Cybersécurité

La France et la cybersécurité

La France et les questions de cybersécurité

De nouvelles pratiques destructrices se développent dans le cyberespace : utilisations criminelles d’internet (cybercriminalité), y compris à des fins terroristes, propagation de fausses informations à grande échelle, espionnage à visée politique ou économique, attaques contre les infrastructures critiques (transport, énergie, communication…) à des fins de sabotage, etc.

Emanant de groupes étatiques ou non-étatiques, les cyberattaques :

  • se jouent des frontières et des distances ;
  • sont difficilement attribuables : il est très difficile d’identifier formellement le véritable attaquant, qui agit souvent sous couvert de relais involontaires (botnets) ou d’intermédiaires (proxies) ;
  • peuvent être réalisées relativement facilement, à bas coût et à très faible risque pour l’attaquant. Elles visent à mettre en péril le bon fonctionnement des systèmes d’information et de communication (SIC) utilisés par les citoyens, les entreprises et les administrations, voire l’intégrité physique d’infrastructures essentielles à la sécurité nationale.

La cybersécurité recouvre l’ensemble des mesures de sécurité susceptibles d’être prises pour se défendre contre ces attaques. L’augmentation spectaculaire du niveau de sophistication et d’intensité des cyberattaques a conduit ces dernières années la plupart des pays développés à renforcer leur résilience et à adopter des stratégies nationales de cybersécurité.

Un dispositif national robuste, qui continue à monter en puissance

Le dispositif national de la France en matière de cybersécurité est fondé sur deux textes essentiels : le Livre blanc sur la sécurité et la défense nationale de 2013 d’une part, et la Stratégie nationale pour la sécurité du numérique de 2015 d’autre part.

Cette Stratégie, destinée à accompagner la transition numérique de la société française, répond aux nouveaux enjeux nés des évolutions des usages numériques et des menaces qui y sont liées avec cinq objectifs :

  • Garantir la souveraineté nationale ;
  • Apporter une réponse forte contre les actes de cybermalveillance ;
  • Informer le grand public ;
  • Faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises ;
  • Renforcer la voix de la France à l’international.

Avec la Stratégie nationale pour la sécurité du numérique, l’Etat s’engage au bénéfice de la sécurité des systèmes d’information pour aller, par une réponse collective, vers la confiance numérique propice à la stabilité de l’État, au développement économique et à la protection des citoyens.

Aux niveaux techniques et opérationnels, divers acteurs contribuent à l’efficacité de ce dispositif :

  • Créée en 2009, l’Agence nationale de sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de cybersécurité. Véritable « pompier » du cyberespace français, elle est chargée de la prévention (y compris en matière normative) et de la réaction aux incidents informatiques visant les institutions sensibles. Elle organise par ailleurs des exercices de gestion de crises au niveau national. L’ANSSI embauche aujourd’hui plus de 500 personnes et continue de croître.
  • Le ministère de la Défense a la double mission d’assurer la protection des réseaux qui sous-tendent son action et d’intégrer le combat numérique au cœur des opérations militaires. Afin de consolider l’action du ministère dans ce domaine, un commandement de cyberdéfense (COMCYBER), placé sous les ordres du Chef d’Etat-Major des Armées, a été créé début 2017.
  • Le ministère de l’Intérieur a pour mission de lutter contre toutes les formes de cybercriminalité, visant les institutions et les intérêts nationaux, les acteurs économiques et les collectivités publiques, et les particuliers. Il mobilise à cette fin les services centraux spécialisés et les réseaux territoriaux des directions générales de la police nationale, de la gendarmerie nationale et de la sécurité intérieure. Ceux-ci sont chargés des enquêtes visant à identifier les auteurs d’actes de cybermalveillance et à les déférer à la justice. Ces services contribuent en outre à la prévention et à la sensibilisation des publics concernés.

