À défaut d’être une puissance numérique de premier plan, la France a développé depuis une décennie de réelles capacités en matière de cybersécurité, avec pour objectif d’en faire un levier stratégique au service de sa souveraineté numérique. Mais a-t-elle les moyens de ses ambitions ? Son modèle est-il pertinent pour faire face aux défis de la transformation numérique et à des cyber-risques systémiques ? Son écosystème industriel est-il en mesure de rivaliser avec ceux des pionniers que sont Israël et les États-Unis ?
Par Guillaume Tissier, associé Avisa Partners, co-organisateur du Forum International de la Cybersécurité (FIC)
Une priorité stratégique
Les rapports parlementaires du député Pierre Lasbordes en 2006[1] et du Sénateur Roger Romani en 2007[2], quelques mois après les attaques informatiques ayant visé l’Estonie, ont marqué le début d’une prise de conscience quant à l’émergence des cyber-risques et au retard français dans leur prise en compte. En 2012, c’est au tour du sénateur Jean-Marie Bockel d’enfoncer le clou et d’ériger la cyberdéfense en priorité nationale[3].
En parallèle des travaux parlementaires, cette priorité est réaffirmée par toutes les revues stratégiques. Le Livre blanc sur la défense et la sécurité nationale de 2008 débouche ainsi sur la création de l’Agence Nationale de la Sécurité des Systèmes d’information (ANSSI) et voit le cyberespace comme “un nouveau champ d’action dans lequel se déroulent déjà des opérations militaires”. Quelques années après, celui de 2013 met l’accent sur la protection des infrastructures critiques et le développement de capacités offensives. La Revue stratégique de défense et de sécurité nationale de 2017[4], puis celle de cyberdéfense de 2018[5], ne feront que rappeler ces objectifs, mais c’est véritablement cette dernière qui fixera les grandes lignes du modèle français (en particulier le principe de séparation du défensif et de l’offensif) et définira le concept de souveraineté numérique, “composante essentielle de la souveraineté nationale”.
Ces travaux ont à leur tour débouché sur la publication de plusieurs stratégies nationales. Au niveau interministériel, l’ANSSI publie en 2011 la première stratégie nationale en matière de cybersécurité[6], suivie en 2015 d’un deuxième document intitulé “Stratégie nationale pour la sécurité numérique”[7], qui consacre le rôle de la cybersécurité comme catalyseur de la croissance économique. En 2017, c’est au tour du ministère de l’Intérieur de diffuser sa “Stratégie ministérielle de lutte contre les cybermenaces”[8], tandis que le ministère de l’Europe et des Affaires étrangères émet une “Stratégie internationale de la France pour le numérique”[9] avec pour ambition de faire de la France un acteur de premier plan dans la sécurité et la stabilité internationales du cyberespace. En 2019, c’est enfin le ministère des armées qui définit une “stratégie cyber des armées”[10], suivie par la publication de plusieurs documents publics relatifs aux doctrines de lutte informatique défensive (LID)[11] et offensive (LIO)[12].
Un cadre législatif et réglementaire très complet
En parallèle de ces travaux stratégiques, la France s’est dotée d’un cadre législatif et réglementaire très complet.
En matière de lutte anti-cybercriminalité, les principaux textes sont la Loi informatique et libertés de 1978[13], la Loi Godfrain (1978)[14], qui punit pour la première fois l’accès ou le maintien frauduleux dans un “système de traitement automatisé de données” (STAD), la Loi pour la confiance dans l’économie numérique (2004), la Loi pour une République Numérique (2016) et enfin la Loi de programmation et de réforme de la justice (2019). La mise en place du Règlement général sur la protection des données (RGPD) est venue parachever en 2018 ce cadre juridique en imposant aux entreprises et organisations publiques de revoir l’ensemble de leur processus de sécurité pour protéger les données personnelles qu’elles détenaient, qu’ils s’agissent de données de clients ou de salariés.
À la suite du Livre blanc sur la défense et la sécurité nationale de 2013, le législateur opte également pour une approche contraignante à l’égard des opérateurs d’infrastructures d’importance vitale. La Loi de programmation militaire (LPM) de 2013[15], suivie par ses décrets d’application de 2015, impose ainsi aux opérateurs d’importance vitale (OIV) (environ 250 acteurs répartis dans 12 secteurs[16]) de prendre des dispositions spécifiques et renforce les prérogatives de l’ANSSI. Principales mesures : l’audit des systèmes d’information d’importance vitale (SIIV) par des organismes qualifiés par l’ANSSI (Prestataires d’audit de la sécurité des systèmes d’information ou PASSI), la mise en place de systèmes de détection qualifiés et la notification des incidents de sécurité. Ces procédures ont permis à la France d’anticiper la directive européenne Network Infrastructure Security (NIS) de 2016, transposée en droit français en 2018, qui élargit le périmètre des OIV en y ajoutant les opérateurs de services essentiels (OSE).
