Par Marguerite Quichaud, Diplômée du Master 2 Droit Public mention Sécurité et Défense
Cet article est issu d’un mémoire de recherche réalisé sous la direction du général Marc Watin-Augouard.
En quelques années, la cybersécurité s’est imposée dans les stratégies des acteurs privés et publics. L’utilisation des nouvelles technologies et, plus particulièrement, des systèmes d’information et de communication a généré les besoins que nous connaissons aujourd’hui en matière de cybersécurité.
Lors du Forum International de la Cybersécurité qui s’est tenu le 24 janvier 2018, le Général Christian Rodriguez déclarait que « plus le numérique prend de place, plus la crise [cyber] menace d’être forte ». Selon une étude menée par « Usine Nouvelle », au moins 56 % des 340 entreprises industrielles interrogées ont de fait été « victimes d’attaques informatiques » en 2016. De nouveaux types de besoins sécuritaires doivent donc être satisfaits.
Au même titre que la sécurité, la cybersécurité est un état vers lequel on tend et qui regroupe : la cyberdéfense, la cybercriminalité et la sécurité des systèmes d’information.
Naissance de la stratégie française de cybersécurité
Dès 2005, les acteurs publics ont pris conscience du risque pesant sur l’espace cyber à travers le rapport de Thierry Breton sur la cybercriminalité.
Paru en 2006 sous le titre « La sécurité des systèmes d’information – Un enjeu majeur pour la France », le rapport Lasbordes estimait alors qu’en ce qui concernait la sécurité informatique de l’Etat, « la France accuse un retard préoccupant face aux impératifs de sécurité des systèmes d’information, tant au niveau de l’Etat qu’au niveau des entreprises, quelques grands groupes mis à part».
En 2008, le Livre blanc de la sécurité et de la défense nationale impulsait la création de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) rattachée aux services du Premier Ministre et relevant du Secrétariat Général de Défense et de Sécurité Nationale (SGDSN). Quelques jours plus tard, le rapport Romani de la Commission des Affaires étrangères, de la Défense et des Forces armées du Sénat, rédigé à la suite de l’attaque informatique de l’Estonie, était publié. Il mettait alors en exergue les insuffisances et les lacunes de la France en matière de sécurité informatique.
A partir de 2011, le ministère de la Défense va donc intégrer le risque cyber à son organigramme. Un officier général en charge de la cyberdéfense est nommé pour assurer la coordination des actions et gérer les crises cyber.
En 2013, le Livre blanc permet d’accélérer la prise en compte de la menace cyber et en 2014, le ministère de l’Intérieur nomme un préfet en charge de la lutte contre les cybermenaces.
Puis, en 2015, la stratégie nationale pour la sécurité du numérique est lancée, tandis qu’un décret est signé pour renforcer les obligations en matière de cybersécurité des Opérateurs d’Importance Vitale (OIV)[1]. Ces derniers doivent ainsi se doter de systèmes de sécurité particulièrement robustes, eu égard aux conséquences déplorables engendrées s’ils étaient la cible d’une attaque.
En 2016 la réserve opérationnelle de Cyberdéfense est constituée. Elle vient donc s’ajouter à la Réserve citoyenne de cyberdéfense (RCC) qui permet d’avoir un grand nombre de « cyber combattants » mobilisables en cas d’attaque.
Quant à 2018, on peut la décrire comme une année charnière en matière de cyberespace : la première revue stratégique dédiée exclusivement au cyber espace est sortie le 12 février dernier et détaille les moyens mis en œuvre par l’Etat pour faire de la France une cyberpuissance. Son existence démontre la place croissante que prend la cyberdéfense dans la stratégie de défense française.
Parallèlement, le Règlement général européen de Protection des Données (RGPD) est mis en vigueur le 25 mai 2018 dans tous les pays européens. Celui-ci contraint toutes les entreprises exerçant sur le territoire européen à respecter un certain nombre de dispositions protectrices des données personnelles des utilisateurs.
Une coopération public/privé inhérente à la nature de la (cyber) menace
Dans le monde réel, l’offre publique prédomine largement. Les problèmes de sécurité sont l’apanage des acteurs régaliens même si on parle depuis 2011 de « coproduction de sécurité » en intégrant les acteurs privés qui restent encore minoritaires. La Gendarmerie, la Douane, la Police, les forces armées, etc…Toutes ces institutions sont garantes de l’ordre public de manière relativement autonome.
