Professional Documents
Culture Documents
de l'Administration
07 023 - 01
_________
Conseil gnral
des Ponts et Chausses
_________
Contrle gnral
des Armes
2061/DEF/CGA/SIA/MEI/JTX
Inspection gnrale
des Finances
Conseil gnral
des Mines
Rapport sur
prsent par:
Gilles SANSON
Bernard FLURY-HERARD
Jean CUEUGNIET
Inspecteur gnral
de l'administration
Ingnieur en chef
des ponts et chausses
Xavier de THIEULLOY
Andr TANTI
Franois BARTHELEMY
Contrleur gnral
des armes
Inspecteur gnral
des finances
Ingnieur gnral
des mines
Juin 2007
Sommaire
10
- les oprateurs ne semblent pas sous estimer les risques encourus et prennent certaines
prcautions.
- les rseaux disposent pour un temps encore d'une protection structurelle: leur
cloisonnement les uns par rapport aux autres.
17
23
33
33
spcifiquement
et
plus
compltement
la
sphre
35
23/ Inciter autant que faire se peut les oprateurs intgrer plus d'impratifs de
scurit.
37
de
42
*
* *
b) Aussi, le Conseil national de la scurit civile a souhait qu'un groupe de travail interministriel
porte prioritairement son attention sur ce problme.
Il ne s'agissait pas, dans le cadre du mandat et du temps impartis, de chercher formuler ce stade des
propositions de solution. Le champ couvert par la rflexion tait dfini limitativement. Il convenait
avant tout de prendre la mesure de la vulnrabilit de ces rseaux, notamment en envisageant, comme
premire piste de travail, divers scnarii de pannes possibles, avec une ambition: celle d'aider ce titre
l'laboration en cours du volet "tlcommunications" du plan Orsec.
Ce groupe de travail a runi les membres de 6 corps de contrle ou conseils gnraux de ministres
diffrents: Inspection gnrale de l'administration, Conseil gnral des technologies de l'information,
Conseil gnral des ponts et chausses, Contrle gnral des armes, Inspection gnrale des finances,
et Conseil gnral des mines.
Il a procd aux auditions des reprsentants tant des principaux oprateurs (France Tlcom,
Bouygues Tlcom, SFR, Neuf/Cgtel, Iliad/Free) que des administrations (Industrie, Dfense,
Intrieur, SGDN, CICREST1) et de l'autorit de rgulation (ARCEP2) concernes. Le cercle a t
largi aux responsables de diffrentes entreprises publiques (EDF, RTE, RATP, SNCF), de rseau
spcialis (GIP RENATER), d'hbergeurs (ATOS-Worldline, Telehouse), d'acteurs centraux de la vie
conomique (Groupement des cartes bancaires, Association franaise des banques) et de dfense des
usagers (AFUTT3).
c/ Au terme de cette premire rflexion, c'est un constat assez nuanc mais, exprim avec beaucoup de
prudence, plutt rassurant court terme que le groupe de travail est tent de formuler quant la
vulnrabilit globale de nos rseaux de tlcommunications.
Mis part une rupture massive et durable de l'alimentation en lectricit (dont les rpercussions sont
majeures et globales sur les dispositifs de tlcommunications), les occurrences les plus probables
avec lesquelles nous pourrions avoir composer semblent emporter des risques d'ampleur qui serait
limite. Un grand nombre de facteurs sont en effet prendre en considration. Cependant, la
multiplication dsormais du nombre des systmes de tlcommunications concurrents (systmes
reposant par ailleurs sur des technologies pour partie indpendantes) devrait permettre le plus souvent
des recours de substitution en cas de panne de l'un d'eux.
A moyenne chance, s'exprime en revanche une foule d'incertitudes lies notamment la place de
plus en plus prpondrante d'Internet au sein des systmes de tlcommunications. Ce contexte ne
rend plus possible d'exclure a priori l'hypothse d'un effondrement ventuel significatif de ces
derniers.
d/ C'est pourquoi il est propos d'adopter une posture de scurit civile qui soit trs circonspecte
l'encontre des risques exposs.
Diffrentes propositions de mesures sont formules ce titre.
ce stade de l'analyse, elles ne prtendent cependant ni l'exhaustivit, ni la pertinence assure.
Elles doivent tre conues comme un premier point d'ancrage la rflexion et comme une contribution
mthodologique au travail en cours de planification de la prvention et des secours.
1/ Le constat d'ensemble
rassurant qu' court terme.
n'est
partiellement
Cf. rapport de la mission interministrielle charge de l'valuation des dispositifs de secours et d'intervention
mis en uvre l'occasion des temptes des 26 et 28 dcembre 1999 -juillet 2000-.
5
Alenon, Paris, Metz, Colmar, La Rochelle, Clermont Ferrand Le record tant de 198 km/h lIle dOlron.
6
Soit, notamment, 1400 sites Itinris sur 9000.
7
L'ensemble des autres rseaux avait t galement dtrior: 3,5 millions de foyers avaient t privs
dlectricit. (Le retour la normale sest effectu en une semaine environ mais avec un coup de collier plus
net que pour les tlcommunications puisque plus de la moiti d'entre eux avait pu tre rtablie en 24 heures.)
Or, ces temptes se sont droules dans un contexte particulier qui en a malgr tout limit la
porte dramatique. Elles ont eu lieu non seulement en priode de faible activit mais alors, par
ailleurs, que des centaines de cellules de crises avaient t pr actives dans la crainte du "bug
de lan 2000" et que des milliers de groupes lectrognes avaient t rquisitionns dans ce
cadre, moyens qui ont t immdiatement affects au rtablissement des infrastructures.
1.1.2.1 / Parmi celles ayant une origine interne, les plus notables rcemment ont t
analyses par le CGTI8.
L'tude a port sur trois cas intervenus en 2004, le premier mettant en cause un rseau fixe,
les deux autres des rseaux mobiles :
lors du week-end du 30 au 31 octobre 2004, France Tlcom a connu un
dysfonctionnement partiel de ses commutateurs MT25 (qui traitent 30% de ses
abonns) se traduisant par lchec des appels "arrive" longue distance vers ces
centraux (les appels locaux continuant de leur ct tre achemins normalement).
