B. LA CYBERSÉCURITÉ EN FRANCE
Face à la montée des cybermenaces et les risques qui pèsent sur sa souveraineté, la France a renforcé ses moyens d'action et développé un modèle original pour assurer la sécurité de ses systèmes d'information. Elle peut en outre s'appuyer sur une stratégie renouvelée et sur un secteur privé de pointe.
1. Le dispositif français
La France a mis en place un système de protection des systèmes d'information qui s'appuie sur une agence spécifique, l'Agence nationale de sécurité des systèmes d'information, l'ANSSI. Celle-ci a été créée par le décret n° 2009-834 du 7 juillet 2009 qui lui a donné une compétence nationale et transversale. Le modèle français se distingue du modèle anglo-saxon dans le sens où l'ANSSI n'assure que la défense et la protection de systèmes d'information, mais n'est chargée ni de l'attaque, ni du renseignement, comme la NSA ( National Security Agency ) américaine. Elle ne peut donc être suspectée d'intelligence ou de surveillance.
L'ANSSI met son expertise au service des administrations et des opérateurs d'importance vitale. Elle est chargée de la promotion des technologies, des systèmes et des savoir-faire nationaux, notamment par le pilotage du système français de certification de cybersécurité. Elle contribue également à l'orientation de la recherche nationale et européenne en matière de sécurité des systèmes d'information. Elle est placée sous l'autorité du Secrétariat général de la défense et de la sécurité nationale, lui-même directement rattaché aux services du Premier ministre. Elle dispose de près de 800 collaborateurs.
L'ANSSI est donc au centre de l'écosystème national de cybersécurité. Elle dispose d'une vision et d'une approche transversales, et fonde son action sur la confiance qu'elle inspire aux administrations et aux différents acteurs économiques.
En outre, la numérisation croissante a obligé l'État à renforcer ses capacités pour assurer la protection du pays contre les attaques cyber. C'est particulièrement le cas en ce qui concerne le ministère des Armées, le ministère de l'Intérieur et le ministère de l'Europe et des Affaires étrangères qui ont vu leur structure évoluer en 2017.
Au ministère des Armées, un commandement de cyberdéfense (ComCyber) a été créé depuis le 1 er janvier 2017. Il rassemble l'ensemble des forces de cyberdéfense des armées françaises sous une même autorité opérationnelle, permanente et interarmées. Il est chargé de trois missions principales : le cyber-renseignement, la cyber-protection, et les opérations cyber offensives. Concrètement, il s'agit d'assurer une politique cohérente du ministère en matière d'hygiène informatique, de s'assurer que des équipes sont capables à tout moment de détecter des attaques contre les réseaux opérationnels et que la France est en capacité de neutraliser une attaque, ou de lutter contre des offensives qui menacent les intérêts français à l'extérieur.
Pour sa part, le ministère de l'Intérieur a institué par un décret du 23 janvier 2017, un délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces.Il élabore notamment une stratégie ministérielle de lutte contre les cybermenaces, coordonne sa mise en oeuvre et pilote son évaluation et son actualisation. Il complète l'action de la sous-direction de la lutte contre la cybercriminalité, créée le 29 avril 2014. La police et la gendarmerie disposent également d'unités dédiées. À titre d'exemple, le réseau Cybergend de la Gendarmerie nationale dispose ainsi d'effectifs aux niveaux national, régional et local qu'elle prévoit de doubler d'ici à 2022.
Enfin, il convient de mentionner la création d'un poste d'ambassadeur pour le numérique le 22 novembre 2017. Il a pour mission le suivi des négociations internationales sur la cybersécurité, la gouvernance de l'internet et des réseaux, la liberté d'expression sur internet, les sujets de propriété intellectuelle liés à l'internet, le soutien à l'export des entreprises du numérique et la participation de la France au partenariat pour un gouvernement ouvert. Il est par ailleurs chargé, au titre de la lutte contre l'utilisation d'internet à des fins terroristes, de conduire un dialogue direct avec les grandes plateformes numériques américaines.
