La part du numérique dans les services, les objets et les métiers ne cesse de croître. Cette transition numérique est porteuse d' innovation et de croissance mais aussi de risques pour l'état, les acteurs économiques et les individus : cybercriminalité, espionnage, propagande, sabotage ou exploitation excessive de données personnelles.

Le monde du numérique est vulnérable. Son essor s'est accompagné d'un développement des menaces liées à de nouvelle formes de criminalité:

• Cyber-vandalisme
• Crime
• Guerre
• espionnage

Alors vers qui se tourner pour sécuriser son système et ses données au quotidien? Et qui contacter en cas de cyberattaque?

En France, la cybersécurité est gérée de façon sécurisée par l' Agence Nationale des Sécurité des Systèmes d'Information (ANSSI) au sein du Secrétariat Général de la Défense et de la Sécurité Nationnale(SGDSN). L'ANSSI est placée sous l'autorité du premier ministre.

Elle est une institution qui se charge d'assurer la sécurité et la défense des SI de l'état en anticipant les menaces.

Elle ne réalise aucune action offensive en réponse à des incidents et ne constitue pas non plus une agence de renseignement. Elle agit pour la sécurité du numérique avec son centre opérationnel qui fonctionne H24 7j/7 afin de détecter des attaques potentielles auprès des services ministériels.

Elle se charge de qualifier des services et des produits développés par des industriels pour sécuriser les utilisateurs.

Enfin elle informe le public sur les bonnes pratiques à mettre en place pour protéger les SI et analyse les menaces. Cette vision permet par la suite de mieux répondre aux attaques nouvelles telles que les rançongiciels par exemple (mission de caractérisation les vulnérabilités). Dans les cas les plus extrêmes elle peut mettre en place un dispositif de crise pour répondre de manière efficace à une attaque majeure.

L'ANSSI est l'autorité nationale en matière de cybersécurité et cyberdéfense. A ce titre elle à aussi pour mission de coordonner l’action interministérielle en travail aux cotés des autres grands acteurs de la cyber: elle coordonne ainsi des acteurs de cyberdéfense comme le Centre d'Analyse en Lutte Informatique Défensive (CALID) ou encore la Direction Générale de l'Armement - Maitrise de l'Information (DGA-MI) qui assure entre autre l'expertise technique auprès du ministère de la défense en matière de cyberdéfense.

L'ANSSI coordonne également des experts en cybercriminalité:

• Direction Générale de la Sécurité Intérieure (DGSI);
• Office Central de Lutte contre la Cybercriminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC appartenant à la direction centrale de la police judiciaire)

Il existe également d'autres acteurs locaux qui complètent ce réseau:

• La Commission Nationale Informatique et Liberté (CNIL) accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et à exercer leurs droits. Cette unité s'adresse aux utilisateurs en milieu professionnel. A ce titre toute entreprise est également chargée de maintenir un bon niveau de sécurité pour protéger ses utilisateurs des malveillances. Notons que les entreprises ayant le statut “opérateur d'importance vitale” (OIV) doivent renforcer leur sécurité puisqu'elles exploitent ou utilisent des installation jugées indispensables pour la survie de la nation.

D'autres experts peuvent également aider à maintenir cette sécurité:

• des Experts judiciaires;
• des acteurs du domaine de la sensibilisation en SSI: Associations (Clusif, club ISO 27001, OWASP¹⁾ );
• des sociétés éditrices de produits de sécurité proposant logiciels et matériels ( UTM, pare-feu ou antivirus);
• des société généralistes en informatique.

Tous ces acteurs qu'ils soient publics ou privés collaborent dans l'écosystème de la cybersécurité pour partager des informations sur les vulnérabilités ou les attaques et leur collaboration est encouragée par l'ANSSI.

Afin de structurer une vision commune de la défense et plus particulièrement de la cybersécurité en France, le président de la République a souhaité qu’en 2013 soit rédigé un deuxième livre blanc pour la Défense et la Sécurité Nationale.

Ce livre blanc apporte un classement des menaces les plus importantes sur l’État et montre que la menace informatique est classée deuxième derrière la menace terroriste.

En substance, le document évoque une « menace cyber diverse et croissante » qui peut avoir pour conséquence le sabotage, l’espionnage et la subversion. Cette menace concerne l’ensemble des acteurs français, aussi bien économiques qu’administratifs.

Notons que le premier livre blanc de la Défense et de la Sécurité Nationale de 2008 mettait déjà en évidence la menace que représentent les attaques informatiques.

Il a ainsi permis la création de l’ANSSI.

Il ressort 4 priorités de ce livre. Pour résumer, le livre blanc montre que l'État a conscience des évolutions technologiques et cherche à assurer sa protection dans le domaine numérique.

Pour cela il prévoit un effort budgétaire nécessaire pour créer des protections cryptographiques et des systèmes de détection d'intrusion purement français, afin de conserver l'indépendance de la France sur ce terrain et investir dans la formation pour anticiper la demande croissante de compétences.

De plus afin de renforcer la sécurité des SI de l'État, il prévoit:

• Plus d'obligations de sécurité pour les OIV.
• Une coordination renforcée entre l'État, ses différentes émanations, les OIV et les autres industries stratégiques.
• La nécessité d'avoir une « capacité informatique offensive ».
• La sensibilisation nécessaire du plus grand monde.

En 2015, le Premier ministre a officialisé la première stratégie pour la sécurité du numérique. L’ambition de la France est de faire partie des quelques nations qui comptent dans tous les domaines stratégiques et notamment la cybersécurité.

La stratégie nationale pour la sécurité du numérique n’est pas une stratégie pour la cyberdéfense mais bien pour la sécurité du numérique, terme plus englobant et traduisant mieux les enjeux et défis qui se posent.

