La France et la cybersécurité

Partager

De nouvelles pratiques destructrices se développent dans le cyberespace : utilisations criminelles d’internet (cybercriminalité), y compris à des fins terroristes, propagation de fausses informations ou manipulations à grande échelle, espionnage à visée politique ou économique, attaques contre les infrastructures critiques (transport, énergie, communication…) à des fins de sabotage, etc.

Émanant de groupes étatiques ou non-étatiques, les cyberattaques :

  • se jouent des frontières et des distances ;
  • sont difficilement attribuables : il est très difficile d’identifier formellement le véritable attaquant, qui agit souvent sous couvert de relais involontaires (botnets) ou d’intermédiaires (proxies) ;
  • peuvent être réalisées relativement facilement, à bas coût et à très faible risque pour l’attaquant. Elles visent à mettre en péril le bon fonctionnement des systèmes d’information et de communication (SIC) utilisés par les citoyens, les entreprises et les administrations, voire l’intégrité physique d’infrastructures essentielles à la sécurité nationale.

La cybersécurité recouvre l’ensemble des mesures de sécurité susceptibles d’être prises pour se défendre contre ces attaques. L’augmentation constante du niveau de sophistication et d’intensité des cyberattaques a conduit ces dernières années la plupart des pays développés à renforcer leur résilience et à adopter des stratégies nationales de cybersécurité.

Un dispositif national robuste qui monte en puissance

Dès 2015, la France s’est dotée d’une Stratégie nationale pour la sécurité du numérique. Destinée à accompagner la transition numérique de la société française, elle répond aux nouveaux enjeux nés des évolutions des usages numériques et des menaces qui y sont liées. Elle met en avant cinq lignes d’action :

  • Garantir la souveraineté nationale ;
  • Apporter une réponse forte contre les actes de cybermalveillance ;
  • Informer le grand public ;
  • Faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises ;
  • Renforcer la voix de la France à l’international.

Cette stratégie a par la suite été étoffée par :

  • La Stratégie internationale de la France pour le numérique
    Présentée par le ministre de l’Europe et des Affaires étrangères en décembre 2017, ce texte synthétise l’ensemble des orientations stratégiques que la France promeut dans le monde numérique autour de trois piliers : gouvernance, économie, sécurité.
  • La Revue stratégique de cyberdéfense
    Confiée par le premier ministre au secrétaire général de la défense et de la sécurité nationale et présentée en février 2018, elle définit une doctrine de gestion des crises cyber. Cette revue clarifie les objectifs d’une stratégie nationale de cyberdéfense et confirme la pertinence du modèle français et la responsabilité première de l’État en la matière.

Aux niveaux techniques et opérationnels, divers acteurs contribuent à l’efficacité du dispositif français :

  • Créée en 2009, l’Agence nationale de sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de cybersécurité. Véritable « pompier » du cyberespace français, elle est chargée de la prévention (y compris en matière normative) et de la réaction aux incidents informatiques visant les institutions sensibles. Elle organise par ailleurs des exercices de gestion de crises au niveau national. L’ANSSI embauche aujourd’hui 600 personnes et continue de croître.
  • Le ministère des Armées a la double mission d’assurer la protection des réseaux qui sous-tendent son action et d’intégrer le combat numérique au cœur des opérations militaires. Afin de consolider l’action du ministère dans ce domaine, un commandement de cyberdéfense (COMCYBER), placé sous les ordres du chef d’État-major des Armées, a été créé début 2017.
  • Le ministère de l’Intérieur a pour mission de lutter contre toutes les formes de cybercriminalité, visant aussi bien les institutions et les intérêts nationaux, les acteurs économiques et les collectivités publiques, que les particuliers. Il mobilise à cette fin les services centraux spécialisés et les réseaux territoriaux de la police nationale, de la gendarmerie nationale et de la sécurité intérieure. Ceux-ci sont chargés des enquêtes visant à identifier les auteurs d’actes de cybermalveillance et à les déférer à la justice. Ces services contribuent en outre à la prévention et à la sensibilisation des publics concernés.

Stabilité et sécurité internationale dans le cyberespace

Le renforcement de la stabilité stratégique et de la sécurité internationale dans le cyberespace est l’un des objectifs prioritaires de la France. Le ministère de l’Europe et des Affaires étrangères coordonne les travaux de la France en matière de « cyberdiplomatie ».
Cette action se décline dans un cadre européen et international.

Garantir l’autonomie stratégique numérique européenne

Au sein de l’Union européenne (UE), la France défend une vision ambitieuse et le concept « d’autonomie stratégique numérique de l’UE », gage de notre capacité collective d’initiative et d’action. Cet objectif se décline en trois axes :

  • Axe technologique
    La politique industrielle de l’Union européenne soutient les capacités de recherche et développement de pointe afin de favoriser le déploiement de technologies et de services numériques de sécurité, dont la fiabilité doit pouvoir être évaluée. L’intégration de la sécurité dans l’ensemble des composantes numériques permettra également de donner un avantage concurrentiel aux offres européennes.
  • Axe réglementaire
    La politique extérieure de l’Union européenne doit définir des réglementations prenant en compte les exigences de compétitivité et les potentialités du numérique tout en restant protectrices des citoyens, des entreprises, des États membres, conformément à nos valeurs communes (droit à la vie privée et protection des données à caractère personnel, protection des infrastructures critiques).
  • Axe capacitaire
    L’Union européenne a un rôle essentiel dans la promotion et le soutien au développement des capacités de cyberdéfense des entités publiques et privées au sein des États membres ainsi que des institutions européennes elles-mêmes, en s’appuyant sur des savoir-faire européens. Elle peut également apporter son soutien dans les domaines de la formation et de l’entraînement, ce qui crée des synergies et évite les redondances de capacités..

