Inspection gnrale de l'Administration 07 023 - 01 Conseil gnraldes Ponts et Chausses Conseil gnral des technologies de l'information III 2 3 - 2007 _________ Contrle gnraldes Armes 2061/DEF/CGA/SIA/MEI/JTX _________ Inspection gnraledes Finances ________ Conseil gnraldes Mines Rapport sur la rsilience des rseaux de tlcommunications prsent par: Gilles SANSON Inspecteur gnral de l'administration BernardFLURY-HERARD Ingnieur en chef des ponts et chausses Jean CUEUGNIETIngnieur gnral des tlcommunications Xavier de THIEULLOY Contrleur gnral des armes Andr TANTI Inspecteur gnral des finances Franois BARTHELEMY Ingnieur gnral des mines Juin 2007 2 3 Sommaire 1/Leconstatd'ensemblen'estpartiellementrassurantqu'court terme. 11/Lesdysfonctionnementsobservsjusqu'prsentsontnombreuxetles menaces multiformes: - des pannes matrielles varies continuent d'affecter les rseaux. - les pannes logicielles sont galement courantes. 12/Toutefois,brefhorizon,saufcasderuptureprolongedel'alimentation lectrique,unechuteglobaledesrseauxdetlcommunicationsapparatpeu probable: - les oprateurs ne semblent pas sous estimer les risques encourus et prennent certaines prcautions. -lesrseauxdisposentpouruntempsencored'uneprotectionstructurelle:leur cloisonnement les uns par rapport aux autres. 13/Ledangerderpercussionsencascaded'unedfaillanceinitialed'unou plusieurs rseaux parat devoir, au moins aujourd'hui, tre galement relativis: - le rseau de transport et de distribution d'lectricit est thoriquement configur pour ne pas souffrir d'une altration ventuelle des rseaux publics de tlcommunications. -nombred'acteursmajeursdelavieconomique(danslessecteursdelabanque,de l'informatique,destransportsoudelarecherche)intgrentdjdeslogiques prventives convaincantes. -l'administrationchercheaussiseprotgercontrecertainseffets"domino"bienque son effort s'affirme encore trs insuffisant. 14/ A moyenne chance en revanche, les volutions lourdes discernables reclent des inconnues qui ne peuvent pas manquer d'inquiter: -lacapillarisationcroissantedesrseauxetdessystmesdinformationrenddifficile une perception synthtique d'ensemble; -lesrseauxs'oriententdeplusenplusversdesconfigurationsTCP/IPdissipantle cloisonnement structurel qui les protgeaient jusqu' prsent; -lesinterconnexionsavecInternetdeviennentcorollairementdeplusenplus importantes alors qu'il n'est pas possible de tabler sur leur fiabilit; -ledploiementannoncdesrseauxoptiquespourlesboucleslocalesintroduit galement de nouvelles vulnrabilits; -lexternalisationcroissantedessystmesdinformation,enfin,n'estpasentourede prcautions suffisantes. 6

6 10

17

23

4 22/C'estpourquoiuneposturedescuritcivilebeaucoupplus circonspecte l'encontre de ces risques mriterait d'tre adopte. Les pistes ouvertes de rflexion visent : 21/ Conforter d'abord l'efficacit de notre dispositif d'urgence. - privilgier effectivement l'chelon centralis de raction. - largir la notion de priorits de rtablissement. - planifier la communication d'alerte. 22/Scuriserensuitespcifiquementetpluscompltementlasphre administrative. - garantir sur la dure l'tanchit des rseaux de scurit propres l'administration. -imposerpourlesservicespublicsnvralgiquesdesprescriptionsplusstrictesde scurit des tlcommunications. -mieuxprmunirl'administrationcontrelesrisquesengendrsparl'externalisation croissante de ses systmes d'information. 23/Inciterautantquefairesepeutlesoprateursintgrerplusd'impratifsde scurit. -reconstituerpralablementauseindel'Etatunpleconsistantdedialoguetechnique avec les oprateurs. - dvelopper une conception extensive de la dmarche SAIV/ DNS. -prfrerdefaongnraleunelogiqued'incitationfinancirepluttquede prescription normative. -dfinir,dfaut,uncertainnombredenormesquantifiessurlaqualitdeservice susceptible d'tre exige de la part des oprateurs. -renforcer,endernireinstance,lespouvoirsdesanctionsdeladministration l'encontre des exploitants de rseaux. 24/Promouvoirendernierlieudeslmentsderobustessesimplesmettreen uvre ou qui ont dj fait leur preuve. -standardiserdesquipementsdispositiondel'usagerquisoientdeconceptionplus sre. - tirer les consquences de la rsistance particulire et jusqu'ici avre des messageries. * * * 33 33

35 37 42 5 La rsilience des rseaux de tlcommunications a) La France, mesure qu'elle se dveloppe, tend et interconnecte des rseaux de types multiples dont elle devient de plus en plus dpendante. Alors que des menaces nombreuses (risques technologiques, actesdemalveillance,catastrophesnaturelles)psentsurcesdiffrentsrseaux,lesrisquesde rpercussionsdel'unl'autred'unepanneoud'unedtriorationsontaccrusparleur enchevtrement. Pourautant,silavulnrabilitdenotresocitapparatainsiintuitivementtrsgrande,elleresteglobalement mal mesure et la prparation pour y faire face encore laborieuse. Certes,s'agissantd'uneruptured'alimentationnergtiqueetplusparticulirementd'unepannede notre rseau d'lectricit, la nature des risques encourus et leurs effets sur la vie conomique et sociale apparaissent maintenant relativement correctement apprhends. En revanche, ceux qui ont trait aux dysfonctionnements propres des rseaux de tlcommunications le sontdefaonnettementmoindre:lestudesdisponiblessontraresalorsquelebouleversement constantdestechnologiesetdumondedestlcommunicationsnonseulementrendcomplexetoute analyse de cette question mais prime aussi trs vite les jugements qui peuvent avoir cours. b)Aussi,leConseilnationaldelascuritcivileasouhaitqu'ungroupedetravailinterministriel porte prioritairement son attention sur ce problme. Il ne s'agissait pas, dans le cadre du mandat et du temps impartis, de chercher formuler ce stade des propositionsdesolution.Lechampcouvertparlarflexiontaitdfinilimitativement.Ilconvenait avant tout de prendre la mesure de la vulnrabilit de ces rseaux, notamment en envisageant, comme premire piste de travail, divers scnarii de pannes possibles, avec une ambition: celle d'aider ce titre l'laboration en cours du volet "tlcommunications" du plan Orsec. Cegroupedetravaila runilesmembresde6corps decontrleouconseilsgnrauxdeministres diffrents:Inspectiongnraledel'administration,Conseilgnraldestechnologiesdel'information, Conseil gnral des ponts et chausses, Contrle gnral des armes, Inspection gnrale des finances, et Conseil gnral des mines. Ilaprocdauxauditionsdesreprsentantstantdesprincipauxoprateurs(FranceTlcom, BouyguesTlcom,SFR,Neuf/Cgtel,Iliad/Free)quedesadministrations(Industrie,Dfense, Intrieur,SGDN,CICREST1)etdel'autoritdergulation(ARCEP2)concernes.Lecercleat largiauxresponsablesdediffrentesentreprisespubliques(EDF,RTE,RATP,SNCF),derseau spcialis (GIP RENATER), d'hbergeurs (ATOS-Worldline, Telehouse), d'acteurs centraux de la vie conomique(Groupementdescartesbancaires,Associationfranaisedesbanques)etdedfensedes usagers (AFUTT3). 1 CICREST : commission interministrielle de coordination des rseaux et des services de tlcommunications. 2 ARCEP : autorit de rgulation des communications lectroniques et des postes. 3 AFUTT : association franaise des utilisateurs de tlcommunications. 6 c/ Au terme de cette premire rflexion, c'est un constat assez nuanc mais, exprim avec beaucoup de prudence,pluttrassurantcourttermequelegroupedetravailesttentdeformulerquantla vulnrabilit globale de nos rseaux de tlcommunications. Mis part une rupture massive et durable de l'alimentation en lectricit (dont les rpercussions sont majeuresetglobalessurlesdispositifsdetlcommunications),lesoccurrenceslesplusprobables aveclesquellesnouspourrionsavoircomposersemblentemporterdesrisquesd'ampleurquiserait limite.Ungrandnombredefacteurssonteneffetprendreenconsidration.Cependant,la multiplicationdsormaisdunombredessystmesdetlcommunicationsconcurrents(systmes reposant par ailleurs sur des technologies pour partie indpendantes) devrait permettre le plus souvent des recours de substitution en cas de panne de l'un d'eux. Amoyennechance,s'exprimeenrevancheunefouled'incertitudesliesnotammentlaplacede plusenplusprpondranted'Internetauseindessystmesdetlcommunications.Cecontextene rendpluspossibled'exclureaprioril'hypothsed'uneffondrementventuelsignificatifdeces derniers. d/C'estpourquoiilestproposd'adopteruneposturedescuritcivilequisoittrscirconspecte l'encontre des risques exposs. Diffrentes propositions de mesures sont formules ce titre. cestadedel'analyse,ellesneprtendentcependantnil'exhaustivit,nilapertinenceassure. Elles doivent tre conues comme un premier point d'ancrage la rflexion et comme une contribution mthodologique au travail en cours de planification de la prvention et des secours. * 7 1/Leconstatd'ensemblen'estpartiellement rassurant qu' court terme. Silesdysfonctionnementsponctuelsdesystmesdetlcommunicationssontjusqu'prsent relativement courants (1.1), plusieurs facteurs accrditent malgr tout l'ide: - que, bref horizon, un effondrement global des rseaux est peu probable (1.2), - etqueledanger,aujourd'hui,d'unerpercussionencascadedeladfaillanced'unoude plusieurs de ces rseaux doit tre, en tout tat de cause, relativis (1.3). Amoyennechance(4/5ans)enrevanche,lesvolutionsdiscernablesdanslemondedes tlcommunicationsetdel'informationreclentdenombreusesinconnuesquinepeuvent manquer d'inquiter (1.4). 1.1/Lesdysfonctionnementsobservsjusqu'prsentsont nombreux et les menaces multiformes. Defait,lesoprateursnesontpargnsniparlespannesmatrielles,niparlespannes logicielles. 1.1.1/ Des pannes matrielles varies continuent d'affecter les rseaux. 1.1.1.1/Lesoprateurssontconfrontsquotidiennementdesproblmes dquipements dfaillants. Cependant,ceux-cisontengnralgrssansconsquencegravepourlesusagersqu'il s'agisse d'artres coupes ou de sites ponctuellement hors service: - des cbles ou fibres coups : Alorsquelesacheminementsinterurbainssontpresquetoujoursmultiples,lesoprateurs savent gnralement pallier dans des dlais raisonnables la moindre coupure dartre, mme si lacheminement de substitution emprunt a souvent une capacit moindre et ptit d'un certain tauxdchec.Entouttatdecause,lesboucleslocalesimpliquesneconcernentparnature quunnombrerestreintdabonns.Parailleurs,lesorganismesnvralgiques(hpitaux, pompiers) susceptibles d'tre concerns sont censs, a priori, la fois avoir t sensibiliss par ladministration et par les oprateurs sur la ncessit de prvoir pour eux mme une double desserte et s'tre quips en consquence. 8 - des sites hors service : Lesquipementspriphriquessontlesplusconcerns.Lesstationsradio(BTS)des oprateurs mobiles subissent ainsi rgulirement des pannes, que ce soit du fait d'intempries locales ou par rupture ponctuelle dalimentation en lectricit. SFR a signal cet gard avoir enpermanencedel'ordred'unecentainedesitesendfautsurses15000BTSen fonctionnement.Toutefois,grceleurschevauchementsdecouverturelesunsparrapport aux autres, leffet sur les usagers de cette situation est quasiment imperceptible.

