Inspection gnrale

de l'Administration
07 023 - 01
_________

Conseil gnral
des Ponts et Chausses
_________

Conseil gnral des

technologies de l'information
III 2 3 - 2007
________

Contrle gnral
des Armes
2061/DEF/CGA/SIA/MEI/JTX

Inspection gnrale
des Finances

Conseil gnral
des Mines

Rapport sur

la rsilience des rseaux de tlcommunications

prsent par:

Gilles SANSON

Bernard FLURY-HERARD

Jean CUEUGNIET

Inspecteur gnral
de l'administration

Ingnieur en chef
des ponts et chausses

Ingnieur gnral des

tlcommunications

Xavier de THIEULLOY

Andr TANTI

Franois BARTHELEMY

Contrleur gnral
des armes

Inspecteur gnral
des finances

Ingnieur gnral
des mines

Juin 2007

Sommaire

1/ Le constat d'ensemble n'est partiellement rassurant qu' court

terme.

11/ Les dysfonctionnements observs jusqu' prsent sont nombreux et les

menaces multiformes:

- des pannes matrielles varies continuent d'affecter les rseaux.

- les pannes logicielles sont galement courantes.

12/ Toutefois, bref horizon, sauf cas de rupture prolonge de l'alimentation

lectrique, une chute globale des rseaux de tlcommunications apparat peu
probable:

10

- les oprateurs ne semblent pas sous estimer les risques encourus et prennent certaines
prcautions.
- les rseaux disposent pour un temps encore d'une protection structurelle: leur
cloisonnement les uns par rapport aux autres.

13/ Le danger de rpercussions en cascade d'une dfaillance initiale d'un ou

plusieurs rseaux parat devoir, au moins aujourd'hui, tre galement relativis:

17

- le rseau de transport et de distribution d'lectricit est thoriquement configur pour

ne pas souffrir d'une altration ventuelle des rseaux publics de tlcommunications.
- nombre d'acteurs majeurs de la vie conomique (dans les secteurs de la banque, de
l'informatique, des transports ou de la recherche) intgrent dj des logiques
prventives convaincantes.
- l'administration cherche aussi se protger contre certains effets "domino" bien que
son effort s'affirme encore trs insuffisant.

14/ A moyenne chance en revanche, les volutions lourdes discernables reclent

des inconnues qui ne peuvent pas manquer d'inquiter:

23

- la capillarisation croissante des rseaux et des systmes dinformation rend difficile

une perception synthtique d'ensemble;
- les rseaux s'orientent de plus en plus vers des configurations TCP/IP dissipant le
cloisonnement structurel qui les protgeaient jusqu' prsent;
- les interconnexions avec Internet deviennent corollairement de plus en plus
importantes alors qu'il n'est pas possible de tabler sur leur fiabilit;
- le dploiement annonc des rseaux optiques pour les boucles locales introduit
galement de nouvelles vulnrabilits;
- lexternalisation croissante des systmes dinformation, enfin, n'est pas entoure de
prcautions suffisantes.

22/ C'est pourquoi une posture de scurit civile beaucoup plus

circonspecte l'encontre de ces risques mriterait d'tre adopte.

33

Les pistes ouvertes de rflexion visent :

21/ Conforter d'abord l'efficacit de notre dispositif d'urgence.

33

- privilgier effectivement l'chelon centralis de raction.

- largir la notion de priorits de rtablissement.
- planifier la communication d'alerte.

22/ Scuriser ensuite

administrative.

spcifiquement

et

plus

compltement

la

sphre
35

- garantir sur la dure l'tanchit des rseaux de scurit propres l'administration.

- imposer pour les services publics nvralgiques des prescriptions plus strictes de
scurit des tlcommunications.
- mieux prmunir l'administration contre les risques engendrs par l'externalisation
croissante de ses systmes d'information.

23/ Inciter autant que faire se peut les oprateurs intgrer plus d'impratifs de
scurit.

37

- reconstituer pralablement au sein de l'Etat un ple consistant de dialogue technique

avec les oprateurs.
- dvelopper une conception extensive de la dmarche SAIV/ DNS.
- prfrer de faon gnrale une logique d'incitation financire plutt que
prescription normative.

de

- dfinir, dfaut, un certain nombre de normes quantifies sur la qualit de service

susceptible d'tre exige de la part des oprateurs.
- renforcer, en dernire instance, les pouvoirs de sanctions de ladministration
l'encontre des exploitants de rseaux.

24/ Promouvoir en dernier lieu des lments de robustesse simples mettre en

uvre ou qui ont dj fait leur preuve.

42

- standardiser des quipements disposition de l'usager qui soient de conception plus

sre.

- tirer les consquences de la rsistance particulire et jusqu'ici avre des messageries.

*
* *

La rsilience des rseaux de

tlcommunications
a) La France, mesure qu'elle se dveloppe, tend et interconnecte des rseaux de types multiples dont
elle devient de plus en plus dpendante. Alors que des menaces nombreuses (risques technologiques,
actes de malveillance, catastrophes naturelles) psent sur ces diffrents rseaux, les risques de
rpercussions de l'un l'autre d'une panne ou d'une dtrioration sont accrus par leur
enchevtrement.
Pour autant, si la vulnrabilit de notre socit apparat ainsi intuitivement trs grande, elle reste
globalement mal mesure et la prparation pour y faire face encore laborieuse.
Certes, s'agissant d'une rupture d'alimentation nergtique et plus particulirement d'une panne de
notre rseau d'lectricit, la nature des risques encourus et leurs effets sur la vie conomique et sociale
apparaissent maintenant relativement correctement apprhends.
En revanche, ceux qui ont trait aux dysfonctionnements propres des rseaux de tlcommunications le
sont de faon nettement moindre : les tudes disponibles sont rares alors que le bouleversement
constant des technologies et du monde des tlcommunications non seulement rend complexe toute
analyse de cette question mais prime aussi trs vite les jugements qui peuvent avoir cours.

b) Aussi, le Conseil national de la scurit civile a souhait qu'un groupe de travail interministriel
porte prioritairement son attention sur ce problme.
Il ne s'agissait pas, dans le cadre du mandat et du temps impartis, de chercher formuler ce stade des
propositions de solution. Le champ couvert par la rflexion tait dfini limitativement. Il convenait
avant tout de prendre la mesure de la vulnrabilit de ces rseaux, notamment en envisageant, comme
premire piste de travail, divers scnarii de pannes possibles, avec une ambition: celle d'aider ce titre
l'laboration en cours du volet "tlcommunications" du plan Orsec.
Ce groupe de travail a runi les membres de 6 corps de contrle ou conseils gnraux de ministres
diffrents: Inspection gnrale de l'administration, Conseil gnral des technologies de l'information,
Conseil gnral des ponts et chausses, Contrle gnral des armes, Inspection gnrale des finances,
et Conseil gnral des mines.
Il a procd aux auditions des reprsentants tant des principaux oprateurs (France Tlcom,
Bouygues Tlcom, SFR, Neuf/Cgtel, Iliad/Free) que des administrations (Industrie, Dfense,
Intrieur, SGDN, CICREST1) et de l'autorit de rgulation (ARCEP2) concernes. Le cercle a t
largi aux responsables de diffrentes entreprises publiques (EDF, RTE, RATP, SNCF), de rseau
spcialis (GIP RENATER), d'hbergeurs (ATOS-Worldline, Telehouse), d'acteurs centraux de la vie
conomique (Groupement des cartes bancaires, Association franaise des banques) et de dfense des
usagers (AFUTT3).

CICREST : commission interministrielle de coordination des rseaux et des services de tlcommunications.

ARCEP : autorit de rgulation des communications lectroniques et des postes.
3
AFUTT : association franaise des utilisateurs de tlcommunications.
2

c/ Au terme de cette premire rflexion, c'est un constat assez nuanc mais, exprim avec beaucoup de
prudence, plutt rassurant court terme que le groupe de travail est tent de formuler quant la
vulnrabilit globale de nos rseaux de tlcommunications.
Mis part une rupture massive et durable de l'alimentation en lectricit (dont les rpercussions sont
majeures et globales sur les dispositifs de tlcommunications), les occurrences les plus probables
avec lesquelles nous pourrions avoir composer semblent emporter des risques d'ampleur qui serait
limite. Un grand nombre de facteurs sont en effet prendre en considration. Cependant, la
multiplication dsormais du nombre des systmes de tlcommunications concurrents (systmes
reposant par ailleurs sur des technologies pour partie indpendantes) devrait permettre le plus souvent
des recours de substitution en cas de panne de l'un d'eux.
A moyenne chance, s'exprime en revanche une foule d'incertitudes lies notamment la place de
plus en plus prpondrante d'Internet au sein des systmes de tlcommunications. Ce contexte ne
rend plus possible d'exclure a priori l'hypothse d'un effondrement ventuel significatif de ces
derniers.

d/ C'est pourquoi il est propos d'adopter une posture de scurit civile qui soit trs circonspecte
l'encontre des risques exposs.
Diffrentes propositions de mesures sont formules ce titre.
ce stade de l'analyse, elles ne prtendent cependant ni l'exhaustivit, ni la pertinence assure.
Elles doivent tre conues comme un premier point d'ancrage la rflexion et comme une contribution
mthodologique au travail en cours de planification de la prvention et des secours.

1/ Le constat d'ensemble
rassurant qu' court terme.

n'est

partiellement

Si les dysfonctionnements ponctuels de systmes de tlcommunications sont jusqu' prsent

relativement courants (1.1), plusieurs facteurs accrditent malgr tout l'ide:
- que, bref horizon, un effondrement global des rseaux est peu probable (1.2),
- et que le danger, aujourd'hui, d'une rpercussion en cascade de la dfaillance d'un ou de
plusieurs de ces rseaux doit tre, en tout tat de cause, relativis (1.3).
A moyenne chance (4/5 ans) en revanche, les volutions discernables dans le monde des
tlcommunications et de l'information reclent de nombreuses inconnues qui ne peuvent
manquer d'inquiter (1.4).

1.1 / Les dysfonctionnements observs jusqu' prsent sont

nombreux et les menaces multiformes.
De fait, les oprateurs ne sont pargns ni par les pannes matrielles, ni par les pannes
logicielles.

1.1.1/ Des pannes matrielles varies continuent d'affecter les rseaux.

1.1.1.1/ Les oprateurs sont confronts quotidiennement des problmes
dquipements dfaillants.
Cependant, ceux-ci sont en gnral grs sans consquence grave pour les usagers qu'il
s'agisse d'artres coupes ou de sites ponctuellement hors service:
- des cbles ou fibres coups :
Alors que les acheminements interurbains sont presque toujours multiples, les oprateurs
savent gnralement pallier dans des dlais raisonnables la moindre coupure dartre, mme si
lacheminement de substitution emprunt a souvent une capacit moindre et ptit d'un certain
taux dchec. En tout tat de cause, les boucles locales impliques ne concernent par nature
quun nombre restreint dabonns. Par ailleurs, les organismes nvralgiques (hpitaux,
pompiers) susceptibles d'tre concerns sont censs, a priori, la fois avoir t sensibiliss
par ladministration et par les oprateurs sur la ncessit de prvoir pour eux mme une double
desserte et s'tre quips en consquence.

- des sites hors service :

Les quipements priphriques sont les plus concerns. Les stations radio (BTS) des
oprateurs mobiles subissent ainsi rgulirement des pannes, que ce soit du fait d'intempries
locales ou par rupture ponctuelle dalimentation en lectricit. SFR a signal cet gard avoir
en permanence de l'ordre d'une centaine de sites en dfaut sur ses 15 000 BTS en
fonctionnement. Toutefois, grce leurs chevauchements de couverture les uns par rapport
aux autres, leffet sur les usagers de cette situation est quasiment imperceptible.
Ces matriels, il est vrai, sont particulirement vulnrables aux coupures dalimentation
nergtique. Ils ne possdent pour la plupart qu'une autonomie sur batteries de l'ordre de 3 4
heures et ne comprennent pas de groupe lectrogne de secours. Quant aux oprateurs qui en
ont la charge, ils ne disposent pas d'un parc de gnrateurs toujours suffisamment bien rparti
ou suffisamment important pour rpondre aux besoins ds lors que ces derniers sont tendus.
Les grands sites de commutation sont par contre moins exposs ce type de contingences en
raison du nombre de prcautions prises (quipements propres en groupes lectrognes,
multiplication des alarmes incendie, attention porte aux problmes de scurit daccs ) De
ce point de vue, l'incendie du central survenu Lyon Svign en novembre 1981 fait
exception : un million dusagers de la rgion Rhne Alpes avait, cette occasion, t isol du
monde extrieur pendant 1 3 jours.

1.1.1.2 / Plus exceptionnellement mais rgulirement, les systmes ptissent aussi de

catastrophes naturelles.
Les consquences peuvent en tre alors plus notables. Les temptes de 19994 en ont t
l'exemple le plus marquant (mais il serait loisible de citer de nombreux autres vnements de
mme ordre, quoique sur des zones plus rduites, comme la tempte qui a souffl sur la
Bretagne en 1987 ou celle sur lle de la Runion en fvrier dernier.)
Ces temptes ont, l'poque, trs srieusement affect nos rseaux de tlcommunications
cause de leur intensit et de leur tendue, les 2/3 du territoire ayant t touchs. Deux
dpressions, en effet, ont successivement travers la France le dimanche 26 dcembre et la
nuit du 27 au 28 dcembre. Les vents qui avaient dpass 150 km/h dans plusieurs villes5 ont
provoqu prs de 100 milliards de francs (soit de l'ordre de 15 milliards d'euros) de dgts
dont 1,12 milliard de francs de dgts aux seuls rseaux de tlcommunications :
- 1 million dabonns ont t privs dans ces circonstances de tlphone fixe tandis
que 15% des sites de tlphone mobile avaient t mis hors service6. (La France ne
comptait alors que 5 millions dabonns mobiles environ alors qu'ils dpassent 51,7
millions prsent : 15% des sites reprsenteraient donc probablement aujourdhui une
incapacit de communiquer pour prs de 5 millions de dtenteurs de mobiles);
- il a fallu une semaine environ pour remettre en tat de fonctionnement les
tlcommunications sachant qu'au bout de 3 jours le nombre dabonns privs de
tlphone fixe avait pu toutefois tre divis par deux7.

