La France doit renforcer sa cyberdéfense

Renforcer la sécurisation des systèmes d’information de l’État, mieux protéger les opérateurs d’importance vitale, impliquer davantage les opérateurs de communications électroniques, ou encore définir une réaction-type en cas d’attaque informatique… Une cinquantaine d’actions contribueraient à améliorer la cybersécurité en France, selon la revue stratégique de cyberdéfense, publiée par le secrétaire général de la défense et de la sécurité nationale (SGDSN) en février 2018. L’État devrait notamment consolider son action autour de quatre chaînes opérationnelles : protection, actions militaires, renseignement et investigation judiciaire. Il faudrait aussi définir une politique industrielle de cybersécurité, maintenir une industrie en pointe sur le chiffrement, et prévoir une qualification des prestataires de services cloud sécurisés.

Définir une politique industrielle de cybersécurité.

Le SGDSN préconise aussi de soutenir la création, par les collectivités territoriales, d’un réseau de correspondants en cybersécurité, et de mieux intégrer leurs besoins dans les référentiels et les catalogues de produits et services qualifiés de l’agence nationale de la sécurité des systèmes d’information (ANSSI). En effet, « à l’heure où les attaques informatiques sont susceptibles de porter à tout moment gravement atteinte aux intérêts de la nation, notre pays doit adapter sa posture de cyberdéfense avec l’ambition de mieux faire respecter sa souveraineté numérique », affirme le SGDSN. Car, si le cyberespace apparaît comme un « catalyseur de progrès », c’est aussi « un lieu de confrontation, de domination et de trafics en tous genres », qui est l’objet d’une menace sans cesse croissante.

La France en retard

En matière de cyberdéfense, la France est en retard par rapport aux pays avec lesquels elle partage des responsabilités internationales particulières : États-Unis, Russie, Chine et Royaume-Uni. Mais notre modèle, qui sépare les missions et capacités offensives et défensives pour garantir le respect des libertés individuelles, se distingue de celui des pays anglo-saxons, où les capacités de cyberdéfense relèvent du renseignement. Et cette séparation stricte a justement permis de mobiliser l’ANSSI en dehors de son champ d’action traditionnel, lors de plusieurs crises récentes -en 2015 (TV5Monde, première attaque informatique de sabotage en France), en 2017 (attaque de Saint-Gobain par le virus NotPetya)-, ou encore pour contribuer à sécuriser les campagnes électorales. Toutefois, protéger les réseaux informatiques et les infrastructures vitales ne suffit pas. Comme toujours en matière de cybersécurité, il convient de prendre en compte le facteur humain, en inculquant, aux acteurs économiques et aux citoyens, les bonnes pratiques de prévention et les mesures à appliquer rapidement en cas de crise. Et ce, dès le plus jeune âge, en formant les élèves à la sécurité informatique de l’école élémentaire au lycée. C’est essentiel si l’on sait que les jeunes, très actifs sur internet et sur les réseaux sociaux, n’en maîtrisent pas les dangers : communication d’informations personnelles, connexion avec des inconnus, publication de photos privées… Parallèlement, la sensibilisation des citoyens à la sécurité numérique doit être mieux diffusée sur les lieux de travail. Et pourquoi pas créer une application ludique qui aiderait le grand public à tester ses connaissances en cybersécurité sur smartphone ?