Cesmatriels,ilestvrai,sontparticulirementvulnrablesauxcoupuresdalimentation nergtique. Ils ne possdent pour la plupart qu'une autonomie sur batteries de l'ordre de 3 4 heures et ne comprennent pas de groupe lectrogne de secours. Quant aux oprateurs qui en ont la charge, ils ne disposent pas d'un parc de gnrateurs toujours suffisamment bien rparti ou suffisamment important pour rpondre aux besoins ds lors que ces derniers sont tendus. Les grands sites de commutation sont par contre moins exposs ce type de contingences en raisondunombredeprcautionsprises(quipementspropresengroupeslectrognes, multiplication des alarmes incendie, attention porte aux problmes de scurit daccs ) De cepointdevue,l'incendieducentralsurvenuLyonSvignennovembre1981fait exception : un million dusagers de la rgion Rhne Alpes avait, cette occasion, t isol du monde extrieur pendant 1 3 jours. 1.1.1.2/Plusexceptionnellementmaisrgulirement,lessystmesptissentausside catastrophes naturelles. Lesconsquencespeuvententrealorsplusnotables.Lestemptesde19994enontt l'exemple le plus marquant (mais il serait loisible de citer de nombreux autres vnements de mmeordre,quoiquesurdeszonesplusrduites,commelatemptequiasoufflsurla Bretagne en 1987 ou celle sur lle de la Runion en fvrier dernier.) Cestemptesont,l'poque,trssrieusementaffectnosrseauxdetlcommunications causedeleurintensitetdeleurtendue,les2/3duterritoireayantttouchs.Deux dpressions,eneffet,ontsuccessivementtraverslaFranceledimanche26dcembreetla nuit du 27 au 28 dcembre. Les vents qui avaient dpass 150 km/h dans plusieurs villes5 ont provoquprsde100milliardsdefrancs(soitdel'ordrede15milliardsd'euros)dedgts dont 1,12 milliard de francs de dgts aux seuls rseaux de tlcommunications : -1milliondabonnsonttprivsdanscescirconstancesdetlphonefixetandis que15%dessitesdetlphonemobileavaienttmishorsservice6.(LaFrancene comptaitalorsque5millionsdabonnsmobilesenvironalorsqu'ilsdpassent51,7 millions prsent : 15% des sites reprsenteraient donc probablement aujourdhui une incapacit de communiquer pour prs de 5 millions de dtenteurs de mobiles);

-ilafalluunesemaineenviron pourremettreentatdefonctionnementles tlcommunicationssachantqu'auboutde3jourslenombredabonnsprivsde tlphone fixe avait pu toutefois tre divis par deux7. 4Cf.rapportdelamissioninterministriellechargedel'valuationdesdispositifsdesecoursetd'intervention mis en uvre l'occasion des temptes des 26 et 28 dcembre 1999 -juillet 2000-. 5 Alenon, Paris, Metz, Colmar, La Rochelle, Clermont Ferrand Le record tant de 198 km/h lIle dOlron. 6 Soit, notamment, 1400 sites Itinris sur 9000. 7L'ensembledesautresrseauxavaittgalementdtrior:3,5millionsdefoyersavaienttprivs dlectricit. (Le retour la normale sest effectu en une semaine environ mais avec un coup de collier plus netquepourlestlcommunicationspuisqueplusdelamoitid'entreeuxavaitputrertablieen24heures.) 9 Or, ces temptes se sont droules dans un contexte particulier qui en a malgrtout limit la porte dramatique. Elles ont eu lieu non seulement en priode de faible activit mais alors, par ailleurs, que des centaines de cellules de crises avaient t pr actives dans la crainte du "bug delan2000"etquedesmilliersdegroupeslectrognesavaienttrquisitionnsdansce cadre, moyens qui ont t immdiatement affects au rtablissement des infrastructures. 1.1.2 / Les pannes logicielles sont galement courantes. Elles sont aussi bien d'origine interne qu'externe. 1.1.2.1/Parmicellesayantuneorigineinterne,lesplusnotablesrcemmentontt analyses par le CGTI8. L'tudea portsur trois casintervenusen 2004, lepremiermettantencauseunrseaufixe, les deux autres des rseaux mobiles : lorsduweek-enddu30au31octobre2004,FranceTlcomaconnuun dysfonctionnementpartieldesescommutateursMT25(quitraitent30%deses abonns)setraduisantparlchecdesappels"arrive"longuedistanceversces centraux (les appels locaux continuant de leur ct tre achemins normalement). SiFranceTlcomaragienuneheureenviron,crantunecelluledecriseaubout dune heure et demie, la perturbation s'est poursuivie prs dune journe. Lorigine de ce trouble est une erreur humaine de configuration dun quipement pare-feulinterconnexiondurseautlphoniquecommutavecleserviceVoIP.Ce problmeaengendrencascadedesmessageserronsverslesMT25,puisun dsordre de fonctionnement de ces derniers eux-mmes. Il est noter que cet incident sur le rseau fixe n'a pas affect le rseau mobile. le mercredi 17 nov. 2004, une panne majeure galement a touch pratiquement tous les clients de Bouygues Tlcom, interdisant les appels "dpart" et "arrive". Elle tait due,loccasiondunesaisieimportantedenouveauxnumros,unedfaillance logicielle dune base (HLRV9) qui gre les profils des abonns et leur localisation. Cet quipement tait certes dupliqu mais en type "miroir", ce qui fait que lquipement de secours existant s'est retrouv insusceptible de prendre le relais. Cette panne a commenc vers 6h du matin. Une cellule de crise a t dclenche ds 7h30.Desmesuresdecorrectionspartiellesonttmisesenoeuvreprogressivement jusqu 13h, heure de correction de la panne elle-mme. Toutefois, les perturbations se sont prolonges encore une partie de la journe. delammefaon,le30mars2004,letraficdestinationdesmobilesOrange, aprsunepriodededgradationprogressiveentre16h00et19h00,attotalement interrompu jusqu' 20h50.