Si France Tlcom a ragi en une heure environ, crant une cellule de crise au bout
dune heure et demie, la perturbation s'est poursuivie prs dune journe.
Lorigine de ce trouble est une erreur humaine de configuration dun quipement parefeu linterconnexion du rseau tlphonique commut avec le service VoIP. Ce
problme a engendr en cascade des messages errons vers les MT25, puis un
dsordre de fonctionnement de ces derniers eux-mmes. Il est noter que cet incident
sur le rseau fixe n'a pas affect le rseau mobile.
le mercredi 17 nov. 2004, une panne majeure galement a touch pratiquement tous
les clients de Bouygues Tlcom, interdisant les appels "dpart" et "arrive". Elle tait
due, loccasion dune saisie importante de nouveaux numros, une dfaillance
logicielle dune base (HLRV9) qui gre les profils des abonns et leur localisation. Cet
quipement tait certes dupliqu mais en type "miroir", ce qui fait que lquipement de
secours existant s'est retrouv insusceptible de prendre le relais.
Quant la distribution deau, elle a t paralllement perturbe: 2,5 million de personnes ayant t prives deau
(pour 40% d'entre elles pendant plus de 3 jours).
8
Enqute sur les dysfonctionnements rcents ayant touch des oprateurs de tlcommunications CGTI
dcembre 2004.
9
HLR : "home location register".
1.1.2.2/ Les attaques externes susceptibles d'engendrer des pannes sont, quant elles,
quasi permanentes.
Une illustration aigu en est la diffusion du ver Slammer, qui a fortement perturb Internet en
janvier 2003. Ce ver a utilis une faille Microsoft sur les serveurs de bases de donnes SQL
pour, dune part se propager en quelques minutes vers dautres serveurs dans le monde entier
et, dautre part, mettre des messages saturant le rseau.
L'ensemble des oprateurs souligne, pour ce qui est dInternet et de la messagerie, le jeu
perptuel du chat et de la souris, d'attaques et de dfenses, auxquels ils sont soumis au
quotidien. Prs de 80% du trafic de la messagerie est actuellement compos de spams gnrs
par des PC d'usagers ordinaires mais infects, sachant que certaines organisations revendent
pour quelques centimes deuros le contrle dun PC capable denvoyer des spams10. Les
oprateurs sont donc contraints de renouveler en continu leurs dispositifs de protection, "black
listant" les sites ou FAI11 qui gnrent un trafic suspect, essayant de filtrer leur propre flux
sortant afin de ne pas tre eux mmes "black lists" par dautres, etc. Lors de tentatives
d'intrusion, le flux est multipli par un facteur de 10 1000 : "cest comme si toutes les
voitures de France convergeaient vers un arrondissement de Paris", rapporte un oprateur.
De fait, le dni de service12 par infection de multiples serveurs (ou par des PC "zombies"
pralablement infects qui se dclenchent une heure donne) est difficile conjurer, mme si
les diligences des oprateurs permettent damoindrir leffet de ces attaques continuelles.
10
Orange/ Wanadoo subit ainsi une attaque par seconde sur sa plate-forme de messagerie.
FAI: fournisseur d'accs Internet.
12
Dni de service (denial of service /DoS) : saturation d'une portion du rseau, d'une ligne d'accs, d'un
ordinateur sous une avalanche de paquets parasites.
11
10
La situation est galement encore susceptible d'tre tenue en main sil sagit dune coupure plus longue mais
dont le secteur concern reste circonscrit, compte tenu la fois du tuilage des champs couverts par les sites radio
et de la possibilit dacheminer si besoin un groupe lectrogne de secours sur place.
14
Cette panne s'est produite vers 22h partir d'une dfaillance en Allemagne du rseau de EON Netz qui a
conduit des procdures de dlestages en chane dans toute l'Europe et particulirement en France.
15
Si l'on fait exception d'une part de certains phnomnes mineurs de dconnections de terminaux sur Internet et
de reconnections un peu laborieuses et, d'autre part, de demandes massives d'information qui ont pu faire
craindre ici ou l aux services d'urgence une ventuelle saturation de leurs lignes d'appels.
16
MSC : Message Switching Centers.
11
Or, cette sensibilit majeure aux ruptures d'alimentation lectrique est accentue galement
par l'importance croissante prise progressivement dans les centraux par deux lments :
- les besoins cruciaux de climatisation de matriels dont le fonctionnement ne tolre
plus d'carts de tempratures;
- la part des quipements ADSL laquelle conduit le dveloppement rapide de
lInternet haut dbit et qui, malgr la miniaturisation et les progrs techniques, est
fortement consommatrice d'nergie rduisant d'autant l'autonomie initiale des sites19.
C'est pourquoi nos interlocuteurs (notamment Bouygues et SFR) se sont plaints de ne pas tre
prioritaires vis vis dEDF, autrement dit que leur situation en cas de dlestage ne soit pas
privilgie.
Ce problme a t abord avec EDF. Du fait de la dispersion de leurs installations sur le
territoire et de la consommation relativement faible de chacune d'entre elles, les oprateurs
nont pas le statut de "grand compte" auprs dEDF. Ils ne bnficient donc pas de priorits
dalimentation. Ce n'est pas non plus techniquement illogique car le rseau de distribution
d'lectricit est organis partir des dparts des postes MT/BT20. Le fait davoir un abonn
prioritaire sur un dpart conduit rendre la globalit de ce dernier (et ses milliers dabonns)
prioritaire.
Par contre, rien nempche que les sites des oprateurs de communications lectroniques
soient systmatiquement considrs comme prioritaires pour le rtablissement du courant la
suite d'un sinistre. Ce besoin devrait tre mcaniquement pris en compte par les prfets dans
leur planification de crise.
17
France Tlcom reprsente 80% des abonns de tlphonie fixe. Or, les autres oprateurs, plus lis des
technologies de dgroupage total (box) sont encore plus vulnrables face aux coupures nergtiques.
18
Dans le cas dune ligne partiellement dgroupe, le fonctionnement reste possible sur la bande basse France
Tlcom avec un poste aliment par la ligne.
19
Tel oprateur rencontr a ainsi confi que la dure d'autonomie de ses centraux avait de la sorte t rduite par
un facteur 6; autrement dit, l o celle-ci tait auparavant de 24h, elle tait dsormais tombe 4h.
