Centre

danalyse
stratgique

Mars 2013

no 324

LA NOTe

DANALySe

Dveloppement durable

Cyberscurit*, lurgence dagir

Les attaques informatiques se multiplient et se
complexifient sous leffet du dveloppement du
cyberespionnage, de la cybercriminalit et dtats
qui utilisent ces attaques des fins stratgiques.
Paralllement, des usages nouveaux (cloud computing, mobilit) accroissent les vulnrabilits des systmes dinformation.

PROPOSITIONS

Confronts cette menace, les entreprises, les

administrations et a fortiori les particuliers sont soit
dsarms, soit peu conscients des risques encourus
et de leurs consquences conomiques et financires. Des attaques informatiques peuvent piller le
patrimoine informationnel des entreprises et toucher des infrastructures stratgiques. Le Livre blanc
sur la dfense et la scurit nationale paru en 2008

avait ainsi consacr la scurit des systmes dinformation comme lune des quatre priorits stratgiques pour la France : cest un enjeu de comptitivit et de souverainet nationale.
Pour lever le niveau de scurit, tout en tirant profit
des avantages dun Internet ouvert et dcentralis,
les organisations doivent adopter une dmarche
rationnelle danalyse de risques afin de mettre en
uvre une rponse adapte sur le plan technique et
organisationnel. Loffre nationale de solutions de
scurit doit galement se structurer pour permettre une meilleure valorisation des comptences
technologiques franaises et garantir un plus haut
degr de souverainet. g

1 Renforcer les exigences de scurit imposes aux oprateurs dimportance vitale

(OIV), sous le contrle de lAgence nationale de la scurit des systmes

dinformation (ANSSI).
2 Dvelopper et mettre la disposition des petites et moyennes entreprises des outils
simples pour grer les risques.
3 largir les missions de lANSSI pour accompagner le dveloppement de loffre
franaise de solutions de cyberscurit.
4 Revoir le cadre juridique afin de conduire, sous le contrle de lANSSI et dun comit
dthique ad hoc, des exprimentations sur la scurit des logiciels et les moyens
de traiter les attaques.

* Le prfixe cyber se rfre, dans son acception actuelle, aux systmes dinformation. Ainsi, le terme cyberscurit doit-il tre compris comme la scurit des systmes
dinformation.

www.strategie.gouv.fr

LeS eNjeux

Centre danalyse stratgique

Lessor des technologies de linformation

a entran une dpendance croissante lgard
des outils numriques. En raison des enjeux
conomiques et politiques sous-jacents, les
attaques informatiques se sont considrablement
dveloppes et sophistiques au cours des
dernires annes. Leurs auteurs sont
techniquement difficiles identifier,
et linvestissement et le risque pnal encouru
sont relativement faibles au regard des gains
potentiels.

Un cyberespace vUlnrable,
en proie Des actes Dlictueux
croissants

les attaques informatiques se complexifient

et se professionnalisent

i Des attaques vises stratgiques

La dcouverte du programme malveillant Stuxnet en
2010 a rvl lexistence dattaques informatiques dune
ampleur jamais atteinte jusqualors. Grce de nombreuses failles de scurit, Stuxnet sest attaqu au programme darmement nuclaire iranien, en sabotant le
processus denrichissement de luranium. Son avance
technologique est telle quelle quivaudrait, selon un
chercheur ayant tudi lattaque, larrive dun avion
de chasse de dernire gnration sur un champ de
bataille de la Premire Guerre mondiale (2).

La dcouverte en 2010 du ver informatique

Stuxnet, conu pour saboter le processus
denrichissement duranium iranien, a fait
prendre conscience de la possibilit de
cyberattaques contre des infrastructures
physiques. Les organisations sont aussi
confrontes un cyberespionnage gnralis,
qui vise leur patrimoine informationnel
stratgique (activits de R & D, informations
financires et commerciales, etc.). Ainsi, assurer
un certain niveau de scurit des systmes
dinformation est-il devenu un enjeu de premire
importance.

Le ver Flame, dcouvert en 2012, constitue quant lui le

systme despionnage informatique le plus sophistiqu
jamais dcouvert ce jour. Contrl distance, il est,
entre autres, capable de copier tous types de fichier, de
mmoriser les frappes sur le clavier, de dclencher le
micro et lmetteur Bluetooth, et peut sautodtruire
tout moment.

En France, la cration en 2009 de lAgence

nationale de la scurit des systmes
dinformation (ANSSI) tmoigne dune prise de
conscience de ces questions. Cependant, comme
le souligne le rapport snatorial de juillet 2012
sur la cyberdfense(1), le niveau de scurit des
systmes dinformation des organisations reste
globalement insuffisant malgr les efforts
fournis.

Ces exemples tmoignent dun affrontement dun type

nouveau : des cyberattaques peuvent tre diriges contre
des infrastructures physiques(3) (rseaux de distribution
dnergie, infrastructures de transport, chanes de production, etc.) ou participer des oprations de renseignement. Dans certains cas, leur niveau de sophistication est
tel que seules des puissances tatiques seraient en
mesure de les produire. Lappropriation par les tats des
attaques informatiques des fins stratgiques conduit
une course larmement susceptible daugmenter
le niveau gnral de la menace.

La prsente Note danalyse fait le point sur ltat

des menaces informatiques et sur les rponses
apportes en France et ltranger. Elle formule
ensuite des recommandations destines lever
le niveau de cyberscurit.

i Un dveloppement proccupant du cyberespionnage

Les attaques informatiques destines sapproprier des
informations sensibles (parfois appeles APT : Advanced
Persistent Threats) connaissent un dveloppement important et constituent une menace pour les entreprises et les
administrations(4). Les attaquants sont la recherche de
donnes stratgiques :
informations lies la recherche et au dveloppement ;
informations changes par les dirigeants ;
donnes financires et commerciales : contrats, ngociations en cours, etc.

(1) Bockel J.-M. (2012), Rapport dinformation sur la cyberdfense, commission des Affaires trangres, de la Dfense et des Forces armes, Snat.
(2) Langner R. (2010), The big picture.
(3) ANSSI (2012), La cyberscurit des systmes industriels.
(4) Duluc P. (2012), Les menaces sur le cyberespace : une ralit, Revue de llectricit et de llectronique, n 2, p. 16-20.