Quant la distribution deau, elle a t paralllement perturbe: 2,5 million de personnes ayant t prives deau(pour 40% d'entre elles pendant plus de 3 jours). 8EnqutesurlesdysfonctionnementsrcentsayanttouchdesoprateursdetlcommunicationsCGTI dcembre 2004. 9 HLR : "home location register". 10 Cedrangementtaitlilintroduction(quisestmalpasse)dunefonctionnalit nouvelle sur les HLR et il sest propag ensuite au HLR de secours. Depuis, des mesures ont t prises la fois pour viter que de tels incidents ne se reproduisent (grce notammentuneduplicationmieuxconuedesHLR)etpourque linformation,dans des cas de figure similaires, circule de faon plus fluide entre tous les acteurs amens ragir (projet de cration dun guichet de contact unique au sein de ladministration). Il reste que, selon le CGTI, des pannes de cette nature restent invitables dans un contexte de plus enplusinformatis etvolutif.L'acclrationde l'innovationdanslesservicesproposs, l'interactionentempsreld'unnombrecroissantdebasesdedonnes,l'interconnexionde rseauxdeplusenplusdiversifisetlaconvergencedesmondesdiffrentsdes tlcommunications et de l'Internet rendent de plus en plus complexes les systmes et "dlicate et problmatique une matrise exhaustive de l'ensemble des situations possibles". En l'espce, la ractivit des oprateurs a cependant t juge convenable. Le temps de remise en tat auquel on doit rester s'attendre dans ce genre d'hypothses est estim quelques heures et, au plus, une journe. Avec le temps, des progrs ont, il est vrai, sans doute t raliss si l'on se rfre, par exemple, une panne comme celle qu'a connue le rseau Transpac en juin 1985 : la suite de la forte croissancedutraficVidotex,caractrispardescommunicationscourtesetnombreuses, lunitdecommandequitraitaitlesappelsatsature.Cettesituationaconduitune altration prolonge du service pour la plupart des abonns. Des solutions palliatives ont bien t mises en place en quelques jours. Cependant la situation n'est vraiment redevenue normale qu'au bout de deux semaines. 1.1.2.2/ Les attaques externes susceptibles d'engendrer des pannes sont, quant elles, quasi permanentes. Une illustration aigu en est la diffusion du ver Slammer, qui a fortement perturb Internet en janvier2003.CeverautilisunefailleMicrosoftsurlesserveursdebasesdedonnesSQL pour, dune part se propager en quelques minutes vers dautres serveurs dans le monde entier et, dautre part, mettre des messages saturant le rseau. L'ensembledesoprateurssouligne,pourcequiestdInternetetdelamessagerie,lejeu perptuelduchatetdelasouris,d'attaquesetdedfenses,auxquelsilssontsoumisau quotidien. Prs de 80% du trafic de la messagerie est actuellement compos de spams gnrs pardesPCd'usagersordinairesmaisinfects,sachantquecertainesorganisationsrevendent pourquelquescentimesdeuroslecontrledunPCcapabledenvoyerdesspams10.Les oprateurs sont donc contraints de renouveler en continu leurs dispositifs de protection, "black listant"lessitesouFAI11quignrentuntraficsuspect,essayantdefiltrerleurpropreflux sortantafindenepastreeuxmmes"blacklists"pardautres,etc.Lorsdetentatives d'intrusion,lefluxestmultipliparunfacteurde101000 :"cestcommesitoutesles voitures de France convergeaient vers un arrondissement de Paris", rapporte un oprateur. Defait,lednideservice12parinfectiondemultiplesserveurs(oupardesPC"zombies" pralablement infects qui se dclenchent une heure donne) est difficile conjurer, mme si les diligences des oprateurs permettent damoindrir leffet de ces attaques continuelles. 10 Orange/ Wanadoo subit ainsi une attaque par seconde sur sa plate-forme de messagerie. 11 FAI: fournisseur d'accs Internet. 12Dnideservice(denialofservice/DoS):saturationd'uneportiondurseau,d'uneligned'accs,d'un ordinateur sous une avalanche de paquets parasites. 11 1.2/Abrefhorizon,saufruptureprolongedel'alimentation lectrique,uneffondrementglobaldesrseauxapparatpeu probable. Mis part le cas d'une panne lectrique d'envergure, les prcautions prises par les oprateurs commelescaractristiques,pouruntempsencore,desrseauxdevraientpermettred'viter une paralysie d'ensemble des systmes de tlcommunications (qu'elle soit locale ou de grande tendue). 1.2.1/Lesoprateurs,defaongnrale,nesemblentpassousestimer l'ampleur des risques encourus. 1.2.1.1/Ilsexprimentuneperceptionassezidentique desmenaces:lalimentation lectrique est ressentie comme la principale vulnrabilit des rseaux. Touteinterruptiondel'alimentationlectriqueadesrpercussionsfcheusesdsqu'elle dpasse quelques heures. L'mission comme la rception sont alors dsorganises. Jusqu'deux-troisheuresdecoupure,lasituationrestematrise.Mmeslessitesradioou commutation les plus prcaires bnficient en effet d'une autonomie nergtique minimale de cetordremaisguresuprieure13.Ainsi,lapannelectriquedeprsd'uneheuresubiele4 novembredernierensoire(etdontontptiprsde5millionsdepersonnesdanslamoiti nord de la France14) n'a pas eu d'impact sur la fluidit des tlcommunications15. En revanche, au del de ce dlai, les quipements priphriques tombant progressivement en panneplusoumoinsrapidement,lesoprateurs,silazoneconcerneestimportante,ne disposentpasdesmoyenshumainsetmatrielspour lessecourir.Lastratgiedesoprateurs neconsistepas,audemeurant,seprmunircontreunepannedurable(jugetrs improbable)delalimentationlectrique,maispluttdedisposerautantquefairesepeut (grce des batteries) dune autonomie permettant de tenir jusqu lintervention dune quipe dedpannage.Ladisponibilitdungroupelectrognenerentrequemarginalementdansle choix dun site radio. Auboutdunedemi-douzainedheures,nepeutdoncsubsisterdefaitqu'unservicede tlcommunications excessivement dgrad partir des seuls sites dots de gnrateurs. Ainsi: -s'agissantdesrseauxmobiles,fonctionnentcerteslaplupartdescommutateurs (MSC16)maisunnombredrisoiredessitesradio.Lacouverturegographiquen'est plus alors que de quelques % du territoire incrimin; 13 La situation est galement encore susceptible d'tre tenue enmainsil sagit dune coupure pluslonguemais dont le secteur concern reste circonscrit, compte tenu la fois du tuilage des champs couverts par les sites radio et de la possibilit dacheminer si besoin un groupe lectrogne de secours sur place. 14Cettepannes'estproduitevers22hpartird'unedfaillanceenAllemagnedurseaudeEONNetzquia conduit des procdures de dlestages en chane dans toute l'Europe et particulirement en France. 15 Si l'on fait exception d'une part de certains phnomnes mineurs de dconnections de terminaux sur Internet et dereconnectionsunpeulaborieuseset,d'autrepart,dedemandesmassivesd'informationquiontpufaire craindre ici ou l aux services d'urgence une ventuelle saturation de leurs lignes d'appels. 16 MSC : Message Switching Centers. 12 -sagissantdurseaufixe,silescursdechanedescentrauxcontinuent fonctionnergrcedesgnrateurs,iln'enestpasdemmedesunitsde raccordementdabonnsdistantsdont l'autonomienergtiqueestlimite quelques heures.FranceTlcom17estimequencasdeblackoutnergtiqueuntiersdes abonns fixes serait aujourdhui priv de communications. Cetteproportionestappeleaugmenternotammentenraisondelaplusgrande dpendance en nergie des installations chez labonn. Le temps nest plus, en effet, au fonctionnement "contre vents et mares" du tlphone fixe, grce lalimentation 48VdelaligneFranceTlcom :dsormaislaplupartdespostesvendusdansle commerce ncessitent une alimentation lectrique propre (tel est le cas, par exemple, destlphones"sansfil"oudescombins"tlphone/rpondeur/fax").Ilenestde mmedes"boxes",cesbotierslectroniquesinstallschezl'usagerauboutdela ligneADSL.Ainsi,leslignestotalementdgroupesnefonctionnentplusencasde pannelectriquedomicile18.Faiblessesupplmentairedes"boxes":elles fonctionnentsurlemodledunordinateuretmettentplusieursminutesse reconnecter aprs une panne dalimentation. France Tlcom a reconnu que, lors de la pannelectriquedenovembredernier,certaines"boxes"avaientmisuneheurese reconnecter en raison de la charge. Or,cettesensibilitmajeureauxrupturesd'alimentationlectriqueestaccentuegalement par l'importance croissante prise progressivement dans les centraux par deux lments : -lesbesoinscruciauxdeclimatisationdematrielsdontlefonctionnementnetolre plus d'carts de tempratures; -lapartdesquipementsADSLlaquelleconduitledveloppementrapidede lInternethautdbitetqui,malgrlaminiaturisationetlesprogrstechniques,est fortement consommatrice d'nergie rduisant d'autant l'autonomie initiale des sites19. C'est pourquoi nos interlocuteurs (notamment Bouygues et SFR) se sont plaints de ne pas tre prioritairesvisvisdEDF,autrementditqueleursituationencasdedlestagenesoitpas privilgie. CeproblmeatabordavecEDF.Dufaitdeladispersiondeleursinstallationssurle territoireetdelaconsommationrelativementfaibledechacuned'entreelles,lesoprateurs nontpaslestatutde"grandcompte"auprsdEDF.Ilsnebnficientdoncpasdepriorits dalimentation. Cen'estpasnonplustechniquementillogiquecarlerseaudedistribution d'lectricitestorganispartirdesdpartsdespostesMT/BT20.Lefaitdavoirunabonn prioritaire sur un dpart conduit rendre la globalit de ce dernier (et ses milliers dabonns) prioritaire. Parcontre,riennempchequelessitesdesoprateursdecommunicationslectroniques soient systmatiquement considrs comme prioritaires pour le rtablissement du courant la suited'unsinistre.Cebesoindevraittremcaniquementprisencompteparlesprfetsdans leur planification de crise. 17FranceTlcomreprsente80%desabonnsdetlphoniefixe.Or,lesautresoprateurs,pluslisdes technologies de dgroupage total (box) sont encore plus vulnrables face aux coupures nergtiques. 18Danslecasdunelignepartiellementdgroupe,lefonctionnementrestepossiblesurlabandebasseFrance Tlcom avec un poste aliment par la ligne. 19 Tel oprateur rencontr a ainsi confi que la dure d'autonomie de ses centraux avait de la sorte t rduite par un facteur 6; autrement dit, l o celle-ci tait auparavant de 24h, elle tait dsormais tombe 4h. 20 MT/BT: moyenne tension / basse tension. 13 C'estparcequenonseulementlesconsquencesd'uneruptured'alimentationlectriquesont doncgrandesmaisaussiparcequelesoprateurss'affirmentparticulirementdmunispour s'enprmunirquecettemenaceestregardecommelaplusaigu,bienavantlesrisques physiques aux installations (malveillance, incendie) ou les pannes de logiciels. 1.2.1.2 / Des efforts indniables sont raliss pour fiabiliser les rseaux. L'impression a t confirme partir des rencontres ayant eu cours avec les responsables tant des principaux oprateurs de rseaux commerciaux ouverts au public (SFR, Bouygues France-Tlcom, Neuf/Cgtel, Iliad) que des institutions disposant d'un rseau propre pour lexercice deleursmissions(RATP,EDF,RTE,RENATER)d'uneindiscutablepriseencomptedes risques encourus. lexceptiondesbalisesmettricesrceptrices(BTS)desrseauxmobiles21,la plupart des quipements actifs sont dupliqus. Lescentresdesupervisionnationauxlesontenprincipe.Ilspeuventsesupplerde l'unlautre.Lesoprateursmobiles22s'appuientainsisurdecentresdesupervision 24/24 qui, en permanence, connaissent ltat du rseau et sont en mesure de dpanner distance les sites, de ragir aux crises en tlcommandant des quipements actifs, par exemplepour isolerunezonesur laquelle apparatunproblme,voiredenvoyerdes quipessurleterrainsibesoin.Cescentresdesupervision/exploitationdisposentde doubles raccordements. Lesbasesdedonnesclients(HLR),quisontunlmentessentieldelagestiondes abonns23sontgalemententretenuesendeuxoutroisexemplaires.Lesmesures prises pour les scuriser la suite des pannes de 2004 devraient notamment permettre le cas chantun basculement plus sr des unes aux autres. Latopologiedesrseauxestleplussouventconuepoursupporterdesruptures dartre,avecuneorganisationmailleetdescapacitslargement dimensionnes auxquelless'ajoutelerecoursventueldestechnologiesdiffrentes pourassurerlesliaisons,commelesfaisceauxhertziens,lesfibresoptiquesoule satellite (Il subsiste cependant des zones qui ne peuvent pratiquement tre alimentes que par une ligne et sont donc plus vulnrables que les autres). Les oprateurs fixes s'appuient ainsi sur des rseaux autoreconfigurables, soit grce desmaillages,soitsurdesbouclesoptiquesdanslesquelleslacheminementpeut emprunter indiffremment un sens ou lautre de la boucle. Mme si elle introduit des vulnrabilits nouvelles (bugs logiciels qui se propagent de manireincontrle),lvolutionversIPoffreaussidespossibilitsde reconfiguration :undenosinterlocuteursnousaindiqupouvoirsecourirun softswitch(commutateurpourlescommunicationsvocalesenIP)parunautre 21Maislescellulesdecesrseauxserecouvrentpartiellement,sibienqueladfaillancedelunedellespeut partiellement tre compense par les voisines. 22Ladescriptiondel'undecesrseauxestainsilasuivante :15000stationsradio(BTS)disposentdune autonomielectriquede4heuressurbatteries.CessitesradiosontpilotspardesBSC(environ430)qui disposentde8heuresdautonomie,et,pour30%dentreeux,sontpourvusdegroupeslectrogneset "redonds" en transmission. Les commutateurs (65 MSC) sont dans des sites scuriss avec groupes lectrognes et double alimentation EDF. La panne dun MSC aurait pour consquence la neutralisation des BTS qui lui sont rattaches.Decefaitlesoprateursontprvudesplansdesecours(lourds)pourcessituations.LesHLR (lment sensible du rseau, cf ci-dessus) disposent de 2 redondances. 23Ellesserventnotammentidentifierlesterminauxquiseprsententsurlesbalisesmettrices-rceptrices (BTS). 14 softswitch en cas de panne, ce qui ntait pas possible dans la configuration historique o chaque abonn tait intimement li son commutateur de rattachement. Atitredexemple,unoprateurnousadcritson rseau, fortement bassur un cur derseauIPetdesrouteurspourrelierlecurderseauauxbouclesdecollecte locales.Untelrseauestlargementautoreconfigurableencasdepanne.Ilya sparationdurseaupublicassurantladessertedelensembledesabonnsetdu rseau ferm offrant un service de transport de data (type VPN IP ou MPLS) aux gros clients, ces deux rseaux ntant relis que par des passerelles contrles. Le pilotage des quipements24 est indpendant du rseau de trafic et donc, dans les architectures actuelles, des ventuelles perturbations de ce dernier. Encore convient-il denoterquecetteprotectionliel'architecturetraditionnelledesrseaux tlphoniques est susceptible de disparatre dans les prochaines annes. L'autonomienergtiquedesoprateursestcenseavoirtamliore25.Les grandssitesdecommutationseraientapparemmentdotspluslargementdegroupes lectrognes.Cependant,sidansdesvillesmoyennes,certainsoprateursont dveloppundoubleraccordementaurseauEDF,ilsnesontpasallspourautant jusqu'systmatiser l'installation degroupespermanents (ils s'entiennent lasimple possibilitdebrancherungnrateurexternedesecours).Quantladure d'autonomie des quipements fonctionnant sur batteries, il n'est rien moins que certain que des efforts aient t vraiment entrepris, depuis l'exprience fcheuse de dcembre 1999, pour la prolonger26. Lescontratsdemaintenancedesquipements 27incluentsystmatiquementdes garanties de dlai de rtablissement. La rsistance aux risques d'inondations a t, elle aussi, renforce avec lessor de la fibreoptique.Celle-cicontinuefonctionnermmedansleauetseulssespointsde terminaisonsontsensibleslhumidit(sachantquelesrpteursonteux-mmes quasiment disparu compte tenu des distances de plusieurs centaines de km dsormais possibles sans amplification). Larsistancedesdispositifsd'ensembleauxchaleurshorsnormesapu, l'expriencedelacaniculede2003,apparatrejusqu'iciconvenable.Ainsi,lesfortes tempratures prolonges constates cette occasion nont pas induit de consquences lourdessurlefonctionnementdesystmestechniquesessentiels.Trains,mtros, centralesdeproductionlectriques,systmesinformatiquesontfonctionnquasi normalement. Aucune faille majeure nest apparue du point de vue technique. Lesquipementsdeclimatisationdescursderseauxdetlcommunicationset d'informationcontinuentcependantapparatrecommedespointsdefragilit ponctuels.Cessystmessontengnralredondants(enN+1),maisleur dysfonctionnement pourrait tre bloquant au niveau dun service particulier, mme en dehors des fortes chaleurs dt. Ce danger est toutefois masqu par un risque d'ordre suprieur:celuid'unecoupurelectriquesurunelargechelleprovoquepar 24Lepilotages'effectuesoitenmode associ(lasignalisationutilisedesvoieslogiquesdiffrentesmaissuitla mmearchitecturephysiquequelesvoiesdetrafic),soitenmodequasiassocidetyperseauSmaphoren7 (relativement indpendant lui-mme du rseau de trafic physique).25 Mais en mme temps certains quipements se rvlent dsormais plus consommateurs d'nergie: cf. note bas de page n 12. 26Lesoprateurs,defaongnrale,ontmanifestdegrandesrticencescommuniquerlesperformances exactes de leurs matriels. 27 Les oprateurs commerciaux nassurent pas eux-mmes la maintenance des quipements de leur rseau, mais la sous-traitent des socits spcialises. 15 limpossibilit de refroidissement des centrales dEDF, la temprature atteinte dans les rivires dpassant alors les seuils autoriss28. Plusieurs oprateurs ont indiqu raliser des exercices priodiques de scurit pour vrifier ltat de prparation de leurs matriels et de leurs quipes. Lesmesuresprisesenmatiredescuritphysiquedeslocaux,pourcequiat donn de constater, n'appellent pas de remarques. 1.2.1.3/Ilrestequelecontextedeconcurrenceneconstituepasunlment dynamisant de ralisation d'efforts. Malgr certains discours de convenance entendus, le niveau de scurit offert par les diffrents oprateurs commerciaux n'est pas un argument fort de conqute des marchs et de fidlisation de la clientle. La bataille continue se livrer en premier lieu sur les fonctionnalits du service et, plus encore, sur le niveau de prix des prestations que sur la qualit de service. Lesoprateursrencontrsconcdent,ilestvrai,n'avoirsubiaucuneperteimportante dabonns, fussent-ils professionnels, la suite de pannes les ayant affects. L'administration elle-mme les conforte dans une telle approche. Nombre de services publics (dontceuxconsacrsl'urgence)retiennent,danslapassationdemarchsde tlcommunications,leprixcommepremiercritredechoix.Mmelesministresclefdont les proccupations de scurit devraient tre primordiales sont de plus en plus tents, non sans risques, de privilgier une seule logique d'conomies budgtaires. L'un des plus importants et des plus sensibles d'entre eux vient d'tre confront plusieurs dfaillances successives de son systmedetlcommunicationsaprsavoirdcidderecourir,essentiellementpourdes raisons de cot, un oprateur de rputation pourtant mdiocre. Les cadres contractuels standard refltent d'ailleurs le fait que la scurit n'est pas considre commeunenjeucommercialcentral.Dansbiendescas,l'exceptiondesgrosclients,les clauses de pnalits introduites pour indisponibilit du rseau n'apparaissent pas significatives. Entoutcas,ellessontinsuffisantespourconsidrerqu'ellesobligentlesoprateurs optimiser,defaonconformel'intrtgnral,laconfigurationdeleurrseaufacela varit de risques susceptibles de se prsenter. Or, aucune rglementation contraignante pour les oprateurs en matirede scurit ne corrige cettesituation.LesobligationsrsultantduCPCE29etdescahiersdechargeaccompagnant l'octroi des licences radio sont caractre extrmement gnrales ("permanence" et "continuit deservice")etnonformalisesautraversdeprescriptionstechniquesspcifiques.Leniveau actueldescuritrsulteainsi,avanttout,dunconsensusplusoumoinstaciteentreles diffrents acteurs salignant sur les pratiques de leurs concurrents. Enralit,lesoprateursapparaissentsansdouteplusinquietsdeseprmunircontreles risquesencouruseninterne(buglogicielparexemple)qu'l'encontrederisquescollectifs comme les catastrophes naturelles: -pourlesquellesilleurseratoujoursloisibled'voquerlaforcemajeure(oula dpendance vis vis de loprateur historique), -et dont les consquences, a priori, ne les pnaliseront pas spcialement par rapport leurs concurrents. 28 Ce risque n'a t matris en 2003 que moyennant lacceptation dune temprature suprieure des cours deau.29 CPCE: code des postes et communications lectroniques. 16 Siledegrdeprparationqu'ilsmanifestentvisvisdescrisespeuttrequalifide convenable, ceci rsulte autant: -duneorganisationgnraledestineassurerunebonnequalitdeservicedans uncontextedeconcurrenceetdevigilancepermanentefacedesattaques logicielles quotidiennes, -que de plans labors pour faire face des crises majeures. LestravauxralissparFranceTlcomdanslecadreduplan"cruedelaSeine"sont illustratifs de cet tat d'esprit. Lobjectif premier (non critiquable par ailleurs) a t de prvoir desprotectionspourlesquipementsnonpaspourquecesdernierspuissentfonctionner pendant la crue, mais pour quils ne soient pas dtruits par leau, de telle sorte que le service puisse reprendre rapidement aprs la dcrue. Enmmetemps,cetteexacerbationdelaconcurrenceetl'acclrationdesinnovationsde services proposes aux clients qu'elle impulse renforcent certaines vulnrabilits. La tentation estgrandeparexemplederaccourcirlesdlaispourtesterleschangementsdepalierde nouvelles configurations logicielles. 1.2.2/Lesrseauxdisposentd'uneprotectionstructurellepouruntemps encore : leur cloisonnement les uns par rapport aux autres. L'augmentationdunombredesoprateursetledveloppementdesrseauxmobilesetdela voixsurInternetacrdenouvellesfaonsdefairecirculerlinformationetdmultipliles circuits de transit de l'information. En quelques annes, le paysage des tlcommunications s'est profondment transform : -techniquement,d'unrseaudetlphonie fixeonest pass unsystmequis'est enrichiderseauxdetlphoniemobileetdel'Internetmaisaussiderseauxde transmission de donnes privatifs; -institutionnellement, un oprateur en situation de monopole a succd, aussi bien pourlatlphoniefixequemobile,unemultiplicitd'oprateursdontcertains spcialisssurdescrneauxparticuliers(fournitured'accs,fourniturede services).Onendnombreactuellementprsde260dclarssurnotre territoire. Certes,comptetenudelaconcurrencesurlescotsquis'estaccentuecetteoccasion, l'hypothsepeuttresoutenued'uneventuellemoinsgrandefiabilitindividuellequeparle passdesquipementsetdesrseauxdploys.Demme,laprolifrationdesrseauxdont l'usagerexigequ'ilssachentdemieuxenmieuxcommuniquerentreeuximposegalement d'accrotrelesdispositifs-interfacesquiconstituentunesourcepotentiellesupplmentaire dincidents logiciels et de permabilit intempestive. S'agissant de la scurit d'ensemble, les avantages semblent pourtant l'emporter encore sur les inconvnients. 17 1.2.2.1/Pourl'heure,lesrisquesdecontagiondepannesd'unrseaul'autres'en trouvent certainement attnus. Les technologies et les fournisseurs sont en effet encore nettement distincts. Les reprsentants des oprateurs nationaux rencontrs nous ont confirm que la configuration de leurs infrastructures propres tait encore indpendante dInternet en France mtropolitaine, et quil en serait encore ainsi pendant quelques annes. France Tlcom indique par exemple que,mmedanslecasdunepannedesDNS30Internet,latlphoniesurIP(etafortiorila tlphonie classique) continuerait fonctionner sur son rseau. Ces garanties vont nanmoins avoir tendance s'mietter progressivement: -djpourdesliaisonsinternationalesou,parexemple,pourdesliaisonsentrele continentetlaRunion,ladynamiquedecotsentraneunreplicroissantsur Internet; - la mutualisation dquipements doprateurs mobiles rduit, au moins localement, ladiversitquidevraitrsulterdelexistencederseauxspars :lessitesradio les mieux placs sont souvent utiliss simultanment par les 3 oprateurs mobiles; -la convergence entre les quipements fixes et mobiles, avantmme le glissement prvisible prochain vers le "tout IP", risque aussi de faire s'crouler peu peu ces cloisonnements. Pour autant, il est un fait que chacune des pannes logicielles observes jusqu' maintenant est reste effectivement confine dans le primtre du rseau d'un seul oprateur. Ilestclairquelaconservation,lepluslongtempspossible,dedmarcationstechniquesentre les diffrentes catgories de rseaux constitue un atout en termes de scurit alors mme que lavulnrabilitrespectivedechacuned'entreellesn'estpasidentiqueselonlesmenaces.Le coeurdesdispositifsfixesapeucraindredestemptestandisqu'unedescaractristiques fondamentalesdInternetestsacapacittrouveruncheminpourfairepasserlinformation malgrlesdgradationssubiessurtelleoutelleartre.Unlmentd'apprciationenat donnlorsdusismesous-marindu26dcembre2006aulargedeTaiwanquiadtruit plusieurs cbles mais dont l'impact, au bout du compte, est rest mesur. 1.2.2.2/Au-deldegnesimmdiates,l'hypothselaplusplausibledanslamajorit descasestcelledumaintiendispositiondesolutionsdesubstitutionpour communiquer. En cas de drangement d'un rseau, les usagers ont de plus en plus disposition (qu'elle soit personnelle,devoisinageouinstitutionnelle)unpaneldemoyensalternatifsde communication (mobiles familiaux ou professionnels relevant d'oprateurs diffrents + fixe + Internet)jusqu'prsentrelativementindpendants.L'exprienceamontrqu'ilspouvaient gnralement compter sur ces moyens mme si, le cas chant : -les communications s'exercent sur un mode dgrad; 30DNS (Domain Name Service) = serveurs de noms de domaines fournissant la correspondance entre les noms et les adresses utilises par les processus de routage. 18 -lesoprateursontsansdoutegrerdefaoncomplexedesproblmesdereport de flux significatifs; -lestempsdecalageetd'adaptationdechacunparrapportcettesituationsont parfois alatoires. Uneillustrationultimeenatdonnelorsdesattentatsdu11septembre2001.Les messageries (SMS et sur l'Internet) ont exerc un rle apprci de substitut la tlphonie, le fonctionnementdecettederniretantperturbparlesdestructionsphysiquesmaisplus encorepardesphnomnesdesaturationgrandechelleinduitsparl'augmentation prodigieuse de la demande de communications 31. * Ceslmentsautorisentparconsquentpenserque,saufdanslecasdunecatastrophe naturelledpassantlargementcellesquelaFranceaconnuesjusquicioud'unerupture prolongeetgnraledel'alimentationnergtique,uneparalysietotaledes tlcommunicationset,partant,delavieconomiqueetsocialeestencoreprsent,mais prsent seulement, assez improbable. 1.3. Le danger de rpercussions en cascade d'une dfaillance initiale d'unouplusieursdenosrseauxdetlcommunicationsparait devoir, au moins aujourd'hui, tre galement relativis. L'infiltrationdenotreviequotidienneparlestechnologiesdel'informationesttellequedes effetsenchanepartirdudrangementd'unrseaupublicdetlcommunicationssont invitables.Pourautant,denombreuxacteursayantdveloppdesrseauxautonomes,ces effets ne doivent pas, l'heure actuelle, tre surestims. 1.3.1 / L'ensemble du rseau de transport et de distribution d'lectricit est thoriquementconfigurpournepassouffrird'unedtrioration quelconque des rseaux publics de tlcommunications. Un vnement de type "chinois" n'est a priori pas concevable en France. Pour construire plus rapidementunepartiedesonrseaulectrique,laChineeneffets'est,semble-t-il,fonde, dans un cas au moins, trop massivement sur un pilotage par voie Internet. Et linterconnexion peuscuriseentresonrseauinterneetInternetl'aconfrontercemmentdesrieux dboires32. 31Cf.rapport1-4.1-2002duCGTI(deMM.P.Fritz,P-YSchwartzetB.Prunel)surlesrisquesprsentspar Internet (janvier 2003). 32 Les spcialistes voquent un "plantage" lectrique notoire. 19 1.3.1.1/ Pour l'essentiel, EDF et RTE s'appuient sur un rseau ddi de scurit pour leurs tlcommunications. Cettesituationdevraitlesprmunir,dansleuractivit,desconsquencesd'incidents susceptibles d'affecter un ou plusieurs des oprateurs de tlcommunications. Enralit,lasituationestplussubtileetledegrdedpendanceeffectifdecesdeux institutionsvisvisdesautresrseauxdetlcommunicationsmritemalgrtoutdtre prcis : Le transport de llectricit en trs haute tension (90 400 kV) est pilot par RTE, qui remplit un rle dinterface entre d'une part les centrales lectriques (quelles que soient leur nature ou leur statut) et d'autre part le rseau de distribution d'EDF. Le courant transite par 1000 ou 2000 postesMT/BTqui,eux-mmes,alimententunrseaudedistributionEDFplusprsde labonn.CespostesMT/BTsonttlcommands(depuisquelquesdizainesdepostesde dispatching) aussi bien par RTE que par EDF, mais pour des fonctions diffrentes: RTE gre lapprovisionnementdecespostes,tandisqueEDFprendenchargeplusfinementpar tlcommande les dlestages vers des zones plus circonscrites. Onsait,eneffet,quelesrseauxdlectricitsontdetype"chteaudecartes ".Siune consommationexcessivefaitchuterlafrquenceducourant,audelduncertainseuil, certaines centrales de production ne peuvent plus suivre. Elles se dconnectent du rseau. Le dsquilibreentrelaconsommationetlaproductiontendalorss'amplifierrisquant d'entraner leffondrement de ce dernier. Pourvitercephnomne,EDForganisedoncdesdlestagesgrce,prcisment,la tlcommande des postes MT/BT, certains dparts tant prioritaires et dautres non. EDF doit dailleurs composer avec une contrainte dans la gestion des priorits, car, ds lors quun dpart (depuis le poste MT/BT) est prioritaire, tous les abonns de ce dpart le deviennent33. Le plan deproductiondlectricitestengnralcalculavecunemargesuffisantemais,encas dincidentoudeconsommationplusfortequeprvu, laractivitncessairepourdlester se compte gnralement en minutes ou en dizaines de minutes. Or, les postes MT/BT ainsi impliqus sont sans personnel permanent. Leur tlcommande est opre travers un rseau spcifique de scurit qui offre des services de voix, de data et de tlaction, grce des liaisons loues France Tlcom (dune distance moyenne de 50 km, parfoissurdesfaisceauxhertziens).Des liaisonsRNISouRTCassurent unpremiersecours. Et, possibilit ultime, RTE dispose de 250 valises satellite quil pourrait envoyer sur certains sites (10 20%) en rquisitionnant des personnels. Lesprcautionsprisessontnotables.Pourautant,comptetenudel'importancedesenjeux collectifs concerns, il n'y aurait qu'avantage ce que la vulnrabilit potentielle de ce circuit de tlcommande fasse l'objet d'une tude spcifique. L'intrt de ce rseau de scurit n'est d'ailleurs pas que d'ordre technique. Lors de l'explosion d'AZF, les rseaux publics de tlcommunications tant saturs, RTE a utilis celui l pour les communicationsmanagriales(avecunecapacitrduite,unseulposteparservicetant disponible). 33 Ceci explique que EDF ne puisse pas rendre prioritaires tous les centraux tlcoms ou les BTS des oprateurs mobiles. 20 1.3.1.2/Indpendammentdecerseaudescuritvocationoprationnelleet technique, EDF et RTE partagent par ailleurs un rseau classique. Cerseau(dit"tertiaire")estsous-traitNeuf/Cgtel.Sonarrtnauraitaudpartquedes consquencesindirectessurladistributiondellectricit.Cependant,certainesapplications sensibles lutilisent, notamment le calcul du plan de production du lendemain en fonction des donnes mto, ou les calculs des paramtres de remise en route dune centrale aprs un arrt. 1.3.2 / Nombre d'acteurs majeurs de la vie conomique intgrent dj des logiques prventives convaincantes. Lesinvestigationstrspartiellesralisesdansdessecteursaussivitauxqueceuxdela banque, de l'info grance, des transports publics ou de la recherche en tmoignent. 1.3.2.1/ Le "Groupement des cartes bancaires", par exemple, a pris plusieurs types de mesures protectrices. La continuit de son fonctionnement reprsente un impratif certain car un tiers des paiements sont aujourdhui effectus par cartes dans la zone Euro et une bonne partie de largent liquide provientdesDAB(distributeursautomatiquesdebillets).Legroupement,en2005,aralis 6,3 milliards de transactions reprsentant 325 milliards de paiements et de retraits. Les banques (ou les DAB) sont relies aux centres de traitement du groupement interbancaire, parunrseauIPfermetchiffrnonliInternet.Cedernier,toutefois,n'apastencore ddoubletrelveencored'unfournisseurunique.LeGroupementprvoitcependantdele dupliquerprochainementavecun2meoprateur.Lescentresdetraitementparcontresont dj dupliqus et capables de se suppler mutuellement. En aval, les paiements en magasin ou auprs de prestataires de services tout comme les retraits dargentmettentenuvreunegrandevaritdemoyensdetransmissions(liaisonsloues, liaisons Transpac, rseaux VPN IP, RTC, voire Internet ADSL) entre les terminaux de points de vente (ou les DAB) et les diffrentes banques concernes. La diversit de ces moyens met donclesusagersrelativementlabridunblocagetotalgnralisetpermetd'esprerdes gnes qui restent circonscrites en cas de panne ventuelle d'un de ces rseaux. 1.3.2.2 /Paralllement, dans le domaine de l'info grance, une socit comme ATOS Worldlines'est entoure de garanties. Atos est leader sur le march du traitement des changes lectroniques grands volumes et de lhbergement de services bancaires : un grand nombre de banques ont recours ses services soit pour hberger leurs applications courantes, soit comme recours en cas de panne d'une de leurs installations gres directement. (Cette compagnie gre prs d'1 milliard de transactions partir de terminaux de points de vente et 100 millions de paiements Internet). La scurit, pour autant que l'on a pu en connatre et l'analyser, parat avoir t bien prise en compte travers un maillage fort des infrastructures rseau, la protection physique des salles informatiques rparties dans 3 sites centraux, etla forte capacit des groupes lectrognes de secours(sachantquedansdetellessalles,laclimatisationestcritiquetoutelanne,la temprature devenant excessive au bout de 1 h 30 en cas de panne). 21 1.3.2.3/Deleurct,tantlaSNCFquelaRATPdisposentdeleurrseauproprede tlcommunications. Aussi, l'une et l'autre estiment que les trains ou les rames de mtro sont en mesure de circuler quel que soit l'tat de fonctionnement des rseaux de tlcommunications publiques. Certainesfonctionnalitsseraientcependantrduites :ainsi,commelerseauradiodela RATPrestemalgrtoutdpendantdeliaisonslouesFranceTlcom,lesbusneseraient plusenrelationavecleurpostedecommandement ;ilenestdemmepourlasonorisation dans les stations de mtro qui ne marcherait plus. Ces gnes apparaissent accessoires. 1.3.2.4 / L'essentiel des transmissions lies la recherche est galement scurise. Pourassurersesbesoins,leGIPRENATER34dontsontmembresdemultiplesorganismes primordiauxde recherches (CEA,CIRAD,CNES,CNRS,INRA,INRIA,INSERM,BRGM, CEMAGREFetIRD,ainsiqueleMENESR)dploieetexploiteeneffetunrseau indpendantdetransmissionoptiquedetrshautdbit.Celui-ciestredondantsousplusieurs aspects :duplicationdesserveurscentraux,topologiederseaumaill,cloisonnementdes flux,autonomiedunesemaineencasdecoupuredalimentationlectrique...Configur notammentpartirdefibrenoire35(oudelongueursdondesprivativessurdesfibres appartenantdesoprateurs),ilestprotgdesincidentsquepourraienttreamens connatre les rseaux des grands oprateurs. Vis vis dattaques par dni de service provenant dInternet, un systme de suivi permanent et danalyse par corrlation des "logs" a t mis en place lui permettant de dtecter lavance la plupart des attaques et donc de sen prmunir temps en bloquant les ports concerns. 1.3.3/L'administrationchercheelleaussiseprotgercontrecertains effets "domino", encore que ses efforts restent insuffisants. Sesrseauxdecommandementontprcismenttconuspourresterl'cartdestroubles extrieurs. 1.3.3.1 / Elle dispose de plusieurs rseaux ddis, indpendants des rseaux publics et d'Internet. RIMBAUD en est le prototype. Il est physiquement spar de tout autre rseau. Une altration, 34RENATER(RseauNationaldetlcommunicationspourlaTechnologielEnseignementetlaRecherche) fdre les infrastructures de tlcommunication pour la recherche et lducation dont, en premier lieu, celles des organismesderecherche membresduGIP(CEA,CIRAD,CNES,CNRS,INRA,INRIA,INSERM,BRGM, CEMAGREFetIRD,ainsiqueleministredelducationNationale,delenseignementsuprieuretdela recherche).Ilfournitdesservicestrshautdbitpourlesgrandsprojetsscientifiquesnationauxet internationaux. Plus de 800 sites sont raccords via les rseaux de collectes rgionaux au rseaunational. Il est reli aux autres rseaux de la recherche et de l'enseignement dans le monde via le rseau pan europen galement indpendant et scuris GEANT. 35Autrementdit,delafibreoptiquesouscriteendehorsdetoutservicedetransportdesdonnes("noire"c.a.d "teinte").22 quellequ'ensoitlanature,delacontinuitoudelaqualitdestlcommunications"grand public"estdonccensenepasavoirdeconsquencesurlui.RIMBAUDestenoutreassez bienprotgcontredescoupuresdalimentationnergtiquepuisquelaplupartdescentraux sontquipsdegroupeslectrognes.Ilest protggalementcontredescoupures de cbles grceunmaillagedesartresinterurbaines.Sa capacitrestenanmoins limite(delordre de quelques dizaines de postes par dpartement) LeMinistredelaDfense,quantlui,peuts'appuyersurSOCRATE36indpendant galement des rseaux publics et dInternet. Ce rseau est largement scuris par des doubles acheminementsetparlutilisationdeplusieursoprateurspourdesliaisonsspcialises interurbaines. Enfin, plusieurs ministres ont mont des rseaux radios de scurit propres (ACROPOL pour laPolice,compltparleprojetANTARESpourlesSDIS,RUBISpourlaGendarmerie, rseau 40 MHz37 pour les services dconcentrs de l'Equipement) qui, en plus de leur capacit relierleshommesentreeuxsurle terrain,pourraientaussiservir pourdescommunications de commandement entre autorits. Sicesrseaux,confrontsdiffrentstypesdecrises,ontjusqu'icifaitleurspreuves,leur usage relve cependant d'un cercle ferm d'utilisateurs.