A lire également : Prédation des données de santé et cybersécurité
Un dispositif public opérationnel
La mise en œuvre de ces stratégies et de ce corpus législatif et réglementaire s’appuie sur un dispositif régalien constitué de plusieurs piliers.
Le pilier “sécurité des systèmes d’information”
Véritable “pompier” de l’espace numérique français, l’ANSSI est chargée à la fois de la prévention et de la réaction aux incidents visant les infrastructures de l’Etat et des opérateurs d’infrastructures d’importance vitale. L’Agence, qui est “l’autorité nationale de sécurité des systèmes d’information[17]”, est rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN) et compte aujourd’hui environ 800 collaborateurs. Parmi ses missions figure également le soutien au développement de produits et services de cybersécurité fiables. Elle a ainsi lancé en 2018 des Visas de sécurité[18] qui englobent à la fois des certifications et des qualifications.
Le pilier “défense cyber”
Le pilier “défense cyber”[19] s’est constitué au fur et mesure des Lois de Programmation militaires (LPM) qui ont permis au ministère des armées d’opérer une véritable montée en puissance. Travaillant en étroite liaison avec l’ANSSI sur le volet défensif, le ministère des armées est responsable à la fois de la protection et de la défense de son périmètre, mais aussi des opérations menées dans l’espace numérique, désormais reconnu comme un domaine opérationnel. En matière de doctrine, c’est le Concept interarmées de cyberdéfense publié en juillet 2011 qui définit le cadre, les principes et les capacités requises pour les opérations militaires dans le cyberespace. Parce que la menace cyber ne se limite pas à des attaques susceptibles de perturber ou de détruire ses réseaux et systèmes, mais comporte également une dimension informationnelle de plus en plus présente, une troisième doctrine, dite de “lutte informatique informationnelle”, est également en cours de préparation[20].
Au plan organisationnel, le ministère des Armées a créé en 2011 un poste d’Officier général à la cyberdéfense, rattaché au sous-chef opérations, qui se voit confier par la LPM de 2013 la tête de la chaîne opérationnelle de cyberdéfense. Un Commandement de la cyberdéfense (COMCYBER), placé directement sous les ordres du Chef d’état-major des Armées, est créé en 2017. Il rassemble aujourd’hui l’ensemble des forces de cyberdéfense sous une même autorité opérationnelle, permanente et interarmées. Parmi les unités opérationnelles qui lui sont rattachées : le Centre d’analyse en lutte informatique défensive (CALID) qui pilote la détection, le traitement et la réponse aux attaques, le Centre d’audit de la sécurité des systèmes d’information (CASSI) et le CRPOC qui gère les réserves opérationnelle et citoyenne. Au plan technique, le COMCYBER travaille enfin en étroite liaison avec la Direction Générale de l’Armement-Maîtrise de l’information (DGA-MI). Le ministère des Armées a par ailleurs noué des partenariats forts avec le monde académique grâce à la labellisation de plusieurs centres de recherche, dont Géode[21], spécialiste de la géopolitique de la “datasphère”, et au marché-cadre relatif aux études stratégiques sur le cyberespace (voir par exemple le portail de l’Observatoire du monde cybernétique[22]), dont est titulaire la société CEIS avec de nombreux partenaires académiques.
Le pilier “lutte anti-cybercriminalité”
Le ministère de l’Intérieur a pour mission de lutter contre toutes les formes de cybercriminalité et a institué par un décret de janvier 2017 un délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces. Il complète l’action de la Sous-direction de la lutte contre la cybercriminalité (SDLC) créée en 2014, celles des offices centraux spécialisés et des réseaux territoriaux de la Police et de la Gendarmerie. Au plan international, le Ministère s’appuie également sur les mécanismes de coopération institués par la Convention sur la cybercriminalité, adoptée par le Conseil de l’Europe en 2001, principal instrument contraignant existant aujourd’hui au niveau international[23].