Cf. rapport de la mission interministrielle charge de l'valuation des dispositifs de secours et d'intervention
mis en uvre l'occasion des temptes des 26 et 28 dcembre 1999 -juillet 2000-.
5
Alenon, Paris, Metz, Colmar, La Rochelle, Clermont Ferrand Le record tant de 198 km/h lIle dOlron.
6
Soit, notamment, 1400 sites Itinris sur 9000.
7
L'ensemble des autres rseaux avait t galement dtrior: 3,5 millions de foyers avaient t privs
dlectricit. (Le retour la normale sest effectu en une semaine environ mais avec un coup de collier plus
net que pour les tlcommunications puisque plus de la moiti d'entre eux avait pu tre rtablie en 24 heures.)

Or, ces temptes se sont droules dans un contexte particulier qui en a malgr tout limit la
porte dramatique. Elles ont eu lieu non seulement en priode de faible activit mais alors, par
ailleurs, que des centaines de cellules de crises avaient t pr actives dans la crainte du "bug
de lan 2000" et que des milliers de groupes lectrognes avaient t rquisitionns dans ce
cadre, moyens qui ont t immdiatement affects au rtablissement des infrastructures.

1.1.2 / Les pannes logicielles sont galement courantes.

Elles sont aussi bien d'origine interne qu'externe.

1.1.2.1 / Parmi celles ayant une origine interne, les plus notables rcemment ont t
analyses par le CGTI8.
L'tude a port sur trois cas intervenus en 2004, le premier mettant en cause un rseau fixe,
les deux autres des rseaux mobiles :
lors du week-end du 30 au 31 octobre 2004, France Tlcom a connu un
dysfonctionnement partiel de ses commutateurs MT25 (qui traitent 30% de ses
abonns) se traduisant par lchec des appels "arrive" longue distance vers ces
centraux (les appels locaux continuant de leur ct tre achemins normalement).

Si France Tlcom a ragi en une heure environ, crant une cellule de crise au bout
dune heure et demie, la perturbation s'est poursuivie prs dune journe.
Lorigine de ce trouble est une erreur humaine de configuration dun quipement parefeu linterconnexion du rseau tlphonique commut avec le service VoIP. Ce
problme a engendr en cascade des messages errons vers les MT25, puis un
dsordre de fonctionnement de ces derniers eux-mmes. Il est noter que cet incident
sur le rseau fixe n'a pas affect le rseau mobile.
le mercredi 17 nov. 2004, une panne majeure galement a touch pratiquement tous
les clients de Bouygues Tlcom, interdisant les appels "dpart" et "arrive". Elle tait
due, loccasion dune saisie importante de nouveaux numros, une dfaillance
logicielle dune base (HLRV9) qui gre les profils des abonns et leur localisation. Cet
quipement tait certes dupliqu mais en type "miroir", ce qui fait que lquipement de
secours existant s'est retrouv insusceptible de prendre le relais.

Cette panne a commenc vers 6h du matin. Une cellule de crise a t dclenche ds

7h30. Des mesures de corrections partielles ont t mises en oeuvre progressivement
jusqu 13h, heure de correction de la panne elle-mme. Toutefois, les perturbations se
sont prolonges encore une partie de la journe.
de la mme faon, le 30 mars 2004, le trafic destination des mobiles Orange,
aprs une priode de dgradation progressive entre 16h00 et 19h00, a t totalement
interrompu jusqu' 20h50.

Quant la distribution deau, elle a t paralllement perturbe: 2,5 million de personnes ayant t prives deau
(pour 40% d'entre elles pendant plus de 3 jours).
8
Enqute sur les dysfonctionnements rcents ayant touch des oprateurs de tlcommunications CGTI
dcembre 2004.
9
HLR : "home location register".

Ce drangement tait li lintroduction (qui sest mal passe) dune fonctionnalit

nouvelle sur les HLR et il sest propag ensuite au HLR de secours.
Depuis, des mesures ont t prises la fois pour viter que de tels incidents ne se reproduisent
(grce notamment une duplication mieux conue des HLR) et pour que linformation, dans
des cas de figure similaires, circule de faon plus fluide entre tous les acteurs amens ragir
(projet de cration dun guichet de contact unique au sein de ladministration).
Il reste que, selon le CGTI, des pannes de cette nature restent invitables dans un contexte de
plus en plus informatis et volutif. L'acclration de l'innovation dans les services proposs,
l'interaction en temps rel d'un nombre croissant de bases de donnes, l'interconnexion de
rseaux de plus en plus diversifis et la convergence des mondes diffrents des
tlcommunications et de l'Internet rendent de plus en plus complexes les systmes et "dlicate
et problmatique une matrise exhaustive de l'ensemble des situations possibles".
En l'espce, la ractivit des oprateurs a cependant t juge convenable. Le temps de remise
en tat auquel on doit rester s'attendre dans ce genre d'hypothses est estim quelques heures
et, au plus, une journe.
Avec le temps, des progrs ont, il est vrai, sans doute t raliss si l'on se rfre, par exemple,
une panne comme celle qu'a connue le rseau Transpac en juin 1985 : la suite de la forte
croissance du trafic Vidotex, caractris par des communications courtes et nombreuses,
lunit de commande qui traitait les appels a t sature. Cette situation a conduit une
altration prolonge du service pour la plupart des abonns. Des solutions palliatives ont bien
t mises en place en quelques jours. Cependant la situation n'est vraiment redevenue normale
qu'au bout de deux semaines.

1.1.2.2/ Les attaques externes susceptibles d'engendrer des pannes sont, quant elles,
quasi permanentes.
Une illustration aigu en est la diffusion du ver Slammer, qui a fortement perturb Internet en
janvier 2003. Ce ver a utilis une faille Microsoft sur les serveurs de bases de donnes SQL
pour, dune part se propager en quelques minutes vers dautres serveurs dans le monde entier
et, dautre part, mettre des messages saturant le rseau.
L'ensemble des oprateurs souligne, pour ce qui est dInternet et de la messagerie, le jeu
perptuel du chat et de la souris, d'attaques et de dfenses, auxquels ils sont soumis au
quotidien. Prs de 80% du trafic de la messagerie est actuellement compos de spams gnrs
par des PC d'usagers ordinaires mais infects, sachant que certaines organisations revendent
pour quelques centimes deuros le contrle dun PC capable denvoyer des spams10. Les
oprateurs sont donc contraints de renouveler en continu leurs dispositifs de protection, "black
listant" les sites ou FAI11 qui gnrent un trafic suspect, essayant de filtrer leur propre flux
sortant afin de ne pas tre eux mmes "black lists" par dautres, etc. Lors de tentatives
d'intrusion, le flux est multipli par un facteur de 10 1000 : "cest comme si toutes les
voitures de France convergeaient vers un arrondissement de Paris", rapporte un oprateur.
De fait, le dni de service12 par infection de multiples serveurs (ou par des PC "zombies"
pralablement infects qui se dclenchent une heure donne) est difficile conjurer, mme si
les diligences des oprateurs permettent damoindrir leffet de ces attaques continuelles.

10

Orange/ Wanadoo subit ainsi une attaque par seconde sur sa plate-forme de messagerie.
FAI: fournisseur d'accs Internet.
12
Dni de service (denial of service /DoS) : saturation d'une portion du rseau, d'une ligne d'accs, d'un
ordinateur sous une avalanche de paquets parasites.
11

10

1.2 / A bref horizon, sauf rupture prolonge de l'alimentation

lectrique, un effondrement global des rseaux apparat peu
probable.
Mis part le cas d'une panne lectrique d'envergure, les prcautions prises par les oprateurs
comme les caractristiques, pour un temps encore, des rseaux devraient permettre d'viter
une paralysie d'ensemble des systmes de tlcommunications (qu'elle soit locale ou de grande
tendue).

1.2.1/ Les oprateurs, de faon gnrale, ne semblent pas sous estimer

l'ampleur des risques encourus.
1.2.1.1/ Ils expriment une perception assez identique des menaces: lalimentation
lectrique est ressentie comme la principale vulnrabilit des rseaux.
Toute interruption de l'alimentation lectrique a des rpercussions fcheuses ds qu'elle
dpasse quelques heures. L'mission comme la rception sont alors dsorganises.
Jusqu' deux-trois heures de coupure, la situation reste matrise. Mmes les sites radio ou
commutation les plus prcaires bnficient en effet d'une autonomie nergtique minimale de
cet ordre mais gure suprieure13. Ainsi, la panne lectrique de prs d'une heure subie le 4
novembre dernier en soire (et dont ont pti prs de 5 millions de personnes dans la moiti
nord de la France14) n'a pas eu d'impact sur la fluidit des tlcommunications15.
En revanche, au del de ce dlai, les quipements priphriques tombant progressivement en
panne plus ou moins rapidement, les oprateurs, si la zone concerne est importante, ne
disposent pas des moyens humains et matriels pour les secourir. La stratgie des oprateurs
ne consiste pas, au demeurant, se prmunir contre une panne durable (juge trs
improbable) de lalimentation lectrique, mais plutt de disposer autant que faire se peut
(grce des batteries) dune autonomie permettant de tenir jusqu lintervention dune quipe
de dpannage. La disponibilit dun groupe lectrogne ne rentre que marginalement dans le
choix dun site radio.
Au bout dune demi-douzaine dheures, ne peut donc subsister de fait qu'un service de
tlcommunications excessivement dgrad partir des seuls sites dots de gnrateurs.
Ainsi:
- s'agissant des rseaux mobiles, fonctionnent certes la plupart des commutateurs
(MSC16) mais un nombre drisoire des sites radio. La couverture gographique n'est
plus alors que de quelques % du territoire incrimin;
13

La situation est galement encore susceptible d'tre tenue en main sil sagit dune coupure plus longue mais
dont le secteur concern reste circonscrit, compte tenu la fois du tuilage des champs couverts par les sites radio
et de la possibilit dacheminer si besoin un groupe lectrogne de secours sur place.
14
Cette panne s'est produite vers 22h partir d'une dfaillance en Allemagne du rseau de EON Netz qui a
conduit des procdures de dlestages en chane dans toute l'Europe et particulirement en France.
15
Si l'on fait exception d'une part de certains phnomnes mineurs de dconnections de terminaux sur Internet et
de reconnections un peu laborieuses et, d'autre part, de demandes massives d'information qui ont pu faire
craindre ici ou l aux services d'urgence une ventuelle saturation de leurs lignes d'appels.
16
MSC : Message Switching Centers.

11

- sagissant du rseau fixe, si les curs de chane des centraux continuent

fonctionner grce des gnrateurs, il n'en est pas de mme des units de
raccordement dabonns distants dont l'autonomie nergtique est limite quelques
heures. France Tlcom17 estime quen cas de black out nergtique un tiers des
abonns fixes serait aujourdhui priv de communications.
Cette proportion est appele augmenter notamment en raison de la plus grande
dpendance en nergie des installations chez labonn. Le temps nest plus, en effet,
au fonctionnement "contre vents et mares" du tlphone fixe, grce lalimentation
48V de la ligne France Tlcom : dsormais la plupart des postes vendus dans le
commerce ncessitent une alimentation lectrique propre (tel est le cas, par exemple,
des tlphones "sans fil" ou des combins "tlphone/rpondeur/fax"). Il en est de
mme des "boxes", ces botiers lectroniques installs chez l'usager au bout de la
ligne ADSL. Ainsi, les lignes totalement dgroupes ne fonctionnent plus en cas de
panne lectrique domicile18. Faiblesse supplmentaire des "boxes": elles
fonctionnent sur le modle dun ordinateur et mettent plusieurs minutes se
reconnecter aprs une panne dalimentation. France Tlcom a reconnu que, lors de la
panne lectrique de novembre dernier, certaines "boxes" avaient mis une heure se
reconnecter en raison de la charge.

Or, cette sensibilit majeure aux ruptures d'alimentation lectrique est accentue galement
par l'importance croissante prise progressivement dans les centraux par deux lments :
- les besoins cruciaux de climatisation de matriels dont le fonctionnement ne tolre
plus d'carts de tempratures;
- la part des quipements ADSL laquelle conduit le dveloppement rapide de
lInternet haut dbit et qui, malgr la miniaturisation et les progrs techniques, est
fortement consommatrice d'nergie rduisant d'autant l'autonomie initiale des sites19.
C'est pourquoi nos interlocuteurs (notamment Bouygues et SFR) se sont plaints de ne pas tre
prioritaires vis vis dEDF, autrement dit que leur situation en cas de dlestage ne soit pas
privilgie.
Ce problme a t abord avec EDF. Du fait de la dispersion de leurs installations sur le
territoire et de la consommation relativement faible de chacune d'entre elles, les oprateurs
nont pas le statut de "grand compte" auprs dEDF. Ils ne bnficient donc pas de priorits
dalimentation. Ce n'est pas non plus techniquement illogique car le rseau de distribution
d'lectricit est organis partir des dparts des postes MT/BT20. Le fait davoir un abonn
prioritaire sur un dpart conduit rendre la globalit de ce dernier (et ses milliers dabonns)
prioritaire.
Par contre, rien nempche que les sites des oprateurs de communications lectroniques
soient systmatiquement considrs comme prioritaires pour le rtablissement du courant la
suite d'un sinistre. Ce besoin devrait tre mcaniquement pris en compte par les prfets dans
leur planification de crise.

17

France Tlcom reprsente 80% des abonns de tlphonie fixe. Or, les autres oprateurs, plus lis des
technologies de dgroupage total (box) sont encore plus vulnrables face aux coupures nergtiques.
18
Dans le cas dune ligne partiellement dgroupe, le fonctionnement reste possible sur la bande basse France
Tlcom avec un poste aliment par la ligne.
19
Tel oprateur rencontr a ainsi confi que la dure d'autonomie de ses centraux avait de la sorte t rduite par
un facteur 6; autrement dit, l o celle-ci tait auparavant de 24h, elle tait dsormais tombe 4h.
20
MT/BT: moyenne tension / basse tension.