Mars 2013

no 324

Noyes dans le flot des donnes changes, ces

attaques peuvent rester invisibles pendant plusieurs
annes et entraner un espionnage conomique massif.
Ainsi lentreprise dquipements de tlcommunications
Nortel a t victime dun espionnage gnralis partir
du dbut des annes 2000, les pirates ayant eu accs
la totalit des documents techniques, financiers et de
R & D pendant prs de dix ans(5). Il sagit trs probablement de lune des principales causes de la faillite de lentreprise en 2009.

LA NOTe

DANALySe

i Un nombre dattaques amen crotre

Le nombre dattaques et leur intensit devraient augmenter. La dissmination de codes malveillants entrane
des effets collatraux, voire boomerang. titre dexemple, des fonctions lmentaires du ver Stuxnet sont disponibles la vente sur Internet et peuvent tre utilises
des fins malveillantes. Si les techniques dattaque classiques sont toujours trs utilises et peuvent se combiner
de manire complexe, des menaces nouvelles devraient
se dvelopper (cf. encadr 1).

En 2010, le ministre franais de lconomie et des

Finances a subi une campagne dattaque de ce type.
Environ 150 ordinateurs, principalement au sein de la
direction gnrale du Trsor, ont t infects, sur les
quelque 170 000 ordinateurs du ministre, ce qui illustre
le degr de prcision du cyberespionnage. Lattaque avait
notamment pour but de recueillir des informations relatives la prsidence franaise du G8 et du G20(6).

encadr 1

Techniques dattaques les plus frquentes(8)

Le dni de service : saturation dun rseau ou dun
service par un envoi de requtes en trs grand nombre
afin dempcher ou de limiter fortement sa capacit
fournir le service attendu(9). De telles attaques ont par
exemple paralys les sites institutionnels dEstonie en
2007 ;
Le pigeage de logiciels : utilisation de programmes
malveillants (virus, ver, cheval de Troie, etc.) pour
perturber le fonctionnement dun logiciel et infecter un
systme dinformation ;
Les techniques dingnierie sociale : acquisition dloyale
dinformation afin dusurper lidentit dun utilisateur.
Parmi ces techniques, lhameonnage (phishing)
consiste par exemple faire croire la victime quelle
sadresse un tiers de confiance (banque,
administration, etc.) afin de lui soutirer des
renseignements personnels(10).
Exemples de nouveaux types dattaques(11) :
Attaques des couches basses des rseaux ;
Ranongiciels : logiciels malveillants qui prennent en
otage des donnes personnelles et exigent une ranon
pour leur restitution.

Des quotidiens amricains, parmi lesquels le New York

Times et le Wall Street Journal, ont annonc en janvier
2013 avoir t victimes despionnage de grande ampleur
(vol de mots de passe, demails et de donnes de journalistes), accusant des pirates bass en Chine.
La plupart des grandes entreprises et des administrations
ont trs probablement t victimes dintrusions des fins
despionnage. Cependant, hormis ces quelques exemples, il nest pas facile de recenser ces attaques en raison
de la rticence des organisations les rvler.
i La professionnalisation de la cybercriminalit
La cybercriminalit dsigne lensemble des infractions
pnales commises via les rseaux informatiques (vols de
donnes caractre personnel ou industriel, fraude ou vol
didentifiants bancaires, diffusion dimages pdophiles,
atteinte la vie prive, etc.). Encourag par limportance
des sommes en jeu pour un risque relativement faible,
le crime organis sest empar de la cybercriminalit.
Selon les estimations de Norton(7), le cot financier de la
cybercriminalit atteindrait en 2012 110 milliards de dollars, dont 42 % lis des fraudes, 17 % des vols ou
pertes de donnes et 26 % aux frais de rparation. Le trafic de drogue (cannabis, cocane et hrone) reprsenterait 288 milliards de dollars, selon la mme tude.

Des vulnrabilits nouvelles prendre en

considration

i La scurit, frein ladoption du cloud computing

Le cloud computing (12) consiste utiliser des serveurs
distance, accessibles par Internet, pour traiter ou stocker
de linformation. Il connat un dveloppement massif(13)
en raison de ses nombreux avantages : baisse des cots

(5) Gorman S. (2012), Chinese hackers suspected in long-term Nortel breach, The Wall Street Journal, 14 fvrier.
(6) Cf. le rapport Bockel (op. cit.) pour une description plus dtaille de lattaque.
(7) Norton (2012), 2012 Norton cybercrime report, juillet.
(8) Pour une prsentation exhaustive des menaces, consulter le guide de lANSSI : Menaces sur les systmes informatiques.
(9) http://www.securite-informatique.gouv.fr/gp_rubrique33.html
(10) http://fr.wikipedia.org/wiki/Hame%C3%A7onnage
(11) ANSSI (2011), Cyberconflits, quelques cls de comprhension.
(12) Ou informatique en nuage, en franais.
(13) Selon Gartner, le march du cloud computing devrait reprsenter 150 milliards de dollars en 2014.

www.strategie.gouv.fr

Centre danalyse stratgique

encadr 2

lie la mutualisation des ressources, facturation

lusage, puissance de calcul quasi-illimite, travail collaboratif facilit, mobilit, volutivit. Cependant, il noffre
pas encore toutes les garanties de scurit pour sa
pleine appropriation. En effet, le cloud computing comporte des risques organisationnels, techniques et juridiques, susceptibles de compromettre la confidentialit,
lintgrit et la disponibilit des donnes dportes.

Le ByOD, une pratique antinomique

la matrise de la scurit
Le BYOD, sigle provenant de lexpression anglaise Bring
your own device ( apportez votre propre appareil),
consiste utiliser un terminal mobile personnel des fins
professionnelles(18).
En fort dveloppement ces dernires annes, le BYOD est
extrmement complexe grer pour les responsables de la
scurit :
la scurit des terminaux est difficile garantir, en raison
de la diversit des appareils et des systmes
dexploitation, des vulnrabilits causes par les usages
privs (dbridage dOS, installation dapplications, etc.)
et de lenchevtrement entre donnes prives et
professionnelles ;
la connexion des terminaux privs aux systmes
dinformation de lentreprise pose la question de
lauthentification et de la protection des donnes
sensibles de lentreprise ;
labsence de cadre juridique dfinissant les obligations et
prrogatives des employs et des entreprises expose les
diffrentes parties prenantes au risque juridique.
Beaucoup considrent nanmoins que le BYOD ne
reprsente quune diversification invitable des terminaux,
qui se gre trs bien en scurisant les accs distants. Il
suffit de changer de postulat : dsormais, les terminaux ne
sont pas forcment de confiance.

