Je m'abonne
Fermer
Fermer
Actualités Nos Numéros Nos Dossiers Grands Entretiens La recherche
A propos de la revue Nous contacter

Je m'abonne
Accueil
La cybernétique de la défense et de la sécurité numérique
Par Céline Berthon,
Directrice générale de la DGSI
Face à la multiplication des cyberattaques, la DGSI mobilise ses capacités de renseignement pour identifier et contrer les menaces visant la France. Entre espionnage étatique, cybercriminalité et cyberactivisme, les frontières s'estompent, exigeant une réponse coordonnée pour préserver la souveraineté numérique.
Datadome

La Revue stratégique de cyberdéfense, publiée en 2018 par le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), a posé les jalons de la cyberdéfense française, dont la mission cardinale consiste en la préservation de la souveraineté nationale. 

La menace a depuis évolué, se caractérisant par une croissance continue de cyberattaques1 de plus en plus sophistiquées, une multiplication d’acteurs publics et privés aux intentions malveillantes (voir l’article d’Éric Freyssinet) couplée à une porosité accrue entre espionnage, cybercriminalité et cyberactivisme et un élargissement significatif de la surface d’attaque. 

Une nouvelle stratégie nationale de cybersécurité, élaborée à la fin de l’année 2024 et qui sera prochainement publiée, permettra de mieux appréhender ces mutations et d’affermir la gouvernance interministérielle dans ce domaine.

 

La DGSI, un acteur majeur de l’effort national cyber

 

La Direction Générale de la Sécurité Intérieure (DGSI), en tant que membre du 1er cercle de la communauté du renseignement, participe à mieux appréhender la menace, d’origine étatique notamment. En effet, la DGSI réalise des investigations numériques afin d’identifier toutes cyberattaques susceptibles de menacer les intérêts fondamentaux de la Nation. Ces enquêtes sont éclairées par une compréhension fine du contexte géopolitique grâce à ses compétences en matière de contre-espionnage et de contre-ingérence économique, et à des relations partenariales de confiance, en particulier avec nos alliés européens.

En raison de l’étroite imbrication entre le cyberespace et la contre-ingérence entendue au sens large, la DGSI inscrit son action dans le temps long en cartographiant, d’une part, les écosystèmes adverses et leurs ramifications sur le territoire national et en procédant, d’autre part, à l’analyse des techniques, tactiques et procédures (TTP) employées pour les rattacher, in fine, à un mode opératoire d’attaque (MOA)2. La possibilité de mettre en œuvre l’ensemble des techniques de renseignement et la présence d’un grand nombre d’acteurs numériques sur le territoire national offrent à la DGSI des capacités et des opportunités opérationnelles uniques. 

L’analyse de la structure des MOA adverses, qui peut considérablement varier selon la zone géographique considérée, et leur imputation3 à des services de renseignement étrangers ou à des États commanditaires constituent ainsi des préoccupations majeures de la DGSI. 

Dans cette perspective, la DGSI contribue activement à l’effort national de cyberdéfense par le biais du Centre de coordination des crises cyber (C4), piloté par l’Agence nationale pour la sécurité des systèmes d’information (ANSSI)4 et auquel participent également le Commandement de la cyberdéfense5 (COMCYBER), la Direction générale de l’armement (DGA)6 et la Direction générale de la sécurité extérieure (DGSE)7. Enceinte d’échanges dédiés au suivi des menaces cybernétiques étatiques, le C4 est ainsi chargé de faciliter le partage de connaissances et assure une bonne coordination des services de l’État concernés en cas d’attaque informatique.

Il convient d’observer, à ce titre, que les renseignements recueillis par le Service et consolidés au sein du C4 permettent à l’ANSSI, cheffe de file de la cyberdéfense, d’affiner et d’actualiser ses préconisations afin que les secteurs public et privé durcissent leurs systèmes d’information. Réciproquement, les incidents informatiques signalés à l’ANSSI alimentent notre connaissance des menaces cybernétiques. À cet égard, remarquons que les entreprises privées et administrations peuvent solliciter un accompagnement de la part des services territoriaux de la DGSI, notamment afin de prévenir la captation de connaissances et de savoir-faire français.