12

C'est parce que non seulement les consquences d'une rupture d'alimentation lectrique sont
donc grandes mais aussi parce que les oprateurs s'affirment particulirement dmunis pour
s'en prmunir que cette menace est regarde comme la plus aigu, bien avant les risques
physiques aux installations (malveillance, incendie) ou les pannes de logiciels.

1.2.1.2 / Des efforts indniables sont raliss pour fiabiliser les rseaux.
L'impression a t confirme partir des rencontres ayant eu cours avec les responsables tant
des principaux oprateurs de rseaux commerciaux ouverts au public (SFR, Bouygues FranceTlcom, Neuf/Cgtel, Iliad) que des institutions disposant d'un rseau propre pour lexercice
de leurs missions (RATP, EDF, RTE, RENATER) d'une indiscutable prise en compte des
risques encourus.
lexception des balises mettrices rceptrices (BTS) des rseaux mobiles21, la
plupart des quipements actifs sont dupliqus.

Les centres de supervision nationaux le sont en principe. Ils peuvent se suppler de

l'un lautre. Les oprateurs mobiles22 s'appuient ainsi sur de centres de supervision
24/24 qui, en permanence, connaissent ltat du rseau et sont en mesure de dpanner
distance les sites, de ragir aux crises en tlcommandant des quipements actifs, par
exemple pour isoler une zone sur laquelle apparat un problme, voire denvoyer des
quipes sur le terrain si besoin. Ces centres de supervision/ exploitation disposent de
doubles raccordements.
Les bases de donnes clients (HLR), qui sont un lment essentiel de la gestion des
abonns23 sont galement entretenues en deux ou trois exemplaires. Les mesures
prises pour les scuriser la suite des pannes de 2004 devraient notamment permettre
le cas chant un basculement plus sr des unes aux autres.
La topologie des rseaux est le plus souvent conue pour supporter des ruptures
dartre, avec une organisation maille et des capacits largement
dimensionnes auxquelles s'ajoute le recours ventuel des technologies diffrentes
pour assurer les liaisons, comme les faisceaux hertziens, les fibres optiques ou le
satellite (Il subsiste cependant des zones qui ne peuvent pratiquement tre alimentes
que par une ligne et sont donc plus vulnrables que les autres).

Les oprateurs fixes s'appuient ainsi sur des rseaux autoreconfigurables, soit grce
des maillages, soit sur des boucles optiques dans lesquelles lacheminement peut
emprunter indiffremment un sens ou lautre de la boucle.
Mme si elle introduit des vulnrabilits nouvelles (bugs logiciels qui se propagent de
manire incontrle), lvolution vers IP offre aussi des possibilits de
reconfiguration : un de nos interlocuteurs nous a indiqu pouvoir secourir un
softswitch (commutateur pour les communications vocales en IP) par un autre
21

Mais les cellules de ces rseaux se recouvrent partiellement, si bien que la dfaillance de lune delles peut
partiellement tre compense par les voisines.
22
La description de l'un de ces rseaux est ainsi la suivante : 15 000 stations radio (BTS) disposent dune
autonomie lectrique de 4 heures sur batteries. Ces sites radio sont pilots par des BSC (environ 430) qui
disposent de 8 heures dautonomie, et, pour 30% dentre eux, sont pourvus de groupes lectrognes et
"redonds" en transmission. Les commutateurs (65 MSC) sont dans des sites scuriss avec groupes lectrognes
et double alimentation EDF. La panne dun MSC aurait pour consquence la neutralisation des BTS qui lui sont
rattaches. De ce fait les oprateurs ont prvu des plans de secours (lourds) pour ces situations. Les HLR
(lment sensible du rseau, cf ci-dessus) disposent de 2 redondances.
23
Elles servent notamment identifier les terminaux qui se prsentent sur les balises mettrices-rceptrices
(BTS).

13

softswitch en cas de panne, ce qui ntait pas possible dans la configuration historique
o chaque abonn tait intimement li son commutateur de rattachement.
A titre dexemple, un oprateur nous a dcrit son rseau, fortement bas sur un cur
de rseau IP et des routeurs pour relier le cur de rseau aux boucles de collecte
locales. Un tel rseau est largement auto reconfigurable en cas de panne. Il y a
sparation du rseau public assurant la desserte de lensemble des abonns et du
rseau ferm offrant un service de transport de data (type VPN IP ou MPLS) aux
gros clients, ces deux rseaux ntant relis que par des passerelles contrles.
Le pilotage des quipements24 est indpendant du rseau de trafic et donc, dans les
architectures actuelles, des ventuelles perturbations de ce dernier. Encore convient-il
de noter que cette protection lie l'architecture traditionnelle des rseaux
tlphoniques est susceptible de disparatre dans les prochaines annes.

L'autonomie nergtique des oprateurs est cense avoir t amliore25. Les

grands sites de commutation seraient apparemment dots plus largement de groupes
lectrognes. Cependant, si dans des villes moyennes, certains oprateurs ont
dvelopp un double raccordement au rseau EDF, ils ne sont pas alls pour autant
jusqu' systmatiser l'installation de groupes permanents (ils s'en tiennent la simple
possibilit de brancher un gnrateur externe de secours). Quant la dure
d'autonomie des quipements fonctionnant sur batteries, il n'est rien moins que certain
que des efforts aient t vraiment entrepris, depuis l'exprience fcheuse de dcembre
1999, pour la prolonger26.

Les contrats de maintenance des quipements 27 incluent systmatiquement des

garanties de dlai de rtablissement.

La rsistance aux risques d'inondations a t, elle aussi, renforce avec lessor de la

fibre optique. Celle-ci continue fonctionner mme dans leau et seuls ses points de
terminaison sont sensibles lhumidit (sachant que les rpteurs ont eux-mmes
quasiment disparu compte tenu des distances de plusieurs centaines de km dsormais
possibles sans amplification).

La rsistance des dispositifs d'ensemble aux chaleurs hors normes a pu,

l'exprience de la canicule de 2003, apparatre jusqu'ici convenable. Ainsi, les fortes
tempratures prolonges constates cette occasion nont pas induit de consquences
lourdes sur le fonctionnement de systmes techniques essentiels. Trains, mtros,
centrales de production lectriques, systmes informatiques ont fonctionn quasi
normalement. Aucune faille majeure nest apparue du point de vue technique.

Les quipements de climatisation des curs de rseaux de tlcommunications et

d'information continuent cependant apparatre comme des points de fragilit
ponctuels. Ces systmes sont en gnral redondants (en N+1), mais leur
dysfonctionnement pourrait tre bloquant au niveau dun service particulier, mme en
dehors des fortes chaleurs dt. Ce danger est toutefois masqu par un risque d'ordre
suprieur: celui d'une coupure lectrique sur une large chelle provoque par
24

Le pilotage s'effectue soit en mode associ (la signalisation utilise des voies logiques diffrentes mais suit la
mme architecture physique que les voies de trafic), soit en mode quasi associ de type rseau Smaphore n7
(relativement indpendant lui-mme du rseau de trafic physique).
25
Mais en mme temps certains quipements se rvlent dsormais plus consommateurs d'nergie: cf. note bas
de page n 12.
26
Les oprateurs, de faon gnrale, ont manifest de grandes rticences communiquer les performances
exactes de leurs matriels.
27
Les oprateurs commerciaux nassurent pas eux-mmes la maintenance des quipements de leur rseau, mais
la sous-traitent des socits spcialises.

14

limpossibilit de refroidissement des centrales dEDF, la temprature atteinte dans les

rivires dpassant alors les seuils autoriss28.
Plusieurs oprateurs ont indiqu raliser des exercices priodiques de scurit pour
vrifier ltat de prparation de leurs matriels et de leurs quipes.

Les mesures prises en matire de scurit physique des locaux, pour ce qui a t
donn de constater, n'appellent pas de remarques.

1.2.1.3 / Il reste que le contexte de concurrence ne constitue pas un lment

dynamisant de ralisation d'efforts.
Malgr certains discours de convenance entendus, le niveau de scurit offert par les diffrents
oprateurs commerciaux n'est pas un argument fort de conqute des marchs et de fidlisation
de la clientle. La bataille continue se livrer en premier lieu sur les fonctionnalits du service
et, plus encore, sur le niveau de prix des prestations que sur la qualit de service.
Les oprateurs rencontrs concdent, il est vrai, n'avoir subi aucune perte importante
dabonns, fussent-ils professionnels, la suite de pannes les ayant affects.
L'administration elle-mme les conforte dans une telle approche. Nombre de services publics
(dont ceux consacrs l'urgence) retiennent, dans la passation de marchs de
tlcommunications, le prix comme premier critre de choix. Mme les ministres clef dont
les proccupations de scurit devraient tre primordiales sont de plus en plus tents, non sans
risques, de privilgier une seule logique d'conomies budgtaires. L'un des plus importants et
des plus sensibles d'entre eux vient d'tre confront plusieurs dfaillances successives de son
systme de tlcommunications aprs avoir dcid de recourir, essentiellement pour des
raisons de cot, un oprateur de rputation pourtant mdiocre.
Les cadres contractuels standard refltent d'ailleurs le fait que la scurit n'est pas considre
comme un enjeu commercial central. Dans bien des cas, l'exception des gros clients, les
clauses de pnalits introduites pour indisponibilit du rseau n'apparaissent pas significatives.
En tout cas, elles sont insuffisantes pour considrer qu'elles obligent les oprateurs
optimiser, de faon conforme l'intrt gnral, la configuration de leur rseau face la
varit de risques susceptibles de se prsenter.
Or, aucune rglementation contraignante pour les oprateurs en matire de scurit ne corrige
cette situation. Les obligations rsultant du CPCE29 et des cahiers de charge accompagnant
l'octroi des licences radio sont caractre extrmement gnrales ("permanence" et "continuit
de service") et non formalises au travers de prescriptions techniques spcifiques. Le niveau
actuel de scurit rsulte ainsi, avant tout, dun consensus plus ou moins tacite entre les
diffrents acteurs salignant sur les pratiques de leurs concurrents.
En ralit, les oprateurs apparaissent sans doute plus inquiets de se prmunir contre les
risques encourus en interne (bug logiciel par exemple) qu' l'encontre de risques collectifs
comme les catastrophes naturelles:

28
29

pour lesquelles il leur sera toujours loisible d'voquer la force majeure (ou la
dpendance vis vis de loprateur historique),

et dont les consquences, a priori, ne les pnaliseront pas spcialement par rapport
leurs concurrents.

Ce risque n'a t matris en 2003 que moyennant lacceptation dune temprature suprieure des cours deau.
CPCE: code des postes et communications lectroniques.

15

Si le degr de prparation qu'ils manifestent vis vis des crises peut tre qualifi de
convenable, ceci rsulte autant:
-

dune organisation gnrale destine assurer une bonne qualit de service dans
un contexte de concurrence et de vigilance permanente face des attaques
logicielles quotidiennes,

que de plans labors pour faire face des crises majeures.

Les travaux raliss par France Tlcom dans le cadre du plan "crue de la Seine" sont
illustratifs de cet tat d'esprit. Lobjectif premier (non critiquable par ailleurs) a t de prvoir
des protections pour les quipements non pas pour que ces derniers puissent fonctionner
pendant la crue, mais pour quils ne soient pas dtruits par leau, de telle sorte que le service
puisse reprendre rapidement aprs la dcrue.
En mme temps, cette exacerbation de la concurrence et l'acclration des innovations de
services proposes aux clients qu'elle impulse renforcent certaines vulnrabilits. La tentation
est grande par exemple de raccourcir les dlais pour tester les changements de palier de
nouvelles configurations logicielles.

1.2.2 / Les rseaux disposent d'une protection structurelle pour un temps

encore : leur cloisonnement les uns par rapport aux autres.

L'augmentation du nombre des oprateurs et le dveloppement des rseaux mobiles et de la

voix sur Internet a cr de nouvelles faons de faire circuler linformation et dmultipli les
circuits de transit de l'information.
En quelques annes, le paysage des tlcommunications s'est profondment transform :
-

techniquement, d'un rseau de tlphonie fixe on est pass un systme qui s'est
enrichi de rseaux de tlphonie mobile et de l'Internet mais aussi de rseaux de
transmission de donnes privatifs;

institutionnellement, un oprateur en situation de monopole a succd, aussi bien

pour la tlphonie fixe que mobile, une multiplicit d'oprateurs dont certains
spcialiss sur des crneaux particuliers (fourniture d'accs, fourniture de
services). On en dnombre actuellement prs de 260 dclars sur notre
territoire.

Certes, compte tenu de la concurrence sur les cots qui s'est accentue cette occasion,
l'hypothse peut tre soutenue d'une ventuelle moins grande fiabilit individuelle que par le
pass des quipements et des rseaux dploys. De mme, la prolifration des rseaux dont
l'usager exige qu'ils sachent de mieux en mieux communiquer entre eux impose galement
d'accrotre les dispositifs-interfaces qui constituent une source potentielle supplmentaire
dincidents logiciels et de permabilit intempestive.
S'agissant de la scurit d'ensemble, les avantages semblent pourtant l'emporter encore sur les
inconvnients.

16

1.2.2.1/ Pour l'heure, les risques de contagion de pannes d'un rseau l'autre s'en
trouvent certainement attnus.
Les technologies et les fournisseurs sont en effet encore nettement distincts.
Les reprsentants des oprateurs nationaux rencontrs nous ont confirm que la configuration
de leurs infrastructures propres tait encore indpendante dInternet en France mtropolitaine,
et quil en serait encore ainsi pendant quelques annes. France Tlcom indique par exemple
que, mme dans le cas dune panne des DNS30 Internet, la tlphonie sur IP (et a fortiori la
tlphonie classique) continuerait fonctionner sur son rseau.
Ces garanties vont nanmoins avoir tendance s'mietter progressivement:
-

dj pour des liaisons internationales ou, par exemple, pour des liaisons entre le
continent et la Runion, la dynamique de cots entrane un repli croissant sur
Internet;

la mutualisation dquipements doprateurs mobiles rduit, au moins localement,

la diversit qui devrait rsulter de lexistence de rseaux spars : les sites radio
les mieux placs sont souvent utiliss simultanment par les 3 oprateurs mobiles;

la convergence entre les quipements fixes et mobiles, avant mme le glissement

prvisible prochain vers le "tout IP", risque aussi de faire s'crouler peu peu ces
cloisonnements.