Le dplacement de tout ou partie du systme dinformation hors du champ de contrle de lorganisation cre un
risque de perte de gouvernance. Sur le plan technique, les
processus dauthentification des utilisateurs et de gestion
des droits daccs posent galement des problmes de
scurit. En juillet 2012, lentreprise Dropbox a ainsi
reconnu que des mots de passe vols sur dautres sites
Internet avaient permis des pirates daccder des
documents stocks sur les serveurs de lentreprise(14).
Enfin, lincertitude sur la localisation des donnes hberges sur le cloud est un facteur dinscurit juridique : il
est difficile de dterminer quel rgime juridique sera
applicable en cas de litige.
i La mobilit et les nouveaux usages gnrent des vulnrabilits dans les systmes dinformation
Le dveloppement des terminaux (ordinateurs portables,
smartphones, tablettes) et des rseaux mobiles (3G, 4G,
Wifi) offre aux membres dune organisation un accs
tendu ses systmes dinformation. Les directeurs des
systmes dinformation (DSI) constatent une forte
demande des employs pour ces outils de mobilit(15).
Cependant, en bouleversant les systmes dinformation
de lentreprise, la mobilit gnre des risques pour la
scurit :

i Procds industriels, Internet des objets : les vulnrabilits informatiques stendent au monde rel
Lutilisation massive des technologies de linformation
dans tous les secteurs de lconomie a gnr des interactions croissantes entre les mondes virtuel et rel. Les
infrastructures physiques sont dsormais trs souvent
contrles distance par des logiciels de supervision et
de contrle (SCADA, Supervisory control and data acquisition), qui peuvent tre vulnrables aux attaques informatiques pour plusieurs raisons :

moins matures en matire de scurit, les smartphones

et les tablettes sont aussi moins bien intgrs au systme dinformation de lentreprise(16) ;
le rythme dinnovation trs lev des applications
mobiles, et les nouveaux usages qui y sont associs,
entranent de nombreuses failles et vulnrabilits
potentiellement exploitables(17) ;

les besoins de consolidation des donnes et la pression

la baisse des cots ont pouss la convergence des
technologies et ont apport aux systmes industriels les
vulnrabilits du monde de linformatique de gestion(19) ;
les mises jour et les correctifs destins amliorer la
scurit des logiciels sont difficilement applicables en
raison de contraintes de fiabilit et de disponibilit des
systmes industriels.

la prdominance de loffre amricaine et asiatique de

terminaux mobiles (Samsung, Apple, Sony, HTC, RIM,
Huawei, ZTE, etc.) constitue un risque pour la France et
les pays europens qui ne peuvent garantir leur intgrit technique.

(14) https://blog.dropbox.com/2012/07/security-update-new-features/
(15) Akella J. et al. (2012), Mobility disruption: a CIO perspective, McKinsey Quarterly (Traduction franaise dans la ParisTech Review).
(16) CIGREF (2010), Scurisation de la mobilit, octobre.
(17) Akella et al. (2012), op.cit.
(18) On parle de manire plus gnrale de consumrisation de linformatique lorsque des technologies adoptes par le grand public sont ensuite utilises dans le cadre de
lentreprise.
(19) ANSSI (2012) op. cit.

Mars 2013

no 324

Les quipes dintervention de lANSSI ont dabord d

reconstituer la cartographie du rseau du ministre qui
nen disposait pas afin notamment de recenser ses portes
dentre et de sortie vers Internet. Dautres ministres ou
institutions de la Rpublique sont, ou ont t, victimes
dattaques informatiques dimportance.

Le dveloppement de lInternet des objets devrait multiplier les interactions entre mondes virtuel et rel et
tendre le risque dattaque. Selon Cisco, environ 50 milliards dobjets devraient tre connects Internet en
2020(20). Dans le secteur de la sant par exemple, les
stimulateurs cardiaques (pacemaker) connects permettent de transmettre des donnes relatives lactivit
cardiaque pour une surveillance distance en temps rel.
Un chercheur(21) a dmontr pouvoir prendre le contrle
dun pacemaker distance ( une dizaine de mtres) et
dclencher des chocs lectriques mortels (830 volts).

LA NOTe

DANALySe

Alerts par le niveau de la menace et conscients de la

ncessit de scuriser les informations sensibles, les
pouvoirs publics ont entrepris de rformer en profondeur les systmes dinformation ministriels. Le
Conseil des ministres du 25 mai 2011 a dcid de la cration dun Rseau Interministriel de ltat (RIE), rseau
scuris regroupant lensemble des rseaux des ministres et permettant la continuit de laction gouvernementale en cas de dysfonctionnement grave dInternet.
Conduit par la DISIC(25) et devenu Service comptence
nationale, ce projet a intgr la scurit ds lorigine, sur
le principe dune dfense en profondeur des couches
basses des rseaux. La migration progressive des diffrents rseaux ministriels vers le RIE va permettre une
meilleure matrise de larchitecture et une homognisation de la scurit des administrations.

un niveau de scurit trs variable selon les

entreprises et les administrations

i Les organisations apprhendent difficilement le

risque informatique et y sont peu sensibilises
Avec la numrisation croissante des activits, les systmes dinformation des organisations se complexifient et doivent rpondre des usages et des besoins
de plus en plus varis. Les volutions que subissent les
organisations (fusions-acquisitions dentreprises,
restructurations de dpartements ministriels) ajoutent un degr supplmentaire de complexit.

i Les oprateurs dimportance vitale (OIV), livrs euxmmes, prsentent une grande disparit face aux
risques

Les dpenses de scurit informatique sont trop souvent considres comme une variable dajustement et
fortement contraintes dans le contexte de matrise des
cots. Le montant des investissements ncessaires pour
assurer la scurit des systmes dinformation(22) est
connu et immdiat : selon les chiffres communment
admis, il reprsenterait en moyenne entre 0,5 % et 2 %
du chiffre daffaires des entreprises(23). En revanche, le
cot conomique de linscurit numrique est incertain,
lointain, et souvent sous-estim. Pourtant, des attaques
informatiques peuvent entraner des pertes financires,
nuire limage de lorganisation et potentiellement mettre en pril son activit.

