- 259 -
3. Les services de renseignement apportent une contribution
majeure aux missions d’anticipation, de détection et
d’attribution des cyberattaques
a) Les différentes missions pour lesquelles les services sont appelés à
concourir
(1) La mission d’Anticipation
Les attaques peuvent être anticipées (prévenues, atténuées ou
neutralisées dans leurs effets) par le biais d’une meilleure connaissance des
groupes d’attaquants. L’ANSSI estime à une soixantaine le nombre de modes
opératoires différents actuellement mis en œuvre par des groupes
d’attaquants susceptibles de porter atteinte à des intérêts relevant de la
sécurité nationale.
Les services de renseignement contribuent au recueil des
informations sur ces groupes et sur leurs modes d’action qu’ils font remonter
vers le C4 sous forme de notes. Les relations entretenues avec les services de
renseignement relevant du ministère des armées, notamment la DGSE, la
DRSD et la DRM, permettent au COMCYBER de disposer du soutien *****
afin de caractériser les menaces pesant contre le ministère 1.
(2) La mission de Détection
La détection d’une attaque est liée à l’observation des effets de
l’attaque ou à l’identification d’éléments techniques liés au mode opératoire
de l’attaquant. Ces éléments peuvent provenir de sociétés privées de
cybersécurité, de partenaires étrangers, des services de renseignement ou de
l’administration. Ils sont centralisés à l’ANSSI qui doit assurer la bonne
coordination de différentes entités. En plus de ce travail de consolidation et
de coordination, elle a en charge la détection des attaques sur les systèmes de
l’administration (et, depuis la LPM 2019-2024, dans certains cas, sur les
réseaux des opérateurs de communications électroniques et sur les systèmes
d’information des fournisseurs de service de communication au public en
ligne). Le COMCYBER, par délégation de l’ANSSI assure la détection sur le
périmètre des armées.
Les capacités des services de renseignement dans le domaine de la
détection sont complémentaires. Si l’ANSSI est résolument tournée vers les
victimes, les services sont susceptibles d’utiliser leurs capteurs pour détecter
« plus au loin » *****. Les services de renseignement ont donc une place
importante dans ce dispositif de détection.
Il peut s’appuyer sur les capacités de ces services pour compléter ses analyses, les deux premiers
disposant de leurs propres capacités de détection pour la protection de leurs systèmes d’information.
1