Dans le cyberespace, la répartition des tâches est très différente. Face aux nouvelles menaces cyber, les entreprises privées ont dû investir dans la technique pour se protéger. Les acteurs privés disposent ainsi d’une meilleure connaissance des « sondes » et peuvent donc détecter les cyber attaques. Celles-ci touchent majoritairement des individus utilisant les services d’un acteur privé. La collaboration de l’Etat avec le secteur privé est donc centrale pour assurer la cybersécurité en France. Le privé détient ainsi des informations fondamentales auxquelles les autorités publiques n’ont pas accès.
Dès lors, on comprend bien que l’Etat est un acteur privilégié. Quels sont les services concernés ?
- L’ANSSI œuvre à promouvoir la culture de la cyber sécurité en sensibilisant et en accompagnant les entreprises.
- Le ministère de l’Intérieur à travers différents services (Gendarmerie, Police, DGSI, DMISC…) lutte contre les cyberattaques. Gérard Collomb avait annoncé au Forum International de la Cybersécurité le 23 janvier dernier la création de 10 000 postes de cyber policiers et gendarmes.
- Le ministère des Armées a, quant à lui, développé un « commandement cyber », appelé communément le COMCYBER, et dirigé par le Général Olivier Bonnet de Paillerets. La Direction du Renseignement Militaire (DRM) est par ailleurs responsable des réserves citoyennes et opérationnelles de la cyber défense qui comptent plus de 3000 cyber combattants. Florence Parly a annoncé que cenombre devrait passer à 4000 d’ici 2025.
- Enfin, en mai 2018, le Président Emmanuel Macron a annoncé la création d’un Secrétariat d’Etat au numérique dirigé par Mounir Majhoubi. Ce secrétariat a pour rôle de veiller à la transition numérique de l’Etat.
- D’autres acteurs publics – tels que le Ministère des Finances, le Ministère des Affaires étrangères, le Ministère de l’enseignement supérieur, de la recherche et du numérique ou encore la CNIL – participent également activement à la sécurité de notre espace numérique.
La cybersécurité ne peut pas échapper à l’Etat qui doit avoir une réglementation l’encadrant. Toutefois, les acteurs privés sont les premiers touchés par les problèmes dans le cyberespace. L’Etat ne peut donc pas agir seul pour acquérir « une souveraineté numérique, composante essentielle de notre souveraineté nationale », telle que décrite dans la Revue stratégique de la cyber défense de 2018.
Les entreprises peuvent se voir décerner des certifications et des labels par l’Etat pour garantir aux utilisateurs un certain niveau de sécurité. Principale créatrice de certifications, l’ANSSI a un rôle d’intermédiaire entre l’Etat et les acteurs privés. En plus des formations qu’elle propose, elle conseille et évalue la résilience des entreprises et administrations.
Les acteurs du secteur privé sont particulièrement mobilisés pour collaborer avec l’Etat et participer au décloisonnement de ce secteur. A titre d’exemple, l’Association HEXATRUST, regroupant 44 Entreprises de Tailles Intermédiaire (ETI) et Petites et Moyennes Entreprises (PME) françaises d’excellence, était le partenaire principal du FIC 2018 avec la Gendarmerie Nationale. Ce forum illustre la volonté des acteurs privés et publics de travailler en partenariat pour assurer, dans ce domaine, la meilleure cybersécurité possible et une excellence française ou, plus globalement, européenne.
Les entreprises françaises ont les moyens et le personnel pour innover et développer des solutions que l’Etat ne pourrait pas envisager seul. Lors du colloque sur la transition du numérique du vendredi 9 février 2018, le ministère des Armées avait réuni les différentes directions et services concernés (Direction Générale des Systèmes d’Information de Communication, Direction Générale de l’Armement, Secrétariat Général de l’Administration, l’Etat-major des Armées…) ainsi que des industriels. Le commissaire Nicolas Palmier, chef du bureau politique des systèmes d’information, a ainsi expliqué que le numérique est « un secteur qu’on partage » et qu’il faut utiliser les solutions développées dans le public et le privé pour maximiser les efforts. Paul Serre, secrétaire adjoint pour l’administration parlait, quant à lui, de « changement culturel » et expliquait aux industriels la chose suivante :
« Ce que l’on attend de nos partenaires est d’accompagner notre changement culturel. C’est un nouveau paradigme pour l’administration. Nous ne sommes plus uniquement dans de grands projets informatiques, nous sommes aussi dans une démarche de petits projets d’intrapreneurs tirés par les délais ».