2. Une stratégie nationale globale pour la cybersécurité
Au cours des dernières années, la France a également fait évoluer sa stratégie en matière de cybersécurité. À la Stratégie nationale pour la sécurité du numérique du 16 octobre 2015, s'est ajoutée la stratégie internationale de la France pour le numérique et la revue stratégique de cyberdéfense.
La Stratégie nationale pour la sécurité du numérique fixait cinq objectifs : garantir la souveraineté nationale ; apporter une réponse forte contre les actes de cybermalveillance ; informer le grand public ; faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises ; renforcer la voix de la France à l'international. On mentionnera d'ailleurs que, pour la mise en oeuvre de cette stratégie globale, le ministère de l'Intérieur a adopté en mars 2017 une stratégie de lutte contre les cybermenaces.
En décembre 2017, le ministère de l'Europe et des Affaires étrangères a publié une stratégie internationale de la France pour le numérique. Elle fixe notamment des objectifs en matière de cybersécurité pour garantir la sécurité et l'autonomie de la France dans le monde numérique : contribuer au développement d'une pensée stratégique française sur les questions de cybersécurité ; accroître avec nos partenaires la résilience de notre environnement numérique ; défendre la France et ses alliés dans le cyberespace ; développer une cybersécurité collective à l'échelle internationale. Elle prévoit en outre deux objectifs de portée européenne : renforcer les capacités des Européens en matière de cybersécurité ; renforcer l'industrie et les services européens dans le secteur de la cybersécurité.
Le 12 février 2018, le Secrétariat général pour la défense et la sécurité nationale a publié la Revue stratégique de cyberdéfense pour permettre de développer et de structurer le dispositif national français de cyberdéfense. Portant l'affirmation d'une nouvelle ambition pour la France dans la cyberdéfense, le document évalue les menaces du monde cyber et fait de l'État le responsable de la cyberdéfense de la nation et le garant de la cybersécurité de la société française.
3. Un secteur privé en pointe
Outre l'action de l'État, il convient de souligner l'importance des acteurs privés dans le dispositif de sécurité informatique français. Si, il y a plusieurs décennies, l'innovation provenait du secteur de la défense, c'est souvent au sein des entreprises que se font aujourd'hui la recherche et le développement et c'est en leur sein que se développe l'expertise. La France dispose à la fois de grands groupes, acteurs européens et mondiaux, et d'un réseau d'entreprises plus petites, mais souvent innovantes.
Trois grandes entreprises font partie des leaders européens, voire mondiaux :
- Thalès : le spécialiste de la protection des données et du chiffrement, qui investit plus de 20 % de son chiffre d'affaire dans la recherche et le développement ; outre la sécurité et la défense, Thalès est présent dans les secteurs de l'aéronautique, de l'espace et du transport terrestre ;
- Orange : l'opérateur des télécommunications a développé depuis 2016, une branche consacrée à des activités de cybersécurité dédiées aux entreprises et est positionné parmi les premiers acteurs en Europe pour accompagner les entreprises et les administrations dans leurs stratégies de cybersécurité ;
- Atos : une des dix plus grandes entreprises du numérique à l'échelle mondiale, le groupe, figure parmi les leaders européens de l'informatique en nuage, de la cybersécurité et du super-calcul, ainsi que du paiement sécurisé en ligne pour les entreprises.
Parallèlement, des acteurs français spécialisés dans le numérique se sont réunis au sein d'associations, parmi lesquelles :
- L'Alliance pour la confiance numérique, qui a pour vocation de fédérer les principaux acteurs français et européens de la confiance numérique et de contribuer à la consolidation de la filière sécurité, que ce soit des entreprises de toute taille ou des centres de recherche ;
- Hexatrust qui rassemble des PME, des entreprises de taille intermédiaire et des start-ups travaillant dans la cybersécurité et l'informatique en nuage et très implantées en Europe.