En octobre, le mois européen de la cybersécurité a mis à l’honneur les menaces comme les opportunités de la transition numérique. Si les risques cyber nous concernent tous, les réponses nationales et régionales doivent donc être transversales et réunir acteurs politiques, publics et privés, pour une souveraineté adaptée au 21e siècle. Toulon et la région Provence Alpes Côtes d’Azur s’inscrit énergiquement dans cette dynamique.
Par Geoffrey Comte & Corentin Dionet
Un contrat de confiance pour co-construire
La révolution numérique permet aux cybercriminels d’étendre leurs champs d’actions et renouveler leurs arsenaux d’attaques. Ces derniers ciblent donc indifféremment une entreprise ou une administration publique, dans l’unique objectif de réaliser un profit rapide. Peu protégées, les collectivités territoriales sont les structures les plus ciblées par les cyberattaques. Le Directeur général de Cybermalveillance.gouv, Jérôme Notin explique « pour un particulier aidé, on compte deux entreprises et 40 collectivités aidées ». En tant que délégué à la sécurité numérique PACA, Kevin Heydon rappelle que « 20% des attaques ont frappé une collectivité territoriale ». Leurs ondes de choc sont « bien réelles » et se traduisent par « un service de l’Etat civil qui n’arrive plus à remplir sa mission première pendant une durée indéterminée ». Les collectivités sont souvent dépourvues de moyens de protection puisque faire du cyber une priorité ne va pas de soi. Les budgets qui y sont alloués sont bien inférieurs à la réalité de la menace tout comme l’implication des RSSI dans la prise de décision stratégique. Cette situation n’est cependant pas une fatalité. Après le hack de la métropole d’Aix-Marseille du 14 mars 2020, le RSSI de la ville de Marseille, Jérôme Poggi concède « cela perturbe énormément la vie du citoyens [et] de la Mairie ». Cette « compromission » a néanmoins permis de solidifier les « procédures de gestion de crise », même si seulement « 80% du système d’information » a été récupéré au bout de trois mois. Cette crise a mis en avant la primauté du facteur humain pour assurer la continuité des services. Un témoignage qui met en lumière la capacité de rebond des collectivités. Et Françoise Bruneteaux, Présidente de la Commission Transition numérique des entreprises et des territoires, Aménagement, Economie numérique de la région Sud PACA de déclarer : « La mobilisation extraordinaire des acteurs de l’écosystème du territoire au plus haut de la crise sanitaire a montré que des actions pouvaient être menées par et pour la collectivité. Les forces présentent sur nos territoires sont multiples, et l’enjeu de coopération entre tous les acteurs sera un facteur clé pour notre avenir. »
Certaines collectivités font figure de pilotes en matière de cybersécurité. La déléguée au Développement numérique Pleine Commune Grand Paris, Mauna Traikia pointe le « devoir de confiance » des élus envers les citoyens. « Il faut passer de la phase d’acculturation […] pour arriver à sensibiliser autour de la donnée et quelles richesses on pourrait en sortir au niveau des usages » analyse l’élue. Par exemple, la mutualisation des informations peut permettre à de petites collectivités d’organiser une défense commune et valoriser leurs données. En somme, Mauna Traikia le revendique « nous ne sommes pas démunis face à la cybersécurité ». Il faut approfondir le « contrat de confiance » entre industriels, services de polices et agents publics pour se protéger et in fine augmenter l’attractivité des territoires.
Hervé Stassinos, vice-président de la métropole de Toulon insiste : « Aujourd’hui, la sécurité numérique est présente dans tous les projets. Notre territoire est exceptionnel grâce à la présence de la base navale et aux actions de cyberdéfense. C’est un atout qu’il faut pousser et il existe une volonté des élus de le faire. (…) On ne peut pas parler de développement sans cybersécurité. C’est un enjeu pour lequel nous travaillons de manière importante. La France et l’Europe ont construit et renforcer leur stratégie. La Région Sud a toute sa place dans ce développement ».