A lire également : Les laboratoires pharmaceutiques n’échappent pas aux cyberattaques
Le pilier “Diplomatie numérique”
Le ministère de l’Europe et des Affaires étrangères a créé en 2017 un poste d’ambassadeur pour le numérique chargé notamment des négociations internationales relatives à la sécurité et à la stabilité de l’espace numérique, qu’il s’agisse des discussions menées à l’ONU par le Groupe d’experts gouvernementaux (GGE) et le groupe de travail à composition non limitée (OEWG), des suites de l’Appel de Paris pour la confiance et la sécurité dans le cyberespace[24], lancé en 2018 par le Président Macron pour promouvoir un cyberespace sûr, stable et ouvert, et du développement d’une capacité européenne de réaction. Face aux cyberattaques, l’Union européenne a en effet mis en place en 2017 un cadre pour une réponse diplomatique conjointe (dite “Cyber Tool Box”)[25].
Le pilier “Politique industrielle”
Le ministère de l’Économie, de l’Industrie et du numérique a lancé plusieurs initiatives en faveur de la filière cybersécurité. En 2013, le programme “Nouvelle France industrielle” comporte ainsi un 33e projet destiné à soutenir la filière française de cybersécurité qui débouche notamment sur la création du Label France Cybersecurity destiné à soutenir les exportations des entreprises françaises. En 2018, un contrat stratégique de filière (CSF) des industries de sécurité, réunissant tous les acteurs, États, entreprises et associations professionnelles, est labellisé par le Conseil national de l’industrie (CNI). Signé en 2020, ce document[26] identifie 5 projets structurants qui font l’objet d’engagements réciproques entre l’Etat et les entreprises : l’identité numérique, la cybersécurité et la sécurité de l’internet des objets, la sécurité des grands événements et des JO 2024, les territoires de confiance et le numérique de confiance.
Lancé par le Président de la République, un projet de campus cyber[27] est également lancé fin 2019. Destiné à devenir un “lieu totem”, le campus, qui devrait être inauguré fin 2021, accueillera sur un même site des entreprises, des services de l’Etat (notamment une partie de l’ANSSI), des organismes de formation, des acteurs du monde de la recherche et des associations professionnelles.
Soucieux de développer un écosystème industriel susceptible de répondre à ses besoins, le ministère des Armées a de son côté lancé en 2014 un “Pacte de cyberdéfense” qui s’est notamment traduit par la création, à Rennes, d’un Pôle d’Excellence Cyber[28], avec le soutien du Conseil régional de Bretagne. Une Cyber défense factory[29] a enfin vu le jour en octobre 2019 pour permettre à des start-ups de développer des solutions rapidement opérationnelles pour le Ministère. Ces initiatives permettent aujourd’hui à la Région Bretagne de revendiquer environ 4 600 emplois directs dans le domaine[30].
Un écosystème industriel riche, mais encore peu structuré
Selon l’observatoire piloté par l’Alliance pour la Confiance numérique (ACN), la filière “cybersécurité” française (à l’exclusion, donc, d’autres segments de la confiance numérique comme l’identité) représente en 2020 8,3 milliards de CA pour 37 000 emplois[31]. Dynamique et innovant, ce secteur souffre cependant de différents handicaps (atomisation du marché, faiblesse de l’investissement, cloisonnement du marché européen…). Des faiblesses que le Plan cyber[32], lancé en février 2021, devra s’efforcer de compenser s’il souhaite atteindre les objectifs ambitieux qu’il s’est fixé pour 2025 (multiplier par 3,5 le CA de la filière à 25 milliards €, doubler le nombre d’emplois pour atteindre 75 000, disposer de 3 “licornes” françaises).
Analyse swot (synthèse)
| Forces
– De très nombreuses start-up (Gatewatcher, Egerie, Tethris…), dont certaines attisent d’ailleurs les convoitises de fonds ou d’entreprises étrangères. En témoignent les rachats récents d’Alsid par Tenable ou de Sqreen par Datadog[33] – Des leaders mondiaux en matière d’intégration et de services numériques (Atos, Orange, Sopra-Steria…) – Des intégrateurs défense & sécurité (Thales, Airbus…) de premier ordre – Fortes capacités en matière de R&D privée et publique (CEA, INRIA…) – Un dispositif de soutien à l’innovation efficace – Des associations professionnelles (CESIN, CLUSIF, ACN, Hexatrust…) et des événements (FIC, Assises de la sécurité) dynamiques |
Faiblesses
– Secteur très fragmenté avec des solutions multiples – Achat public et privé auprès des start-up insuffisant (moins de la moitié des start-up a déjà contractualisé avec une entreprise du CAC 40)[34] – Insuffisance de l’investissement pour les grosses levées de fonds. – Peu d’acteurs de taille significative susceptible de consolider le marché – Absence de certification des équipements de sécurité valable à l’échelle européenne – Une politique industrielle encore balbutiante |
| Opportunités
– Pas de transformation numérique sans cybersécurité – Pas de souveraineté numérique sans industrie de cybersécurité – Le marché mondial de la cybersécurité progresse de plus de 10% par an.
|
Menaces
– Peu d’éditeurs logiciels de niveau mondial, pas de grosse plateforme numérique… – Marché européen très fragmenté. – Risque de pénurie de main-d’œuvre qualifiée en cybersécurité – Dynamisme des industries de cybersécurité américaine et israélienne |
Quels défis ?