Pour autant, il est un fait que chacune des pannes logicielles observes jusqu' maintenant est
reste effectivement confine dans le primtre du rseau d'un seul oprateur.
Il est clair que la conservation, le plus longtemps possible, de dmarcations techniques entre
les diffrentes catgories de rseaux constitue un atout en termes de scurit alors mme que
la vulnrabilit respective de chacune d'entre elles n'est pas identique selon les menaces. Le
coeur des dispositifs fixes a peu craindre des temptes tandis qu'une des caractristiques
fondamentales dInternet est sa capacit trouver un chemin pour faire passer linformation
malgr les dgradations subies sur telle ou telle artre. Un lment d'apprciation en a t
donn lors du sisme sous-marin du 26 dcembre 2006 au large de Taiwan qui a dtruit
plusieurs cbles mais dont l'impact, au bout du compte, est rest mesur.

1.2.2.2/ Au-del de gnes immdiates, l'hypothse la plus plausible dans la majorit

des cas est celle du maintien disposition de solutions de substitution pour
communiquer.
En cas de drangement d'un rseau, les usagers ont de plus en plus disposition (qu'elle soit
personnelle, de voisinage ou institutionnelle) un panel de moyens alternatifs de
communication (mobiles familiaux ou professionnels relevant d'oprateurs diffrents + fixe +
Internet) jusqu' prsent relativement indpendants. L'exprience a montr qu'ils pouvaient
gnralement compter sur ces moyens mme si, le cas chant :
-

les communications s'exercent sur un mode dgrad;

30

DNS (Domain Name Service) = serveurs de noms de domaines fournissant la correspondance entre les noms
et les adresses utilises par les processus de routage.

17

les oprateurs ont sans doute grer de faon complexe des problmes de report
de flux significatifs;

les temps de calage et d'adaptation de chacun par rapport cette situation sont
parfois alatoires.

Une illustration ultime en a t donne lors des attentats du 11 septembre 2001. Les
messageries (SMS et sur l'Internet) ont exerc un rle apprci de substitut la tlphonie, le
fonctionnement de cette dernire tant perturb par les destructions physiques mais plus
encore par des phnomnes de saturation grande chelle induits par l'augmentation
prodigieuse de la demande de communications 31.
*
Ces lments autorisent par consquent penser que, sauf dans le cas dune catastrophe
naturelle dpassant largement celles que la France a connues jusquici ou d'une rupture
prolonge et gnrale de l'alimentation nergtique, une paralysie totale des
tlcommunications et, partant, de la vie conomique et sociale est encore prsent, mais
prsent seulement, assez improbable.

1.3. Le danger de rpercussions en cascade d'une dfaillance initiale

d'un ou plusieurs de nos rseaux de tlcommunications parait
devoir, au moins aujourd'hui, tre galement relativis.
L'infiltration de notre vie quotidienne par les technologies de l'information est telle que des
effets en chane partir du drangement d'un rseau public de tlcommunications sont
invitables. Pour autant, de nombreux acteurs ayant dvelopp des rseaux autonomes, ces
effets ne doivent pas, l'heure actuelle, tre surestims.

1.3.1 / L'ensemble du rseau de transport et de distribution d'lectricit est

thoriquement configur pour ne pas souffrir d'une dtrioration
quelconque des rseaux publics de tlcommunications.
Un vnement de type "chinois" n'est a priori pas concevable en France. Pour construire plus
rapidement une partie de son rseau lectrique, la Chine en effet s'est, semble-t-il, fonde,
dans un cas au moins, trop massivement sur un pilotage par voie Internet. Et linterconnexion
peu scurise entre son rseau interne et Internet l'a confronte rcemment de srieux
dboires32.

31

Cf. rapport 1-4.1-2002 du CGTI (de MM.P. Fritz, P-Y Schwartz et B.Prunel) sur les risques prsents par
Internet (janvier 2003).
32
Les spcialistes voquent un "plantage" lectrique notoire.

18

1.3.1.1/ Pour l'essentiel, EDF et RTE s'appuient sur un rseau ddi de scurit pour
leurs tlcommunications.
Cette situation devrait les prmunir, dans leur activit, des consquences d'incidents
susceptibles d'affecter un ou plusieurs des oprateurs de tlcommunications.
En ralit, la situation est plus subtile et le degr de dpendance effectif de ces deux
institutions vis vis des autres rseaux de tlcommunications mrite malgr tout dtre
prcis :
Le transport de llectricit en trs haute tension (90 400 kV) est pilot par RTE, qui remplit
un rle dinterface entre d'une part les centrales lectriques (quelles que soient leur nature ou
leur statut) et d'autre part le rseau de distribution d'EDF. Le courant transite par 1000 ou 2000
postes MT/BT qui, eux-mmes, alimentent un rseau de distribution EDF plus prs de
labonn. Ces postes MT/BT sont tlcommands (depuis quelques dizaines de postes de
dispatching) aussi bien par RTE que par EDF, mais pour des fonctions diffrentes: RTE gre
lapprovisionnement de ces postes, tandis que EDF prend en charge plus finement par
tlcommande les dlestages vers des zones plus circonscrites.
On sait, en effet, que les rseaux dlectricit sont de type "chteau de cartes ". Si une
consommation excessive fait chuter la frquence du courant, au del dun certain seuil,
certaines centrales de production ne peuvent plus suivre. Elles se dconnectent du rseau. Le
dsquilibre entre la consommation et la production tend alors s'amplifier risquant
d'entraner leffondrement de ce dernier.
Pour viter ce phnomne, EDF organise donc des dlestages grce, prcisment, la
tlcommande des postes MT/BT, certains dparts tant prioritaires et dautres non. EDF doit
dailleurs composer avec une contrainte dans la gestion des priorits, car, ds lors quun dpart
(depuis le poste MT/BT) est prioritaire, tous les abonns de ce dpart le deviennent33. Le plan
de production dlectricit est en gnral calcul avec une marge suffisante mais, en cas
dincident ou de consommation plus forte que prvu, la ractivit ncessaire pour dlester se
compte gnralement en minutes ou en dizaines de minutes.
Or, les postes MT/BT ainsi impliqus sont sans personnel permanent. Leur tlcommande est
opre travers un rseau spcifique de scurit qui offre des services de voix, de data et de
tlaction, grce des liaisons loues France Tlcom (dune distance moyenne de 50 km,
parfois sur des faisceaux hertziens). Des liaisons RNIS ou RTC assurent un premier secours.
Et, possibilit ultime, RTE dispose de 250 valises satellite quil pourrait envoyer sur certains
sites (10 20%) en rquisitionnant des personnels.
Les prcautions prises sont notables. Pour autant, compte tenu de l'importance des enjeux
collectifs concerns, il n'y aurait qu'avantage ce que la vulnrabilit potentielle de ce circuit
de tlcommande fasse l'objet d'une tude spcifique.
L'intrt de ce rseau de scurit n'est d'ailleurs pas que d'ordre technique. Lors de l'explosion
d'AZF, les rseaux publics de tlcommunications tant saturs, RTE a utilis celui l pour les
communications managriales (avec une capacit rduite, un seul poste par service tant
disponible).

33

Ceci explique que EDF ne puisse pas rendre prioritaires tous les centraux tlcoms ou les BTS des oprateurs
mobiles.

19

1.3.1.2/ Indpendamment de ce rseau de scurit vocation oprationnelle et

technique, EDF et RTE partagent par ailleurs un rseau classique.
Ce rseau (dit "tertiaire") est sous-trait Neuf/Cgtel. Son arrt naurait au dpart que des
consquences indirectes sur la distribution de llectricit. Cependant, certaines applications
sensibles lutilisent, notamment le calcul du plan de production du lendemain en fonction des
donnes mto, ou les calculs des paramtres de remise en route dune centrale aprs un arrt.

1.3.2 / Nombre d'acteurs majeurs de la vie conomique intgrent dj des

logiques prventives convaincantes.
Les investigations trs partielles ralises dans des secteurs aussi vitaux que ceux de la
banque, de l'info grance, des transports publics ou de la recherche en tmoignent.

1.3.2.1/ Le "Groupement des cartes bancaires", par exemple, a pris plusieurs types de
mesures protectrices.
La continuit de son fonctionnement reprsente un impratif certain car un tiers des paiements
sont aujourdhui effectus par cartes dans la zone Euro et une bonne partie de largent liquide
provient des DAB (distributeurs automatiques de billets). Le groupement, en 2005, a ralis
6,3 milliards de transactions reprsentant 325 milliards de paiements et de retraits.
Les banques (ou les DAB) sont relies aux centres de traitement du groupement interbancaire,
par un rseau IP ferm et chiffr non li Internet. Ce dernier, toutefois, n'a pas t encore
ddoubl et relve encore d'un fournisseur unique. Le Groupement prvoit cependant de le
dupliquer prochainement avec un 2me oprateur. Les centres de traitement par contre sont
dj dupliqus et capables de se suppler mutuellement.
En aval, les paiements en magasin ou auprs de prestataires de services tout comme les retraits
dargent mettent en uvre une grande varit de moyens de transmissions (liaisons loues,
liaisons Transpac, rseaux VPN IP, RTC, voire Internet ADSL) entre les terminaux de points
de vente (ou les DAB) et les diffrentes banques concernes. La diversit de ces moyens met
donc les usagers relativement labri dun blocage total gnralis et permet d'esprer des
gnes qui restent circonscrites en cas de panne ventuelle d'un de ces rseaux.

1.3.2.2 / Paralllement, dans le domaine de l'info grance, une socit comme ATOS
Worldline s'est entoure de garanties.
Atos est leader sur le march du traitement des changes lectroniques grands volumes et de
lhbergement de services bancaires : un grand nombre de banques ont recours ses services
soit pour hberger leurs applications courantes, soit comme recours en cas de panne d'une de
leurs installations gres directement. (Cette compagnie gre prs d'1 milliard de transactions
partir de terminaux de points de vente et 100 millions de paiements Internet).
La scurit, pour autant que l'on a pu en connatre et l'analyser, parat avoir t bien prise en
compte travers un maillage fort des infrastructures rseau, la protection physique des salles
informatiques rparties dans 3 sites centraux, et la forte capacit des groupes lectrognes de
secours (sachant que dans de telles salles, la climatisation est critique toute lanne, la
temprature devenant excessive au bout de 1 h 30 en cas de panne).

20

1.3.2.3 / De leur ct, tant la SNCF que la RATP disposent de leur rseau propre de
tlcommunications.
Aussi, l'une et l'autre estiment que les trains ou les rames de mtro sont en mesure de circuler
quel que soit l'tat de fonctionnement des rseaux de tlcommunications publiques.
Certaines fonctionnalits seraient cependant rduites : ainsi, comme le rseau radio de la
RATP reste malgr tout dpendant de liaisons loues France Tlcom, les bus ne seraient
plus en relation avec leur poste de commandement ; il en est de mme pour la sonorisation
dans les stations de mtro qui ne marcherait plus. Ces gnes apparaissent accessoires.

1.3.2.4 / L'essentiel des transmissions lies la recherche est galement scurise.

Pour assurer ses besoins, le GIP RENATER34 dont sont membres de multiples organismes
primordiaux de recherches (CEA, CIRAD, CNES, CNRS, INRA, INRIA, INSERM, BRGM,
CEMAGREF et IRD, ainsi que le MENESR) dploie et exploite en effet un rseau
indpendant de transmission optique de trs haut dbit. Celui-ci est redondant sous plusieurs
aspects : duplication des serveurs centraux, topologie de rseau maill, cloisonnement des
flux, autonomie dune semaine en cas de coupure dalimentation lectrique... Configur
notamment partir de fibre noire35 (ou de longueurs dondes privatives sur des fibres
appartenant des oprateurs), il est protg des incidents que pourraient tre amens
connatre les rseaux des grands oprateurs.
Vis vis dattaques par dni de service provenant dInternet, un systme de suivi permanent et
danalyse par corrlation des "logs" a t mis en place lui permettant de dtecter lavance la
plupart des attaques et donc de sen prmunir temps en bloquant les ports concerns.

1.3.3 / L'administration cherche elle aussi se protger contre certains

effets "domino", encore que ses efforts restent insuffisants.
Ses rseaux de commandement ont prcisment t conus pour rester l'cart des troubles
extrieurs.

1.3.3.1 / Elle dispose de plusieurs rseaux ddis, indpendants des rseaux publics et
d'Internet.
RIMBAUD en est le prototype. Il est physiquement spar de tout autre rseau. Une altration,

34

RENATER (Rseau National de tlcommunications pour la Technologie lEnseignement et la Recherche)

fdre les infrastructures de tlcommunication pour la recherche et lducation dont, en premier lieu, celles des
organismes de recherche membres du GIP (CEA, CIRAD, CNES, CNRS, INRA, INRIA, INSERM, BRGM,
CEMAGREF et IRD, ainsi que le ministre de lducation Nationale, de lenseignement suprieur et de la
recherche). Il fournit des services trs haut dbit pour les grands projets scientifiques nationaux et
internationaux. Plus de 800 sites sont raccords via les rseaux de collectes rgionaux au rseau national. Il est
reli aux autres rseaux de la recherche et de l'enseignement dans le monde via le rseau pan europen galement
indpendant et scuris GEANT.
35

Autrement dit, de la fibre optique souscrite en dehors de tout service de transport des donnes ("noire" c.a.d
"teinte").