Un changement de paradigme national
Le Général de division, Marc Boget l’annonce : « la prochaine crise sera cyber ». Avec ironie, ce dernier ressent un « immense honneur » lorsque les cyber délinquants signent de son nom les documents frauduleux, supposés imiter ceux des forces de l’ordre, seulement deux mois après son entrée en poste. Sous l’égide du Directeur Général Christian Rodriguez, la Gendarmerie s’est modernisée pour lutter contre cette criminalité et répondre à « l’urgence à agir tous ensemble ». Créé en août dernier, le ComCyberGend vise à rendre opérationnel plus de 10 000 cyber gendarmes d’ici 2022 avec quatre missions principales : simplification, cohérence, lisibilité et performance. Les solutions cyber ne disposent que d’une courte durée de vie, d’où la nécessité d’aligner offre et demande pour assurer la continuité de la protection. Une attaque ciblée pourrait causer la faillite des systèmes d’information nationaux ainsi qu’une fuite massive de données sensibles entre les mains d’acteurs illégitimes et malveillants. En tant que chef d’Etat-major du commandement de la cyberdéfense, Geoffroy Roussel qualifie ces crimes comme une « taxe de 15% sur la croissance ». Il s’agit donc d’un danger économique ainsi que d’une source potentielle d’ingérence au profit de puissances étrangères. La souveraineté française et l’autonomie stratégique européenne sont donc au cœur des enjeux de cyberdéfense. Geoffroy Roussel souligne l’interdépendance des services de protection car « le ComCyberGend protège l’armée qui protège les Français » contre les menaces intérieures comme extérieures. Pour y faire face, les savoir-faire français sont légion en termes d’innovations technologiques et militaires. Une souveraineté technologique et industrielle doit être portée. « Il est aujourd’hui indispensable de consolider la filière cyber nationale pour adresser les marchés à l’export de taille mondiale. En qualité de grands groupes nous avons un rôle à jouer pour embarquer avec nous les PME innovantes dans ces projets internationaux stratégiques. » déclare Patrick Radja, VP CTO Cybersecurity, NAVAL GROUP. Jean Larroumets, Président fondateur d’EGERIE, Président du CLUSIR PACA ajoute « nous avons besoin de co-construire et de co-innover pour performer dans cette compétition mondiale. Nous avons besoin des grands groupes pour accéder aux marchés structurants mais aussi de commandes publiques, plus que de subventions. » et d’ajouter « les enjeux de souveraineté reposent aussi sur les compétences et les écosystèmes de confiance. Tout cela est réuni au coeur du bassin toulonnais. Avec la rade et la base navale, il y a toute une culture de la Défense à Toulon, ainsi qu’une filière de l’enseignement supérieur déjà structurée qui permet de trouver les ressources nécessaires. Nous disposons également de grands industriels comme Naval Group ou Thales, des PME et des start-up comme Egerie qui émergent sur le territoire. Ces entreprises disposent des briques technologiques essentielles, capables d’apporter des solutions concrètes et Toulon a aussi ouvert son Centre Ressources Régional Cyber pour répondre aux incidents. C’est la première métropole à avoir instauré ce centre, ce qui en fait un acteur incontournable. »
Ces innovations et ces technologies doivent être inclus dans une cosmovision de défense nationale, autour d’un Etat stratège agile et possédant une vision de long-terme. Autrement, la France pourrait souffrir d’un retard numérique considérable et de nombreuses pertes de technologie. Le pays ne doit pas reculer devant les pressions étasunienne et chinoise dans le but de construire sa propre autonome stratégique, accompagné par ses partenaires européens.
La France, oriflamme d’une défense européenne
Le « vieux continent » peut devenir un espace pionnier en termes de cybersécurité afin de se défendre au sein d’un monde multipolaire et numérique-dépendant. Le Général Marc Watin-Augouard rappelle le rôle du « marché unique qui a été le moteur de la transformation numérique de l’UE ». Selon lui, l’Europe s’est réellement « intéressée à la cybersécurité » après la cyber attaque contre l’Estonie en 2008, la directive NIS de 2016 et le paquet cyber datant de 2019. Les pays membres de l’Union Européenne s’engagent vers « une montée en puissance » du dispositif de sécurité numérique. La France pourrait mener l’avant-garde de ce changement de paradigme lors de sa prochaine présidence du Conseil de l’UE débutant dès le premier semestre 2022. La politique de défense nord-américaine repose depuis plusieurs décennies sur une dialectique rodée entre subvention étatique au travers de la DARPA et innovation technologique. Cette logique de compétitivité offensive est combinée à un esprit de protectionnisme exacerbé afin de protéger jalousement les biens et services étatsuniens, quitte à se séparer de produits de substitutions européens de qualité. En face, la Chine jouit des transferts technologiques par l’intermédiaire de nombreux joint-venture et renforce ainsi sa compétitivité sur les marchés internationaux. La France a pour objectif de renouveler une diplomatie de la sécurité au point mort en Europe et insuffler un volontarisme politique nécessaire à l’aboutissement d’un tel projet. La dissuasion numérique peut être un instrument de hard power aussi efficace que son homologue nucléaire.
Le mois européen de la cybersécurité se termine… et le combat collectif continue. Le Sénat s’est emparé du sujet. Serge Babary, Président de la Délégation aux entreprises et Françoise Gatel, Présidente de la Délégation aux collectivités territoriales, sénateurs, interpellent : « nous voulons éviter que les petites collectivités territoriales soient aussi démunies que les petites entreprises face au cyberrisque en renforçant leur accompagnement par la puissance publique, qui doit mieux faire connaître les outils de prévention et de protection mis à leur disposition. Les moyens financiers devront aussi être renforcés ».