Alors que l’Union Européenne se prépare à la mise en application du RGPD, à partir du 25 mai prochain, le gouvernement français présentait au cours des derniers jours des changements majeurs à ses politiques en matière de cyberdéfense.
Louis Gautier, Secrétaire général de la défense et de la sécurité nationale, en compagnie du Secrétaire d’État chargé du numérique Mounir Mahjoubi, vient en effet de déposer une Revue stratégique de cyberdéfense. Ce document, dont une version accessible au public (partiellement classifiée) est disponible ici, marque le début d’une nouvelle stratégie de cyberdéfense française.
Ce document, décrit par ses auteurs comme un « véritable livre blanc de la cyberdéfense », se divise en trois parties, suivi d’une vingtaine de recommandations prioritaires résumant les éléments centraux du document.
La première partie de la Revue stratégique dresse un portrait des cyberdangers auxquels le gouvernement, les institutions, les entreprises et la population pourraient faire face. On y aborde notamment les vulnérabilités pouvant exister, divers types de cyberattaques (dont des virus comme WannaCryptor et NotPetya, pouvant faire des dégâts qui dépassent largement leurs créateurs et des risques liées au cyberespionnage), ainsi que des limitations liées à la régulation internationale encore limitée.
La seconde partie détaille les mesures que le gouvernement a mis ou doit mettre en place afin d’assurer la cyberdéfense des intérêts nationaux. On y détaille les caractéristiques du modèle français de cyberdéfense, l’importance de la protection des activités sensibles – y compris la protection des activités des opérateurs d’importance vitale (OIV) et des activités essentielles – et de l’établissement des mesures les plus efficaces en matière de lutte contre la cybercriminalité. On y recommande notamment une harmonisation progressive des règles de sécurité au sein de l’Union Européenne, mais aussi un accroissement du rôle des opérateurs de communication électronique en matière de protection de la cybersécurité.
Finalement, le rapport présente l’importance de la cybersécurité pour les acteurs et institutions privées, ainsi que les responsabilités de l’État et de la population. On y aborde notamment les enjeux de sensibilisation du public, l’importance de l’économie de la cybersécurité et les enjeux touchant la souveraineté numérique.
Ce n’est pas tout. En parallèle au dépôt de cette revue, et faisant suite à certaines des recommandations qui s’y trouvent, le gouvernement français a aussi déposé une révision de sa Loi de programmation militaire (LPM). L’annonce en a été faite au début de février par Guillaume Poupard, directeur de l’Anssi (Agence nationale de la sécurité des systèmes d'information).
Parmi les mesures les plus marquantes de la nouvelle LPM, on doit noter les nouveaux pouvoirs accordés aux opérateurs de communications électroniques. Ces derniers, tels qu’indiqué dans la Revue stratégique de cyberdéfense, seront dorénavant appelés à jouer un rôle sensiblement plus important dans la protection et la détection des menaces informatiques.
En effet, les entreprises de télécommunication disposeront du pouvoir de scanner leurs réseaux à la recherche d’indices techniques d’une attaque en cours ou à venir. Selon la situation, ces indicateurs suggérant une attaque potentielle seront fournis aux opérateurs par l’Anssi, ou, en ce qui a trait aux menaces plus graves, par l’Autorité de régulation des communications électroniques et des postes (Arcep).
Si des opérateurs détectent une attaque, ces entreprises devront fournir à l’Anssi les traces informatiques laissées par les cybercriminels. Elles n’auront en revanche pas à assumer la responsabilité de mettre fin à l’attaque. Dans certains cas, les opérateurs seront tenus d’aviser leur client.
Selon Louis Gautier, secrétaire général de la défense et de la sécurité nationale, l’objectif n’est pas de forcer les opérateurs à agir proactivement : « Notre raisonnement, c’est qu’aucun opérateur n’a d’intérêt à ce que ses clients soient visés par des attaques informatiques. On compte beaucoup sur l’effet incitatif de la mesure, les opérateurs ont un intérêt commercial à proposer ce type de service à leurs clients. »
Si ces politiques constituent des éléments fondamentaux en matière de cybersécurité au sein de l’Hexagone, le gouvernement souligne qu’elles ne représentent pas un point d’arrivée, mais plutôt une étape importante dans « la construction d’un espace numérique de confiance en partenariat et au bénéfice des citoyens, des institutions et de l’ensemble des acteurs qui participent au dynamisme économique, industriel, social et culturel [du] pays. »