avec l'organisation et la structure opérationnelles des armées et sur une composante technique confiée à la direction générale de l'armement (DGA). Cette dernière sera chargée de connaître et d'anticiper la menace, de développer la recherche amont et d'apporter son expertise en cas de crise informatique touchant le ministère de la Défense.