Le dveloppement rcent dattaques informatiques

contre des infrastructures physiques souligne limportance et lurgence damliorer leur protection. La lgislation a identifi des oprateurs dits dimportance vitale
(OIV) auxquels elle impose des dispositifs de scurit spcifiques (cf. encadr 3).
encadr 3

Les oprateurs dimportance vitale

Selon le Code de la dfense, les oprateurs dimportance
vitale sont ceux qui exploitent des tablissements dont
lindisponibilit risquerait de diminuer dune faon
importante le potentiel de guerre ou conomique, la
scurit ou la capacit de survie de la nation.
Douze secteurs dactivit ont t identifis comme
tant dimportance vitale :
Secteurs tatiques :
activits civiles de ltat ;
activits militaires de ltat ;
activits judiciaires ;
espace et recherche.

i Les administrations sont trs exposes mme si leur

niveau de scurit samliore
Le niveau de maturit des rflexions par rapport au
risque et les niveaux de scurit restent trs htrognes selon les ministres(24). La campagne dattaque
qua subie le ministre de lconomie et des Finances en
2010 (cf. ci-dessus) est symptomatique de la complexit
et de la non-matrise des systmes dinformation publics.

(20) Cisco (2011), The Internet of Things, White Paper.

(21) Barnaby Jack a prsent ce travail lors de la confrence Breakpoint Ruxcon Melbourne en 2012.
(22) Moyens humains, achat de produits et de services de scurit, mise en place dune dmarche danalyse de risque, etc.
(23) Le budget TIC reprsente en moyenne 5 % 10 % du chiffre daffaires, et les dpenses consacres la scurit sont denviron 15 % 20 % de ce budget. Cependant, il ny a
pas forcment de corrlation entre les montants dpenss et la qualit de la protection des systmes dinformation.
(24) Pour une explication de lorganisation de la politique de scurit des systmes dinformation ministrielle, voir http://www.ssi.gouv.fr/fr/ssi/la-ssi-en-france/.
(25) La Direction interministrielle des systmes dinformation et de communication (DISIC) est rattache au Secrtariat gnral pour la modernisation de laction publique
(SGMAP) cr par dcret le 30 octobre 2012.

www.strategie.gouv.fr

Centre danalyse stratgique

Secteurs de la protection des citoyens :

sant ;
gestion de leau ;
alimentation.
Secteurs de la vie conomique et sociale de la nation :
nergie ;
communication, lectronique, audiovisuel et information ;
transports ;
finances ;
industrie.
Pour chaque secteur dactivit, les oprateurs dimportance
vitale (OIV) sont dsigns par arrt ministriel. En 2010,
environ 250 OIV taient rpertoris sur le territoire
national(26). Ils sont soumis des obligations particulires :
formation des responsables, analyse de risque,
identification de points dimportance vitale qui feront lobjet
dun plan particulier de protection (PPP) et dun plan de
protection externe (PPE), etc.

mettre en uvre une vritable politique de scurit adapte au niveau de risque auquel les TPE/PME/ETI peuvent
parfois tre confrontes, en particulier si leur activit
appartient des secteurs critiques.
i La scurisation des terminaux individuels est un
enjeu majeur pour rduire le niveau gnral de la
menace
Les particuliers possdent de plus en plus de terminaux
connects Internet, que des attaques informatiques
(ver, cheval de Troie) peuvent infecter. Les pirates informatiques prennent le contrle de ces machines et peuvent alors former des rseaux dordinateurs (botnets)
destins mener des actions malveillantes de grande
ampleur (spam, phishing, dni de service, fraude au clic,
etc.). Des ordinateurs mal protgs permettent donc aux
pirates dtendre leurs capacits daction.
Le risque li aux terminaux mobiles est toujours mal
apprci : seulement 38 % des personnes interroges
par le CLUSIF (et 24 % des 15-24 ans) sont conscientes
que le tlchargement dapplications et dutilitaires sur
smartphones et tablettes est un facteur de risque supplmentaire.

Cependant, les risques relatifs aux systmes dinformation restent un objectif secondaire et ne font pas
lobjet dune lgislation contraignante en matire de
scurisation. LANSSI ne dispose, vis--vis des OIV, que
dun rle de conseil et la scurit de ces infrastructures
vitales est trs variable.
i La sensibilisation la scurit informatique est trs
variable selon les entreprises
La prise de conscience du niveau de la menace par les
grandes entreprises est galement trs variable. Selon
une enqute ralise par le Club de la scurit de linformation franais (CLUSIF), 63 % des entreprises de plus de
200 salaris(27) ont formalis une politique de scurit de
linformation, mais seulement 14 % dentre elles valuent
systmatiquement les impacts financiers des incidents
de scurit (25 % le font parfois). Selon les responsables
de la scurit des systmes dinformation (RSSI), les principaux freins la conduite de leurs missions sont le
manque de budget et les contraintes organisationnelles.

la scUrit des systmes

dinformation, une priorit
stratgique monDiale
Depuis 2008, la France a assign la scurit
des systmes dinformation une priorit
stratgique

Les pouvoirs publics ont progressivement pris conscience

de limportance de garantir la scurit des systmes dinformation. En 2006, un rapport parlementaire(29) constatait cet gard le retard proccupant pris par la France.
partir de 2008, une dmarche politique est vritablement
lance, avec la publication du Livre blanc sur la dfense
et la scurit nationale(30), qui consacre la scurit des
systmes dinformation enjeu de souverainet nationale. En 2009, lAgence nationale de la scurit des systmes dinformation (ANSSI) est cre en remplacement
de la DCSSI. Autorit nationale en matire de scurit
des systmes dinformation et rattache au Secrtaire
gnral de la dfense et de la scurit nationale (SGSDN),
ses principales missions(31) sont :

Il est beaucoup plus difficile de dresser un bilan du

niveau de cyberscurit des trs petites, petites et
moyennes entreprises (TPE/PME) et des entreprises de
taille intermdiaire (ETI). Lapproche de la scurit
dpend en grande partie de la sensibilit des dirigeants
pour ces questions. La dmarche de lANSSI, qui vient de
publier un guide(28), est trs certainement utile pour les
sensibiliser et assurer un niveau de scurit minimal.
Cependant, ces dispositions ne sont pas suffisantes pour

(26) Boutant M. et Garriaud-Maylam J. (2010), Rapport dinformation sur lutilisation des rserves militaires et civiles en cas de crise majeure, commission des Affaires
trangres, de la Dfense et des Forces armes, Snat.
(27) CLUSIF (2012), Menaces informatiques et pratiques de scurit en France.
(28) ANSSI (2013), Guide dhygine informatique.
(29) Lasbordes P. (2006), La scurit des systmes dinformation : un enjeu majeur pour la France, La Documentation franaise.
(30) Dfense et Scurit nationale : le Livre blanc (2008), La Documentation franaise.
(31) LANSSI dlivre aussi des labels de scurit des produits et des prestataires de services de confiance, participe au travail rglementaire et produit des guides de
recommandations et de bonnes pratiques en matire de SSI.