21

quelle qu'en soit la nature, de la continuit ou de la qualit des tlcommunications "grand

public" est donc cense ne pas avoir de consquence sur lui. RIMBAUD est en outre assez
bien protg contre des coupures dalimentation nergtique puisque la plupart des centraux
sont quips de groupes lectrognes. Il est protg galement contre des coupures de cbles
grce un maillage des artres interurbaines. Sa capacit reste nanmoins limite (de lordre
de quelques dizaines de postes par dpartement)
Le Ministre de la Dfense, quant lui, peut s'appuyer sur SOCRATE36 indpendant
galement des rseaux publics et dInternet. Ce rseau est largement scuris par des doubles
acheminements et par lutilisation de plusieurs oprateurs pour des liaisons spcialises
interurbaines.
Enfin, plusieurs ministres ont mont des rseaux radios de scurit propres (ACROPOL pour
la Police, complt par le projet ANTARES pour les SDIS, RUBIS pour la Gendarmerie,
rseau 40 MHz37 pour les services dconcentrs de l'Equipement) qui, en plus de leur capacit
relier les hommes entre eux sur le terrain, pourraient aussi servir pour des communications
de commandement entre autorits.
Si ces rseaux, confronts diffrents types de crises, ont jusqu'ici fait leurs preuves, leur
usage relve cependant d'un cercle ferm d'utilisateurs.

1.3.3.2 / Toutefois, les principaux services, et notamment les services de secours,

restent pour l'essentiel tributaires des rseaux publics et de leurs dfaillances
ventuelles.
Certes, certains de ces services bnficient parfois de doubles raccordements. Cependant, la
plupart d'entre eux ne recourent qu' un seul oprateur car les critres financiers l'emportent,
on le constate hlas frquemment, sur tout autre type de considrations (particulirement
celles qui ont trait la scurit) lorsqu'il s'agit de dfinir la configuration de leurs dispositifs.
La taille de l'tablissement de rattachement est de ce point de vue dterminante:
- ainsi, les centres de rception des appels au 15 sont plutt privilgis. Ils sont
gnralement situs au sein dune entit importante (hpital, SAMU) qui fait leffort
de financer un double acheminement. Pour autant, mme dans ce cas, le basculement
des appels sur le 2me raccordement ne se fait gnralement pas automatiquement si le
premier tombe en panne. En effet, les oprateurs mobiles ne programment dans leurs
centraux que le seul acheminement 10 chiffres correspondant au 1er raccordement;
- en revanche, les centres 18 sont souvent implants dans des casernes de pompiers
dimportance plus rduite et, partant, sont parfois moins enclins raliser les
investissements ncessaires la scurisation de leur raccordement.
Cette situation est videmment singulirement proccupante s'agissant de services d'urgence.
L'usager peut tre pnalis par la dfaillance de l'oprateur soit de dpart (celui sur lequel est
raccord lusager qui compose le 15, le 18 ou le 112), soit de celui qui dessert le centre de
secours. La panne dun seul d'entre eux compromet donc le bon droulement de lappel, mme
si des solutions de substitution peuvent tre cherches :

36

Il raccorde 400 sites militaires mais ne dessert pas les prfectures.

Ce rseau permet au DDE de communiquer avec les quipes qui interviennent sur les routes. Indpendant des
rseaux publics, il constitue, pour les prfets, une possibilit de communication intressante avec des quipes
oprationnelles sur le terrain en cas de crise. Sa couverture nest cependant pas totale, visant principalement les
axes de la responsabilit des DDE.
37

22

- travers le recours, pour l'usager en situation durgence, un autre rseau fixe ou

mobile si le drangement n'est pas gnral ;
- travers d'oprations de reroutage, si c'est le raccordement du centre de secours qui
est en panne. Il est possible en effet dans certains cas (mais pas partout) de rerouter
automatiquement sans dlai les appels vers un autre centre de secours qui na pas de
problme de raccordement ;
- travers de mesures administratives: en dernire extrmit, le prfet de dpartement
(qui gre les tables dacheminement des appels de secours) peut en effet demander
tous les oprateurs de modifier les tables dacheminement des appels de secours pour
faire arriver les appels vers un centre correctement desservi. Ceci exige malgr tout un
certain dlai (de lordre de la journe) et pose le problme de la gestion de ces appels
par des centres qui seraient alors saturs.
*

Ainsi, mme s'il existe et doit tre scrut avec beaucoup d'attention, le danger de rpercussions
en cascade d'une dfaillance initiale d'un ou plusieurs rseaux de tlcommunications doit tre
relativis. Des lots majeurs de la vie conomique et sociale devraient pouvoir en tre, en tout
ou partie, prservs.

1.4 / Nanmoins, moyenne chance, les volutions les plus

perceptibles en matire de tlcommunications reclent des
inconnues qui ne peuvent pas manquer d'inquiter.

Ce ne sont pas tant le dploiement annonc des accs en fibre optique, lequel n'interviendra
que progressivement, que quatre autres tendances lourdes qui mritent, de ce point de vue,
d'tre mises en exergue :
-

la capillarisation toujours plus prononce des rseaux et des systmes dinformation;

la dynamique de plus en plus marque vers le "tout IP";

le manque de fiabilit d'Internet avec lequel les interconnexions deviennent de plus en

plus importantes ;

lexternalisation croissante des systmes dinformation.

23

1.4.1/ La capillarisation croissante des rseaux et des systmes

dinformation rend de plus en plus difficile une perception synthtique
d'ensemble.

1.4.1.1/ Pratiquement plus aucun domaine de la socit n'chappe cet

envahissement.
Si, voici encore une vingtaine dannes, tablir un rseau priv finalit particulire tait une
opration dlicate, il nen va plus de mme actuellement. Il nest plus besoin de louer des
lignes chres un oprateur. Les quipements de tlcommunications comme la logique
informatique base de micro ordinateurs sont bon march. Leur banalisation est gnrale.
Les rseaux s'enchevtrent et tissent des liens qu'on ne souponne plus toujours et que parfois
seules les pannes rvlent.
Quel rapport, par exemple, existe-t-il maintenant entre un rseau de tlphones mobiles et les
panneaux modernes daffichage urbain ? Le fait que le premier est l'instrument privilgi de
gestion des seconds. Ces panneaux disposent de plusieurs affiches qui sont changes partir
d'ordres donns distance transitant par le mobile GSM dont ils sont quips. Cette
commande par SMS depuis un PC conomise l'intervention de multiples personnels.
Laspect anodin de cette illustration masque cependant, dans des domaines rpartis
gographiquement, bien dautres applications plus sensibles base de capteurs ou de
dispositifs d'alertes. Citons par exemple la transmission de plus en plus automatise des
informations sur les hauteurs des cours d'eau (dont l'importance est videmment vitale en
matire de prvention de crues) ou celles ayant cours dans le domaine hospitalo-sanitaire.
De fait, les oprateurs mobiles dveloppent de plus en plus ce qui sappelle le "M to M :
machine to machine", autrement dit, des mobiles spciaux adapts toutes sortes
dapplications industrielles.
Ainsi, par exemple, depuis 3 ans, PSA Peugeot-Citron quipe ses voitures de haute et
moyenne gammes de l'option Navidrive, qui contient un systme automatis d'alerte
individuelle combinant GSM et GPS. Ce systme est appel tre install sur tous les
vhicules, et est en cours de normalisation. En cas de dclenchement des airbags, il envoie
un centre dassistance la position GPS du vhicule accident. Ces coordonnes sont transmises
par deux SMS au centre unique dassistance Inter Mutuelle Assistance de Niort. 12 000
accidents sont ainsi signals par an, le systme tant dj implant sur 320 000 vhicules.
Le cheminement de ces alertes est au demeurant instructif : le SMS passe tout d'abord du
rseau mobile (Orange, SFR, Bouygues) au rseau de la socit Netsize. Puis celle ci lenvoie
la socit STERIA, qui dcrypte le message, puis STERIA le transmet la socit IMA. En
cas de validation de lalerte, IMA passe enfin lalerte au centre de pompiers concern. Une
multiplicit de rseaux est donc successivement sollicite.

1.4.1.2 / Les diagnostics sont de plus en plus complexes.

La rapidit de dploiement de ces rseaux, leur foisonnement continuel, leur enchevtrement,
les bouleversements incessants de technologies mises en uvre, les bifurcations alatoires
susceptibles d'tre prises par elles rendent de plus en plus illusoire le projet d'une quelconque
matrise d'ensemble de cette architecture.

24

Les interlocuteurs de la mission et la diversit de spcialistes rencontrs se sont tous exprims

ce propos de faon concordante. Ils ont soulign combien la nature de la dynamique en cours
empchait l'expression de jugements prospectifs autres que circonspects et partiels s'agissant
de la rsilience venir des rseaux et de l'impact d'ventuelles pannes de ces derniers.
Plus personne ne possde "les plans". Au demeurant, les oprateurs eux-mmes ne jouent le
jeu que d'une transparence partielle la fois pour des raisons commerciales et, vis--vis des
pouvoirs publics, sans doute par crainte d'imposition de prescriptions rglementaires
nouvelles. Quant l'Etat, il dispose de moins en moins, depuis l'inscription de France Tlcom
dans la mouvance prive, de capacits d'expertise technique publique.

1.4.2/ Paralllement, les rseaux s'orientent de plus en plus vers des

configurations TCP/IP.
1.4.2.1/ Le "tout IP" (ou, si lon prfre, la convergence "voix-donnes" sur Internet)
a vocation devenir le mode prdominant38.
Laspect qui en est le plus immdiatement saisissable pour l'usager et le non technicien est la
banalisation de l'offre dite triple play par les oprateurs, permettant l'accs concurrent la
tlvision, au tlphone et Internet haut dbit partir d'un seul raccordement Internet. Elle
se matrialise, chez le particulier, par linstallation dune "box" sur laquelle sont connects
tlvision/ tlphone analogique/ ordinateur. Loffre est mme dite quadruple play lorsque, de
surcrot, le tlphone mobile fait, pour des raisons d'conomies, transiter les appels non plus
via la borne publique de tlphonie mobile, mais par ce botier domicile.
Or, cette mutation prvaut en premier lieu pour les rseaux des oprateurs eux mmes.
Actuellement, les grands oprateurs (comme celui de type "historique") disposent de trois
rseaux :
-

le rseau de tlphonie fixe, base de commutateurs de circuits (" les

centraux tlphoniques" traditionnels),

le rseau de transmission de donnes, qui leur permet de faire transiter les donnes
de leurs clients Internet,

le rseau mobile, reliant les stations de base hertziennes aux commutateurs

tlphoniques.

A court terme, c'est--dire l'horizon 2010 / 2012, il parat acquis:

-

que ces trois rseaux nen feront plus quun,

et que ce rseau unique sera bas sur la technologie IP.

La raison profonde de cette dynamique tient aux conomies dchelle importantes que gnre
un rseau unique.

38

Dj, la part du trafic IP au dpart des postes fixes est passe, selon l'ARCEP, de 5,7% 23% au cours de ces
seules deux dernires annes (2005-2006).

25

1.4.2.2/ Cette volution suscite toutefois des craintes.

Elles se rapportent39:
en premier lieu, la dpendance plus complte qui en dcoule vis--vis de lnergie
220 V.

Actuellement, France Tlcom alimente en 48 V les lignes analogiques de ses clients,

depuis son central tlphonique. Cette scurit disparat avec les offres triple ou
quadruple play.
Alors quauparavant une coupure de tlphone n'empchait pas non plus que la
tlvision continue, si besoin en tait, dinformer les populations, cette possibilit
risque d'tre de plus en plus restreinte l'avenir. Dans les immeubles cbls, les
antennes ont en effet t dmontes au profit du "service antenne" des cblooprateurs40. Il est prvisible que cette volution va s'tendre l'habitat individuel
mesure que leurs occupants souscriront aux offres de type triple play.
en second lieu, aux plus grands risques de contagion des incidents et l'absence de
recours alternatifs.

Combine la diversification et la multiplication des oprateurs41, l'htrognit des

rseaux a contribu jusqu'ici compartimenter les pannes. La permabilit croissante
des catgories de rseaux entre eux, puis terme leur fusion en un seul rgi par la
norme TCP/IP, modifient la donne. Le systme perd la protection structurelle que
procuraient ces cloisonnements.

1.4.3 / Les interconnexions deviennent corollairement de plus en plus

importantes avec Internet dont la fiabilit n'est pas assure.
Le trafic IP en rseau ferm, indpendant d'Internet devrait progressivement constituer
l'exception. Or, la nature mme d'Internet et sa dynamique d'organisation sont empreintes de
multiples incertitudes. Sa rsistance intrinsque aux agressions externes de toutes sortes est
rgulirement vante. Pour autant, celle-ci prsente des failles potentielles qui ne permettent
pas de tabler sur sa fiabilit assure. Deux d'entre elles au moins mritent d'tre soulignes:

1.4.3.1/ Lquipement du rseau est trop dpendant d'un seul fournisseur.

La prdominance du fabricant amricain de routeurs CISCO est patente. Le scnario
catastrophe d'une infection virale tendue ne peut donc en soi tre d'office cart. Il est loisible
d'imaginer, par exemple, l'introduction d'un virus rveil tardif lors d'un changement de
version logicielle sur ces routeurs. Lorsque la majorit des routeurs de la plante auront

39

Au-del de celles qui ont trait au manque de fiabilit des "boxes" qui est celle des ordinateurs et non plus celle
des commutateurs. Le cahier des charges des commutateurs publics type E10 tait, "du temps du CNET", de une
heure de panne en 40 ans de fonctionnement. Les ordinateurs aujourd'hui sont prs de 100 fois moins fiables.
40
Le "service antenne" est lobligation pour ces derniers de fournir les chanes gratuites au mme cot quune
maintenance dantenne.
41
Mouvement au demeurant qui touche sans doute maintenant sa fin. A terme, le nombre des fournisseurs
daccs devrait vraisemblablement tre amen se rduire. On semble s'orienter dsormais vers une phase de
concentration, lexemple le plus marquant en France tant celui de Neuf Tlcom qui rsulte de la runion de 9
oprateurs diffrents.