20
MT/BT: moyenne tension / basse tension.
12
C'est parce que non seulement les consquences d'une rupture d'alimentation lectrique sont
donc grandes mais aussi parce que les oprateurs s'affirment particulirement dmunis pour
s'en prmunir que cette menace est regarde comme la plus aigu, bien avant les risques
physiques aux installations (malveillance, incendie) ou les pannes de logiciels.
1.2.1.2 / Des efforts indniables sont raliss pour fiabiliser les rseaux.
L'impression a t confirme partir des rencontres ayant eu cours avec les responsables tant
des principaux oprateurs de rseaux commerciaux ouverts au public (SFR, Bouygues FranceTlcom, Neuf/Cgtel, Iliad) que des institutions disposant d'un rseau propre pour lexercice
de leurs missions (RATP, EDF, RTE, RENATER) d'une indiscutable prise en compte des
risques encourus.
lexception des balises mettrices rceptrices (BTS) des rseaux mobiles21, la
plupart des quipements actifs sont dupliqus.
Les oprateurs fixes s'appuient ainsi sur des rseaux autoreconfigurables, soit grce
des maillages, soit sur des boucles optiques dans lesquelles lacheminement peut
emprunter indiffremment un sens ou lautre de la boucle.
Mme si elle introduit des vulnrabilits nouvelles (bugs logiciels qui se propagent de
manire incontrle), lvolution vers IP offre aussi des possibilits de
reconfiguration : un de nos interlocuteurs nous a indiqu pouvoir secourir un
softswitch (commutateur pour les communications vocales en IP) par un autre
21
Mais les cellules de ces rseaux se recouvrent partiellement, si bien que la dfaillance de lune delles peut
partiellement tre compense par les voisines.
22
La description de l'un de ces rseaux est ainsi la suivante : 15 000 stations radio (BTS) disposent dune
autonomie lectrique de 4 heures sur batteries. Ces sites radio sont pilots par des BSC (environ 430) qui
disposent de 8 heures dautonomie, et, pour 30% dentre eux, sont pourvus de groupes lectrognes et
"redonds" en transmission. Les commutateurs (65 MSC) sont dans des sites scuriss avec groupes lectrognes
et double alimentation EDF. La panne dun MSC aurait pour consquence la neutralisation des BTS qui lui sont
rattaches. De ce fait les oprateurs ont prvu des plans de secours (lourds) pour ces situations. Les HLR
(lment sensible du rseau, cf ci-dessus) disposent de 2 redondances.
23
Elles servent notamment identifier les terminaux qui se prsentent sur les balises mettrices-rceptrices
(BTS).
13
softswitch en cas de panne, ce qui ntait pas possible dans la configuration historique
o chaque abonn tait intimement li son commutateur de rattachement.
A titre dexemple, un oprateur nous a dcrit son rseau, fortement bas sur un cur
de rseau IP et des routeurs pour relier le cur de rseau aux boucles de collecte
locales. Un tel rseau est largement auto reconfigurable en cas de panne. Il y a
sparation du rseau public assurant la desserte de lensemble des abonns et du
rseau ferm offrant un service de transport de data (type VPN IP ou MPLS) aux
gros clients, ces deux rseaux ntant relis que par des passerelles contrles.
Le pilotage des quipements24 est indpendant du rseau de trafic et donc, dans les
architectures actuelles, des ventuelles perturbations de ce dernier. Encore convient-il
de noter que cette protection lie l'architecture traditionnelle des rseaux
tlphoniques est susceptible de disparatre dans les prochaines annes.
Le pilotage s'effectue soit en mode associ (la signalisation utilise des voies logiques diffrentes mais suit la
mme architecture physique que les voies de trafic), soit en mode quasi associ de type rseau Smaphore n7
(relativement indpendant lui-mme du rseau de trafic physique).
25
Mais en mme temps certains quipements se rvlent dsormais plus consommateurs d'nergie: cf. note bas
de page n 12.
26
Les oprateurs, de faon gnrale, ont manifest de grandes rticences communiquer les performances
exactes de leurs matriels.
27
Les oprateurs commerciaux nassurent pas eux-mmes la maintenance des quipements de leur rseau, mais
la sous-traitent des socits spcialises.
14
Les mesures prises en matire de scurit physique des locaux, pour ce qui a t
donn de constater, n'appellent pas de remarques.
28
29
pour lesquelles il leur sera toujours loisible d'voquer la force majeure (ou la
dpendance vis vis de loprateur historique),
et dont les consquences, a priori, ne les pnaliseront pas spcialement par rapport
leurs concurrents.
Ce risque n'a t matris en 2003 que moyennant lacceptation dune temprature suprieure des cours deau.
CPCE: code des postes et communications lectroniques.
15
Si le degr de prparation qu'ils manifestent vis vis des crises peut tre qualifi de
convenable, ceci rsulte autant:
-
dune organisation gnrale destine assurer une bonne qualit de service dans
un contexte de concurrence et de vigilance permanente face des attaques
logicielles quotidiennes,
Les travaux raliss par France Tlcom dans le cadre du plan "crue de la Seine" sont
illustratifs de cet tat d'esprit. Lobjectif premier (non critiquable par ailleurs) a t de prvoir
des protections pour les quipements non pas pour que ces derniers puissent fonctionner
pendant la crue, mais pour quils ne soient pas dtruits par leau, de telle sorte que le service
puisse reprendre rapidement aprs la dcrue.
En mme temps, cette exacerbation de la concurrence et l'acclration des innovations de
services proposes aux clients qu'elle impulse renforcent certaines vulnrabilits. La tentation
est grande par exemple de raccourcir les dlais pour tester les changements de palier de
nouvelles configurations logicielles.
techniquement, d'un rseau de tlphonie fixe on est pass un systme qui s'est
enrichi de rseaux de tlphonie mobile et de l'Internet mais aussi de rseaux de
transmission de donnes privatifs;
Certes, compte tenu de la concurrence sur les cots qui s'est accentue cette occasion,
l'hypothse peut tre soutenue d'une ventuelle moins grande fiabilit individuelle que par le
pass des quipements et des rseaux dploys. De mme, la prolifration des rseaux dont
l'usager exige qu'ils sachent de mieux en mieux communiquer entre eux impose galement
d'accrotre les dispositifs-interfaces qui constituent une source potentielle supplmentaire
dincidents logiciels et de permabilit intempestive.
