- 260 -
(3) La mission d’Attribution
Après la détection d’une attaque, il est essentiel de remonter à
l’instigateur afin de lancer des poursuites judiciaires ou de préparer une
réponse adaptée.
Le repérage des indices 1, réalisé lors de la détection de l’attaque et
de l’investigation qui s’en suit, est souvent insuffisant pour obtenir des
éléments probants. Pour les compléter, les services de renseignement
peuvent agir aux moyens de toute la palette de leurs capacités propres.
La décision d’attribution formelle d’une attaque majeure à son
auteur ou à son commanditaire reste une décision politique. *****
*****
À ce jour, la France n’a jamais entrepris d’attribution publique.
Cela tient en grande partie à sa volonté de conserver un dialogue stratégique
et opérationnel franc et direct avec l’ensemble des homologues étrangers, y
compris ceux susceptibles d’être impliqués dans des cyberattaques ciblant la
France.
*****
b) La contribution des services à la chaîne renseignement
À la suite de la Revue stratégique de cyberdéfense, a été structurée
« sous l’autorité du Gouvernement, une chaîne opérationnelle « renseignement» qui
recouvre l'ensemble des actions entreprises dans un but de renseignement et
notamment en vue d'attribution », y compris par la mise en œuvre de capacités
offensives. Les services doivent mobiliser leurs moyens au service de la
cybersécurité des intérêts nationaux en collectant les renseignements
d’intérêt cyber (RIC). Les renseignements peuvent être issus d’une collecte
sur une victime, fournis par des partenaires, ou de capteurs spécialisés tels
que le ROEM (origine électromagnétique) et le ROHUM (origine humain) ou
non, tel que le ROSO (origine source ouverte).
*****
(1) *****
*****
(2) *****
*****
(3) *****
*****
1
Par une société privée, les services de police et de gendarmerie ou bien l’ANSSI.