Si la France dispose donc de fondations solides en matière de cybersécurité, de nombreux défis restent à relever pour faire du domaine un véritable levier de puissance.
Au plan opérationnel, les attaques informatiques dont ont été récemment victimes des entreprises, en particulier des PME ou ETI, des collectivités ou des administrations, montrent que bon nombre des organisations ne disposent pas encore du niveau de sécurité requis. D’où l’importance de structures telles que Cyber-malveillance[35], dispositif d’aide aux victimes, ou des actions menées par différents organismes et associations à destination des collectivités locales (comme l’Institut national pour la sécurité et la résilience des territoires ou IN.CRT[36]). D’où la nécessité, également, de s’appuyer sur des prestataires de confiance “qualifiés” susceptibles de relayer l’ANSSI en matière de prévention, mais aussi de réponse à incident. Pour soutenir le déploiement de solutions de cybersécurité, le plan Cybersécurité prévoit également d’affecter 176 millions € pour l’achat de technologies françaises. Un soutien à la “demande” essentiel, mais encore insuffisant par rapport aux budgets consacrés au développement de l’offre (515 millions € affectés à la R&D)[37].
Outre le soutien à l’innovation, la priorité doit en effet être mise sur la mobilisation de tous les leviers possibles en matière de politique industrielle, tant au plan français (crédit d’impôt pour l’achat de solutions de cybersécurité française, affectation d’une part de l’achat public à des solutions de start-up et de PME…) qu’européen. La “maille” européenne est en effet la seule qui puisse permettre d’agir efficacement sur certains leviers comme la régulation des plateformes structurantes (cf. le projet de Digital Service Act), la politique de la concurrence (cf. le projet de Digital Market Act), les accords commerciaux, le marché intérieur etc. Devenir une puissance “cyber” est illusoire sans une industrie numérique forte, garantissant à l’Europe la maîtrise de son destin numérique. Or l’Europe est de ce point de vue largement démunie… S’appuyant sur une analyse précise des dépendances stratégiques de l’Europe, la feuille de route industrielle lancée par le Commissaire européen Thierry Breton en mai 2021, qui plaide notamment pour le développement de nouvelles alliances industrielles sur des sujets clés (semi-conducteurs, santé, cloud…), aura donc fort à faire. Le premier défi, et non des moindres, consistera à dépasser l’opposition entre la France et l’Allemagne, tenants d’une politique industrielle volontariste, et, d’autre part, les pays d’Europe du Nord, qui ont une vision de la souveraineté beaucoup plus ouverte et craignent de voir ce dispositif favoriser les terres industrielles que sont la France et surtout l’Allemagne. Autre défi : le déficit de compétences en numérique et en cybersécurité. Selon différentes sources, il manquerait 500 000 personnes à brève échéance dans le domaine au niveau européen.
Au plan international, la France et l’Europe devront enfin s’attacher à promouvoir une vision équilibrée du numérique et de la cybersécurité, sorte de troisième voie entre les modèles américains et chinois. Alors que les négociations à l’ONU sur la régulation de l’espace numérique semblent être sorties de l’impasse, l’objectif est de traduire au plan pratique l’Appel de Paris de 2018 en défendant dans l’arène internationale certaines positions comme le refus du “hack-back”, la lutte contre la prolifération de l’armement “cyber” ou bien encore le principe de la “due diligence” qui rend les États responsables des activités illicites qu’ils tolèreraient sur leurs territoires. Autant de chantiers que la Présidence française de l’Union européenne (PFUE) de janvier à juin 2022, placée sous le triptyque “puissance, appartenance, relance” aura la délicate tâche d’approfondir. L’ambition de la France en cybersécurité passe clairement par l’Europe.