1.3.3.2/Toutefois,lesprincipauxservices,etnotammentlesservicesdesecours, restentpourl'essentieltributairesdesrseauxpublicsetdeleursdfaillances ventuelles. Certes,certainsdecesservicesbnficientparfoisdedoublesraccordements.Cependant,la plupartd'entreeuxnerecourentqu'unseuloprateurcarlescritresfinanciersl'emportent, onleconstatehlasfrquemment,surtoutautretypedeconsidrations(particulirement celles qui ont trait la scurit) lorsqu'il s'agit de dfinir la configuration de leurs dispositifs. La taille de l'tablissement de rattachement est de ce point de vue dterminante: -ainsi,lescentresderceptiondesappelsau15sontpluttprivilgis.Ilssont gnralementsitusauseinduneentitimportante(hpital,SAMU)quifaitleffort de financer un double acheminement. Pour autant, mme dans ce cas, le basculement des appels sur le 2me raccordement ne se fait gnralement pas automatiquement si le premier tombe en panne. En effet, les oprateurs mobiles ne programment dans leurs centraux que le seul acheminement 10 chiffres correspondant au 1er raccordement; -enrevanche,lescentres18sontsouventimplantsdansdescasernesdepompiers dimportanceplusrduiteet,partant,sontparfoismoinsenclinsraliserles investissements ncessaires la scurisation de leur raccordement. Cettesituationestvidemmentsingulirementproccupantes'agissantdeservicesd'urgence. L'usager peut tre pnalis par la dfaillance de l'oprateur soit de dpart (celui sur lequel est raccordlusagerquicomposele15,le18oule112),soitdeceluiquidessertlecentrede secours. La panne dun seul d'entre eux compromet donc le bon droulement de lappel, mme si des solutions de substitution peuvent tre cherches : 36 Il raccorde 400 sites militaires mais ne dessert pas les prfectures.37 Ce rseau permet au DDE de communiquer avec les quipes qui interviennent sur les routes. Indpendant des rseauxpublics,ilconstitue,pourlesprfets,unepossibilitdecommunicationintressanteavecdesquipes oprationnelles sur le terrain en cas de crise. Sa couverture nest cependant pas totale, visant principalement les axes de la responsabilit des DDE. 23 -traverslerecours,pourl'usagerensituationdurgence,unautrerseaufixeou mobile si le drangement n'est pas gnral ; - travers d'oprations de reroutage, si c'est le raccordement du centre de secours qui estenpanne.Ilestpossibleeneffetdanscertainscas(maispaspartout)dererouter automatiquementsansdlailesappelsversunautrecentredesecoursquinapasde problme de raccordement ; - travers de mesures administratives: en dernire extrmit, le prfet de dpartement (quigrelestablesdacheminementdesappelsdesecours)peuteneffetdemander tous les oprateurs de modifier les tables dacheminement des appels de secours pour faire arriver les appels vers un centre correctement desservi. Ceci exige malgr tout un certain dlai (de lordre de la journe) et pose le problme de la gestion de ces appels par des centres qui seraient alors saturs. * Ainsi, mme s'il existe et doit tre scrut avec beaucoup d'attention, le danger de rpercussions en cascade d'une dfaillance initiale d'un ou plusieurs rseaux de tlcommunications doit tre relativis. Des lots majeurs de la vie conomique et sociale devraient pouvoir en tre, en tout ou partie, prservs. 1.4/Nanmoins,moyennechance,lesvolutionslesplus perceptiblesenmatiredetlcommunicationsreclentdes inconnues qui ne peuvent pas manquer d'inquiter. Cenesontpastantledploiementannoncdesaccsenfibreoptique,lequeln'interviendra queprogressivement,quequatreautrestendanceslourdesquimritent,decepointdevue, d'tre mises en exergue : -la capillarisation toujours plus prononce des rseaux et des systmes dinformation; -la dynamique de plus en plus marque vers le "tout IP"; -le manque de fiabilit d'Internet avec lequel les interconnexions deviennent de plus en plus importantes ;-lexternalisation croissante des systmes dinformation. 24 1.4.1/Lacapillarisationcroissantedesrseauxetdessystmes dinformationrenddeplusenplusdifficileuneperceptionsynthtique d'ensemble. 1.4.1.1/Pratiquementplusaucundomainedelasocitn'chappecet envahissement. Si, voici encore une vingtaine dannes, tablir un rseau priv finalit particulire tait une oprationdlicate,ilnenvaplusdemmeactuellement.Ilnestplusbesoindelouerdes ligneschresunoprateur.Lesquipementsdetlcommunicationscommelalogique informatique base de micro ordinateurs sont bon march. Leur banalisation est gnrale. Les rseaux s'enchevtrent et tissent des liens qu'on ne souponne plus toujours et que parfois seules les pannes rvlent. Quel rapport, par exemple, existe-t-il maintenant entre un rseau de tlphones mobiles et les panneauxmodernesdaffichageurbain ?Lefaitquelepremierestl'instrumentprivilgide gestiondesseconds.Cespanneauxdisposentdeplusieursaffichesquisontchangespartir d'ordresdonnsdistancetransitantparlemobileGSMdontilssontquips.Cette commande par SMS depuis un PC conomise l'interventionde multiples personnels. Laspectanodindecetteillustrationmasquecependant,dansdesdomainesrpartis gographiquement,biendautresapplicationsplussensiblesbasedecapteursoude dispositifsd'alertes.Citonsparexemplelatransmissiondeplusenplusautomatisedes informationssurleshauteursdescoursd'eau(dontl'importanceestvidemmentvitaleen matire de prvention de crues) ou celles ayant cours dans le domaine hospitalo-sanitaire. Defait,lesoprateursmobilesdveloppentdeplusenpluscequisappellele"MtoM : machinetomachine",autrementdit,desmobilesspciauxadaptstoutessortes dapplications industrielles. Ainsi,parexemple,depuis3ans,PSAPeugeot-Citronquipesesvoituresdehauteet moyennegammesdel'optionNavidrive,quicontientunsystmeautomatisd'alerte individuellecombinantGSMetGPS.Cesystmeestappeltreinstallsurtousles vhicules,et esten coursdenormalisation.Encasde dclenchementdesairbags,ilenvoie un centre dassistance la position GPS du vhicule accident. Ces coordonnes sont transmises pardeuxSMSaucentreuniquedassistanceInterMutuelleAssistancedeNiort.12000 accidents sont ainsi signals par an, le systme tant dj implant sur 320 000 vhicules. Lecheminementdecesalertesestaudemeurantinstructif :leSMSpassetoutd'aborddu rseau mobile (Orange, SFR, Bouygues) au rseau de la socit Netsize. Puis celle ci lenvoie la socit STERIA, qui dcrypte le message, puis STERIA le transmet la socit IMA. En casdevalidationdelalerte,IMApasseenfinlalerteaucentredepompiersconcern.Une multiplicit de rseaux est donc successivement sollicite. 1.4.1.2 / Les diagnostics sont de plus en plus complexes. La rapidit de dploiement de ces rseaux, leur foisonnement continuel, leur enchevtrement, lesbouleversementsincessantsdetechnologiesmisesenuvre,lesbifurcationsalatoires susceptibles d'tre prises par elles rendent de plus en plus illusoire le projet d'une quelconque matrise d'ensemble de cette architecture. 25 Les interlocuteurs de la mission et la diversit de spcialistes rencontrs se sont tous exprims ce propos de faon concordante. Ils ont soulign combien la nature de la dynamique en cours empchaitl'expressiondejugementsprospectifsautresquecirconspectsetpartielss'agissant de la rsilience venir des rseaux et de l'impact d'ventuelles pannes de ces derniers. Pluspersonnenepossde"lesplans".Audemeurant,lesoprateurseux-mmesnejouentle jeuqued'unetransparencepartiellelafoispourdesraisonscommercialeset,vis--visdes pouvoirspublics,sansdouteparcrainted'impositiondeprescriptionsrglementaires nouvelles. Quant l'Etat, il dispose de moins en moins, depuis l'inscription de France Tlcom dans la mouvance prive, de capacits d'expertise technique publique. 1.4.2/Paralllement,lesrseauxs'oriententdeplusenplusversdes configurations TCP/IP. 1.4.2.1/ Le"tout IP" (ou, si lon prfre, la convergence "voix-donnes" sur Internet) a vocation devenir le mode prdominant38. Laspect qui en est le plus immdiatement saisissable pour l'usager et le non technicien est la banalisationdel'offredite tripleplayparlesoprateurs,permettantl'accsconcurrentla tlvision, au tlphone et Internet haut dbit partir d'un seul raccordement Internet. Elle sematrialise,chezleparticulier,parlinstallationdune"box"surlaquellesontconnects tlvision/ tlphone analogique/ ordinateur. Loffre est mme dite quadruple play lorsque, de surcrot,letlphonemobilefait,pourdesraisonsd'conomies,transiterlesappelsnonplus via la borne publique de tlphonie mobile, mais par ce botier domicile. Or,cettemutationprvautenpremierlieupourlesrseauxdesoprateurseuxmmes. Actuellement,lesgrandsoprateurs(commeceluidetype"historique")disposentdetrois rseaux : -lerseaudetlphoniefixe,basedecommutateursdecircuits(" les centraux tlphoniques" traditionnels), -le rseau de transmission de donnes, qui leur permet de faire transiter les donnes de leurs clients Internet, -lerseaumobile,reliantlesstationsdebasehertziennesauxcommutateurs tlphoniques. A court terme, c'est--dire l'horizon 2010 / 2012, il parat acquis: -que ces trois rseaux nen feront plus quun, -et que ce rseau unique sera bas sur la technologie IP. La raison profonde de cette dynamique tient aux conomies dchelle importantes que gnre un rseau unique. 38 Dj, la part du trafic IP au dpart des postes fixes est passe, selon l'ARCEP, de 5,7% 23% au cours de ces seules deux dernires annes (2005-2006). 26 1.4.2.2/ Cette volution suscite toutefois des craintes. Elles se rapportent39: en premier lieu, la dpendance plus complte qui en dcoule vis--vis de lnergie 220 V. Actuellement, France Tlcom alimente en 48 V les lignes analogiques de ses clients, depuissoncentraltlphonique.Cettescuritdisparataveclesoffrestripleou quadruple play. Alorsquauparavantunecoupuredetlphonen'empchaitpasnonplusquela tlvisioncontinue,sibesoinentait,dinformerlespopulations,cettepossibilit risqued'tredeplusenplusrestreintel'avenir.Danslesimmeublescbls,les antennesonteneffettdmontesauprofitdu"serviceantenne"descblo-oprateurs40.Ilestprvisiblequecettevolutionvas'tendrel'habitatindividuel mesure que leurs occupants souscriront aux offres de type triple play. en second lieu, aux plus grands risques de contagion des incidents et l'absence de recours alternatifs. Combine la diversification et la multiplication des oprateurs41, l'htrognit des rseaux a contribu jusqu'ici compartimenter les pannes. La permabilit croissante descatgoriesderseauxentreeux,puistermeleurfusionenunseulrgiparla normeTCP/IP,modifientladonne.Lesystmeperdlaprotectionstructurelleque procuraient ces cloisonnements. 1.4.3/Lesinterconnexionsdeviennentcorollairementdeplusenplus importantes avec Internet dont la fiabilit n'est pas assure. LetraficIPenrseauferm,indpendantd'Internetdevraitprogressivementconstituer l'exception.Or,lanaturemmed'Internetetsadynamiqued'organisationsontempreintesde multiplesincertitudes.Sarsistanceintrinsqueauxagressionsexternesdetoutessortesest rgulirementvante.Pourautant,celle-ciprsentedesfaillespotentiellesquinepermettent pas de tabler sur sa fiabilit assure. Deux d'entre elles au moins mritent d'tre soulignes: 1.4.3.1/ Lquipement du rseau est trop dpendant d'un seul fournisseur. LaprdominancedufabricantamricainderouteursCISCOestpatente.Lescnario catastrophe d'une infection virale tendue ne peut donc en soi tre d'office cart. Il est loisible d'imaginer,parexemple,l'introductiond'unvirusrveiltardiflorsd'unchangementde versionlogiciellesurcesrouteurs.Lorsquelamajoritdesrouteursdelaplanteauront 39 Au-del de celles qui ont trait au manque de fiabilit des "boxes" qui est celle des ordinateurs et non plus celle des commutateurs. Le cahier des charges des commutateurs publics type E10 tait, "du temps du CNET", de une heure de panne en 40 ans de fonctionnement. Les ordinateurs aujourd'hui sont prs de 100 fois moins fiables. 40Le"serviceantenne"estlobligationpourcesderniersdefournirleschanesgratuitesaummecotquune maintenance dantenne. 41Mouvementaudemeurantquitouchesansdoutemaintenantsafin.Aterme,lenombredesfournisseurs daccsdevraitvraisemblablementtreamenserduire.Onsembles'orienterdsormaisversunephasede concentration, lexemple le plus marquant en France tant celui de Neuf Tlcom qui rsulte de la runion de 9 oprateurs diffrents.27 implmentlanouvelleversiondulogiciel,leviruspourraitserveilleret"teindre"en quelques secondes lInternet mondial. Certes, le rseau ne repose pas exclusivement sur des matriels CISCO (Juniper et Alcatel sont galementdesfabricantsderouteursmmesileurpartdemarchestnettementmoindre). Maissicesdernierstombentenpanne,letraficdevraserpartirsurlesquelquesartres rsiduellesnonatteintes,etsatureradansdesdlaistrsbrefslesrouteurspargnsparle virus. La rpercussion serait majeure. 1.4.3.2 / Son fonctionnement reste subordonn des nuds cruciaux d'interconnexion. Un incident sur un nombre faible de ces nuds pourrait immobiliser le rseau. IlestnotoirequeprsdelamoitidutraficmondialtransiteparleseulEtatdeVirginieo arriventlaplupartdesterminaisonsmaritimesetosontsituslesprincipauxcentresde routeurs"racines"42.Mais,defaongnrale,lespointsnvralgiquessontnombreuxettrs rpartis. Il s'en trouve aussi en France bien que d'importance moindre. Lessitesdhbergementmulti-oprateurs,etnotammentlessitesdePeeringconstituentun point de fragilit notable. [.] 42 Des efforts importants ont toutefois t accomplis ces dernires annes pour dupliquer ces DNS racine. Il reste que la disponibilit de ces serveurs reste un point de fragilit du rseau (contre lesquels beaucoup dattaques sont dailleurs diriges). 28