Les cinq axes de la stratégie que nous allons découvrir se veulent complémentaires.

1. Les questions de sécurité numérique auprès des OIV.
2. Le rôle des entreprises non OIV.
3. La formation à la cybersécurité.
4. Le rôle des industries.
5. La stratégie du numérique dans un contexte international.

La stratégie nationale pour la sécurité du numérique s’adresse donc à toutes les entreprises et aux particuliers. Cette stratégie rayonne également à l’international en faisant la promotion d’un cyberespace sûr.

Le premier axe de la stratégie nationale pour la sécurité du numérique consiste à réaffirmer que les questions de sécurité numérique auprès des OIV sont liées à celles de la souveraineté nationale.

En effet, aujourd’hui, de nombreuses infrastructures vitales (centrales nucléaires, barrages, circulation routière, Etc) sont gérées par informatique, ce qui peut générer de gros dommages potentiels en cas de cyberattaque.

Une Nation qui veut conserver sa souveraineté doit faire de la cybersécurité une priorité nationale confirmée.

Secteur Étatique

1. Activités civiles de l’État
2. Activités militaires de l’État
3. Activités judiciaires de l’État
4. Espace et recherche

Protection des citoyens

5. Santé
6. Gestion de l’eau
7. Alimentation

Vie économique et sociale de la Nation

8. Énergie
9. Communications électroniques, Audiovisuel et Information
10. Transports
11. Finances
12. Industrie

Le deuxième point n’en est pas moins important, il explique que les entreprises non-OIV ont également un rôle important à jouer puisque des attaques informatiques massives contre les industries et PME/PMI peuvent devenir des questions de sécurité nationale.

Aujourd’hui les entreprises non-OIV composent la grande majorité du tissu industriel français.

En effet, bien qu’une cyberattaque isolée mettant en difficulté une PME n’ait pas d’incidence en terme de sécurité nationale, la généralisation de telles attaques peut entrer dans le domaine de la sécurité nationale.

Ces entreprises sont souvent moins sensibilisées aux problématiques de sécurité informatique et donc potentiellement plus vulnérables à un risque de contamination.

Il faut pouvoir apporter une réponse à cette menace dans les domaines de la prévention et de la sensibilisation mais surtout, il est nécessaire d’agir en aidant les victimes d’actes de cybermalveillance.

Actuellement, le statut de ces victimes n’est pas reconnu clairement, ce qui rend plus difficile la recherche de réponses judiciaires efficaces et le passage par des organismes traditionnels de compensation des risques (assurances).

Le troisième axe promeut la formation à la cybersécurité.

Au cours des 5 dernières années, le nombre de formations spécifiques à la cybersécurité a ainsi explosé alors qu’il y a 10 ans celles-ci étaient marginales.

Il existe aujourd’hui de nombreuses formations de qualité mais on observe une inadéquation entre l’offre et la demande.

Cet axe encourage à développer la formation initiale, la formation professionnelle et à sensibiliser et véhiculer les bons messages auprès des jeunes, dès la fin du primaire, en leur expliquant les notions basiques de la sécurité.

Cette initiation à la sécurité doit être réalisée au même moment que la sensibilisation au numérique : une fois encore, sécurité et numérique doivent aller de pair.

“ La France sensibilisera dès l'école à la sécurité du numérique et aux comportements responsables dans le cyberespace. Les formations initiales supérieures et continues intégreront un volet consacré à la sécurité du numérique adapté à la filière considérée.”

Pour participer à cet effort de formation, l’ANSSI a mis en place plusieurs actions:

Le label SecNumedu, CyberEdu et le module SecNumacadémie.

“ La France développera un écosystème favorable à la recherche et à l'innovation et fera de la sécurité du numérique un facteur de compétitivité.”

Le quatrième axe de la stratégie propose d’inclure les industries dans le développement de la cybersécurité nationale. En effet, la France a besoin d’une industrie forte, nationale et structurée par le processus de qualification. Ce processus est ouvert aux acteurs étrangers via une évaluation des produits et des services.

“Elle accompagnera le développement de l'économie et la promotion internationale de ses produits et services numériques”.

Ce travail est compliqué et prend du temps mais il est indispensable afin de savoir qui est compétent et de confiance.

“Elle s'assurera de la disponibilité pour ses citoyens, ses entreprises et ses administration, de produits et services numériques présentant des niveaux d'ergonomie, de confiance et de sécurité adaptés aux usages et aux cybermenaces”.

Pour résumer cette mesure, les industries doivent produire des produits de sécurité avec un cahier des charges « made in France » et doivent se protéger pour elles-mêmes et pour le pays, afin de ne pas être les « maillons faibles » de la chaîne.

Enfin, le dernier axe explique que la stratégie du numérique doit s’envisager dans un contexte international.

En effet, la France a un rôle majeur à jouer pour porter ses valeurs dans le domaine de la cybersécurité, que ce soit pour venir en aide aux états les moins avancés, faire du capacity-building, ou aller vers les pays alliés pour les aider à monter en puissance.

Au-delà des objectifs philanthropiques, il s’agit aussi, comme pour tous les domaines stratégiques, de protéger ses alliés pour se protéger soi-même.

Tous ces éléments mettent en exergue l’impératif de trouver un compromis entre efficacité et confiance.

“La France sera, avec les états membres volontaires, le moteur d'une autonomie stratégique numérique européenne. Elle jouera un rôle actif dans la promotion d'un cyberespace sûr, stable et ouvert”.

Les différents services de l’État impliqués ont tout pour aider les industriels à aller vers l’export, afin qu’ils deviennent des leaders mondiaux dans le domaine cyber.