Les motivations permettent quant à elles au rapport d’introduire des profils jusqu’à présent sous-représentés dans la littérature officielle, tels les hacktivistes et les hackers patriotiques (souvent manipulés, ou recrutés, par un service de renseignement, directement ou sous faux pavillon, mais c’est là une autre histoire). Mais le sénateur n’ignore pas pour autant les influences étatiques directes : citant à nouveau le document préparatoire à la mise à jour du Livre Blanc sur la Défense, le rapport note que les cyber-attaques contre des cibles stratégiques sont aujourd’hui « de grande ampleur, résultant d’une longue préparation et d’un ciblage précis » et peuvent désormais nécessiter pour leur mise en oeuvre « des moyens dont seul un Etat ou une organisation déterminée sont capables de posséder« .

Enfin, la partie la plus instructive du rapport, à nos yeux, détaille l’organisation de la cyberdéfense des Etats-Unis, du Royaume-Unis et de l’Allemagne. Il s’agit d’un travail remarquable qui analyse les agences, leurs effectifs, leurs soutiens et les partenariats public-privés existants. On y observe entre autre que l’ANSSI est la moins bien lotie des trois, tant en terme de personnel (y compris avec les recrutements prévus pour 2013) que de budget. Le rapport revient bien entendu plus loin et en détail sur l’organisation française -avec parfois un point vue critique, notamment en ce qui concerne les ministères (absence de PGSSI, rôle minoré des fonctionnaires de SSI, incapacité à maîtriser le parc des terminaux, etc…)

La coopération internationale en matière de cyber-défense est également mise à l’honneur du rapport, avec une revue des principaux pôles de travail en la matière (l’ONU, le Conseil de l’Europe, l’OCDE et le réseau des CERT). Le sénateur regrette ici les lenteurs de l’OTAN et de l’Union Européenne, qui peinent à protéger leurs propres systèmes d’information et tardent donc à jouer le rôle fédérateur qui pourrait être le leur.

La conclusion, quant à elle, est sans appel : la menace a été sous-estimée et la France n’est pas dans un état de préparation optimal. L’impulsion donnée par la publication du Livre Blanc de 2008, et notamment la création de l’Agence Nationale de la Sécurité des Systèmes d’Information est louée. L’ANSSI, en particulier, est félicitée pour son rôle lors de l’attaque informatique contre Bercy. De même l’existence d’une véritable stratégie nationale dans le domaine de la cyberdéfense est saluée. Mais, estime le rapport, il reste encore beaucoup à faire à l’aune des dernières attaques pour que le pays soit en mesure de défendre efficacement ses informations confidentielles, ses systèmes vitaux et ses entreprises.

Dix priorités et cinquante propositions viennent conclure le document sur une note plus constructive. Parmi les priorités, la principale vise à faire de la cyberdéfense une cause nationale. Pour le reste, le rapport plaide, pour (sélection non exhaustive et sans ordre particulier) :

• un renforcement des pouvoirs l’ANSSI – jusqu’à un pouvoir juridictionnel
• l’obligation de déclarer les intrusions informatiques chez les opérateurs d’importance vitale
• rendre obligatoire dans les ministères la tenue d’une cartographie IT à jour
• isoler les OIV en réduisant le nombre de leurs passerelles sur Internet et contrôler ces dernières de manière plus efficace (notamment par un système agréé par l’ANSSI)
• encourager la formation et la recherche en SSI
• interdire l’usage de routeurs ou d’équipements de coeur de réseau susceptibles de présenter un risque – et notamment, cite le rapport, « ceux d’origine chinoise« 
• positionner la France au coeur des instances, groupes de discussions, standards, comités internationaux, afin de peser sur l’élaboration de standards sécurisé, de doctrines (à l’OTAN notamment), d’un code de bonne conduite international, de normes juridiques (au niveau Européen), etc…
• sensibiliser à tout va : auprès du grand public comme des petites entreprises, et au sein de l’Union Européenne (qu’il faut « rendre plus visible » sur le sujet, préconise le rapport)

Le rapport est disponible en intégralité au format PDF sur le site du Sénat : www.senat.fr/rap/r11-681/r11-6811.pdf