26

implment la nouvelle version du logiciel, le virus pourrait se rveiller et "teindre" en

quelques secondes lInternet mondial.
Certes, le rseau ne repose pas exclusivement sur des matriels CISCO (Juniper et Alcatel sont
galement des fabricants de routeurs mme si leur part de march est nettement moindre).
Mais si ces derniers tombent en panne, le trafic devra se rpartir sur les quelques artres
rsiduelles non atteintes, et saturera dans des dlais trs brefs les routeurs pargns par le
virus. La rpercussion serait majeure.

1.4.3.2 / Son fonctionnement reste subordonn des nuds cruciaux d'interconnexion.

Un incident sur un nombre faible de ces nuds pourrait immobiliser le rseau.
Il est notoire que prs de la moiti du trafic mondial transite par le seul Etat de Virginie o
arrivent la plupart des terminaisons maritimes et o sont situs les principaux centres de
routeurs "racines"42. Mais, de faon gnrale, les points nvralgiques sont nombreux et trs
rpartis. Il s'en trouve aussi en France bien que d'importance moindre.

Les sites dhbergement multi-oprateurs, et notamment les sites de Peering constituent un

point de fragilit notable.

[.]

42

Des efforts importants ont toutefois t accomplis ces dernires annes pour dupliquer ces DNS racine. Il reste
que la disponibilit de ces serveurs reste un point de fragilit du rseau (contre lesquels beaucoup dattaques sont
dailleurs diriges).

27

[.]

Un rapport du CGTI sur les risques prsents par Internet43 dnonait dj en 2003 cette
vulnrabilit globale. Il concluait la possibilit d'un effondrement significatif du rseau.
Certes, la structure trs rpartie de ce dernier protge contre le risque de son croulement total,
mais ne le garantit nullement contre une panne partielle (de 30 60%), donc trs srieuse.
Cette vulnrabilit relative a d'ailleurs t illustre par les dysfonctionnements dont Internet a
fait l'objet en dcembre dernier et qui ont t gnrs par le tremblement de terre intervenu au
large de Tawan44. Ce sisme, dont l'impact direct tait assez localis, a nanmoins perturb
notablement le continent est-asiatique et affect sensiblement les communications
internationales.
Le CGTI a mis en vidence, par ailleurs, que si la rsolution d'une panne majeure conscutive
une attaque virale par exemple ne devrait pas durer plus de 48 heures, la dure
d'indisponibilit du rseau pourrait tre plus importante en cas d'attaques successives. Les
consquences des attaques coordonnes que l'Estonie a subies au cours de la deuxime
quinzaine de mai 2007 contre les principaux sites web rgissant l'activit gouvernementale et
conomique du pays en sont l'illustration la plus rcente.
Or, ds lors que l'Internet traitera l'ensemble des flux, soit d'ici 4 5 ans, les services trs
consommateurs en bande passante, tels que la consultation de services web, la tlphonie, la
tlvision seront hors service dans l'hypothse d'une crise importante du rseau.
En pareil cas, une gne majeure serait occasionne la vie conomique et un risque certain
surviendrait pour la scurit des personnes en difficult.

43

Rapport 1-4.1-2002 du CGTI (de MM.P. Fritz, P-Y Schwartz et B.Prunel) sur les risques prsents par
Internet (janvier 2003) cit supra.
44
Tremblement de terre du 26 dcembre 2006 qui a provoqu la rupture de plusieurs cbles optiques sousmarins.

28

1.4.4/ Le dploiement massif annonc des rseaux optiques pour les

boucles locales implique galement des vulnrabilits nouvelles, mais sur
un terme vraisemblablement plus long.
1.4.4.1/ Les raccordements des usagers en fibre optique devraient tre appels se
banaliser45.
Cette volution devrait permettre de rpondre notamment une demande attendue des
particuliers : celle exprime pour le "trs haut dbit" (au del des 20 Mb/s autoriss par
l'ADSL, soit typiquement 100 Mb/s) et motive par la tlvision "haute dfinition", le
tlchargement de films et, de faon plus gnrale, les services multimdia.

1.4.4.2/ Cette rupture technologique ne devrait pas tre sans consquences en matire
de scurit.
Il existe une diffrence fondamentale entre la technique ADSL, reposant sur une ligne de
cuivre depuis le central de France Tlcom, et un accs " fibre":
dans le premier cas, il est possible de garder sur la mme ligne un tlphone classique, donc
bnficiant de la scurit de l'alimentation 48 Volts fournie par le central tlphonique de
France Tlcom;

dans le second, les nouvelles technologies empruntes, dites "FTTx"46 se caractrisent par le
fait que :

- elles sont mergentes, et multiples: le march n'a pas encore choisi celles qui
deviendront les standards des prochaines annes. 4 5 technologies diffrentes sont en
comptition (PON, EPON, BPON, GPON, EthernetP2P, ...)
- peu d'expriences pilotes sont aujourd'hui disponibles, et l'intrieur d'une mme
famille technologique, il existe des variantes entre les diffrentes implmentations.
Pour autant, par rapport aux rseaux "cuivriques" ADSL, deux types de reproches peuvent leur
tre adresss:
- d'une part, elles prennisent la fragilit apporte par lADSL en dgroupage total,
savoir47 la ncessit dune alimentation lectrique locale de la "boite" de rception.
Elles l'aggravent mme par rapport lADSL puisqu'elles ne peuvent bnficier de la
tlalimentation par la ligne cuivrique que la fibre vient remplacer.
- et d'autre part, elles recourent pour certaines des quipements actifs ncessitant
une alimentation dans leur structure de distribution. Ainsi en est-il notamment des
rseaux s'appuyant sur la technique "Ethernet point point sur fibre optique"
(Ethernet P2P). Peu d'indications sont actuellement disponibles sur leur scurisation
lectrique.

45

L'ARCEP voque le remplacement d'un million de km de cblage pour la dcennie.

FTTx : "Fiber to the x" : X pouvant tre H -pour home : la maison-, C -pour curb : le coin de la rue-, B -pour
building-...
47
En plus de labandon de la transmission en bande de base du signal vocal (au profit dune modulation du
signal sur des frquences leves).
46

29

D'autres technologies optiques en comptition sont nanmoins plus robustes vis--vis

de ce risque particulier de dfaut d'alimentation lectrique comme celles de type PON
(Passive Optical Network) qui utilisent des quipements optiques ne ncessitant pas
d'alimentation (en fait, des "prismes" pour sparer les longueurs d'onde).
En l'tat, on peut donc craindre que le remplacement, sur les derniers kilomtres, du cuivre par
la fibre ne se traduise au final par une notable fragilisation du rseau d'accs de l'usager aux
tlcommunications.

1.4.4.3/ Cette mutation n'interviendra cependant en France que progressivement.

Les investissements ncessaires sont en effet, considrables : des montants de l'ordre de 40
50 milliards d'euros sont voqus. Les consquences n'en seront donc pas globales avant une
dizaine d'annes. D'ici l, les rseaux mobiles auront eux aussi volu, et, en matire de
tlcommunications, 10 ans est un horizon pour lequel les prvisions sont hasardeuses, compte
tenu du rythme des innovations.
Face cette dynamique probablement inluctable vers la fibre et le "trs haut dbit", la
mission nest pas en mesure de prconiser une technique plutt quune autre. Elle souhaite
toutefois attirer lattention des dcideurs sur lintrt dune solution qui ne comporte pas
dlments actifs ou dlments sensibles linondation sur le trajet entre le NRA et labonn.

1.4.5 / Lexternalisation des systmes dinformation, enfin, est de plus en

plus prononce mais n'est pas entoure de prcautions suffisantes.
1.4.5.1/ Il s'agit d'un mouvement gnral.
- celui-ci touche dsormais autant les services publics que les entreprises prives.
Il y a une vingtaine dannes, seules les grandes entreprises soucieuses damliorer leur
rentabilit apparaissaient concernes. Depuis une dizaine dannes, les services publics
tendent de plus en plus s'engouffrer galement dans cette voie. Ainsi, la trs grosse
majorit des services web des administrations est gre lextrieur de celles-ci. Le
premier dentre eux, Service-public.fr, dpendant du SGG (via la Documentation
Franaise) est ainsi hberg chez un prestataire.
- il affecte aussi bien les rseaux de tlcommunications que les services et applications
informatiques.

1.4.5.2/ Ce phnomne s'affirme, toutefois, potentiellement proccupant.

- dune part, lexternalisation porte sur des parties de plus en plus stratgiques des
systmes d'information.
A lorigine, seuls les services secondaires taient externaliss. Au sein des administrations
publiques et sous limpact de la rduction des budgets dinvestissements, gnraliser
lhbergement, lequel est susceptible d'tre pris en compte en chapitre de
"fonctionnement", est apparu comme une solution pratique. Ainsi, des services de moins
en moins marginaux sont dsormais sous-traits.

30

- dautre part, la fiabilit des hbergeurs concerns s'affirme en pratique extrmement

htrogne.
Si les oprateurs de rseaux sont soumis certaines obligations de qualit de service,
souvent issues de leur licence doprateur, il nen est pas de mme de la profession
dhbergeur, laquelle nest asservie aucune rglementation. Tout informaticien
"disposant de 10 k et d'un garage" est aujourd'hui en mesure d'ouvrir une socit
dhbergement de services Web, ainsi que l'attestent de nombreux exemples de socits
trs fragiles.
Cette fiabilit est d'autant plus sujette caution que ces hbergeurs peuvent trs bien se
situer l'tranger, le lieu d'hbergement tant souvent contractuellement indiffrent. Les
grandes socits du domaine hbergent dsormais les donnes dans des pays comme
l'Inde, le Pakistan, l'Irlande ou les Etats-Unis, situation qui a t rendu possible par la
disponibilit de liaisons mondiales haut dbit et bas cot partir du milieu des annes
90.
- en mme temps, pour les administrations et institutions publiques, le respect trop strict du
code des marchs publics accentue de fait les prises de risques.
Il est clair que le moins disant d'un appel doffres ne sera pas forcment le plus sr, si tant
est que laspect scurit ait lui mme t pris en compte. Les exemples ne manquent pas
ce propos.
Ainsi en est-il, titre d'illustration, des dboires rencontrs par Mto France dans la
gestion de ses services Audiotel dont l'importance est stratgique. En cas de crise, ses
rpondeurs informent en effet jusqu 1 million de personnes par jour. En 2002, la suite
d'un appel doffre pour quiper ces serveurs vocaux de lignes de raccordement au rseau
tlphonique, cet tablissement public n'a pu s'en remettre qu' l'oprateur le moins disant.
Une chute de la qualit de service se traduisant par des interruptions de service ou des
incapacits acheminer les appels s'en est immdiatement suivie. Mto France a donc t
conduite ds 2004 revenir vers loprateur historique pour le renouvellement de son
march, mais non sans avoir dvelopper une argumentation laborieuse afin de justifier le
choix dun prestataire plus onreux auprs du contrleur financier.

Avec le temps, l'apprhension des diffrents scnarii de pannes de rseaux auxquels nous
sommes susceptibles d'tre confronts se complique donc:
court terme, ces scenarii se rpartissent dj selon un spectre assez large de probabilits
d'occurrences et d'importance ventuelle d'impact qui peuvent tre rsumes dans le tableau
schmatique suivant:

31

Nombre
de rseaux
concerns

Type de Type de
rseau
flux

Type

de

panne

Panne
matrielle

Panne
logicielle

Incendie,
sabotage

Catastrophe Black out

Naturelle
nergie

Voix

R2 / I1

R3 / I2

R1 / I2

R2 / I2

sans objet

Donnes

R2 / I1

R3 / I2

R1 / I2

R2 / I2

sans objet

Voix

R2 / I1

R3 / I1

R1 / I2

R2 / I2

sans objet

Donnes

R2 / I1

R3 / I1

R1 / I1

R2 / I1

sans objet

Voix

R1/ I2

R2 / I3

R1 / I3

R2 / I2

R1 / I3

Donnes

R1 / I2

R2 / I2

R1 / I3

R2 / I2

R1 / I3

Voix

R1 / I2

R1 / I2

R1 / I2

R2 / I3

R1 / I3

Donnes

R1 / I2

R1 / I1

R1 / I1

R2 / I1

R1 / I1

Fixe
1 oprateur
Mobile

Fixe
Plusieurs
oprateurs
Mobile

Les probabilits de pannes (R) et d'importance ventuelle de leur impact

(I) sont classes sur une chelle de 1 3 : 1 (faible), 2(moyen), 3 (fort).

Ces scnarii, pour la plupart, sont malgr tout ceux de crises de porte limite. Un
effondrement ventuel de l'ensemble des types de rseaux (fixe/mobile) qui concernerait
l'ventail des flux (voix/donnes) et mettrait en cause plusieurs oprateurs en mme temps ne
pourrait relever que d'un black out nergtique. Pour autant, les enjeux en cause (continuit de
l'action gouvernementale et de la vie conomique et sociale), mme si la panne est circonscrite
dans le temps et l'espace, peuvent tre considrables.
Plusieurs de ces situations ont dj t prouves (pannes matrielles ponctuelles, pannes
logicielles n'impliquant qu'un oprateur et un rseau, catastrophes naturelles) et des leons
tires de ces expriences.
Mais plusieurs hypothses encore indites devraient appeler un examen pouss, mme si elles
sont de degrs d'occurrence ingale, compte tenu des consquences de leur ventuelle
survenue. Ainsi, quatre d'entre elles particulirement mriteraient d'tre approfondies dans un
cadre planificateur:
-

1) la diffusion d'un ver contaminant plusieurs oprateurs favorise par une

standardisation des quipements plus marque;

2) un black out nergtique dpassant 6h;

3) une attaque malveillante sur les rseaux (attentat physique contre un cur de
rseau ou une intrusion visant un effet de saturation) dont l'intrt peut devenir
particulirement manifeste s'il est complmentaire d'une action terroriste. La
difficult momentane de communiquer pour dployer la chane de secours,

32

demander et obtenir de l'information pourrait tre alors trs dmultiplicatrice

d'angoisse;
-

4) la destruction accidentelle ou non d'un nud crucial d'interconnexion Internet

et ses rpercussions sur les rseaux IP.

moyenne chance, c'est--dire rapidement: dans les 4/5 ans peine venir, les facteurs
d'incertitudes et de complexit auront pris plus de poids encore, brouillant d'autant les
possibilits de prospective.

