Souveraineté nationale, autonomie stratégique & scénarios prospectifs de la cybersécurité en 2020

ANSSI/Guillaume Poupard

Face à l’évolution de la menace qui ne cesse de s’accroitre et malgré une véritable prise de conscience et de responsabilité qui s’opèrent de la part de tous les acteurs, comment placer la sécurité au coeur de la transformation numérique, quelle place pour la France sur la scène européenne, quelle cybersécurité à l’horizon 2020 ?

Rencontre avec Guillaume Poupard, directeur général de l’ANSSI.

Les attaques n’ont fait que s’accroître en nombre, en efficacité et en complexité. Mais parallèlement, l’année écoulée a vu une progression notable dans la prise de conscience du risque, et ce à tous les niveaux de la société. La sécurité numérique tend enfin à s’imposer comme un véritable enjeu de gouvernance dans les administrations et les entreprises tandis que nos concitoyens se montrent de plus en plus vigilants quant à la protection de leurs données personnelles.

Aujourd’hui, tout est numérique, et ce qui ne l’est pas le sera bientôt. Le vrai sujet est d’instaurer les conditions de sécurité indispensables à l’accompagnement de cette transition. Dans ce contexte, l’autorité nationale qu’est l’ANSSI renforce ses capacités d’action à tous les niveaux, qu’il s’agisse de confiance numérique, de protection de la souveraineté nationale, mais aussi de promotion des intérêts de la France à l’échelle internationale. Ce sont les trois piliers essentiels pour une autonomie stratégique que vous appelons de nos voeux.

Développer la confiance numérique

La sécurité n’est plus une option, elle est la condition d’une transition numérique réussie. En contribuant à la création d’un environnement numérique de confiance, l’ANSSI joue un rôle majeur dans cette équation à la croisée des enjeux économiques, politiques et sociétaux. Nous nous attachons à créer un environnement fiable en passant par la réglementation, l’accompagnement des acteurs, et la sensibilisation de tous les publics aux enjeux de la sécurité numérique. Bien sûr, la nouvelle donne réglementaire n’empêchera pas les attaques, mais nous avons collectivement enclenché une dynamique positive auprès des opérateurs concernés et avec l’ensemble des acteurs de la filière de la cybersécurité.

Avec la directive Network and Information Security (NIS) adoptée en juillet 2016, cette voie que nous avons suivie en pionniers est amenée à devenir la règle en Europe à l’horizon 2018. C’est un signal positif pour la France et pour l’ANSSI, qui confirme une nouvelle fois sa capacité à coopérer à toutes les échelles et à fédérer un écosystème en faveur du développement de la confiance dans le cyberespace.

C’est en effet sur la scène européenne que l’on mesure toute la portée du modèle français. En séparant la défense, la protection et la prévention de l’offensif, la France a opéré un choix distinctif qui aspire à faire référence à l’échelle européenne. Nous avons une ambition claire pour la France, celle que notre pays figure au coeur du premier cercle regroupant les nations capables de gérer leur cybersécurité et en capacité de se protéger malgré des attaques de plus en plus nombreuses et spectaculaires.

Souveraineté nationale

L’urgente nécessité de protéger les intérêts de la Nation comme les droits et libertés des citoyens appelle une prise de conscience généralisée sur les enjeux liés à l’exercice de la souveraineté de la France dans le domaine du numérique. Pour y parvenir, nous développons des réponses efficaces, évolutives et collaboratives afin d’élever le niveau de sécurité des systèmes d’information de l’État et des opérateurs d’importance vitale (OIV).

Autonomie et indépendance stratégique

La cybersécurité est une question de souveraineté nationale. Ce n’est pas contradictoire avec le fait que nous souhaitions encourager le développement d’une autonomie stratégique européenne. Cela signifie que nous devons maîtriser des éléments en propre car tout ne peut et ne doit reposer sur une coopération avec nos alliés. Nous devons conserver une certaine autonomie pour maintenir notre capacité de décisions et d’actions au sens large.

Souveraineté nationale et autonomie stratégique européenne vont de paire. Ces deux notions ne s’opposent pas bien au contraire !

Développer l’autonomie stratégique européenne

Après près de trois ans de négociation, le Parlement européen et le Conseil de l’Union européenne (UE) ont adopté le 6 juillet 2016 la directive NIS sur la sécurité des réseaux et des systèmes d’information. Chef de file en France pour la négociation de ce texte, nous nous félicitons de l’adoption de la directive, qui positionne l’Union européenne en pointe en matière de cyber sécurité.