Mars 2013

no 324

dassurer la scurit des systmes dinformation de

ltat ;

Les tats-Unis ont t lun des premiers pays se

proccuper de la protection de leurs systmes dinformation. Le gouvernement amricain devrait consacrer
50 milliards de dollars la cyberdfense sur la priode
2010-2015(34). Le dveloppement de capacits dattaque est lune des principales caractristiques de la
doctrine amricaine en matire de cyberscurit(35).
Affirmant leur souverainet, les tats-Unis soctroient
aussi le droit de riposter une cyberattaque par des
armes conventionnelles(36).

de veiller celle des OIV ;

de coordonner les actions de dfense des systmes
dinformation ;
de concevoir et dployer les rseaux scuriss des
hautes autorits de ltat.
Depuis sa cration, les ressources de lANSSI ont rgulirement augment pour accompagner llargissement de son champ de comptences(32). Entre 2009 et
2012, le budget est pass de 45 75 millions deuros, les
effectifs ont plus que doubl (300 agents fin 2012) et
cette croissance devrait se poursuivre en 2013.

Le Royaume-Uni fournit galement un effort majeur : en

novembre 2011, le gouvernement a publi une nouvelle
stratgie de cyberscurit (37) , soutenue par un programme de financement denviron 800 millions deuros
sur quatre ans, qui a pour objectifs damliorer la rsilience aux cyberattaques et de crer un environnement
scuris.

En parallle cette mission interministrielle mene par

lANSSI, plusieurs ministres conduisent des actions
spcifiques dans le domaine de la cyberscurit :

De mme, lAllemagne renforce la rsilience de ses infrastructures critiques et augmente les moyens mis la disposition du BSI(38), quivalent de lANSSI (budget de 80 millions deuros et effectifs de 560 agents en 2012, pour un
ventail de missions plus rduit que celui de lANSSI).

le ministre de la Dfense : les volets technique et

oprationnel sont respectivement conduits par la Direction gnrale de larmement (DGA) et ltat-major des
armes (EMA). Ce dernier sest dot en juillet 2011 dun
Officier gnral charg de la cyberdfense et dune
structure oprationnelle dexpertise technique et de
traitement des attaques, le Centre danalyse de lutte
informatique dfensive (CALID) ;

Au niveau europen, lENISA (European Network and

Information Security Agency), cre en 2004, joue un rle
dexpertise et de soutien aux tats membres en retard
dans le domaine de la cyberscurit. La qualit des guides
de procdure quelle produit est unanimement souligne.
Lagence na cependant pas de responsabilit oprationnelle en raison de la volont des tats membres de
conserver leur souverainet(39). Linauguration en janvier
2013 dun Centre europen de lutte contre la cybercriminalit marque la volont de lUE dagir dans le domaine.
Identifie comme une priorit, la cyberscurit fait lobjet
dun plan stratgique(40), prsent en fvrier 2013, qui vise
maintenir un cyberespace ouvert, sr et scuris.

le ministre de lIntrieur : la Direction centrale du renseignement intrieur (DCRI) et lOffice central de lutte
contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC) sont actifs dans
la lutte contre lespionnage et la cybercriminalit.
Malgr cette prise de conscience, le rapport parlementaire de juillet 2012(33) souligne les lacunes du systme
franais : la scurit des administrations et des OIV est
insuffisante et les effectifs et moyens consacrs la
scurit sont nettement infrieurs ceux dploys par
nos principaux partenaires.

LA NOTe

DANALySe

Au niveau international, les initiatives sont disparates

et labsence daccord multilatral tmoigne des dsaccords de fond entre les tats sur la rgulation des
rseaux et la gouvernance dInternet. LOrganisation
des Nations unies (ONU) et lUnion internationale des tlcommunications (UIT) font face des blocages politiques.
Le sommet de lUIT en dcembre 2012, Duba, destin
rviser le rglement des tlcommunications interna-

le caractre stratgique de la scurit, un

constat partag par les pays dvelopps

La scurit des systmes dinformation est un enjeu

reconnu travers le monde, pour lequel les pays dvelopps ont beaucoup investi ces dernires annes.

(32) Lagence est devenue Autorit nationale de dfense des systmes dinformation en 2011 et a vu ses pouvoirs renforcs vis--vis des oprateurs de communication
lectronique (OCE) en 2012 sous linfluence du droit europen (transposition du Paquet Telecom).
(33) Voir Bockel (2012), op. cit.
(34) Voir Bockel (2012), op. cit.
(35) Le lieutenant-gnral des Marines a reconnu au cours dune confrence avoir men des cyberattaques en 2010 lors de la guerre en Afghanistan, Huffington Post,
24 aot 2012.
(36) Discours de Leon Panetta, Secrtaire la Dfense, prononc le 11 octobre 2012.
(37) The UK cyber security strategy, Protecting and promoting the UK in a digital world, novembre 2011.
(38) Bundesamt fr Sicherheit in der Informationstechnik.
(39) La Commission europenne souhaite tout de mme semparer de ce sujet de manire plus active et a lanc en 2012 une consultation publique (Improving net-work and
information security in Europe) pour rformer lagence.
(40) Ce plan stratgique sintitule : Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace.

www.strategie.gouv.fr

Centre danalyse stratgique

tionales (RTI), a t un chec, 55 pays (dont la France)

nayant pas sign le projet de texte final. La Convention de
Budapest sur la cybercriminalit (2001), premier trait
international conclu dans le cadre du Conseil de lEurope
et qui tente de lutter contre la cybercriminalit, a perdu sa
vocation universelle en raison du faible nombre de pays
signataires (une cinquantaine dtats dont les tats-Unis
et les pays membres de lUnion europenne).