Le C4 a également pour mission de proposer des stratégies de réponse au pouvoir politique. 

À cet égard, la DGSI s’appuie sur ses compétences en matière judiciaire qui lui permettent d’exploiter les informations recueillies en renseignement afin de mener des opérations d’entrave, ce qui peut constituer un efficace levier d’action contre des infrastructures d’attaque localisées sur le territoire national, ou à l’étranger par le biais de la coopération judiciaire internationale. 

De telles opérations de démantèlement d’infrastructures malveillantes peuvent également être conduites hors du champ judiciaire, à l’instar de l’opération conduite par le FBI au mois de janvier 2024 et à laquelle le Service a pris part, qui visait à démanteler un réseau d’anonymisation8 déployé par le MOA APT28, opéré par le service militaire russe de renseignement (GRU). 

En outre, la récente attribution à ce MOA des cyberattaques menées à l’encontre de TV5 Monde en 2015 et de la campagne d’Emmanuel Macron en 2017 (MacronLeaks) a permis de répondre diplomatiquement au défi cybernétique lancé par la Fédération de Russie.

La possibilité de mettre en œuvre l’ensemble des techniques de renseignement et la présence d’un grand nombre
d’acteurs numériques sur le territoire national offrent à la DGSI des capacités et des opportunités opérationnelles uniques.

La DGSI, un service de renseignement confronté à une menace protéiforme

 

Dans un monde de plus en plus connecté caractérisé par l’omniprésence des technologies de l’information et de la communication, la multiplication de points d’entrée exploitables par des acteurs malveillants explique que les cyberattaques constituent désormais un enjeu majeur, tant pour les administrations que pour les entreprises privées. Ces dernières, régulièrement confrontées à des attaques à but lucratif (vol et/ou chiffrement de données) et aux attaques par déni de service distribué (DDoS)9 ont ainsi été contraintes de renforcer la protection de leurs systèmes d’information sous peine de s’exposer à une suspension/cessation de leur activité ou à des coûts financiers conséquents (voir l’article de Frédéric Didier). 

À titre d’illustration, les cyberattaques conduites à l’encontre du secteur de la santé au cours des dernières années ont pu marquer les esprits dans la mesure où elles remettaient en cause l’accès même aux soins. De même, de nombreuses entités françaises ont été victimes, en 2024, de fuites massives de données, ensuite diffusées sur le darknet ou des canaux Telegram, orchestrées par des groupes cybercriminels ou cyberactivistes.

Les cyberattaques conduites à l’encontre du secteur de la santé au cours des dernières années ont pu marquer les esprits dans la mesure où elles remettaient en cause l’accès même aux soins.

De manière moins visible, les entités stratégiques françaises, publiques (universités, administrations sensibles) et privées (entreprises de la base industrielle et technologique de la défense – BITD – notamment) constituent des cibles récurrentes pour les MOA adverses, qui s’évertuent à recueillir des informations destinées, d’une part, à soutenir le développement économique des États commanditaires et, d’autre part, à appuyer leurs efforts diplomatiques et militaires. 

En outre, certains États, s’inscrivant dans une logique de guerre hybride, exploitent les opportunités du cyberespace pour mettre en œuvre des opérations d’ingérence numériques qui participent de leur politique de déstabilisation. Ces actions, conduites par des groupes cyberactivistes potentiellement pilotés par des États, peuvent prendre la forme d’attaques DDoS, de défiguration de sites Internet et de divulgation de données, à l’instar du groupe NoName057(16) qui, tout au long de l’année 2024, a ciblé à de nombreuses reprises les pays membres de l’OTAN et de l’UE qui soutiennent activement l’Ukraine dans le cadre du conflit10. Les grands événements politiques ou sportifs constituent, à cet égard, une tribune médiatique pour ces groupes. En témoigne la volonté affichée par Cyber Army of Russia Reborn (CARR) de perturber la qualité et le débit des eaux en France (polémique sur la “baignabilité” de la Seine) dans le cadre des JOP 2024. 