[.] UnrapportduCGTIsurlesrisquesprsentsparInternet43dnonaitdjen2003cette vulnrabilitglobale.Ilconcluaitlapossibilitd'uneffondrementsignificatifdurseau. Certes, la structure trs rpartie de ce dernier protge contre le risque de son croulement total, mais ne le garantit nullement contre une panne partielle (de 30 60%), donc trs srieuse. Cette vulnrabilit relative a d'ailleurs t illustre par les dysfonctionnements dont Internet a fait l'objet en dcembre dernier et qui ont t gnrs par le tremblement de terre intervenu au largedeTawan44.Cesisme,dontl'impactdirecttaitassezlocalis,ananmoinsperturb notablementlecontinentest-asiatiqueetaffectsensiblementlescommunications internationales. Le CGTI a mis en vidence, par ailleurs, que si la rsolution d'une panne majeure conscutive uneattaqueviraleparexemplenedevraitpasdurerplusde48heures,ladure d'indisponibilitdurseaupourraittreplusimportanteencasd'attaquessuccessives.Les consquencesdesattaquescoordonnesquel'Estonieasubiesaucoursdeladeuxime quinzaine de mai 2007 contre les principaux sites web rgissant l'activit gouvernementale et conomique du pays en sont l'illustration la plus rcente. Or,dslorsquel'Internettraiteral'ensembledesflux,soitd'ici45ans,lesservicestrs consommateursenbandepassante,telsquelaconsultationdeservicesweb,latlphonie,la tlvision seront hors service dans l'hypothse d'une crise importante du rseau. Enpareilcas,unegnemajeureseraitoccasionnelavieconomiqueetunrisquecertain surviendrait pour la scurit des personnes en difficult. 43Rapport1-4.1-2002duCGTI(deMM.P.Fritz,P-YSchwartzetB.Prunel)surlesrisquesprsentspar Internet (janvier 2003) cit supra. 44Tremblementdeterredu26dcembre2006quiaprovoqularupturedeplusieurscblesoptiquessous-marins. 29 1.4.4/Ledploiementmassifannoncdesrseauxoptiquespourles boucles locales implique galement des vulnrabilits nouvelles, mais sur un terme vraisemblablement plus long. 1.4.4.1/Lesraccordementsdesusagersenfibreoptiquedevraienttreappelsse banaliser45. Cettevolutiondevraitpermettrederpondrenotammentunedemandeattenduedes particuliers:celleexprimepourle"trshautdbit"(audeldes20Mb/sautorisspar l'ADSL,soittypiquement100Mb/s)etmotiveparlatlvision"hautedfinition",le tlchargement de films et, de faon plus gnrale, les services multimdia. 1.4.4.2/ Cette rupture technologique ne devrait pas tre sans consquences en matire de scurit. IlexisteunediffrencefondamentaleentrelatechniqueADSL,reposantsurunelignede cuivre depuis le central de France Tlcom, et un accs " fibre": dans le premier cas, il est possible de garder sur la mme ligne un tlphone classique, donc bnficiantdelascuritdel'alimentation48Voltsfournieparlecentraltlphoniquede France Tlcom; dans le second, les nouvelles technologies empruntes, dites "FTTx"46 se caractrisent par le fait que : -ellessontmergentes,etmultiples:lemarchn'apasencorechoisicellesqui deviendront les standards des prochaines annes. 4 5 technologies diffrentes sont en comptition (PON, EPON, BPON, GPON, EthernetP2P, ...) -peud'expriencespilotessontaujourd'huidisponibles,etl'intrieurd'unemme famille technologique, il existe des variantes entre les diffrentes implmentations. Pour autant, par rapport aux rseaux "cuivriques" ADSL, deux types de reproches peuvent leur tre adresss: - d'une part, elles prennisent la fragilit apporte par lADSL en dgroupage total, savoir47lancessitdunealimentationlectriquelocaledela"boite"derception. Elles l'aggravent mme par rapport lADSL puisqu'elles ne peuvent bnficier de la tlalimentation par la ligne cuivrique que la fibre vient remplacer. -etd'autrepart,ellesrecourentpourcertainesdesquipementsactifsncessitant unealimentationdansleurstructurededistribution.Ainsienest-ilnotammentdes rseauxs'appuyantsurlatechnique"Ethernetpointpointsurfibreoptique" (EthernetP2P).Peud'indicationssontactuellementdisponiblessurleurscurisation lectrique. 45 L'ARCEP voque le remplacement d'un million de km de cblage pour la dcennie.46 FTTx : "Fiber to the x" : X pouvant tre H -pour home : la maison-, C -pour curb : le coin de la rue-, B -pour building-... 47Enplusdelabandondelatransmissionenbandedebasedusignalvocal(auprofitdunemodulationdu signal sur des frquences leves). 30 D'autres technologies optiques en comptition sont nanmoins plus robustes vis--vis de ce risque particulier de dfaut d'alimentation lectrique comme celles de type PON (PassiveOpticalNetwork)quiutilisentdesquipementsoptiquesnencessitantpas d'alimentation (en fait, des "prismes" pour sparer les longueurs d'onde). En l'tat, on peut donc craindre que le remplacement, sur les derniers kilomtres, du cuivre par lafibrenesetraduiseaufinalparunenotablefragilisationdurseaud'accsdel'usageraux tlcommunications. 1.4.4.3/ Cette mutation n'interviendra cependant en France que progressivement. Les investissements ncessaires sont en effet, considrables : des montants de l'ordre de 40 50 milliards d'euros sont voqus. Les consquences n'en seront donc pas globales avant une dizained'annes.D'icil,lesrseauxmobilesauronteuxaussivolu,et,enmatirede tlcommunications, 10 ans est un horizon pour lequel les prvisions sont hasardeuses, compte tenu du rythme des innovations. Facecettedynamiqueprobablementinluctableverslafibreetle"trshautdbit",la missionnestpasenmesuredeprconiserunetechniquepluttquuneautre.Ellesouhaite toutefoisattirerlattentiondesdcideurssurlintrtdunesolutionquinecomportepas dlments actifs ou dlments sensibles linondation sur le trajet entre le NRA et labonn. 1.4.5 / Lexternalisation des systmes dinformation, enfin, est de plus en plus prononce mais n'est pas entoure de prcautions suffisantes. 1.4.5.1/ Il s'agit d'un mouvement gnral. - celui-ci touche dsormais autant les services publics que les entreprises prives. Ilyaunevingtainedannes,seuleslesgrandesentreprisessoucieusesdamliorerleur rentabilitapparaissaientconcernes.Depuisunedizainedannes,lesservicespublics tendentdeplusenpluss'engouffrergalementdanscettevoie.Ainsi,latrsgrosse majoritdesserviceswebdesadministrationsestgrelextrieurdecelles-ci.Le premierdentreeux,Service-public.fr,dpendantduSGG(vialaDocumentation Franaise) est ainsi hberg chez un prestataire. -ilaffecteaussibienlesrseauxdetlcommunicationsquelesservicesetapplications informatiques. 1.4.5.2/ Ce phnomne s'affirme, toutefois, potentiellement proccupant. -dunepart,lexternalisationportesurdespartiesdeplusenplusstratgiquesdes systmes d'information. A lorigine, seuls les services secondaires taient externaliss. Au sein des administrations publiquesetsouslimpactdelarductiondesbudgetsdinvestissements,gnraliser lhbergement,lequelestsusceptibled'treprisencompteenchapitrede "fonctionnement",estapparucommeunesolutionpratique.Ainsi,desservicesdemoins en moins marginaux sont dsormais sous-traits. 31 -dautrepart,lafiabilitdeshbergeursconcernss'affirmeenpratiqueextrmement htrogne. Silesoprateursderseauxsontsoumiscertainesobligationsdequalitdeservice, souventissuesdeleurlicencedoprateur,ilnenestpasdemmedelaprofession dhbergeur,laquellenestasservieaucunerglementation.Toutinformaticien "disposantde10ketd'ungarage"estaujourd'huienmesured'ouvrirunesocit dhbergementdeservicesWeb,ainsiquel'attestentdenombreuxexemplesdesocits trs fragiles. Cettefiabilitestd'autantplussujettecautionqueceshbergeurspeuventtrsbiense situerl'tranger,lelieud'hbergementtantsouventcontractuellementindiffrent.Les grandessocitsdudomainehbergentdsormaislesdonnesdansdespayscomme l'Inde,lePakistan,l'IrlandeoulesEtats-Unis,situationquiatrendupossibleparla disponibilit de liaisons mondiales haut dbit et bas cot partir du milieu des annes 90.