Ces dispositions ne doivent toutefois pas tre gnralises, au risque de se priver des avantages conomiques
dun Internet ouvert et dcentralis : diffusion de linnovation, dmocratisation des savoirs, libralisation des
changes, amlioration de la productivit, etc.
De mme, la scurit des systmes dinformation instrumentalise peut se transformer en scurit de linformation et mettre en pril les droits et les liberts individuels.
Dtourns, les outils de scurit utiliss pour la surveillance des rseaux et linterception des communications
peuvent comporter des risques pour la vie prive des
citoyens. En France, la Commission nationale de linformatique et des liberts (CNIL) value les mesures de
scurit laune de leurs consquences sur la protection
de la vie prive et des liberts individuelles.

la gestion des risqUes :

concilier scurit, ouverture
Des systmes DinFormation
et protection Des liberts
inDiviDuelles

lever le niveau de scurit des systmes

dinformation, un enjeu conomique et de
souverainet majeur

Sur le plan conomique, lamlioration du niveau de

scurit des systmes dinformation est un facteur de
comptitivit et dattractivit qui permet :

la gestion des risques : une approche

rationnelle de la scurit pour concilier ces
diffrents objectifs

Les RSSI cherchent donc concilier un haut niveau de

scurit, laccs Internet et la protection des liberts
individuelles. Pour cela, les organisations doivent adopter
une dmarche rationnelle et objective de gestion des
risques. Celle-ci a pour objectif didentifier, danalyser et
de hirarchiser les menaces, les vulnrabilits des systmes et le patrimoine informationnel protger afin de
mettre en uvre une rponse adapte, sur les plans technique et organisationnel :

de mieux protger le patrimoine informationnel des

entreprises et des administrations ;
dapporter un supplment de confiance dans les technologies numriques susceptible de faciliter leur appropriation par les entreprises et les citoyens ;
dattirer des entreprises en procurant un avantage
comparatif par rapport des pays moins scuriss.

adoption dune dfense en profondeur des systmes

dinformation afin de rendre plus difficile la progression
des attaquants ;

Il sagit aussi dun enjeu de souverainet nationale

puisque la continuit de lactivit conomique et des services publics dpend en partie du niveau de protection et
de rsilience des administrations et des OIV face aux
attaques informatiques.

dveloppement de capacits de dtection et de raction

aux attaques informatiques pour agir rapidement et
limiter les dommages ;
maintien dun parc informatique sain ;

La recherche de la scurit doit cependant tre considre paralllement dautres objectifs : louverture des
systmes dinformation et la protection des liberts individuelles.

sensibilisation et mobilisation de tous les acteurs de

lorganisation.

lever le niveaU de scUrit

Des organisations

Isoler des systmes dinformation dinternet rduit de fait

leur exposition aux attaques, mme si le risque zro
nexiste pas(41). De tels systmes scuriss sont ncessaires pour les installations devant tre protges,
quelles que soient lampleur et lintelligence de lattaque.
Eugne Kaspersky souligne ainsi quune solution consisterait crer deux rseaux parallles : lun libre et ouvert,
et un autre compltement scuris(42).

Si le projet de rseau interministriel de ltat (RIE) devrait

durablement renforcer la rsilience des systmes dinformation, le niveau de scurit informatique des OIV
(cf. encadr 3) est loin dtre assur, encore trop loign
des proccupations des dirigeants. Or la scurit de ces

(41) Les centrifugeuses denrichissement en uranium taient isoles physiquement mais ont t infectes par Stuxnet par des cls USB.
(42) Eudes Y. (2013), Eugne Kaspersky, M Cyberscurit, Le Monde, 10 janvier.

Mars 2013

no 324

infrastructures est un enjeu de souverainet nationale,

comme le rappelle le prsident Obama dans un dcret du
12 fvrier 2013(43) visant renforcer la protection des
oprateurs. Devant lampleur du risque, la rglementation
vis--vis de ces oprateurs devrait tre renforce avec :

strUctUrer lcosystme
inDustriel De la cyberscurit

lobligation de squiper de systmes de dtection dattaques labelliss : lobligation de dclarer des attaques
nest pas suffisante puisquune attaque non dtecte
ne peut de facto tre dclare ;

la participation obligatoire, lorsque requise, des tests

de cyberscurit mis en uvre dans le cadre national
(PIRANET) et europen (Cyber Europe) ;
lisolation des rseaux traitant de donnes juges
vitales.

Malgr un tissu industriel de bonne qualit, emmen par

des grands groupes (Bull, Cassidian, Thals), des PME
dynamiques (Netasq) (47) et des projets prometteurs
(cf. encadr 4), les entreprises sont gnralement fragiles
financirement et ont du mal atteindre une taille critique
ncessaire pour accder aux marchs internationaux.

LANSSI, quant elle, devrait tre dote dun pouvoir de

contrle sur la mise en uvre de cette rglementation.

Renforcer les exigences de scurit imposes

aux oprateurs dimportance vitale, sous le
contrle de lAgence nationale de la scurit
des systmes dinformation.

encadr 4

DAVFI un antivirus franais pour plus de

souverainet
DAVFI (Dmonstrateurs dantivirus franais
et internationaux), programme de recherche lanc
en octobre 2012 et soutenu dans le cadre des
Investissements davenir, a pour objectif de
commercialiser en 2014 un antivirus destination des
administrations et des OIV, mais aussi des entreprises et
des particuliers. Il se base sur les travaux conduits depuis
une dizaine dannes par le laboratoire de cryptologie et de
virologie oprationnelles de lESIEA, cole dingnieurs qui
participe au consortium DAVFI, au mme titre que les
entreprises Qosmos, Teclib, DCNS et NovIT (chef de file du
projet). Cet antivirus vise garantir la souverainet
numrique franaise et europenne grce une approche
technique innovante et un code source en grande partie
ouvert.

Les outils mthodologiques classiques de gestion des

risques(44) sont complexes dployer au sein de structures souvent peu matures en termes de scurit des
systmes dinformation et ne sont pas adapts aux
TPE/PME. Il est ncessaire de proposer des approches
simples permettant aux TPE/PME danalyser leurs pratiques informatiques, leur niveau dexposition aux cyberattaques et les dommages que celles-ci peuvent induire.
De tels outils devraient tre proposs aux entreprises par
lANSSI ou le CLUSIF, et mis en uvre avec laide des
DIRECCTE(45).

PROPOSITION

un cosystme industriel clat, peu

valorisant pour les comptences
technologiques franaises

La France dispose dun excellent niveau de recherche

acadmique dans le domaine de la cryptologie(46). Lexpertise en matire de cartes puces est aussi de renomme mondiale, symbolise par la russite de lentreprise
Gemalto (qui a remplac Alcatel-Lucent dans le CAC 40
en dcembre 2012). Ces succs ne doivent cependant
pas cacher le retard technologique et industriel majeur
dans de nombreux secteurs cls de la technique informatique : microprocesseurs, systmes dexploitation,
quipements de tlcommunication, etc.

le maintien jour dune cartographie des systmes

dinformation et des processus industriels critiques ;

PROPOSITION

LA NOTe

DANALySe

La cration en avril 2012 dun bureau de Politique industrielle et assistance au sein de lANSSI marque toutefois
sa volont de dvelopper une vision industrielle de la
cyberscurit.

