#Cybersécurité une question de souveraineté française pour un écosystème trop fragmenté

Il est grand temps de donner de la cohérence et du poids à notre stratégie en matière de cybersécurité en s’appuyant sur les pôles de compétences connus de l’axe solide Paris Saclay – Saint Quentin en Yvelines – La Défense !

Avec la cybersécurité, ce qui tenait hier du domaine de la science-fiction ou de scénarios catastrophes apparaît aujourd’hui comme une menace sérieuse et tangible. Ce nouveau paradigme nous oblige à intégrer cette nouvelle éventualité dans l’organisation générale de la protection et de la résilience de la société.

De quoi parle-t-on ?

La cybersécurité permet de s’assurer qu’un « système d’information résiste à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ». L’ANSSI précise que la cybersécurité « fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense ».

Le triptyque Paris saclay/SQY/La Défense : un atout majeur pour construire la souveraineté Française en matière de cybersécurité

Le territoire Paris-Saclay pour la recherche publique et Saint-Quentin-en-Yvelines plus encore pour la R&D privée regroupent bon nombre des Opérateurs d’importance vitale (OIV) et de grands groupes spécialisés dans le domaine de la cybersécurité et de la cyberdéfense : le CEA et INRIA d’un côté, Thales, Airbus Cybersecurity, Atos, AKKA, Expleo, Capgemini, etc. de l’autre.

La cyberdéfense étant aujourd’hui un secteur holistique et transversal, d’autres structures présentent sur la circonscription, pourtant historiquement plus orientées vers la filières aéronautique, automobile ou le monde bancaire s’intéressent de plus en plus à cette problématique. Gravite également autour de ces acteurs majeurs, tout un écosystème de start-up, TPE et PME spécialisées. Ce territoire de compétences à haute valeur ajoutée s’étend très largement vers La Défense.

Les enjeux de la cybersécurité obligent donc aujourd’hui les différents acteurs à jouer collectif et à construire un écosystème afin d’assurer des relais efficaces. Développer les synergies opérationnelles et structurer la montée en puissance de l’écosystème de cybersécurité font partie des priorités de l’ANSSI.

Dans ce cadre, sous l’impulsion du Président de la République, le Premier ministre a confié à Michel Van Den Berghe, Président Directeur général d’Orange Cyberdefense, la mission d’étudier la faisabilité d’un « campus cyber ». L’ANSSI intervient donc à ses côtés dans ce projet visant à fédérer l’écosystème français et soutenir la montée en puissance des acteurs du numérique et de l’innovation. Ce campus devra répondre à plusieurs défis importants, notamment :

  • renforcer la coopération en matière opérationnelle entre les acteurs pertinents
  • contribuer au développement des communs en cybersécurité, au travers du partage de données, d’expertise, de connaissances, d’outils
  • soutenir la recherche et l’innovation
  • développer la formation en cybersécurité et susciter des vocations

Un enjeu de défense non négligeable

Comme le soulignait la Revue stratégique de cyberdéfense publiée en février 2018 par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) : « Il est probable qu’une attaque informatique de cette nature [actes de blocage ou de sabotage des systèmes informatiques] aura, un jour, des conséquences létales. ».

Les attaques cyber visent donc les données en général. Ces dernières sont de nature plus ou moins sensibles selon leur type (des données biométriques par exemple sont des données sensibles car elles permettent d’obtenir une caractéristique physique ou biologique non modifiable permettant d’identifier une personne comme le visage, les empreintes digitales ou l’ADN. Ce nouveau paradigme de la donnée dans lequel nous vivons nous impose de ne pas négliger la cybersécurité.

En tant que membre de la Défense nationale et des forces armées, je suis particulièrement sensibilisé au sujet « cyber » : les différentes lois de programmation militaire (LPM) depuis 2009 la prenne en compte et celle sur laquelle j’ai travaillé avec mes collègues n’y fait pas exception (loi de programmation militaire 2019-2025).