Garantir l’autonomie stratégique numérique de l’Union européenne

Au sein de l’Union européenne (UE), la France défend une vision ambitieuse et le concept « d’autonomie stratégique numérique de l’UE ». Cette vision s’appuie sur trois piliers :

  • Un pilier opérationnel et capacitaire : la directive NIS (Network and Information Security) de juillet 2016 est une avancée importante pour le renforcement de la cybersécurité de chaque Etat membre. La France soutient également la proposition de la Commission de renforcer l’ENISA, destinée à devenir une véritable Agence européenne pour la cybersécurité et renforcer la coopération opérationnelle entre les Etats membres.
  • Un pilier industriel : L’ambitieux partenariat public-privé contractuel sur la cybersécurité lancé par la Commission en juillet 2016 devra permettre de favoriser la R&D en matière de cybersécurité à l’échelle européenne. Au-delà, l’autonomie stratégique de l’UE passera aussi par sa capacité à se placer en pointe des prochaines révolutions technologiques dans le domaine du numérique : c’est le sens de l’appel du Président de la République à la création d’un « DARPA » à l’européenne, c’est-à-dire une agence de financement de l’innovation de rupture.
  • Un pilier normatif : au plan politique comme au plan technique, la France doit veiller à ce que l’UE se dote de normes en matière cyber qui soient compatibles avec un haut niveau d’exigence et de sécurité. C’est notamment le cas en matière de certification des produits de sécurité informatiques ou de localisation des données sensibles.

Assurer la stabilité stratégique et la sécurité internationale dans le cyberespace

Le renforcement de la stabilité stratégique et de la sécurité internationale dans le cyberespace est l’un des objectifs prioritaires de la France. Elle joue ainsi un rôle actif dans la promotion d’un cyberespace sûr, stable et ouvert. Le Ministère de l’Europe et des Affaires étrangères coordonne les travaux de la France en matière de « cyberdiplomatie ».

La France est particulièrement active au sein de l’ONU, où sont discutées des règles de comportement responsable dans le cyberespace. Elle a notamment participé aux cinq derniers groupes d’experts gouvernementaux (GGE) de l’ONU sur la cybersécurité dont les travaux ont permis d’ancrer le cyberespace dans le système international issu de la Charte des Nations Unies et d’orienter les Etats dans une dynamique de prévention, de coopération et de non-prolifération dans le cyberespace (reconnaissance, en 2013, de l’applicabilité du droit international, et notamment de la Charte des Nations Unies, au cyberespace, consolidation, en 2015, d’un socle d’engagements volontaires de bonne conduite (« normes de comportement ») pour les Etats dans le cyberespace.

La France est également engagée dans d’autres enceintes internationales où sont abordées les questions de cybersécurité, notamment :

  • Au sein de l’Alliance Atlantique, la France a été à l’initiative dans l’adoption par les 28 Nations d’un Engagement pour la cyberdéfense (« Cyberdefence Pledge ») lors du Sommet de Varsovie en juin 2016. La reconnaissance, lors de ce sommet, du cyberespace comme un domaine d’opérations, engage désormais l’OTAN à s’y défendre comme elle le fait dans les domaines terrestre, aérien et maritime.
  • Au G7, où le groupe Ise-Shima créé en 2016 et dédié aux questions cyber a permis d’aboutir, au printemps 2017, à l’adoption par les Ministres des affaires étrangères du G7 d’une déclaration ambitieuse concernant les normes de comportement responsable des Etats dans le cyberespace ;
  • A l’OSCE, qui s’est imposée comme une enceinte régionale de référence pour la définition et la mise en œuvre des mesures de confiance appliquées au cyberespace avec l’adoption de deux trains de mesures de confiance en 2013 et 2016.

Enfin, la France entend aujourd’hui mener une réflexion, avec ses partenaires étatiques mais aussi du secteur privé et de la société civile, sur le rôle et les responsabilités spécifique des acteurs privés dans le renforcement de la stabilité et de la sécurité internationale du cyberespace. Le Ministre de l’Europe et des Affaires étrangères a ainsi présidé un évènement consacré à ce sujet le 18 septembre dernier, en marge de la 72ème session de l’AGNU.

Pour en savoir plus :

  • Le Pacte Défense Cyber sur le site du ministère de la Défense (2014)

Mise à jour : 04.10.17

PLAN DU SITE