Dans la quête de cyber résilience, les frontières entre secteurs publics et privés doivent être poreuses. En 2017, le ministère de l’Intérieur a publié la stratégie de lutte contre les cybermenaces dans laquelle la place des acteurs privés est prépondérante. Un passage illustre parfaitement la posture de l’Etat à l’égard de la cybersécurité. « Les données sont pour l’essentiel détenues par le secteur privé. Il est de la responsabilité de l’État d’en garantir la protection. » Cette tendance s’observe également à l’échelle européenne, avec le lancement par la commission européenne d’un Partenariat Public-Privé européen pour la cybersécurité (cPPP) en vue de la construction d’une souveraineté numérique européenne[2].
La Cybersécurité est une mission régalienne qui ne peut réussir sans une coopération public/privé : le développement d’un secteur privé de la Cybersécurité est conditionné par le concours, l’impulsion, la régulation de l’Etat pour garantir la sécurité de l’espace numérique. Les deux secteurs sont donc complémentaires. Mais, ainsi que le souligne Thierry Delville, Délégué ministériel aux industries de sécurité et de la lutte contre les cybermalveillances, « l’enjeu va être d’équilibrer les forces » …
Notes de bas de page
[1]Les OIV ou « Opérateurs d’Importance Vitale » sont des organismes privés ou publics qui exercent des activités ou dont les installations pourraient être endommagées et donc provoquer de graves impacts économiques, sécuritaire, sanitaires… Ces OIV sont soumis à une particulière vigilance et à des règles très strictes. L’ANSSI veille à la protection de ces OIV qu’elle considère comme « le cœur de la Nation » et suit les nouvelles règles établies par l’article 22 de la loi de programmation militaire.
[2] Le 5 juillet 2016 a été signé par le Commissaire européen Günther Oettinger le partenariat public privé pour la Cybersécurité (cPPP)
Références bibliographiques
ARPAGIAN Nicolas, La Cybersécurité, PUF, 2015
BELLANGER Pierre, La souveraineté du numérique, Ed. Stock, 2014
BERTHELET Pierre, la coopération public-privé à l’échelle de l’UE, l’émergence d’un « Etat régulateur » européen en matière de cybersécurité, Note du CREOGN, Numéro 29, décembre 2017
GHERNAOUTI Solange, AGHROUM Christian, « Cyber-résilience, risques et dépendances : pour une nouvelle approche de la cyber-sécurité », Sécurité et stratégie 2012/4 (11), p. 74-83.
DOI 10.3917/sestr.011.0074
GUEHAM Farid, « Vers la souveraineté numérique : pour une nouvelle gouvernance de l’internet », Fondation pour l’innovation politique, janvier 2017
HILARY Gilles, « WannaCry and the Diffusion of Zero Day Exploits », Note du CREOGN, numero 26, aout 2017
Openhost, 21 février 2017 par Emilie (https://www.openhost-network.com/blog/entreprises-proteger-attaques-informatiques/)
Le site de l’Agence Nationale de Sécurité des Systèmes d’Information, (https://www.ssi.gouv.fr )
Le site du Forum International de la Cybersécurité, (https://www.forum-fic.com/)
La stratégie de lutte contre les cybermenaces 2017 (https://www.interieur.gouv.fr/Archives/Archives-des-actualites/2017-Actualites/Lutter-contre-les-cybermenaces)
Photo 1 © https://erpinnews.com
Photo 2 © conférence animée par Alex Taylor le 24 janvier 2018 lors du Forum International de la cybersécurité, John Frank, responsable des affaires européennes chez Microsoft, Florian Ecudie sous directeur des affaires stratégiques et de la cybersécurité au Ministère des Affaires étrangères, Nicolas Arpagian directeur de la Stratégie et des Affaires publiques d’Orange Cyberdéfense, Marina Kaljurand, Présidente de la commission sur la stabilité du cyberespace, James Van de Velde, adjoint de l’Université Georgetown et John Hopkins