33

2 / C'est pourquoi une posture de scurit civile

beaucoup plus circonspecte l'encontre de ces
risques mriterait d'tre adopte.

L'analyse en cours n'a vocation tre qu'un premier dfrichage. Mais, d'ores et dj, elle montre
qu"une grande prudence s'impose. Il serait judicieux, ce stade, d'orienter la rflexion administrative
dans quatre directions prioritaires visant :
-

conforter l'efficacit de notre dispositif d'urgence (2.1);

mieux scuriser en soi la sphre administrative contre ces diffrents dysfonctionnements

(2.2);

inciter autant que faire se peut les oprateurs intgrer plus encore des impratifs de
scurit (2.3);

promouvoir des lments de robustesse simples mettre en uvre ou qui ont dj fait
leurs preuves (2.4).

2.1/ Conforter l'efficacit de notre dispositif d'urgence.

Alors que l'exprience a mis en vidence les faiblesses de notre chane de raction plusieurs
reprises lors des dfaillances de rseaux de ces dernires annes, l'administration n'a pas
encore tir toutes les consquences de cette situation et continue s'organiser avec lenteur.
Les problmes poss ce titre sont pourtant depuis longtemps identifis. Ils ont trait, en cas de
crise, la dtermination du niveau le plus pertinent de traitement de celle-ci (2.1.1), la
gestion des diffrents types de priorits mettre en uvre (2.1.2) et aux modalits de
planification des alertes (2.1.3). Ainsi faudrait-il :

2.1.1/ Privilgier effectivement l'chelon centralis de raction.

A rebours de ce qui est prconis pour nombre d'autres domaines d'intervention de la scurit
civile -y compris ceux relatifs au rtablissement d'autres catgories de rseaux vitaux-, le
niveau de gestion que chacun s'accorde dsormais d recommander comme a priori le plus
appropri en cas de crises des systmes de tlcommunications est l'chelon centralis.
Le nombre et l'htrognit des oprateurs potentiellement concerns, leur organisation qui
ne se dcalque pas sur les cartes administratives, leurs modes d'intervention en cas d'incidents,
la technicit des problmes sont autant de facteurs qui militent en ce sens.
Mis part France Tlcom, les prfets ne disposent pas le plus souvent d'interlocuteurs locaux
chez les oprateurs qui, dans leur majorit, sont organiss au niveau national. Or, c'est partir
des salles de supervision de ces derniers que la dtection des pannes sur les rseaux peut

34

intervenir le plus rapidement, que l'information peut tre diffuse efficacement et que les
actions de rparation peuvent tre pilotes.
Ce constat est dj largement partag depuis plusieurs annes. Un arbitrage interministriel a,
semble-t-il, t enfin rendu pour l'instauration dun "guichet unique" de ladministration
(COGIC/ CTD):
-

prvenir en temps rel par les oprateurs en cas de panne srieuse;

auprs de qui les prfets peuvent se renseigner et recevoir des directives.

Cette solution devrait viter les effets souvent dplors d'une gestion en "tuyaux d'orgues" et
permettre une alerte rapide des pouvoirs publics dont les oprateurs n'ont pas toujours montr
le souci prioritaire.
Cet arbitrage n'a toutefois encore t traduit par aucun texte. L'urgence est donc que les
mesures rglementaires le mettant en uvre interviennent effectivement mais qu' cette
occasion soient aussi tablies des dispositions qui en imposent le respect.

2.1.2/ Elargir la notion de priorits de rtablissement.

Les priorits et les conditions gnrales de rtablissement des communications dont
bnficient certains usagers font l'objet d'un arrt actualis du 12 janvier 200748. Ce dernier
prend en considration les rseaux aussi bien fixes que mobiles. Les oprateurs doivent
dsormais proposer des mesures pour pallier en priorit auprs de certains abonns les
consquences les plus graves des dfaillances des rseaux (soit par des remises en tat
graduelles, soit par des prestations particulires, telles que des moyens de substitution
adapts).
En amont, il est cependant souhaitable que les installations des oprateurs eux mmes
soient prioritaires :

- pour tre de nouveau raccords aux rseaux et services essentiels (alimentation

lectrique au premier chef);
- et, dans la mesure du possible, quils soient consults sur les actions prises par
les pouvoirs publics (dlestages EDF, arrosages canadairs, positionnement des
digues en cas dinondation).

2.1.3/ Planifier la communication d'alerte.

Ds la mise en vidence de perturbations de rseaux majeurs, une communication publique
pour notamment indiquer aux usagers la marche suivre en cas d'urgence est indispensable.
Ses conditions de ralisation, selon les circonstances, ne sont pas videntes.
Privilgier au sein de la zone concerne la diffusion immdiate par la radio ou la tlvision
de messages parait la solution la plus expdiente. L'information devrait prciser la nature de la
panne, le (ou les) rseau(x) concern(s) et les moyens alternatifs de prendre contact avec les

48

Arrt IND/0609264A du 12 janvier 2007 relatif aux priorits de rtablissement des communications
lectroniques.

35

services d'urgence (15/17/18/112) ds lors que l'ensemble des rseaux n'est pas touch. Il ne
serait au demeurant pas anormal que cette information, l'initiative du Cogic mais selon des
modalits planifies, intervienne aux frais des oprateurs eux-mmes49.
Il reste que la rception de la tlvision sera elle mme de plus en plus dpendante des rseaux
de tlcommunications et de leurs dfaillances.
Paralllement, un recours la messagerie interpersonnelle (par SMS et par Internet) devrait
tre prvu et intgr dans le dispositif de raction. Non seulement les messageries sont
dsormais d'usage de plus en plus banal mais leur rsistance particulire lors de catastrophes
apparat avre50. Elle s'explique, pour des raisons la fois techniques et socio
comportementales, par les plus faibles dbits numriques concerns comme le rapport Fritz51
l'a soulign.

22/ Mieux scuriser en soi la sphre administrative.

Trois types de mesures notamment seraient de nature y contribuer:

2.2.1/ Garantir dans la dure l'tanchit des rseaux de scurit propres

l'administration.
Plus que jamais, il est essentiel pour les pouvoirs publics de conserver terme une
infrastructure minimale de rseaux non raccords ceux des oprateurs.
Autrement dit, il faudra veiller ce que Rimbaud, Socrate, Rubis/ Acropol ou encore le
rseau 40 MHz Equipement et les rseaux appels leur succder ne cdent pas rapidement et
pour des raisons avant tout budgtaires la tentation d'emprunter certaines facilits (mme
prsentes a priori comme scurises par des dispositions spcifiques). Ainsi en serait-il du
transit par Internet ou de l'utilisation partielle de tronons d'acheminement communs avec
d'autres rseaux.

Pour autant, le maintien de telles architectures publiques autonomes ne devrait pas interdire de
recourir des "briques standard" plutt qu' du "sur mesure" invitablement onreux52.

2.2.2/ Imposer pour les services publics nvralgiques des prescriptions

plus strictes en matire de scurit des tlcommunications.
Une plus grande directivit institutionnelle parait en l'espce indispensable.

49

L'article 8 de la loi du 13 aot 2004 de modernisation de la scurit civile prvoit dj des obligations cet
gard pour les organismes de radiodiffusion et de tlvision, mais dans un champ limit qui ne couvre pas tous
les cas de figure voqus ici.
50
L'exemple du 11 septembre est dterminant cet gard.
51
Rapport du CGTI de janvier 2003 cit supra.
52
Bien quil soit critiqu parce que son usage est limit, Rimbaud cote finalement lEtat peine 10 M/an (en
plus du rachat initial pour 38 M de son infrastructure France Tlcom) ; a contrario Acropol dont la
configuration est certes plus ambitieuse et plus complexe mais qui est du "sur mesure", sera revenu pour les
finances publiques, rien qu'en investissements, prs de 1 000 M.

36

Les politiques suivies par les administrations en ce qui concerne la dfinition du niveau de
scurit de leurs quipements et la nature des liens qu'elles entretiennent avec les oprateurs
sont en effet extrmement htrognes sur le terrain.
Au moins ceux de ces services considrs comme les plus sensibles en raison tant de leurs
missions (services de secours -SDIS/ Hpitaux/ SAMU-, prfectures/ commissariats, EDF)
que de leur lieu d'implantation (importance stratgique de l'activit) devraient tre soumis
une rglementation plus contraignante.
Il est suggr par consquent de mieux encadrer au niveau national les efforts de
planification locale les concernant par des prconisations portant la fois sur :

le type de protection mettre en uvre contre les pertes dalimentation lectrique, les
incendies, les inondations etc.;

le nombre et le mode de raccordements respecter en matire de tlphonie fixe (au

moins deux centraux gographiquement distincts, arrives de lignes sur des cbles
distincts) et le basculement automatique des appels arrives sur le central en tat de
marche;

la diversification souhaitable des abonnements de tlphonie mobile avec au moins

deux oprateurs distincts;

l'introduction de clauses de qualit de service (frquence des pannes, dlais de

rtablissement, pnalits pour non respect des engagements) contraignantes dans les
appels doffres.

Il pourrait tre galement envisag de soumettre les projets de passation de marchs les
plus significatifs l'examen d'une commission de scurit des tlcommunications.

2.2.3/ Mieux se prmunir contre les risques engendrs par l'externalisation

croissante des systmes d'information.
La dynamique observe ce titre au sein des administrations devrait tre accompagne de plus
de prcautions. Il est suggr :
en premier lieu, de sensibiliser l'encontre de ces risques l'ensemble des directeurs
responsables de SI de services publics. Une circulaire devrait leur tre adresse prcisant les
rgles quant lassurance qualit quil leur revient dexiger lors dune externalisation de
services informatiques;

en second lieu, de dfinir des critres de qualit avec la profession des hbergeurs
informatiques. Un label pourrait tre dfini, lequel permettrait davoir des assurances telles
que la prsence dun groupe lectrogne, dun centre de back up sur le territoire national ou
l'tablissement de doubles raccordements des salles dhbergements aux rseaux de
communications.

37

23/ Inciter autant que faire se peut les oprateurs intgrer plus
d'impratifs de scurit.
Les relations entre les pouvoirs publics et les oprateurs s'inscrivent dans un cadre qui n'a pas
russi s'affranchir jusqu'ici de ses contradictions. Les textes53 refltent la fois la volont de
libraliser le dveloppement des tlcommunications et d'affirmer certaines obligations de
scurit. Mais en pratique, ces dernires, faute de prcisions suffisantes, de contrles tangibles
et de sanctions rellement appliques en cas d'inobservation54, se prsentent bien des titres
plus comme des incantations que comme des contraintes vritables:
depuis la loi du 9 juillet 2004 relative aux communications lectroniques55 (adopte
en application des directives europennes issues du "paquet tlcom"), ltablissement
et lexploitation des rseaux ouverts au public et la fourniture au public des services
de communications lectroniques sont libres sous rserve dune dclaration pralable
auprs de lAutorit de rgulation des tlcommunications;

le code des postes et communications lectroniques (CPCE) dfinit des obligations

de rsultats mais qui ne sont pas quantifies en matire :

- de permanence, de qualit et de disponibilit des rseaux et des services

rendus56(assurer par exemple un accs ininterrompu aux services d'urgence),
- et d'ordre public, de dfense nationale et de scurit publique57;
la loi du 13 aot 2004 de modernisation de la scurit civile impose aux oprateurs
de rseaux de tlcommunications ouverts au public (donc rseaux fixes comme
mobiles) de "prvoir les mesures ncessaires au maintien de la satisfaction des besoins
prioritaires de la population lors de situation de crise". La nature de ces mesures reste
toutefois maintenant dterminer.

La ncessit de mieux prserver les intrts de l'Etat et de la collectivit vis--vis de

dfaillances majeures d'un ou plusieurs rseaux de tlcommunications milite donc pour une
approche renouvele du problme. Celle-ci devrait tre plus dynamique de la part des pouvoirs
publics et plus quilibre.
Cette approche suppose rempli un pralable: la reconstitution au sein de l'administration d'un
ple consistant de dialogue technique avec les oprateurs (2.3.1). Elle pourrait emprunter un
ventail de pistes dont les pertinences respectives devront toutefois tre approfondies dans la
continuit de ce premier travail (2.3.2 2.3.5).
53

Cf. le recensement et l'analyse de ces textes faits par le CGTI dans Propositions pour accrotre le niveau de
scurit des rseaux des oprateurs de communications lectroniques rapport DP 13-2005 de juin 2005-.
54
En cas de non respect des obligations de l'art. D.98 (4 et 7), le CPCE prvoit (L-36-11) une mise en demeure
par l'ARCEP qui peut tre suivie: d'une suspension partielle ou totale du droit d'tablir un rseau ou d'une
sanction pcuniaire (<3% du CA) et en cas de manquement grave et immdiat de l'imposition de mesures
conservatoires.
55
Article L. 33-1 du Code des postes et communications lectroniques.
56
Article D. 98-4 du CPCE: "L'oprateur doit prendre les dispositions ncessaires pour assurer de manire
permanente et continue l'exploitation du rseau et des services de communications lectroniques et pour qu'il soit
remdi aux effets de la dfaillance du systme dgradant la qualit du service pour l'ensemble ou une partie des
clients, dans les dlais les plus brefs.
Il prend toutes les mesures de nature garantir un accs ininterrompu aux services d'urgence L'oprateur met en
oeuvre les protections et redondances ncessaires pour garantir une qualit et une disponibilit de service
satisfaisantes".
57
Article D. 98-7 du CPCE.