Dvelopper et mettre la disposition

des petites et moyennes entreprises des outils
simples pour grer les risques.

(43) Executive order: Improving critical infrastructure cybersecurity.

(44) Les plus connus sont la mthode EBIOS dveloppe par lANSSI et la norme ISO/IEC 27005 qui fournit les principes respecter par toute mthode de gestion des risques.
(45) Direction rgionale des entreprises, de la concurrence, de la consommation, du travail et de lemploi.
(46) Science qui a pour but de chiffrer des messages afin de les rendre inintelligibles. Elle englobe deux domaines : la cryptographie (lcriture secrte) et la cryptanalyse (le
dchiffrage).
(47) Qui a t rachete par Cassidian Cyber security, filiale dEADS, en octobre 2012.

www.strategie.gouv.fr

Centre danalyse stratgique

LANSSI doit faire merger des partenariats (interentreprises, public-priv) lchelle nationale et europenne.
Des initiatives prives pourraient galement tre soutenues, par lANSSI sur le plan technique, et dans le cadre
des investissements davenir sur le plan financier (
limage du projet dantivirus DAVFI, cf. encadr 4).

Des mcanismes de coopration public-priv

peu dvelopps

Internet est un environnement extrmement dynamique

dans lequel les technologies, les usages et les marchs
voluent constamment. Il ncessite donc dtre accompagn et rgul par des politiques publiques flexibles. La
coopration public-priv peut constituer un mode dintervention efficace(48), qui runit tous les acteurs (entreprises, pouvoirs publics, universitaires, socit civile)
pour rechercher des solutions pragmatiques bnficiant la socit dans son ensemble. La capacit
orienter le secteur priv, sensibiliser les acteurs conomiques et effectuer un partage dinformations est fondamentale pour lever le niveau gnral de scurit. ce
titre, la cration en 2011 par le Royaume-Uni dun cybersecurity hub runissant les dirigeants des plus grosses
entreprises britanniques de cinq secteurs stratgiques
(dfense, tlcoms, finance, industrie pharmaceutique et
nergie) autour du GCHQ (Government Communications
Headquarters, dont dpend la structure quivalente de
lANSSI) est une initiative intressante qui impulse une
dynamique de coopration.

PROPOSITION

largir les missions de lANSSI pour

accompagner le dveloppement de loffre
franaise de solutions de cyberscurit.

labsence dinformation quantitative fiable

Selon les fournisseurs de solutions de scurit (50) , le

niveau de la menace informatique a augment au cours
des dernires annes. Toutefois, lhtrognit de leurs
mthodologies dvaluation et de leurs estimations,
conjugue au caractre commercial de leur activit, font
peser de srieux doutes sur la qualit et lobjectivit des
statistiques quils tablissent. De plus, llaboration de
bases statistiques fiables dans le domaine des cyberattaques se heurte de nombreux biais(51) :

lexception de lassociation Signal Spam (cf. encadr 5), on peut reprocher la France un manque de dialogue et une coopration insuffisante entre les diffrents acteurs de la scurit.

il est difficile de distinguer un code malveillant dun

autre, en raison de la possibilit relativement aise de
les dupliquer et den crer des variantes ;
les cyberattaques sont souvent conues pour rester
invisibles le plus longtemps possible ;

encadr 5

Signal Spam - Seul exemple de partenariat

public-priv russi ?

la mesure des attaques dpend de la qualit des systmes de dtection ;

Signal Spam est une association qui regroupe des

organismes publics (CNIL, ANSSI, OCLCTIC, Gendarmerie
nationale) et privs (fournisseurs daccs Internet,
expditeurs de messages, diteurs de logiciels de scurit,
etc.) dans le but de lutter contre les spams et la
cybercriminalit. Pour cela, elle recueille les signalements
des internautes grce sa plateforme en ligne
(www.signal-spam.fr) et les redistribue ses partenaires
sous forme dinformation adapte leurs diffrentes
missions : top 30 des plus gros spammeurs en France
pour la CNIL, dtection dordinateurs infects pour les
fournisseurs daccs et lANSSI, etc. Lassociation est
intgralement finance sur fonds privs, car les
entreprises trouvent un intrt conomique y participer.
Les projets en cours (rapprochement avec lassociation
Phishing Initiative, participation au projet europen de
Centre de cyberdfense avance(49)) tmoignent de la
volont de Signal Spam daccrotre son influence dans la
lutte contre la cybercriminalit.

les entreprises touches par des attaques informatiques peuvent tre rticentes les rvler.
LOCDE conduit actuellement des travaux mthodologiques(52) destins amliorer la qualit des statistiques
relatives la cyberscurit. LANSSI, en liaison avec lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC),
pourrait lui emboter le pas et participer la construction
dindicateurs statistiques fiables et reconnus pour valuer
le niveau de la menace (nombre, origine gographique et
typologie des attaques). Les quipes dintervention
durgence en informatique (CERT : Computer Emergency
Response Team) doivent tre sollicites pour partager
linformation dont elles disposent. Il serait galement
intressant davoir accs des donnes relatives aux
vulnrabilits(53) ainsi qu lvolution du march industriel de la cyberscurit(54).

(48) OCDE (2012), Cybersecurity policy making at a turning point.

(49) http://ec.europa.eu/information_society/apps/projects/factsheet/index.cfm?project_ref=325188
(50) Voir par exemple les rapports de McAfee, publis par Panda Security et Symantec.
(51) ANSSI (2011), op. cit.
(52) OCDE (2012), Improving the evidence base for in-formation security and privacy policies: understanding the opportunities and challenges related to measuring
information security, privacy and the protection of children online, OECD Digital Economy Papers, No. 214, OECD Publishing.
(53) Nombre de vulnrabilits dcouvertes, temps moyen entre la dcouverte dune vulnrabilit et la publication dune alerte, etc.
(54) Cot gnr par les cyberattaques, dpenses de cyberscurit des entreprises, taille du march des solutions de scurit, nombre de formations en scurit
informatique, etc.

10

Mars 2013

no 324

LA NOTe

DANALySe

Des initiatives telles que le Laboratoire de haute scurit

informatique de lInria Nancy pourraient tre reproduites : plac dans un environnement ferm avec un
rseau isol et des locaux protgs accessibles par
reconnaissance biomtrique, il offre un cadre technologique et rglementaire fiable pour mener des exprimentations et manipulations caractre sensible.