Par ailleurs, nous travaillons activement sur le Cloud. Nous avons publié un premier référentiel destiné aux prestataires de services cloud. En décembre 2016, une nouvelle version baptisée SecNumCloud a été rendue publique. Au lendemain de ce lancement, avec le BSI notre homologue allemand, nous avons présenté ensemble un label franco-allemand appuyé à la fois sur SecNumCloud et sur le catalogue allemand C5 : ESCloud pour European Secure Cloud. Ce « socle de confiance » de 15 règles techniques et organisationnelles est pour l’heure réservé aux schémas de qualification de prestataires qualifiés par les deux États et devrait à terme être étendu à d’autres partenaires européens.

Promouvoir le modèle français à l’international

Le rapprochement Franco-allemand est évidemment très important. Cet axe est pour nous, un véritable tremplin, une alliance forte qui permet de porter certains sujets clés sur la scène européenne. Nous avons également des liens étroits avec l’Allemagne sur des points techniques ou opérationnels, et des accords qui n’ont eux, pas vocation, à devenir européens mais simplement bilatéraux.

Nous échangeons également sur des sujets sensibles, en matière de cyberdéfense par exemple, mais aussi avec le Royaume-uni avec qui les liens de confiance sont devenus très étroits. Le Brexit n’y changera rien.

La coopération internationale de la France est aussi très engagée avec l’Estonie avec qui, à l’échelle du temps de la cyber, nous avons déjà un historique de relations fortes. Avec la prise de la présidence de la commission européenne, la question du numérique va être d’autant plus présent. C’est évidemment une très bonne chose. Désormais, pour continuer à être efficace, il nous faut porter certains sujets sur un périmètre européen : les sujets industriels, européens, d’harmonisation ou encore de règlementation…

Début juillet, le Premier Ministre et Mounir Mahjoubi, Secrétaire d’État auprès du Premier ministre, chargé du Numérique, se sont rendus en Estonie. Nous y étions également le 13 et 14 septembre derniers. C’est donc une dynamique naturelle.

En développant de nombreuses coopérations en Europe et à l’international, nous contribuons activement au soutien des positions de la France dans le cyberespace. Nous avons noué en 2016 des relations avec une quarantaine de pays. Aujourd’hui, nous mettons en place des relations bilatérales avec plusieurs de nos homologues au Japon, à Singapour et en Australie, mais également avec de nombreux pays d’Afrique.

Prospectives 2020
Avant cette échéance, nous avons 2018 et la transposition de la directive NIS, essentielle, qui va constituer un chantier important. Le développement de la certification européenne et d’une industrie européenne, tous comme de nouveaux efforts pour augmenter et améliorer notre capacité de détection vont mobiliser toutes nos équipes. Je tiens également à encourager l’échange d’information aussi bien avec le privé qu’avec le public, au niveau national mais aussi européen. Nous avons de gros progrès à réaliser en la matière. Nous devrons également continuer à développer les offres européennes en matière de Cybersécurité. La filière de cybersécurité doit se développer et cela passe évidemment par le niveau européen.

Enfin 2020, ce sera l’heure d’un premier bilan pour les initiatives nationales et européennes, en particulier les perspectives ouvertes par le cPPP, le partenariat public-privé destiné à dynamiser la politique industrielle européenne ou encore la reconnaissance mutuelle franco-allemande des prestataires de service informatique en nuage avec la sortie du label ESCloud.

Par ailleurs, une nouvelle génération d’experts en sécurité informatique devra être formée pour répondre aux exigences croissantes de la société du numérique. L’ANSSI participe à l’effort collectif mené dans les domaines de la formation et du recrutement avec notamment le lancement de son label SecNumedu.

Enfin, l’une des questions-clé en 2020 sera celle du droit international : les règles qui s’appliquent aujourd’hui dans les domaines de la coopération, de la régulation et de la résolution de conflits sont à redéfinir afin d’inclure de nouveaux acteurs et de nouveaux modes de fonctionnement. La France a bien évidemment un rôle majeur à jouer.

C’est donc à travers les objectifs de confiance, de souveraineté nationale et de rayonnement international que s’exprime et se renforcera le modèle français. Modèle dont les contours épousent les objectifs de paix et de stabilité dans le cyber espace auxquels aspire l’ANSSI. Il s’agit maintenant pour les États de se réunir autour de ces questions et de créer les conditions d’un dialogue nécessairement international.