Au-delà de ces différentes dimensions, il apparaît nécessaire de renforcer la coopération opérationnelle entre les États membres de l’Union européenne. L’objectif est de disposer, à l’échelle européenne, d’outils de partage d’information technique sur les menaces, permettant d’anticiper et de répondre rapidement à une attaque informatique. La mise en place en 2017 d’un cadre pour une réponse diplomatique conjointe de l’UE face aux actes de cybermalveillance (« Boîte à outils cyberdiplomatique ») s’inscrit pleinement dans cette démarche de coopération.

Mobiliser la communauté internationale avec l’Appel de Paris

L’Appel de Paris pour la confiance et la sécurité dans le cyberespace témoigne du rôle actif joué par la France dans la promotion d’un cyberespace sûr, stable et ouvert. Déclaration politique de haut niveau, ce texte marque une mobilisation renouvelée sur l’enjeu fondamental de la stabilité dans le cyberespace. Présenté le 12 novembre 2018 par le président de la République au Forum de Paris sur le Paix et au Forum sur la gouvernance de l’internet (IGF) à l’UNESCO, il témoigne de la capacité de la France à mobiliser largement autour de sa vision de la régulation dans le cyberespace.

Soutenu par plus de 1200 entités (États, entreprises et associations professionnelles, organisations de la société civile, collectivités territoriales),ce texte rappelle l’application du droit international et des droits de l’Homme dans le cyberespace et liste un certain nombre de principes fondamentaux - comportement responsable des États, monopole étatique de la violence légitime, reconnaissance des responsabilités spécifiques des acteurs privés – pour faire du cyberspace un espace sûr et de confiance.

Le caractère inclusif de l’Appel de Paris reflète la conviction qu’une approche multi-acteurs est nécessaire pour élaborer les normes et bonnes pratiques qui nous permettront de tirer parti des possibilités offertes par la révolution numérique de façon ouverte et sûre. La France entend aujourd’hui mener une réflexion, avec ses partenaires étatiques mais aussi du secteur privé et de la société civile, sur le rôle et les responsabilités spécifique des acteurs privés dans le renforcement de la stabilité et de la sécurité internationale du cyberespace.

Promouvoir la stabilité du cyberespace dans les enceintes internationales

Au sein de l’ONU, depuis 2004, six groupes d’experts gouvernementaux (GGE) et un groupe de travail à composition non limitée, auxquels la France a participé activement, ont porté sur les enjeux de cybersécurité internationale et permis de faire progresser les discussions sur l’application du droit international au cyberespace et les normes de comportement à adopter par les Etats pour favoriser la stabilité du cyberespace. Un nouveau groupe de travail à composition non limitée a été créé pour la période 2021-2025, auquel la France participe activement pour y défendre sa vision de la régulation internationale du cyberespace, en particulier les principes portés par l’Appel de Paris.
En outre, face à l’essor des menaces et des risques d’instabilité dans le cyberespace, la France, avec 54 autres Etats et l’Union européenne, promeuvent la mise en place d’un Programme d’action sur la cybersécurité, dont l’objet serait, en complément de la poursuite des discussions sur les normes applicables au cyberespace, de contribuer concrètement à l’élévation du niveau global de cybersécurité, en soutenant les efforts de renforcement des capacités des Etats, et en développant le dialogue et la coopération avec les autres parties prenantes, comme les entreprises ou la société civile, qui ont un rôle à jouer dans la sécurité du cyberespace.

Lire la réponse de la France à la résolution 73/27 relative aux « Progrès de l’informatique et des télécommunications et sécurité internationale » et à la résolution 73/266 relative à « Favoriser le comportement responsable des États dans le cyberespace dans le contexte de la sécurité internationale ».

Pour en savoir plus sur la reprise des négociations à l’ONU sur les enjeux cyber : consultez le site de l’UNODA.

La France est engagée dans d’autres enceintes internationales où sont abordées les questions de cybersécurité, notamment :

  • Au sein de l’Alliance Atlantique, la France a été à l’initiative dans l’adoption par les 28 Nations d’un Engagement pour la cyberdéfense (« Cyberdefence Pledge ») lors du Sommet de Varsovie en juin 2016. Celui-ci a reconnu le cyberespace comme un domaine d’opérations, engageant ainsi l’OTAN à s’y défendre comme elle le fait dans les domaines terrestre, aérien et maritime. En mai 2018, la France a accueilli la toute première conférence dédiée au Cyberdefence Pledge.
  • Le 6 avril 2019, les ministres des Affaires étrangères du G7 se sont réunis à Dinard pour lancer une Initiative portant sur les normes applicables au cyberespace et consacrée au partage des bonnes pratiques tirées de leur expérience en matière de mise en œuvre des normes volontaires et non contraignantes de comportement responsable des États. Les normes exposées dans ce document émanent principalement des travaux du groupe d’experts gouvernementaux des Nations Unies (GGE) et constituent un sous-ensemble du cadre international pour la stabilité dans le cyberespace. Les pays du G7 sont déterminés à poursuivre ces travaux et à coordonner leurs positions sur un large nombre de recommandations importantes en matière de cybersécurité.
  • À l’OSCE, qui s’est imposée comme une enceinte régionale de référence pour la définition et la mise en œuvre des mesures de confiance appliquées au cyberespace, la France continue de promouvoir un agenda ambitieux d’opérationnalisation de ces mesures afin de renforcer la transparence, la coopération et la confiance entre les pays membres de l’organisation.

Mise à jour : janvier 2022