Question de M. BALARELLO José (Alpes-Maritimes - UMP) publiée le 13/12/2007

M. José Balarello souhaite rappeler à l'attention de M. le Premier ministre qu'il y a quelques mois, l'Estonie a été la cible d'attaques informatiques « massives et orchestrées qui ne laissaient rien au hasard » selon le ministre des affaires étrangères de ce pays. Pendant une quinzaine de jours des millions de faux mails, provenant de plus de soixante pays, ont saturé les serveurs des ministères, des banques, des médias, des partis politiques. Un million d'ordinateurs ont été utilisés simultanément, à l'insu de leurs propriétaires, afin de rendre inopérants certains sites. Pendant l'été, les administrations occidentales ont également été la cible de « cyberterroristes » qui ont touché notamment les États-Unis , l'Allemagne, la Grande Bretagne et la France. Face à ces menaces qui peuvent venir de groupes terroristes plus ou moins organisés, qu'ils soient ou non à la solde d'États « voyous », la France est-elle suffisamment préparée ?
Etant donné que sur 50 milliards d'euros consacrés à la recherche informatique sur la période 2007-2013, un seul milliard est destiné à la sécurité de ce secteur, il lui demande s'il ne lui paraît pas très urgent de mettre en place une politique globale visant notamment à assurer une formation spécifique de haut niveau dans chaque administration sensible, ainsi que dans les grandes entreprises les plus vulnérables.

- page 2257


Réponse du Premier ministre publiée le 05/06/2008

L'évolution des risques et des menaces qui pèsent sur les systèmes d'information de l'État est une préoccupation permanente pour la France, même si aucun acte significatif de cyber-terrorisme n'a, selon le secrétariat général de la défense nationale, été répertorié à ce jour. En 2007, des tentatives d'attaques informatiques visant plusieurs pays occidentaux, dont la France, ont été relevées mais n'ont pas eu de conséquences. En 2007 toujours, une campagne massive d'attaques informatiques a été dirigée contre les infrastructures numériques de l'Estonie, handicapant ses services publics. Face à ces menaces, l'administration adapte les réponses nécessaires, avec l'appui de la direction centrale de la sécurité des systèmes d'information (DCSSI) qui forme les personnels, diffuse de l'information de veille et d'alerte, mène des audits systématiques sur les systèmes de l'administration pour identifier d'éventuelles failles et intervient régulièrement pour aider les administrations à faire face aux agressions informatiques. Le centre opérationnel de la sécurité des systèmes d'information de la DCSSI veille 24 heures sur 24 en liaison avec ses homologues pour tenter, à l'échelle mondiale, de limiter l'impact de telles attaques. Il est d'ailleurs intervenu dans le cas de l'Estonie, s'agissant des rares machines françaises utilisées par les attaquants. Pour ses systèmes vitaux, l'État français dispose de réseaux isolés de l'internet, donc insensibles à ce type d'attaques. ISIS, l'intranet gouvernemental classifié, en est un bon exemple. S'agissant de la formation, le centre de la formation à la sécurité des systèmes d'information (CFSSI), relevant de la DCSSI, assure depuis plusieurs années la mission de former les agents de l'administration à la sécurité informatique. En 2007, 1 530 heures d'enseignement ont été délivrées par 90 enseignants dans 50 matières différentes, au profit de 1 120 stagiaires, avec un taux de fréquentation moyen de 18 stagiaires par stage. Le CFSSI accompagne également de grandes entreprises dans la mise en place de dispositifs internes de formation en sécurité des systèmes d'information, en complément des offres commerciales librement proposées sur le marché. Ainsi, à titre d'exemple, un accord a été passé entre le CFSSI et Télécom ParisTech (anciennement Télécom Paris) portant sur l'apprentissage d'une méthode de gestion des risques informatiques (EBIOS). En février 2008, la DCSSI a mis à la disposition des entreprises et des particuliers un portail dédié à la sécurité informatique, en réponse à une décision du comité interministériel pour la société de l'information présidé par le Premier ministre le 11 juillet 2006. Ce portail propose un contenu pédagogique, exhaustif, technique mais accessible, sous la forme de guides de configuration, de questions/réponses pratiques, de modules d'auto-formation, de fiches d'information et d'une surveillance de l'actualité, dans le but d'améliorer la sécurité des acteurs et des utilisateurs de l'internet. Il est accessible à l'adresse www.securite-informatique.gouv.fr.

- page 1103

Page mise à jour le