Toutefois le domaine de la Cyberdéfense dépasse largement le cadre purement militaire et celui de la souveraineté numérique de chaque Etat-nation. Plusieurs éléments rendent l’analyse de cette problématique complexe :

  • Le cyber irrigue tous les domaines et brouille les frontières habituelles entre les différents acteurs et secteurs.
  • En ce sens les enjeux sont aussi bien économiques que stratégiques et politiques. Elle concerne d’ailleurs aussi bien l’informatique de gestion, l’informatique industrielle, l’informatique embarquée que les objets connectés.
  • Comme nous le voyons, le cyberespace est composé principalement d’acteurs non militaires. La distinction entre cibles militaires et cibles civiles diffère du cadre habituel au regard du droit des conflits armés.
  • Le cyberespace est un champ d’affrontement à la fois nouveau, venant s’ajouter à ceux déjà connus (terre, mer, air et espace) mais est aussi intrinsèque à ces mêmes champs.

Face à ce l’augmentation de ces menaces, l’Etat se retrouve responsable de la cyberdéfense et de la cybersécurité. Se pose alors deux problèmes majeurs : comment protéger nos infrastructures vitales et comme favoriser la coopération des acteurs privés et publics ?

Le sujet de nombreuses stratégies nationales

Si la perspective d’un conflit purement cyber n’est sans doute pas envisageable à court terme, cette dimension apparaît toutefois désormais systématique dans chacun des conflits, rendant le cyberespace ni une zone de guerre ni une zone de paix, mais plus prosaïquement un espace sous tension permanente. La cybersécurité doit donc être appréhendée de manière holistique pour prendre en compte les aspects économiques, sociaux, éducatifs, juridiques, techniques, diplomatiques, militaires et de renseignement. Excellence technique, adaptabilité et coopération sont essentielles dans ce domaine.

Dès 2015, la France s’est dotée d’une Stratégie nationale pour la sécurité du numérique. Destinée à accompagner la transition numérique de la société française, elle répond aux nouveaux enjeux nés des évolutions des usages numériques et des menaces qui y sont liées.

Cette stratégie a par la suite été étoffée par :

  • La Stratégie internationale de la France pour le numérique: présentée par le ministre de l’Europe et des Affaires étrangères en décembre 2017, ce texte synthétise l’ensemble des orientations stratégiques que la France promeut dans le monde numérique autour de trois piliers : gouvernance, économie, sécurité.
  • La Revue stratégique de cyberdéfense: confiée par le premier ministre au secrétaire général de la défense et de la sécurité nationale et présentée en février 2018, elle définit une doctrine de gestion des crises cyber. Cette revue clarifie les objectifs d’une stratégie nationale de cyberdéfense et confirme la pertinence du modèle français et la responsabilité première de l’État en la matière.

Sur le plan opérationnel, le modèle français repose sur quatre acteurs principaux:

  • L’Agence nationale de la sécurité des systèmes d’information (ANSSI), responsable de la cyber-protection et de la lutte informatique défensive de l’Etat, des Opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels. Créée en 2009, l’agence nationale est chargée de la prévention (y compris normative) et de la réaction aux incidents informatiques.
  • Le Commandement Cyber (COMCYBER), créé début 2017 et placé sous les ordres du Chef d’Etat-major des Armées, est chargé de la Lutte informatique défensive (LID) par délégation au sein du ministère des Armées. Le COMCYBER peut également mener les actions de lutte informatique offensive (LIO) dans uniquement dans le champ et le cadre d’opération militaires.
  • Les services spécialisés de la DGSE et de la DGSI mènent des opérations de renseignement, de prévention, voire participent à l’attribution des cyberattaques.

Contrairement au fonctionnement du Government Communications Headquarters (GCHQ) en Angleterre et de la National Security Agency (NSA) aux Etats-Unis, le fonctionnement dual distinguant l’aspect défensif de l’offensif est une spécificité française qui semble davantage garantir les libertés individuelles et la protection de la vie privée. Cela rend également les interventions du pouvoir public plus acceptables par la société et les OIV.

Au niveau européen, la coopération entre les autorités nationales de l’Union européenne apparaît plus que jamais déterminante. Jusqu’à récemment, tous les Etats membres ne disposaient pas d’autorités compétentes dans ce domaine.

La législation européenne récente (la directive SRI et l’Acte de cybersécurité) s’est donc employé à remédier à cela, en cherchant à concilier le respect de la souveraineté des États membres et une collaboration européenne efficace sous la houlette d’une agence dédiée, l’ENISA. Son rôle principal est d’assurer une coordination et une mobilisation des compétences nationales, et non pas devenir un organe supranational remplaçant les acteurs nationaux.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.