- en mme temps, pour les administrations et institutions publiques, le respect trop strict du code des marchs publics accentue de fait les prises de risques. Il est clair que le moins disant d'un appel doffres ne sera pas forcment le plus sr, si tant est que laspect scurit ait lui mme t pris en compte. Les exemples ne manquent pas ce propos. Ainsienest-il,titred'illustration,desdboiresrencontrsparMtoFrancedansla gestiondesesservicesAudioteldontl'importanceeststratgique.Encasdecrise,ses rpondeurs informent en effet jusqu 1 million de personnes par jour. En 2002, la suite d'unappeldoffrepourquiperces serveursvocaux delignes de raccordement aurseau tlphonique, cet tablissement public n'a pu s'en remettre qu' l'oprateur le moins disant. Unechutedelaqualitdeservicesetraduisantpardesinterruptionsdeserviceoudes incapacits acheminer les appels s'en est immdiatement suivie. Mto France a donc t conduiteds2004revenirversloprateurhistoriquepourlerenouvellementdeson march, mais non sans avoir dvelopper une argumentation laborieuse afin de justifier le choix dun prestataire plus onreux auprs du contrleur financier. * Avecletemps,l'apprhensiondesdiffrentsscnariidepannesderseauxauxquelsnous sommes susceptibles d'tre confronts se complique donc: court terme, ces scenarii se rpartissent dj selon un spectre assez large de probabilits d'occurrencesetd'importanceventuelled'impactquipeuventtrersumesdansletableau schmatique suivant: 32 Nombre de rseaux Type de rseau Type de flux Typedepanne concernsPanne PanneIncendie,Catastrophe Black out matriellelogiciellesabotageNaturellenergie Fixe VoixR2 / I1R3 / I2R1 / I2R2 / I2sans objet DonnesR2 / I1R3 / I2R1 / I2R2 / I2sans objet 1 oprateur Mobile Voix R2 / I1 R3 / I1 R1 / I2 R2 / I2 sans objet DonnesR2 / I1R3 / I1R1 / I1R2 / I1sans objet Fixe Voix R1/ I2 R2 / I3 R1 / I3 R2 / I2 R1 / I3 Plusieurs oprateurs DonnesR1 / I2R2 / I2R1 / I3R2 / I2R1 / I3 Mobile VoixR1 / I2R1 / I2R1 / I2R2 / I3R1 / I3 DonnesR1 / I2R1 / I1R1 / I1R2 / I1R1 / I1 Les probabilits de pannes (R) et d'importance ventuelle de leur impact (I) sont classes sur une chelle de 1 3 : 1 (faible), 2(moyen), 3 (fort). Cesscnarii,pourlaplupart,sontmalgrtoutceuxdecrisesdeportelimite.Un effondrementventueldel'ensembledestypesderseaux(fixe/mobile)quiconcernerait l'ventail des flux (voix/donnes) et mettrait en cause plusieurs oprateurs en mme temps ne pourrait relever que d'un black out nergtique. Pour autant, les enjeux en cause (continuit de l'action gouvernementale et de la vie conomique et sociale), mme si la panne est circonscrite dans le temps et l'espace, peuvent tre considrables. Plusieursdecessituationsontdjtprouves(pannesmatriellesponctuelles,pannes logiciellesn'impliquantqu'unoprateuretunrseau,catastrophesnaturelles)etdesleons tires de ces expriences. Mais plusieurs hypothses encore indites devraient appeler un examen pouss, mme si elles sontdedegrsd'occurrenceingale,comptetenudesconsquencesdeleurventuelle survenue. Ainsi, quatre d'entre elles particulirement mriteraient d'tre approfondies dans un cadre planificateur: -1)ladiffusiond'unvercontaminantplusieursoprateursfavoriseparune standardisation des quipements plus marque; -2) un black out nergtique dpassant 6h;