38

2.3.1/ Reconstituer pralablement au sein de l'Etat un ple consistant de

dialogue technique avec les oprateurs sur les questions de scurit.
L'administration est de moins en moins en mesure d'changer de faon assure avec les
oprateurs. De multiples facteurs contribuent expliquer cette situation: la sortie de la
mouvance publique de France Tlcom et de son centre de recherche58 qui a mis fin une
irrigation continue de comptences; ou encore le bouleversement permanent des technologies
qui rendent rapidement obsoltes les connaissances non actualises au cur mme des socits
qui promeuvent ces changements.
Les capacits d'expertise publiques sur les nouveaux rseaux IP, par exemple, sont faibles.
Elles sont sans commune mesure avec l'importance des enjeux avec lesquels il faudra de plus
en plus composer.
Reconstituer une telle comptence59 au sein de ladministration pour d'une part pouvoir
suivre lvolution technique chez les oprateurs et dans les instances europennes et d'autre
part garder une capacit lgifrer et rglementer correctement ce propos constitue donc un
impratif.

Encore faudrait-il que l'administration se reconnaisse pour autant pleinement en charge de

rglementer la scurit des rseaux. Elle ne s'est pas encore organise compltement cette
fin: la DGE ne semble pas intgrer cette proccupation; le CTD (commissariat aux
tlcommunications de dfense) est sous-dot en personnels; l'ARCEP, quant elle,
contrairement ce quoi ses textes constitutifs l'invitent et en dpit de l'importance de ses
moyens, semble beaucoup plus focalise (comme du reste la Commission europenne) sur le
maintien dun contexte concurrentiel que sur le renforcement de la scurisation globale des
systmes.
Un balayage des rpartitions de responsabilits, qu'elles soient de diagnostic ou de
prescription, entre les services publics multiples appels intervenir serait opportun.

Il serait utile par exemple de dsigner au sein de ladministration (ARCEP ou Minefi/ HFD)
une entit charge de suivre lvolution de la qualit de service pour lusager entrane par le
dveloppement de la VoIP, des boxes et du dgroupage total. Cette entit pourrait cette fin
effectuer rgulirement (annuellement ou tous les 2 ans) un exercice majeur de simulation de
panne oprateur.
Ce n'est que dans un tel cadre que le "partenariat Etat-oprateurs" auquel le rapport de J-M
Hubert60 se rfre pourra trouver sa consistance.

58

FT R&D, ex CNET.
Le ministre de la dfense dispose bien dune certaine capacit technique avec le centre lectronique de
larmement (CELAR) de la dlgation gnrale pour larmement, mais il considre pour linstant quelle na
vocation qu traiter de questions militaires ; ses ressources sont dailleurs probablement trop limites pour
rpondre avec une pleine efficacit aux besoins civils.
60
Rapport II.D13-2004 du CGTI de dcembre 2004 cit supra.
59

39

2.3.2/ Dvelopper une conception extensive de la dmarche SAIV/DNS61.

Cette dmarche initie dbut 200662 concerne au total une douzaine de secteurs, dont celui des
tlcommunications. Elle n'intresse par nature que les seuls oprateurs considrs comme
d'importance vitale, soit, s'agissant du secteur des tlcommunications, a priori 5 6 acteurs
majeurs.
Elle prsente plusieurs types d'intrts. Notamment, elle impose aux oprateurs de cooprer
la protection de leurs rseaux en mettant en uvre une autre logique que celle retenue jusqu'ici
par le CPCE. Elle devrait conduire en effet l'diction non pas d'obligations de rsultats mais
de moyens63, assorties par ailleurs de sanctions si elles ne sont pas respectes.
Cette dmarche ne portera cependant tous ses fruits que si elle est entreprise, ds le dpart,
avec une conception extensive tant de son champ d'application que des moyens qu'on souhaite
lui affecter.
Le spectre des menaces concernes d'abord doit tre apprci de faon large. Certes, le
fondement de cette dmarche est essentiellement de "dfense". Des risques graves resteront
donc ncessairement en dehors de l'pure (catastrophe naturelle par exemple). Le dcret de
fvrier 2006 voque "les dommages, l'indisponibilit ou la destruction d'installations par suite
d'un acte de malveillance, de sabotage ou de terrorisme". Aussi, devrait-il tre clair nanmoins
que la protection contre les attaques logicielles devra tre intgre dans l'exercice et qu'on n'en
restera pas une conception physique trop classique des risques.

La notion d'oprateur d'importance vitale ne doit pas non plus tre enferme dans un
primtre juridiquement et techniquement trop troit. La notion de rseau et les connexions
qu'elle suppose impliquent que l'on soumette aux mmes obligations initiales leurs activits
hberges l'extrieur.

La prise en compte du contexte financier dans lequel cette dmarche doit tre amene se
dployer est enfin fondamentale dans le contexte de concurrence.

61

SAIV: scurit des activits d'importance vitale / DNS : directive nationale de scurit.

62

Dcret 2006-212 du 23 fvrier 2006, pris en application des articles L.1332-1 et suivants du code de la
dfense. Il rforme le rgime de vigilance et de protection des installations les plus sensibles pour la dfense de
la Nation et la scurit de ltat. Il impose aux oprateurs publics ou privs exploitant des tablissements ou
utilisant des installations et ouvrages dont lindisponibilit risquerait de diminuer dune faon importante le
potentiel industriel, militaire ou conomique, la scurit ou la capacit de survie de la Nation, ou dont la
destruction ou lavarie pourrait prsenter un danger grave pour la population, de cooprer la protection de leurs
tablissements, installations ou ouvrages contre toute menace, notamment caractre terroriste. Il prcise la
notion doprateur dimportance vitale et identifie les secteurs dactivit dimportance vitale (SAIV). Pour
chacun des secteurs dactivits dfinis par le Premier ministre, une directive nationale de scurit (DNS) doit
tre labore sous la responsabilit dun ministre coordonnateur. Dans le cadre de cette directive, les oprateurs
majeurs du secteur doivent laborer des plans de scurit couvrant leurs activits, puis des plans particuliers de
protection de chacun de leurs points dimportance vitale.
63

Ils doivent notamment raliser une analyse des risques qu'ils encourent, identifier les points d'importance
vitale (PIV), mettre en uvre des plans particuliers de protection (PPP) pour ramener un niveau acceptable le
risque de pannes.

40

2.3.3/ Prfrer de faon gnrale une logique d'incitation financire plutt

que de prescriptions normatives.
Imposer aux oprateurs, en cas de dfaillance de leur rseau, une indemnisation forfaitaire
significative de leurs utilisateurs favoriserait une optimisation de leur effort de scurisation
supplmentaire.

Une telle logique a le mrite de la simplicit. Elle vite de s'enferrer dans une course aux
dtails et aux nouveauts techniques et dans des actualisations laborieuses de la
rglementation. Elle laisse libre les oprateurs du choix de leurs moyens.
Ce principe a dj t adopt dans un certain nombre de pays europens pour d'autres types de
rseaux comme en Grande Bretagne pour celui de l'lectricit. Diffrents rapports64 ont dj
prconis la mise en uvre de ce type de solution.
Dj des dispositions allant en ce sens commencent tre prvues dans notre droit:
- un arrt de mars 2006 pris sur la base du code de la consommation impose aux
oprateurs d'annoncer, dans leurs conditions contractuelles, le ddommagement qu'ils
accorderont leurs clients en cas de dysfonctionnement du service;
- un avis du conseil national de la consommation de juin 2006 permet un abonn
de rsilier son contrat sans pnalit et sans frais si le service contract n'a pas t
rendu.
Il conviendrait dsormais d'aller nettement plus de l'avant au travers d'une disposition
lgislative.

2.3.4/ A dfaut, dfinir un certain nombre de normes quantifies en

matire de qualit de service.
Les prescriptions du CPCE sont actuellement essentiellement de nature qualitative. Elles sont
donc d'application et de contrle difficiles.
Mme si la problmatique de la qualit de service exiger est complexe en raison de
lvolution permanente des rseaux, la mission considre qu' dfaut d'approche financire
incitative des normes quantifies devraient sappliquer tous les oprateurs. Elles porteraient
dune part sur une qualit de service minimale impose et d'autre part sur lobligation pour les
oprateurs de publier rgulirement leurs rsultats en matire de qualit de service.
Ces normes devraient :
-

dfinir des niveaux minima de qualit de service (dure dindisponibilit moyenne

par an et par abonn, qualit de la voix, dlais de transmission des mails)

exiger certaines bonnes pratiques (supervisions permanentes des rseaux,

astreintes, duplication des quipements sensibles, organisation de cellules de
crises, plans de secours, ), notamment en ce qui concerne la scurit des outils
informatiques grant les rseaux de tlcommunication (redondance des moyens

64

Rapport du Conseil gnral des mines sur la scurisation du rseau lectrique franais (2000) ou rapport de
la mission interministrielle sur les temptes des 26 et 28 dcembre 1999 (2001).

41

informatiques centraux, scurit incendie, scurit des alimentations lectriques,

scurit vis--vis de certains risques particuliers : inondations, sismes etc.)
Elles devraient en outre imposer des rgles relatives aux rseaux :
-

tenue des ouvrages diverses sollicitations (vent, inondation, sismes, etc.);

protection des liaisons, profondeur des lignes enterres, application du dcret de

1991 sur les travaux proximit, protection des faisceaux hertziens, etc.

maillage des rseaux pour faire face une ou plusieurs coupures simultanes sur
un rseau;

protection des nuds des rseaux;

gestion des prioritaires en cas de crise (cf. 2.1.2).

A cet gard, la mission sest interroge sur la ncessit de dfinir des classes
dabonns prioritaires en cas de saturation des rseaux. Il na pas retenu cette
option qui a dj fait lobjet d'une rflexion par un groupe de travail de la
CICREST. Les difficults techniques en effet sont fortes. Les mcanismes
envisageables (lignes essentielles pour le fixe, classes de service, voire possibilit
ditinrance, pour le mobile) nont jamais t mis en uvre en pratique pour des
raisons organisationnelles et financires.
En outre, la rpartition de la charge financire entre les diffrents partenaires (les
usagers concerns qui ne sont pas forcment demandeurs, lensemble des usagers
si on taxe les oprateurs, lEtat) nest pas simple.

Les oprateurs des divers rseaux de tlcommunications devraient avoir non seulement
lobligation de respecter ces diverses rgles mais galement de prsenter ladministration
une tude de scurit dcrivant les risques pris en compte, les mesures de prvention et de
secours adoptes et montrant comment cet ensemble permet de respecter les objectifs en terme
de scurit des rseaux de tlcommunication.
Le contexte concurrentiel rend pratiquement obligatoire lgalit de traitement vis vis de la
qualit.

2.3.5/ Renforcer, en dernire instance, le pouvoir de sanctions de

ladministration vis vis des oprateurs et, plus prcisment, des
exploitants de rseaux.
Les obligations du CPCE ne sont pas appliques car, indpendamment de leur caractre
uniquement qualitatif, elles ne sont assorties en pratique d'aucune sanction:
-

il n'est pas sr que celles qui sont prvues pour le non respect de l'article D-98
soient, compte tenu de leur importance, trs ralistes;

le dtenteur du pouvoir de sanctions, en l'espce l'ARCEP, n'a pas plac la scurit

au centre de ses proccupations.

42

Il revient d'imaginer les voies et les moyens pour que ladministration (ministre en charge
de l'industrie) dispose en propre d'un pouvoir effectif :

pour obtenir des informations sur leurs rseaux et leurs vulnrabilits (la mission a
eu de relles difficults pour obtenir des informations sur le rseau de loprateur
historique);

pour sanctionner le non respect du niveau exig de qualit de service.

2.4/ Promouvoir des lments de robustesse simples mettre en

uvre ou qui ont dj fait leurs preuves.
Sans doute importe-il aussi d'tre le plus pragmatique possible. Deux exemples de types
d'actions envisageables peuvent tre prsents en ce sens:

2.4.1/ Standardiser des quipements disposition de l'usager qui soient de

conception plus sre.
Sachant que la garantie de pouvoir tlphoner dont chaque abonn bnficiait jusquici en cas
de panne lectrique chez lui tend disparatre avec les nouveaux services, il apparat
ncessaire de prvoir des amnagements simples de prcaution tendant remdier cette
baisse de scurit..
Ainsi, il est suggr que les "boxes", par lesquelles passeront dans le futur la quasi
intgralit des possibilits de communication domicile, soient en mesure de conserver une
autonomie de liaison minimum en cas d'interruption de l'alimentation lectrique gnrale. A
ce titre, elles pourraient comporter dans des versions de haute disponibilit une pile permettant
au moins l'appel tlphonique..

2.4.2/ Tirer les consquences de la rsistance particulire et jusqu'ici

avre des messageries.
Faisant le retour d'exprience des attentats du 11 septembre 2001, le CGTI65 a eu l'occasion
d'attirer l'attention sur les caractristiques particulires des messageries interpersonnelles et
leur utilit -gnrale et de recours- en cas de catastrophe66.
65

Cf. rapport de 2003 cit supra.

"Cette rsistance de la messagerie dans les circonstances dramatiques du 11 septembre ne tient nullement
une vertu spciale de lInternet, mais essentiellement aux caractristiques de la messagerie elle-mme,
totalement opposes celles de la tlphonie. Il sagit dune communication en temps diffr, dans laquelle on
ne gre pas la prsence du destinataire. Le volume dun message est trs faible, tant quon ny adjoint pas
dimage fixe ou surtout anime. Enfin, le volume habituel de messagerie est tel que la crise du 11 septembre ne
se traduisit pas par une surcharge perceptible. Ces caractristiques liminent le phnomne de rptition des
appels, provoque notamment par la non-rponse du demand. Cest ce phnomne de rptition dappels qui est
si prjudiciable au rseau tlphonique en cas de crise engendrant une grande anxit du public. Les
caractristiques de la messagerie entranent galement une modestie des moyens mis en uvre (le trafic de
messagerie reprsente quelques % du trafic gnral de lInternet), et lacceptation de supports divers et
rustiques".
66

43

La mission ne peut que souscrire sa suggestion d'accorder un soin particulier leur

rsistance aux catastrophes, et pour toutes les variantes rpandues (SMS, messageries
instantanes , ..), ce qui lui apparat relativement plus facile que pour les autres services,
compte tenu des faibles dbits numriques concerns tant qu'on y adjoint pas d'images fixes ou
surtout animes.

*
* *

44