S'agissant de la scurit d'ensemble, les avantages semblent pourtant l'emporter encore sur les
inconvnients.
16
1.2.2.1/ Pour l'heure, les risques de contagion de pannes d'un rseau l'autre s'en
trouvent certainement attnus.
Les technologies et les fournisseurs sont en effet encore nettement distincts.
Les reprsentants des oprateurs nationaux rencontrs nous ont confirm que la configuration
de leurs infrastructures propres tait encore indpendante dInternet en France mtropolitaine,
et quil en serait encore ainsi pendant quelques annes. France Tlcom indique par exemple
que, mme dans le cas dune panne des DNS30 Internet, la tlphonie sur IP (et a fortiori la
tlphonie classique) continuerait fonctionner sur son rseau.
Ces garanties vont nanmoins avoir tendance s'mietter progressivement:
-
dj pour des liaisons internationales ou, par exemple, pour des liaisons entre le
continent et la Runion, la dynamique de cots entrane un repli croissant sur
Internet;
Pour autant, il est un fait que chacune des pannes logicielles observes jusqu' maintenant est
reste effectivement confine dans le primtre du rseau d'un seul oprateur.
Il est clair que la conservation, le plus longtemps possible, de dmarcations techniques entre
les diffrentes catgories de rseaux constitue un atout en termes de scurit alors mme que
la vulnrabilit respective de chacune d'entre elles n'est pas identique selon les menaces. Le
coeur des dispositifs fixes a peu craindre des temptes tandis qu'une des caractristiques
fondamentales dInternet est sa capacit trouver un chemin pour faire passer linformation
malgr les dgradations subies sur telle ou telle artre. Un lment d'apprciation en a t
donn lors du sisme sous-marin du 26 dcembre 2006 au large de Taiwan qui a dtruit
plusieurs cbles mais dont l'impact, au bout du compte, est rest mesur.
30
DNS (Domain Name Service) = serveurs de noms de domaines fournissant la correspondance entre les noms
et les adresses utilises par les processus de routage.
17
les oprateurs ont sans doute grer de faon complexe des problmes de report
de flux significatifs;
les temps de calage et d'adaptation de chacun par rapport cette situation sont
parfois alatoires.
Une illustration ultime en a t donne lors des attentats du 11 septembre 2001. Les
messageries (SMS et sur l'Internet) ont exerc un rle apprci de substitut la tlphonie, le
fonctionnement de cette dernire tant perturb par les destructions physiques mais plus
encore par des phnomnes de saturation grande chelle induits par l'augmentation
prodigieuse de la demande de communications 31.
*
Ces lments autorisent par consquent penser que, sauf dans le cas dune catastrophe
naturelle dpassant largement celles que la France a connues jusquici ou d'une rupture
prolonge et gnrale de l'alimentation nergtique, une paralysie totale des
tlcommunications et, partant, de la vie conomique et sociale est encore prsent, mais
prsent seulement, assez improbable.
31
Cf. rapport 1-4.1-2002 du CGTI (de MM.P. Fritz, P-Y Schwartz et B.Prunel) sur les risques prsents par
Internet (janvier 2003).
32
Les spcialistes voquent un "plantage" lectrique notoire.
18
1.3.1.1/ Pour l'essentiel, EDF et RTE s'appuient sur un rseau ddi de scurit pour
leurs tlcommunications.
Cette situation devrait les prmunir, dans leur activit, des consquences d'incidents
susceptibles d'affecter un ou plusieurs des oprateurs de tlcommunications.
En ralit, la situation est plus subtile et le degr de dpendance effectif de ces deux
institutions vis vis des autres rseaux de tlcommunications mrite malgr tout dtre
prcis :
Le transport de llectricit en trs haute tension (90 400 kV) est pilot par RTE, qui remplit
un rle dinterface entre d'une part les centrales lectriques (quelles que soient leur nature ou
leur statut) et d'autre part le rseau de distribution d'EDF. Le courant transite par 1000 ou 2000
postes MT/BT qui, eux-mmes, alimentent un rseau de distribution EDF plus prs de
labonn. Ces postes MT/BT sont tlcommands (depuis quelques dizaines de postes de
dispatching) aussi bien par RTE que par EDF, mais pour des fonctions diffrentes: RTE gre
lapprovisionnement de ces postes, tandis que EDF prend en charge plus finement par
tlcommande les dlestages vers des zones plus circonscrites.
On sait, en effet, que les rseaux dlectricit sont de type "chteau de cartes ". Si une
consommation excessive fait chuter la frquence du courant, au del dun certain seuil,
certaines centrales de production ne peuvent plus suivre. Elles se dconnectent du rseau. Le
dsquilibre entre la consommation et la production tend alors s'amplifier risquant
d'entraner leffondrement de ce dernier.
Pour viter ce phnomne, EDF organise donc des dlestages grce, prcisment, la
tlcommande des postes MT/BT, certains dparts tant prioritaires et dautres non. EDF doit
dailleurs composer avec une contrainte dans la gestion des priorits, car, ds lors quun dpart
(depuis le poste MT/BT) est prioritaire, tous les abonns de ce dpart le deviennent33. Le plan
de production dlectricit est en gnral calcul avec une marge suffisante mais, en cas
dincident ou de consommation plus forte que prvu, la ractivit ncessaire pour dlester se
compte gnralement en minutes ou en dizaines de minutes.
Or, les postes MT/BT ainsi impliqus sont sans personnel permanent. Leur tlcommande est
opre travers un rseau spcifique de scurit qui offre des services de voix, de data et de
tlaction, grce des liaisons loues France Tlcom (dune distance moyenne de 50 km,
parfois sur des faisceaux hertziens). Des liaisons RNIS ou RTC assurent un premier secours.
Et, possibilit ultime, RTE dispose de 250 valises satellite quil pourrait envoyer sur certains
sites (10 20%) en rquisitionnant des personnels.