-3)uneattaquemalveillantesurlesrseaux(attentatphysiquecontreuncurde rseauouuneintrusionvisantuneffetdesaturation)dontl'intrtpeutdevenir particulirementmanifestes'ilestcomplmentaired'uneactionterroriste.La difficultmomentanedecommuniquerpourdployerlachanedesecours, 33 demanderetobtenirdel'informationpourraittrealorstrsdmultiplicatrice d'angoisse; -4) la destruction accidentelle ou non d'un nud crucial d'interconnexion Internet et ses rpercussions sur les rseaux IP. moyenne chance, c'est--dire rapidement: dans les 4/5 ans peine venir, les facteurs d'incertitudesetdecomplexitaurontprisplusdepoidsencore,brouillantd'autantles possibilits de prospective. * 34 2/C'estpourquoiuneposturedescuritcivile beaucouppluscirconspectel'encontredeces risques mriterait d'tre adopte. L'analyseencoursn'avocationtrequ'unpremierdfrichage.Mais,d'oresetdj,ellemontre qu"une grande prudence s'impose. Il serait judicieux, ce stade, d'orienter la rflexion administrative dans quatre directions prioritaires visant : -conforter l'efficacit de notre dispositif d'urgence (2.1); -mieuxscuriserensoilasphreadministrativecontrecesdiffrentsdysfonctionnements (2.2); -inciterautantquefairesepeutlesoprateursintgrerplusencoredesimpratifsde scurit (2.3); -promouvoirdeslmentsderobustessesimplesmettreenuvreouquiontdjfait leurs preuves (2.4). 2.1/ Conforterl'efficacit de notre dispositif d'urgence. Alors que l'exprience a mis en vidence les faiblesses de notre chane de raction plusieurs repriseslorsdesdfaillancesderseauxdecesderniresannes,l'administrationn'apas encore tir toutes les consquences de cette situation et continue s'organiser avec lenteur. Les problmes poss ce titre sont pourtant depuis longtemps identifis. Ils ont trait, en cas de crise,ladterminationduniveaulepluspertinentdetraitementdecelle-ci(2.1.1),la gestiondesdiffrentstypesdeprioritsmettreenuvre(2.1.2)etauxmodalitsde planification des alertes (2.1.3). Ainsi faudrait-il : 2.1.1/ Privilgier effectivement l'chelon centralis de raction. A rebours de ce qui est prconis pour nombre d'autres domaines d'intervention de la scurit civile-ycomprisceuxrelatifsaurtablissementd'autrescatgoriesderseauxvitaux-,le niveaudegestionquechacuns'accordedsormaisdrecommandercommeapriorileplus appropri en cas de crises des systmes de tlcommunications est l'chelon centralis. Lenombreetl'htrognitdesoprateurspotentiellementconcerns,leurorganisationqui ne se dcalque pas sur les cartes administratives, leurs modes d'intervention en cas d'incidents, la technicit des problmes sont autant de facteurs qui militent en ce sens. Mis part France Tlcom, les prfets ne disposent pas le plus souvent d'interlocuteurs locaux chez les oprateurs qui, dans leur majorit, sont organiss au niveau national. Or, c'est partir dessallesdesupervisiondecesderniersqueladtectiondespannessurlesrseauxpeut 35 intervenirleplusrapidement,quel'informationpeuttrediffuseefficacementetqueles actions de rparation peuvent tre pilotes. Ce constat est dj largement partag depuis plusieurs annes. Un arbitrage interministriela, semble-t-il,tenfinrendupourl'instaurationdun"guichetunique"deladministration (COGIC/ CTD): - prvenir en temps rel par les oprateurs en cas de panne srieuse; -auprs de qui les prfets peuvent se renseigner et recevoir des directives. Cettesolution devraitviterleseffetssouventdplorsd'unegestion en "tuyaux d'orgues"et permettre une alerte rapide des pouvoirs publics dont les oprateurs n'ont pas toujours montr le souci prioritaire. Cetarbitragen'atoutefoisencorettraduitparaucuntexte.L'urgenceestdoncqueles mesuresrglementaireslemettantenuvreinterviennenteffectivementmaisqu'cette occasion soient aussi tablies des dispositions qui en imposent le respect. 2.1.2/ Elargir la notion de priorits de rtablissement. Lesprioritsetlesconditionsgnralesdertablissementdescommunicationsdont bnficientcertains usagersfont l'objet d'unarrt actualisdu12 janvier200748.Cedernier prendenconsidrationlesrseauxaussibienfixesquemobiles.Lesoprateursdoivent dsormaisproposerdesmesurespourpallierenprioritauprsdecertainsabonnsles consquenceslesplusgravesdesdfaillancesdesrseaux(soitpardesremisesentat graduelles,soitpardesprestationsparticulires,tellesquedesmoyensdesubstitution adapts). Enamont,ilestcependantsouhaitablequelesinstallationsdesoprateurseuxmmes soient prioritaires : -pourtredenouveauraccordsauxrseauxetservicesessentiels(alimentation lectrique au premier chef);