Certains États, s’inscrivant dans une logique de guerre hybride, exploitent les opportunités du cyberespace pour mettre en œuvre des opérations d’ingérence numériques qui participent de leur politique de déstabilisation.

Par ailleurs, si l’année 2024 n’a pas vu d’opérations offensives majeures menées directement à des fins de sabotage, le groupe CARR s’est distingué en compromettant des équipements industriels mineurs d’unités de production d’énergie renouvelable et d’assainissement de l’eau. Toutefois, l’accroissement des tensions internationales et le changement éventuel de posture stratégique de nos adversaires appellent à la vigilance à l’endroit d’attaquants étatiques qui disposent de la capacité de se prépositionner sur des réseaux critiques et qui pourraient être incités à conduire des actions de sabotage et à intensifier leurs attaques informatiques de déstabilisation. 

Enfin, il convient de noter que les solutions de piégeage de téléphones mobiles sont devenues des outils d’espionnage largement utilisés par de nombreux acteurs, tant étatiques que privés, qui profitent de l’expansion du marché de la lutte informatique offensive (LIO) privée. 

À titre d’exemple, une commission parlementaire italienne a établi, au mois de mai 2025, que le gouvernement italien avait recouru au logiciel espion Graphite, développé par la société israélienne Paragon, pour pirater les téléphones portables de plusieurs militants italiens de la société civile, malgré le fait que cet usage n’était pas autorisé par le contrat conclu entre l’État italien et Paragon, conduisant cette dernière à le dénoncer. Un épisode similaire a été mis en évidence au Mexique où l’ONG Citizen Lab avait caractérisé, entre 2019 et 2021, le ciblage de journalistes d’investigation, d’avocats de familles victimes de cartels et de militants anti-corruption par l’espiogiciel Pegasus, développé par la société israélienne NSO Group (voir l’article d’Étienne Maynier). L’usage de cet espiogiciel, conféré à une agence étatique mexicaine, aurait été détourné par certains cartels.  

L’utilisation croissante de ces outils commerciaux cyberoffensifs accroît le niveau de menace à l’encontre des intérêts français, tout en complexifiant encore plus le travail d’imputation réalisé par la DGSI et ses partenaires du C4. Dans ce cadre, la DGSI observe une augmentation significative du nombre d’attaques ciblant des téléphones portables professionnels et personnels de personnalités politiques, de cadres d’administration et d’acteurs d’entreprises stratégiques.

Dans ce contexte, si le dispositif français de cyberdéfense auquel participe pleinement la DGSI doit se montrer versatile pour s’adapter constamment aux menaces auxquelles notre pays est confronté, une prise de conscience quant à l’importance d’entretenir une bonne hygiène numérique paraît indispensable. La publication par l’ANSSI d’une fiche de préconisations en la matière au début du mois d’avril s’inscrit dans cette logique d’associer pleinement la société civile à l’effort de cyberdéfense français pour préserver notre souveraineté numérique dans la profondeur, en intégrant citoyens, entreprises et collectivités territoriales.