Les prcautions prises sont notables. Pour autant, compte tenu de l'importance des enjeux
collectifs concerns, il n'y aurait qu'avantage ce que la vulnrabilit potentielle de ce circuit
de tlcommande fasse l'objet d'une tude spcifique.
L'intrt de ce rseau de scurit n'est d'ailleurs pas que d'ordre technique. Lors de l'explosion
d'AZF, les rseaux publics de tlcommunications tant saturs, RTE a utilis celui l pour les
communications managriales (avec une capacit rduite, un seul poste par service tant
disponible).
33
Ceci explique que EDF ne puisse pas rendre prioritaires tous les centraux tlcoms ou les BTS des oprateurs
mobiles.
19
1.3.2.1/ Le "Groupement des cartes bancaires", par exemple, a pris plusieurs types de
mesures protectrices.
La continuit de son fonctionnement reprsente un impratif certain car un tiers des paiements
sont aujourdhui effectus par cartes dans la zone Euro et une bonne partie de largent liquide
provient des DAB (distributeurs automatiques de billets). Le groupement, en 2005, a ralis
6,3 milliards de transactions reprsentant 325 milliards de paiements et de retraits.
Les banques (ou les DAB) sont relies aux centres de traitement du groupement interbancaire,
par un rseau IP ferm et chiffr non li Internet. Ce dernier, toutefois, n'a pas t encore
ddoubl et relve encore d'un fournisseur unique. Le Groupement prvoit cependant de le
dupliquer prochainement avec un 2me oprateur. Les centres de traitement par contre sont
dj dupliqus et capables de se suppler mutuellement.
En aval, les paiements en magasin ou auprs de prestataires de services tout comme les retraits
dargent mettent en uvre une grande varit de moyens de transmissions (liaisons loues,
liaisons Transpac, rseaux VPN IP, RTC, voire Internet ADSL) entre les terminaux de points
de vente (ou les DAB) et les diffrentes banques concernes. La diversit de ces moyens met
donc les usagers relativement labri dun blocage total gnralis et permet d'esprer des
gnes qui restent circonscrites en cas de panne ventuelle d'un de ces rseaux.
1.3.2.2 / Paralllement, dans le domaine de l'info grance, une socit comme ATOS
Worldline s'est entoure de garanties.
Atos est leader sur le march du traitement des changes lectroniques grands volumes et de
lhbergement de services bancaires : un grand nombre de banques ont recours ses services
soit pour hberger leurs applications courantes, soit comme recours en cas de panne d'une de
leurs installations gres directement. (Cette compagnie gre prs d'1 milliard de transactions
partir de terminaux de points de vente et 100 millions de paiements Internet).
La scurit, pour autant que l'on a pu en connatre et l'analyser, parat avoir t bien prise en
compte travers un maillage fort des infrastructures rseau, la protection physique des salles
informatiques rparties dans 3 sites centraux, et la forte capacit des groupes lectrognes de
secours (sachant que dans de telles salles, la climatisation est critique toute lanne, la
temprature devenant excessive au bout de 1 h 30 en cas de panne).
20
1.3.2.3 / De leur ct, tant la SNCF que la RATP disposent de leur rseau propre de
tlcommunications.
Aussi, l'une et l'autre estiment que les trains ou les rames de mtro sont en mesure de circuler
quel que soit l'tat de fonctionnement des rseaux de tlcommunications publiques.
Certaines fonctionnalits seraient cependant rduites : ainsi, comme le rseau radio de la
RATP reste malgr tout dpendant de liaisons loues France Tlcom, les bus ne seraient
plus en relation avec leur poste de commandement ; il en est de mme pour la sonorisation
dans les stations de mtro qui ne marcherait plus. Ces gnes apparaissent accessoires.
1.3.3.1 / Elle dispose de plusieurs rseaux ddis, indpendants des rseaux publics et
d'Internet.
RIMBAUD en est le prototype. Il est physiquement spar de tout autre rseau. Une altration,
34
Autrement dit, de la fibre optique souscrite en dehors de tout service de transport des donnes ("noire" c.a.d
"teinte").
21
36
22
Ainsi, mme s'il existe et doit tre scrut avec beaucoup d'attention, le danger de rpercussions
en cascade d'une dfaillance initiale d'un ou plusieurs rseaux de tlcommunications doit tre
relativis. Des lots majeurs de la vie conomique et sociale devraient pouvoir en tre, en tout
ou partie, prservs.
Ce ne sont pas tant le dploiement annonc des accs en fibre optique, lequel n'interviendra
que progressivement, que quatre autres tendances lourdes qui mritent, de ce point de vue,
d'tre mises en exergue :
-
23
24
le rseau de transmission de donnes, qui leur permet de faire transiter les donnes
de leurs clients Internet,
La raison profonde de cette dynamique tient aux conomies dchelle importantes que gnre
un rseau unique.
38
Dj, la part du trafic IP au dpart des postes fixes est passe, selon l'ARCEP, de 5,7% 23% au cours de ces
seules deux dernires annes (2005-2006).
25
39
Au-del de celles qui ont trait au manque de fiabilit des "boxes" qui est celle des ordinateurs et non plus celle
des commutateurs. Le cahier des charges des commutateurs publics type E10 tait, "du temps du CNET", de une
heure de panne en 40 ans de fonctionnement. Les ordinateurs aujourd'hui sont prs de 100 fois moins fiables.
40
Le "service antenne" est lobligation pour ces derniers de fournir les chanes gratuites au mme cot quune
maintenance dantenne.
41
Mouvement au demeurant qui touche sans doute maintenant sa fin. A terme, le nombre des fournisseurs
daccs devrait vraisemblablement tre amen se rduire. On semble s'orienter dsormais vers une phase de
concentration, lexemple le plus marquant en France tant celui de Neuf Tlcom qui rsulte de la runion de 9
oprateurs diffrents.
26
[.]
42
Des efforts importants ont toutefois t accomplis ces dernires annes pour dupliquer ces DNS racine. Il reste
que la disponibilit de ces serveurs reste un point de fragilit du rseau (contre lesquels beaucoup dattaques sont
dailleurs diriges).
27
[.]
Un rapport du CGTI sur les risques prsents par Internet43 dnonait dj en 2003 cette
vulnrabilit globale. Il concluait la possibilit d'un effondrement significatif du rseau.