Des blocages juridiques dommageables pour

la scurit

Le cadre juridique franais cre de nombreux blocages

susceptibles daffecter la scurit des systmes dinformation :
la loi Godfrain de 1988(55) rprime les comportements
informatiques agressifs : applique de manire
stricte, elle condamne pnalement le fait de divulguer
publiquement une faille de scurit jusque-l inconnue
(scurit par transparence ou full disclosure) alors que
cela incite les diteurs de logiciels concevoir des correctifs ;

PROPOSITION

Revoir le cadre juridique afin de conduire,

sous le contrle de lANSSI et dun comit
dthique ad hoc, des exprimentations
sur la scurit des logiciels et les moyens
de traiter les attaques.

CONCLuSION

la rtroingnierie, qui consiste tudier un objet pour

en dterminer son fonctionnement interne ou sa
mthode de fabrication, est interdite lorsquelle est
effectue pour des raisons de scurit informatique(56).
Cest pourtant le seul moyen dvaluer le degr de
scurit de produits propritaires ;
des mesures techniques de protection (57) duvres
numriques peuvent crer des vulnrabilits dans les
systmes dinformation. Ainsi, le systme de protection
XCP installait automatiquement un logiciel contenant
des failles de scurit lors de la lecture dun CD audio.
Or le contournement de ces mesures est interdit par la
loi relative au droit dauteur et aux droits voisins dans la
socit de linformation (DADVSI, 2006) ;
les brevets logiciels offrent la possibilit dobtenir un
monopole sur des techniques algorithmiques, y compris lorsque celles-ci sont ncessaires pour assurer la
scurit. Larticle 52 de la Convention sur le brevet
europen de 1973(58) exclut les programmes dordinateur du champ des inventions brevetables, mais
lOffice europen des brevets (OEB) dlivre en pratique
des brevets logiciels en raison dune interprtation
extensive de la Convention et dun modle conomique
et de gouvernance discutable.

La France a su dvelopper une recherche

acadmique et des formations dexcellence
reconnues au plan international. Toutefois,
loffre de formation est limite et ne parvient
pas rpondre la demande croissante
dexperts en scurit informatique.
De manire plus gnrale, la France est
confronte un vritable dficit dducation
linformatique, qui pourrait tre combl par
lenseignement de lusage et des langages
numriques ds le primaire(59) et le secondaire.
Susciter la curiosit des nouvelles gnrations
pour la scurit informatique est impratif
pour lever le niveau de cyberscurit :
le gouvernement japonais a par exemple
organis en fvrier 2013 son premier concours
de hacking, destin dvelopper un ple
dexpertise en scurit informatique.
b Mots cls : cyberscurit, scurit des
systmes dinformation, cyberespionnage,
ANSSI, gestion des risques.

Les chercheurs en informatique se trouvent dans une

situation dinscurit juridique qui limite leur champ de
travail et rduit un vivier de comptences pourtant indispensables pour anticiper, innover et amliorer la scurit.
Sil ne sagit pas de remettre en cause le fondement de
ces lgislations, il conviendrait dengager une rflexion
pour assouplir ce cadre juridique et dfinir des conditions permettant aux chercheurs de conduire des exprimentations qui mettent en jeu la scurit des systmes dinformation, dans un cadre juridique et
technique clairement dfini.

Mars 2013

no 324

LA NOTe

DANALySe Antton Achiary, Jol Hamelin

et Dominique Auverlot,
dpartement Dveloppement durable.
Les auteurs tiennent remercier lensemble
des experts quils ont pu solliciter dans le cadre
de ce travail.

(55) Renforce par la loi pour la confiance dans lconomie numrique (LCEN) de 2004.
(56) Selon larticle L122-6-1 du Code de la proprit intellectuelle, seule la rtroingnierie pour motif dinteroprabilit est autorise.
(57) MTP, ou en anglais DRM : digital rights management.
(58) Cette convention est aussi appele Convention de Munich.
(59) Interview de Gilles Babinet : Il faut que nos lves apprennent coder ds lge de 8 ans, Lepoint.fr, 6 dcembre 2012.

11

www.strategie.gouv.fr

DeRNIReS
PuBLICATIONS

CONSuLTeR
sur www.strategie.gouv.fr, rubrique publications

notes danalyse :
n 323 g vieillissement et espace urbain. comment la ville peut-elle
accompagner le vieillissement en bonne sant des ans ?
(fvrier 2013)
n 322 g Formation professionnelle initiale : lallemagne est-elle un
modle pour la France ? (fvrier 2013)
n 321 g gestes de premiers secours : une responsabilit citoyenne
(fvrier 2013)
n 320 g comment limiter leffet rebond des politiques defficacit
nergtique dans le logement ? (fvrier 2013)
n 319 g pour un affichage environnemental obligatoire des produits de
consommation ? (fvrier 2013)
n 318 g quel est limpact des tic sur les conditions de travail dans la
fonction publique ? (janvier 2013)

Retrouvez les dernires actualits du Centre d'analyse stratgique sur :

Centre
danalyse
stratgique
La Note danalyse n 324 mars 2013 est une publication
du Centre danalyse stratgique
Directeur de la publication :
Vincent Chriqui, directeur gnral
Directeur de la rdaction :
Herv Monange,
directeur gnral adjoint
Secrtaires de rdaction :
Delphine Gorges
Valrie Senn
Dpt lgal : mars 2013
N ISSN : 1760-5733
Contact presse :
Jean-Michel Roull, responsable
de la communication
01 42 75 61 37 / 06 46 55 38 38
jean-michel.roulle@strategie.gouv.fr

www.strategie.gouv.fr

centredanalysestrategique

@Strategie_Gouv

Le Centre d'analyse stratgique est une institution d'expertise et d'aide la dcision place auprs
du Premier ministre. Il a pour mission d'clairer le gouvernement dans la dfinition et la mise
en uvre de ses orientations stratgiques en matire conomique, sociale, environnementale
et technologique. Il prfigure, la demande du Premier ministre, les principales rformes
gouvernementales. Il mne par ailleurs, de sa propre initiative, des tudes et analyses dans le cadre
d'un programme de travail annuel. Il s'appuie sur un comit d'orientation qui comprend onze
membres, dont deux dputs et deux snateurs et un membre du Conseil conomique, social et
environnemental. Il travaille en rseau avec les principaux conseils d'expertise et de concertation
placs auprs du Premier ministre.

www.strategie.gouv.fr
Centre danalyse stratgique - 18, rue de Martignac - 75700 Paris SP 07 - Tl. 01 42 75 60 00 - strategie@strategie.gouv.fr