A lire également : Géopolitique du cyberespace
[1] https://www.vie-publique.fr/rapport/27943-la-securite-des-systemes-dinformation-un-enjeu-majeur-pour-la-france
[2] https://www.senat.fr/notice-rapport/2007/r07-449-notice.html
[3] https://www.senat.fr/notice-rapport/2011/r11-681-notice.html
[4] https://www.defense.gouv.fr/dgris/presentation/evenements-archives/revue-strategique-de-defense-et-de-securite-nationale-2017
[5] http://www.sgdsn.gouv.fr/uploads/2018/02/20180206-np-revue-cyber-public-v3.3-publication.pdf?bcsi_scan_858c91d0398e8bd7=0&bcsi_scan_filename=20180206-np-revue-cyber-public-v3.3-publication.pdf
[6] https://www.ssi.gouv.fr/uploads/IMG/pdf/2011-02-15_Defense_et_securite_des_systemes_d_information_strategie_de_la_France.pdf
[7] https://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_fr.pdf
[8] https://www.interieur.gouv.fr/Archives/Archives-des-actualites/2019-Actualites/Le-ministere-present-au-FIC-2019/La-strategie-du-ministere-contre-les-cybermenaces
[9] https://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/diplomatie-numerique/la-strategie-internationale-de-la-france-pour-le-numerique/
[10] https://www.defense.gouv.fr/content/download/557384/9657762/Discours%20Florence%20Parly%20-%20Strat%C3%A9gie%20cyber%20des%20Arm%C3%A9es%20-%2018%20janvier%202019.pdf
[11] https://www.defense.gouv.fr/fre/content/download/551498/9394005/Politique%20minist%C3%A9rielle%20de%20lutte%20informatique%20DEFENSIVE.pdf
[12] https://www.defense.gouv.fr/salle-de-presse/dossiers-de-presse/dossier-de-presse_elements-publics-de-doctrine-militaire-de-lutte-informatique-offensive
[13] https://www.cnil.fr/fr/la-loi-informatique-et-libertes
[14] https://fr.wikipedia.org/wiki/Loi_Godfrain
[15] https://www.legifrance.gouv.fr/loda/id/JORFTEXT000028338825/
[16] http://www.sgdsn.gouv.fr/uploads/2016/10/plaquette-saiv.pdf
[17] Loi n°2013-1168 du 18 décembre 2013
[18] https://www.ssi.gouv.fr/entreprise/visa-de-securite/
[19] Le terme de “défense cyber” doit être préféré à celui de cyberdéfense pour qualifier les activités de lutte informatique et de sécurité des systèmes d’information du ministère des armées. Les deux termes n’ont en effet pas la même signification si l’on se réfère aux définitions du glossaire de l’ANSSI, le terme cyberdéfense recouvrant toutes les activités liées à la défense des systèmes d’information qu’ils soient civils ou militaires (https://www.ssi.gouv.fr/entreprise/glossaire/c/).
[20] Cf. les propos du Général Lecointre, Chef d’état-major des Armées en 2020 : http://www.opex360.com/2020/07/14/les-forces-francaises-vont-se-doter-dune-doctrine-de-lutte-informationnelle-dans-le-cyberespace/
[23] https://rm.coe.int/168008156d
[24] https://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/la-france-et-les-nations-unies/l-alliance-pour-le-multilateralisme/cybersecurite-appel-de-paris-du-12-novembre-2018-pour-la-confiance-et-la/
[25] https://ccdcoe.org/incyder-articles/european-union-equipping-itself-against-cyber-attacks-with-the-help-of-cyber-diplomacy-toolbox/
[26] https://www.conseil-national-industrie.gouv.fr/comites-strategiques-de-filiere/la-filiere-industries-de-securite
[28] https://www.pole-excellence-cyber.org/presentation-du-pole/
[29] https://www.defense.gouv.fr/aid/actualites/la-cyber-defense-factory-reunir-civils-et-militaires-pour-developper-des-projets-de-cyber-defense-innovants
[30] http://www.fnau.org/wp-content/uploads/2020/11/ecosysteme-cyber_web.pdf
[31] https://www.confiance-numerique.fr/wp-content/uploads/2021/06/Observatoire-ACN-2021-de-la-confiance-numerique.pdf
[32] https://www.gouvernement.fr/un-plan-a-1-milliard-d-euros-pour-renforcer-la-cybersecurite
[33] Voir la liste des entreprises lauréates et sélectionnées pour le prix de la start-up du FIC 2021 (https://www.forum-fic.com/accueil/prix/prix-de-la-start-up-fic.htm) ou celles figurant dans le “radar” de la société Wavestone (https://www.wavestone.com/fr/insight/radar-2020-startups-cybersecurite-francaises/)
[34] Source : baromètre Innovation, Forum international de la cybersécurité : https://www.forum-fic.com/Data/DO/tgBloc/29133/en/params/file/PANORAMA-INNO-CYBER_VSEPT.pdf
[35] https://www.cybermalveillance.gouv.fr/
[36] https://www.cyberterritoires.fr/
[37] Infographie de synthèse sur le plan Cybersécurité : https://twitter.com/FIC_eu/status/1377526418138091520/photo/1