Certes, la structure trs rpartie de ce dernier protge contre le risque de son croulement total,
mais ne le garantit nullement contre une panne partielle (de 30 60%), donc trs srieuse.
Cette vulnrabilit relative a d'ailleurs t illustre par les dysfonctionnements dont Internet a
fait l'objet en dcembre dernier et qui ont t gnrs par le tremblement de terre intervenu au
large de Tawan44. Ce sisme, dont l'impact direct tait assez localis, a nanmoins perturb
notablement le continent est-asiatique et affect sensiblement les communications
internationales.
Le CGTI a mis en vidence, par ailleurs, que si la rsolution d'une panne majeure conscutive
une attaque virale par exemple ne devrait pas durer plus de 48 heures, la dure
d'indisponibilit du rseau pourrait tre plus importante en cas d'attaques successives. Les
consquences des attaques coordonnes que l'Estonie a subies au cours de la deuxime
quinzaine de mai 2007 contre les principaux sites web rgissant l'activit gouvernementale et
conomique du pays en sont l'illustration la plus rcente.
Or, ds lors que l'Internet traitera l'ensemble des flux, soit d'ici 4 5 ans, les services trs
consommateurs en bande passante, tels que la consultation de services web, la tlphonie, la
tlvision seront hors service dans l'hypothse d'une crise importante du rseau.
En pareil cas, une gne majeure serait occasionne la vie conomique et un risque certain
surviendrait pour la scurit des personnes en difficult.
43
Rapport 1-4.1-2002 du CGTI (de MM.P. Fritz, P-Y Schwartz et B.Prunel) sur les risques prsents par
Internet (janvier 2003) cit supra.
44
Tremblement de terre du 26 dcembre 2006 qui a provoqu la rupture de plusieurs cbles optiques sousmarins.
28
1.4.4.2/ Cette rupture technologique ne devrait pas tre sans consquences en matire
de scurit.
Il existe une diffrence fondamentale entre la technique ADSL, reposant sur une ligne de
cuivre depuis le central de France Tlcom, et un accs " fibre":
dans le premier cas, il est possible de garder sur la mme ligne un tlphone classique, donc
bnficiant de la scurit de l'alimentation 48 Volts fournie par le central tlphonique de
France Tlcom;
dans le second, les nouvelles technologies empruntes, dites "FTTx"46 se caractrisent par le
fait que :
- elles sont mergentes, et multiples: le march n'a pas encore choisi celles qui
deviendront les standards des prochaines annes. 4 5 technologies diffrentes sont en
comptition (PON, EPON, BPON, GPON, EthernetP2P, ...)
- peu d'expriences pilotes sont aujourd'hui disponibles, et l'intrieur d'une mme
famille technologique, il existe des variantes entre les diffrentes implmentations.
Pour autant, par rapport aux rseaux "cuivriques" ADSL, deux types de reproches peuvent leur
tre adresss:
- d'une part, elles prennisent la fragilit apporte par lADSL en dgroupage total,
savoir47 la ncessit dune alimentation lectrique locale de la "boite" de rception.
Elles l'aggravent mme par rapport lADSL puisqu'elles ne peuvent bnficier de la
tlalimentation par la ligne cuivrique que la fibre vient remplacer.
- et d'autre part, elles recourent pour certaines des quipements actifs ncessitant
une alimentation dans leur structure de distribution. Ainsi en est-il notamment des
rseaux s'appuyant sur la technique "Ethernet point point sur fibre optique"
(Ethernet P2P). Peu d'indications sont actuellement disponibles sur leur scurisation
lectrique.
45
29
30
Avec le temps, l'apprhension des diffrents scnarii de pannes de rseaux auxquels nous
sommes susceptibles d'tre confronts se complique donc:
court terme, ces scenarii se rpartissent dj selon un spectre assez large de probabilits
d'occurrences et d'importance ventuelle d'impact qui peuvent tre rsumes dans le tableau
schmatique suivant:
31
Nombre
de rseaux
concerns
Type de Type de
rseau
flux
Type
de
panne
Panne
matrielle
Panne
logicielle
Incendie,
sabotage
Voix
R2 / I1
R3 / I2
R1 / I2
R2 / I2
sans objet
Donnes
R2 / I1
R3 / I2
R1 / I2
R2 / I2
sans objet
Voix
R2 / I1
R3 / I1
R1 / I2
R2 / I2
sans objet
Donnes
R2 / I1
R3 / I1
R1 / I1
R2 / I1
sans objet
Voix
R1/ I2
R2 / I3
R1 / I3
R2 / I2
R1 / I3
Donnes
R1 / I2
R2 / I2
R1 / I3
R2 / I2
R1 / I3
Voix
R1 / I2
R1 / I2
R1 / I2
R2 / I3
R1 / I3
Donnes
R1 / I2
R1 / I1
R1 / I1
R2 / I1
R1 / I1
Fixe
1 oprateur
Mobile
Fixe
Plusieurs
oprateurs
Mobile
Ces scnarii, pour la plupart, sont malgr tout ceux de crises de porte limite. Un
effondrement ventuel de l'ensemble des types de rseaux (fixe/mobile) qui concernerait
l'ventail des flux (voix/donnes) et mettrait en cause plusieurs oprateurs en mme temps ne
pourrait relever que d'un black out nergtique. Pour autant, les enjeux en cause (continuit de
l'action gouvernementale et de la vie conomique et sociale), mme si la panne est circonscrite
dans le temps et l'espace, peuvent tre considrables.
Plusieurs de ces situations ont dj t prouves (pannes matrielles ponctuelles, pannes
logicielles n'impliquant qu'un oprateur et un rseau, catastrophes naturelles) et des leons
tires de ces expriences.
Mais plusieurs hypothses encore indites devraient appeler un examen pouss, mme si elles
sont de degrs d'occurrence ingale, compte tenu des consquences de leur ventuelle
survenue. Ainsi, quatre d'entre elles particulirement mriteraient d'tre approfondies dans un
cadre planificateur:
-
3) une attaque malveillante sur les rseaux (attentat physique contre un cur de
rseau ou une intrusion visant un effet de saturation) dont l'intrt peut devenir
particulirement manifeste s'il est complmentaire d'une action terroriste. La
difficult momentane de communiquer pour dployer la chane de secours,
32
moyenne chance, c'est--dire rapidement: dans les 4/5 ans peine venir, les facteurs
d'incertitudes et de complexit auront pris plus de poids encore, brouillant d'autant les
possibilits de prospective.