-et,danslamesuredupossible,quilssoientconsultssurlesactionsprisespar lespouvoirspublics(dlestagesEDF,arrosagescanadairs,positionnementdes digues en cas dinondation). 2.1.3/ Planifier la communication d'alerte.

Dslamiseenvidencedeperturbationsderseauxmajeurs,unecommunicationpublique pour notamment indiquer aux usagers la marche suivre en cas d'urgence est indispensable. Ses conditions de ralisation, selon les circonstances, ne sont pas videntes. Privilgier au sein de la zone concerne la diffusion immdiate par la radio ou la tlvision de messages parait la solution la plus expdiente. L'information devrait prciser la nature de la panne,le(oules)rseau(x)concern(s)etlesmoyensalternatifsdeprendrecontactavecles 48ArrtIND/0609264Adu12janvier2007relatifauxprioritsdertablissementdescommunications lectroniques. 36 servicesd'urgence(15/17/18/112)dslorsquel'ensembledesrseauxn'estpastouch.Ilne seraitaudemeurantpasanormalquecetteinformation,l'initiativeduCogicmais selondes modalits planifies, intervienne aux frais des oprateurs eux-mmes49. Il reste que la rception de la tlvision sera elle mme de plus en plus dpendante des rseaux de tlcommunications et de leurs dfaillances. Paralllement, un recours la messagerie interpersonnelle (par SMS et par Internet) devrait treprvuetintgrdansledispositifderaction.Nonseulementlesmessageriessont dsormaisd'usagedeplus enplusbanalmaisleurrsistance particulirelorsde catastrophes apparatavre50.Elles'explique,pourdesraisonslafoistechniquesetsocio comportementales, parles plus faibles dbitsnumriquesconcernscommelerapportFritz51 l'a soulign. 22/ Mieux scuriser en soi la sphre administrative. Trois types de mesures notamment seraient de nature y contribuer: 2.2.1/ Garantir dans la dure l'tanchit des rseaux de scurit propres l'administration. Plusquejamais,ilestessentielpourlespouvoirspublicsdeconservertermeune infrastructure minimale de rseaux non raccords ceux des oprateurs. Autrementdit,ilfaudraveillercequeRimbaud,Socrate,Rubis/Acropolouencorele rseau 40 MHz Equipement et les rseaux appels leur succder ne cdent pas rapidement et pourdesraisonsavanttoutbudgtaireslatentationd'empruntercertainesfacilits(mme prsentesaprioricommescurisespardesdispositionsspcifiques).Ainsienserait-ildu transitparInternetoudel'utilisationpartielledetrononsd'acheminementcommunsavec d'autres rseaux. Pour autant, le maintien de telles architectures publiques autonomes ne devrait pas interdire de recourir des "briques standard" plutt qu' du "sur mesure" invitablement onreux52. 2.2.2/Imposerpourlesservicespublicsnvralgiquesdesprescriptions plus strictes en matire de scurit des tlcommunications. Une plus grande directivit institutionnelle parait en l'espceindispensable. 49L'article8delaloidu13aot2004demodernisationdelascuritcivileprvoitdjdesobligationscet gard pour les organismes de radiodiffusion et de tlvision, mais dansun champ limit qui ne couvre pas tous les cas de figure voqus ici. 50 L'exemple du 11 septembre est dterminant cet gard. 51 Rapport du CGTI de janvier 2003 cit supra. 52 Bien quil soit critiqu parce que son usage est limit, Rimbaud cote finalement lEtat peine 10 M/an (en plusdurachatinitialpour38MdesoninfrastructureFranceTlcom) ;acontrarioAcropoldontla configurationestcertesplusambitieuseetpluscomplexemaisquiestdu"surmesure",serarevenupourles finances publiques, rien qu'en investissements, prs de 1 000 M. 37 Lespolitiquessuiviesparlesadministrationsencequiconcerneladfinitionduniveaude scuritdeleursquipementsetlanaturedesliensqu'ellesentretiennentaveclesoprateurs sont en effet extrmement htrognes sur le terrain. Aumoinsceuxdecesservices considrscommelesplussensiblesenraisontantdeleurs missions (services de secours -SDIS/ Hpitaux/ SAMU-, prfectures/ commissariats, EDF) quedeleurlieud'implantation(importancestratgiquedel'activit)devraienttresoumis une rglementation plus contraignante. Ilestsuggrparconsquentdemieuxencadrerauniveaunationalleseffortsde planification locale les concernant par des prconisations portant la fois sur : -le type de protection mettre en uvre contre les pertes dalimentation lectrique, les incendies, les inondations etc.; -lenombreetlemodede raccordementsrespecterenmatiredetlphoniefixe(au moinsdeuxcentrauxgographiquementdistincts,arrivesdelignessurdescbles distincts) et le basculement automatique des appels arrives sur le central en tat de marche; -ladiversificationsouhaitabledesabonnementsdetlphoniemobileavecaumoins deux oprateurs distincts; -l'introductiondeclausesdequalitdeservice(frquencedespannes,dlaisde rtablissement,pnalitspournonrespectdesengagements)contraignantesdansles appels doffres. Ilpourraittregalementenvisagdesoumettrelesprojetsdepassationdemarchsles plus significatifs l'examen d'une commission de scurit des tlcommunications. 2.2.3/ Mieux se prmunir contre les risques engendrs par l'externalisation croissante des systmes d'information. La dynamique observe ce titre au sein des administrations devrait tre accompagne de plus de prcautions. Il est suggr : enpremierlieu,desensibiliserl'encontredecesrisquesl'ensembledesdirecteurs responsablesdeSIdeservicespublics.Unecirculairedevraitleurtreadresse prcisantles rglesquantlassurancequalitquilleurrevientdexigerlorsduneexternalisationde services informatiques; ensecondlieu,dedfinirdescritresdequalitaveclaprofessiondeshbergeurs informatiques.Unlabelpourraittredfini,lequelpermettraitdavoirdesassurancestelles quelaprsencedungroupelectrogne,duncentredebackupsurleterritoirenationalou l'tablissementdedoublesraccordementsdessallesdhbergementsauxrseauxde communications. 38 23/Inciterautantquefairesepeutlesoprateursintgrerplus d'impratifs de scurit. Les relations entre les pouvoirs publics et les oprateurs s'inscrivent dans un cadre qui n'a pas russi s'affranchir jusqu'ici de ses contradictions. Les textes53 refltent la fois la volont de libraliserledveloppementdestlcommunicationsetd'affirmercertainesobligationsde scurit. Mais en pratique, ces dernires, faute de prcisions suffisantes, de contrles tangibles etdesanctionsrellementappliquesencasd'inobservation54,seprsententbiendestitres plus comme des incantations que comme des contraintes vritables: depuis la loi du 9 juillet 2004 relative aux communications lectroniques55 (adopte en application des directives europennes issues du "paquet tlcom"), ltablissement etlexploitationdesrseauxouvertsaupublicetlafournitureaupublicdesservices de communications lectroniques sont libres sous rserve dune dclaration pralable auprs de lAutorit de rgulation des tlcommunications; le code des postes et communications lectroniques (CPCE) dfinit des obligations de rsultats mais qui ne sont pas quantifies en matire : - depermanence,dequalitetdedisponibilitdesrseauxetdesservices rendus56(assurer par exemple un accs ininterrompu aux services d'urgence), - et d'ordre public, de dfense nationale et de scurit publique57; la loi du 13 aot 2004 de modernisation de la scurit civile impose aux oprateurs derseauxdetlcommunicationsouvertsaupublic(doncrseauxfixescomme mobiles) de "prvoir les mesures ncessaires au maintien de la satisfaction des besoins prioritaires de la population lors de situation de crise". La naturede ces mesures reste toutefois maintenant dterminer.

Lancessitdemieuxprserverlesintrtsdel'Etatetdelacollectivitvis--visde dfaillancesmajeuresd'unouplusieursrseauxdetlcommunicationsmilitedoncpourune approche renouvele du problme. Celle-ci devrait tre plus dynamique de la part des pouvoirs publics et plus quilibre. Cette approche suppose rempli un pralable: la reconstitution au sein de l'administration d'un pleconsistantdedialoguetechniqueaveclesoprateurs(2.3.1).Ellepourraitemprunterun ventaildepistesdont les pertinencesrespectivesdevront toutefoistreapprofondiesdansla continuit de ce premier travail (2.3.2 2.3.5). 53Cf.lerecensementetl'analysedecestextesfaitsparleCGTI dansPropositionspour accrotreleniveaude scurit des rseaux des oprateurs de communications lectroniques rapport DP 13-2005 de juin 2005-. 54 En cas de non respect des obligations de l'art. D.98 (4 et 7), le CPCE prvoit (L-36-11) une mise en demeure parl'ARCEPquipeuttresuivie:d'unesuspensionpartielleoutotaledudroitd'tablirunrseauoud'une sanctionpcuniaire(