1. Ensemble coordonnée d’actions menées dans le cyberespace qui visent des informations ou les systèmes qui les traitent, en portant atteinte à leur disponibilité, à leur intégrité ou à leur confidentialité. Une cyberattaque peut être ponctuelle ou persister dans la durée.
2. Le mode opératoire d’attaque (MOA) définit un ensemble de techniques, tactiques et procédures cohérentes utilisées par un attaquant au cours d’une campagne d’attaque.
3. L’imputation désigne le résultat des recherches et des opérations, de toute nature et de tout niveau de sensibilité, amenant à connaître avec un niveau de confiance documenté, voire avec certitude, l’exécutant ou le commanditaire d’une cyberattaque.
4. L’ANSSI constitue l’autorité nationale en matière de cybersécurité. Elle est chargée de la prévention (y compris en matière normative) des attaques cybernétiques et de leur remédiation, le cas échéant.
5. Le Comcyber, qui relève du ministère des Armées, assure la sécurité des systèmes d'information et la conduite d'opérations cybernétiques offensives.
6. La DGA agit en soutien du C4, notamment sur la partie capacitaire, via son centre de spécialistes techniques.
7. La DGSE, également membre du 1er cercle des services de renseignement, peut engager, hors du territoire national, des actions d’entrave à l’encontre de tout acteur qui nuirait aux intérêts fondamentaux de la Nation.
8. Un réseau d’anonymisation est constitué de l’ensemble des équipements loués ou compromis par un attaquant afin de rendre impossible, en pratique, toute identification de celui-ci et de rendre ses opérations, notamment d’espionnage, plus furtives.
9. Un déni de service distribué est une attaque informatique visant à rendre indisponible, durant une certaine période, l’accès aux services ou ressources d’un serveur ciblé. La saturation de la cible est réalisée à partir de nombreuses machines (généralement issues d’un botnet) à l’insu de leurs utilisateurs légitimes.
10. En France, les villes de Bordeaux et collectivités de l’Aude, de Normandie et de la Guadeloupe ont notamment été ciblées. NONAME057(16) est un groupe actif depuis mars 2022, ciblant tout pays qui agit contre les intérêts russes.
Céline Berthon
Céline Berthon
Céline Berthon a été nommée directrice générale de la sécurité intérieure le 20 décembre 2023. Directrice des services actifs de la police nationale, elle a occupé les fonctions de directrice centrale de la sécurité publique (2021 - 2023) avant d’être nommée directrice générale adjointe de la police nationale en mai 2023. À la sortie de l'école nationale supérieure de police en 2000, elle commence sa carrière dans la sécurité publique en assurant la direction de plusieurs commissariats en région parisienne puis au sein de l’état-major de la Direction centrale de la sécurité publique (2005 - 2009). En 2009, elle rejoint la Sous-direction de l’information générale (SDIG), issue de la restructuration des Renseignements généraux, avant d’assumer un mandat de secrétaire générale du syndicat des Commissaires de la Police Nationale. C’est en 2018 que Céline Berthon rejoint la structure de la DGSI en charge de la lutte contre le terrorisme, avant d’occuper les fonctions de directrice de cabinet du directeur général de la police nationale en 2020.
16 vues
0 commentaires
Les plus lus
Jean-Pierre FARANDOU (P76)
LE FER CONTRE LE CARBONE
François Braun
"LE SYSTÈME DE SANTÉ N’EST PAS EN CRISE, IL EST EN MUTATION"
L'ingénierie des données de santé en France
Les enjeux des startups medtech
Profils, réglementation et marché
Concurrence : fin du monopole SNCF et règles du jeu en Europe
par Cyprien d'Harcourt (P14)
Le dossier du moment
Datadome
Réindustrialisation et décarbonation
Des impératifs irréconciliables ?
Par Julien Legrand (P12),
directeur Excellence Opérationnelle chez Saint-Gobain
Contribuer à la Revue

La Revue des Mines est produite grâce au temps de ses bénévoles et à ses contributeurs. Pour nous rejoindre, écrivez-nous !

Contribuer
Data encryption, cyber protection and digital key sign on dynamic binary background. Computer security technology abstract concept 3D illustration.
Article précédent

La cryptographie post-quantique

Où en sommes-nous ?
Datadome
Article suivant

La recherche à Mines Paris – PSL