33
L'analyse en cours n'a vocation tre qu'un premier dfrichage. Mais, d'ores et dj, elle montre
qu"une grande prudence s'impose. Il serait judicieux, ce stade, d'orienter la rflexion administrative
dans quatre directions prioritaires visant :
-
inciter autant que faire se peut les oprateurs intgrer plus encore des impratifs de
scurit (2.3);
promouvoir des lments de robustesse simples mettre en uvre ou qui ont dj fait
leurs preuves (2.4).
34
intervenir le plus rapidement, que l'information peut tre diffuse efficacement et que les
actions de rparation peuvent tre pilotes.
Ce constat est dj largement partag depuis plusieurs annes. Un arbitrage interministriel a,
semble-t-il, t enfin rendu pour l'instauration dun "guichet unique" de ladministration
(COGIC/ CTD):
-
Cette solution devrait viter les effets souvent dplors d'une gestion en "tuyaux d'orgues" et
permettre une alerte rapide des pouvoirs publics dont les oprateurs n'ont pas toujours montr
le souci prioritaire.
Cet arbitrage n'a toutefois encore t traduit par aucun texte. L'urgence est donc que les
mesures rglementaires le mettant en uvre interviennent effectivement mais qu' cette
occasion soient aussi tablies des dispositions qui en imposent le respect.
48
Arrt IND/0609264A du 12 janvier 2007 relatif aux priorits de rtablissement des communications
lectroniques.
35
services d'urgence (15/17/18/112) ds lors que l'ensemble des rseaux n'est pas touch. Il ne
serait au demeurant pas anormal que cette information, l'initiative du Cogic mais selon des
modalits planifies, intervienne aux frais des oprateurs eux-mmes49.
Il reste que la rception de la tlvision sera elle mme de plus en plus dpendante des rseaux
de tlcommunications et de leurs dfaillances.
Paralllement, un recours la messagerie interpersonnelle (par SMS et par Internet) devrait
tre prvu et intgr dans le dispositif de raction. Non seulement les messageries sont
dsormais d'usage de plus en plus banal mais leur rsistance particulire lors de catastrophes
apparat avre50. Elle s'explique, pour des raisons la fois techniques et socio
comportementales, par les plus faibles dbits numriques concerns comme le rapport Fritz51
l'a soulign.
Pour autant, le maintien de telles architectures publiques autonomes ne devrait pas interdire de
recourir des "briques standard" plutt qu' du "sur mesure" invitablement onreux52.
49
L'article 8 de la loi du 13 aot 2004 de modernisation de la scurit civile prvoit dj des obligations cet
gard pour les organismes de radiodiffusion et de tlvision, mais dans un champ limit qui ne couvre pas tous
les cas de figure voqus ici.
50
L'exemple du 11 septembre est dterminant cet gard.
51
Rapport du CGTI de janvier 2003 cit supra.
52
Bien quil soit critiqu parce que son usage est limit, Rimbaud cote finalement lEtat peine 10 M/an (en
plus du rachat initial pour 38 M de son infrastructure France Tlcom) ; a contrario Acropol dont la
configuration est certes plus ambitieuse et plus complexe mais qui est du "sur mesure", sera revenu pour les
finances publiques, rien qu'en investissements, prs de 1 000 M.
36
Les politiques suivies par les administrations en ce qui concerne la dfinition du niveau de
scurit de leurs quipements et la nature des liens qu'elles entretiennent avec les oprateurs
sont en effet extrmement htrognes sur le terrain.
Au moins ceux de ces services considrs comme les plus sensibles en raison tant de leurs
missions (services de secours -SDIS/ Hpitaux/ SAMU-, prfectures/ commissariats, EDF)
que de leur lieu d'implantation (importance stratgique de l'activit) devraient tre soumis
une rglementation plus contraignante.
Il est suggr par consquent de mieux encadrer au niveau national les efforts de
planification locale les concernant par des prconisations portant la fois sur :
le type de protection mettre en uvre contre les pertes dalimentation lectrique, les
incendies, les inondations etc.;
Il pourrait tre galement envisag de soumettre les projets de passation de marchs les
plus significatifs l'examen d'une commission de scurit des tlcommunications.
en second lieu, de dfinir des critres de qualit avec la profession des hbergeurs
informatiques. Un label pourrait tre dfini, lequel permettrait davoir des assurances telles
que la prsence dun groupe lectrogne, dun centre de back up sur le territoire national ou
l'tablissement de doubles raccordements des salles dhbergements aux rseaux de
communications.
37
23/ Inciter autant que faire se peut les oprateurs intgrer plus
d'impratifs de scurit.
Les relations entre les pouvoirs publics et les oprateurs s'inscrivent dans un cadre qui n'a pas
russi s'affranchir jusqu'ici de ses contradictions. Les textes53 refltent la fois la volont de
libraliser le dveloppement des tlcommunications et d'affirmer certaines obligations de
scurit. Mais en pratique, ces dernires, faute de prcisions suffisantes, de contrles tangibles
et de sanctions rellement appliques en cas d'inobservation54, se prsentent bien des titres
plus comme des incantations que comme des contraintes vritables:
depuis la loi du 9 juillet 2004 relative aux communications lectroniques55 (adopte
en application des directives europennes issues du "paquet tlcom"), ltablissement
et lexploitation des rseaux ouverts au public et la fourniture au public des services
de communications lectroniques sont libres sous rserve dune dclaration pralable
auprs de lAutorit de rgulation des tlcommunications;
Cf. le recensement et l'analyse de ces textes faits par le CGTI dans Propositions pour accrotre le niveau de
scurit des rseaux des oprateurs de communications lectroniques rapport DP 13-2005 de juin 2005-.
54
En cas de non respect des obligations de l'art. D.98 (4 et 7), le CPCE prvoit (L-36-11) une mise en demeure
par l'ARCEP qui peut tre suivie: d'une suspension partielle ou totale du droit d'tablir un rseau ou d'une
sanction pcuniaire (<3% du CA) et en cas de manquement grave et immdiat de l'imposition de mesures
conservatoires.
55
Article L. 33-1 du Code des postes et communications lectroniques.
56
Article D. 98-4 du CPCE: "L'oprateur doit prendre les dispositions ncessaires pour assurer de manire
permanente et continue l'exploitation du rseau et des services de communications lectroniques et pour qu'il soit
remdi aux effets de la dfaillance du systme dgradant la qualit du service pour l'ensemble ou une partie des
clients, dans les dlais les plus brefs.
Il prend toutes les mesures de nature garantir un accs ininterrompu aux services d'urgence L'oprateur met en
oeuvre les protections et redondances ncessaires pour garantir une qualit et une disponibilit de service
satisfaisantes".
57
Article D. 98-7 du CPCE.
38
Il serait utile par exemple de dsigner au sein de ladministration (ARCEP ou Minefi/ HFD)
une entit charge de suivre lvolution de la qualit de service pour lusager entrane par le
dveloppement de la VoIP, des boxes et du dgroupage total. Cette entit pourrait cette fin
effectuer rgulirement (annuellement ou tous les 2 ans) un exercice majeur de simulation de
panne oprateur.
Ce n'est que dans un tel cadre que le "partenariat Etat-oprateurs" auquel le rapport de J-M
Hubert60 se rfre pourra trouver sa consistance.
58
FT R&D, ex CNET.
Le ministre de la dfense dispose bien dune certaine capacit technique avec le centre lectronique de
larmement (CELAR) de la dlgation gnrale pour larmement, mais il considre pour linstant quelle na
vocation qu traiter de questions militaires ; ses ressources sont dailleurs probablement trop limites pour
rpondre avec une pleine efficacit aux besoins civils.
60
Rapport II.D13-2004 du CGTI de dcembre 2004 cit supra.
59
39
La notion d'oprateur d'importance vitale ne doit pas non plus tre enferme dans un
primtre juridiquement et techniquement trop troit. La notion de rseau et les connexions
qu'elle suppose impliquent que l'on soumette aux mmes obligations initiales leurs activits
hberges l'extrieur.
La prise en compte du contexte financier dans lequel cette dmarche doit tre amene se
dployer est enfin fondamentale dans le contexte de concurrence.
61
SAIV: scurit des activits d'importance vitale / DNS : directive nationale de scurit.
62
Dcret 2006-212 du 23 fvrier 2006, pris en application des articles L.1332-1 et suivants du code de la
dfense. Il rforme le rgime de vigilance et de protection des installations les plus sensibles pour la dfense de
la Nation et la scurit de ltat. Il impose aux oprateurs publics ou privs exploitant des tablissements ou
utilisant des installations et ouvrages dont lindisponibilit risquerait de diminuer dune faon importante le
potentiel industriel, militaire ou conomique, la scurit ou la capacit de survie de la Nation, ou dont la
destruction ou lavarie pourrait prsenter un danger grave pour la population, de cooprer la protection de leurs
tablissements, installations ou ouvrages contre toute menace, notamment caractre terroriste. Il prcise la
notion doprateur dimportance vitale et identifie les secteurs dactivit dimportance vitale (SAIV). Pour
chacun des secteurs dactivits dfinis par le Premier ministre, une directive nationale de scurit (DNS) doit
tre labore sous la responsabilit dun ministre coordonnateur. Dans le cadre de cette directive, les oprateurs
majeurs du secteur doivent laborer des plans de scurit couvrant leurs activits, puis des plans particuliers de
protection de chacun de leurs points dimportance vitale.
63
Ils doivent notamment raliser une analyse des risques qu'ils encourent, identifier les points d'importance
vitale (PIV), mettre en uvre des plans particuliers de protection (PPP) pour ramener un niveau acceptable le
risque de pannes.
40
Une telle logique a le mrite de la simplicit. Elle vite de s'enferrer dans une course aux
dtails et aux nouveauts techniques et dans des actualisations laborieuses de la
rglementation. Elle laisse libre les oprateurs du choix de leurs moyens.
Ce principe a dj t adopt dans un certain nombre de pays europens pour d'autres types de
rseaux comme en Grande Bretagne pour celui de l'lectricit. Diffrents rapports64 ont dj
prconis la mise en uvre de ce type de solution.
Dj des dispositions allant en ce sens commencent tre prvues dans notre droit:
- un arrt de mars 2006 pris sur la base du code de la consommation impose aux
oprateurs d'annoncer, dans leurs conditions contractuelles, le ddommagement qu'ils
accorderont leurs clients en cas de dysfonctionnement du service;
- un avis du conseil national de la consommation de juin 2006 permet un abonn
de rsilier son contrat sans pnalit et sans frais si le service contract n'a pas t
rendu.
Il conviendrait dsormais d'aller nettement plus de l'avant au travers d'une disposition
lgislative.
64
Rapport du Conseil gnral des mines sur la scurisation du rseau lectrique franais (2000) ou rapport de
la mission interministrielle sur les temptes des 26 et 28 dcembre 1999 (2001).
41
maillage des rseaux pour faire face une ou plusieurs coupures simultanes sur
un rseau;
Les oprateurs des divers rseaux de tlcommunications devraient avoir non seulement
lobligation de respecter ces diverses rgles mais galement de prsenter ladministration
une tude de scurit dcrivant les risques pris en compte, les mesures de prvention et de
secours adoptes et montrant comment cet ensemble permet de respecter les objectifs en terme
de scurit des rseaux de tlcommunication.
Le contexte concurrentiel rend pratiquement obligatoire lgalit de traitement vis vis de la
qualit.
il n'est pas sr que celles qui sont prvues pour le non respect de l'article D-98
soient, compte tenu de leur importance, trs ralistes;
42
Il revient d'imaginer les voies et les moyens pour que ladministration (ministre en charge
de l'industrie) dispose en propre d'un pouvoir effectif :
pour obtenir des informations sur leurs rseaux et leurs vulnrabilits (la mission a
eu de relles difficults pour obtenir des informations sur le rseau de loprateur
historique);
43
*
* *
44