C’est presque devenu une banalité que d’évoquer l’impact des technologies numériques sur nos sociétés et nos économies. Ces transformations sont désormais omniprésentes dans le fonctionnement de l’État, l’activité des entreprises et la vie quotidienne de nos concitoyens. L’innovation est aujourd’hui sur toutes les lèvres ; le « cycle du hype » n’en finit pas de raccourcir et il est possible de lever plusieurs millions d’euros sur un simple buzz. Pour ne citer que les progrès de l’apprentissage automatique et de l’intelligence artificielle, l’explosion de la virtualisation et les perspectives offertes par les réseaux 5G, tout porte à croire que nous sommes à l’aube de nouvelles révolutions.
Qu’elles soient en cours ou à venir, ces transformations sont avant tout synonymes de formidables opportunités. Mais fatalement plus notre société se numérise, plus elle s’expose aux risques inhérents à ces technologies. Les attaques informatiques sont désormais susceptibles de porter gravement atteinte à notre économie, aux intérêts de la défense et de la sécurité nationale et à la vie même de nos concitoyens. Les scénarios du pire ne relèvent déjà plus de la fiction : sans même évoquer les menaces d’origine étatique, de simples groupes isolés ont potentiellement les moyens de provoquer de véritables catastrophes.
La sécurité est donc une condition fondamentale à la réalisation des promesses sociales, économiques, citoyennes et démocratiques du numérique. Pour chacun d’entre nous, elle est une condition de la confiance que nous pouvons accorder aux technologies. Pour les États, la sécurité du numérique est devenue une composante majeure de leur sécurité nationale. Presque une condition de survie.
Si les capacités de cyberdéfense développées par la France visaient historiquement à protéger les systèmes les plus critiques et contrer les acteurs les plus menaçants, les frontières tendent à se déplacer. À l’heure de l’entreprise étendue et de l’interconnexion croissante des organisations, la sécurité d’un acteur sensible dépend dorénavant des éléments les plus faibles de son écosystème. Et cet écosystème est parfois très vaste, d’une grande complexité. Cette donne n’a pas échappé aux attaquants, qui cherchent désormais à exploiter les relations de confiance entre les organisations et leurs partenaires à leur profit en s’en prenant aux prestataires et aux sous-traitants pour atteindre leurs cibles principales.
Partout dans le monde, la cybercriminalité est par ailleurs en pleine explosion. Touchant indifféremment les organisations et les particuliers, cette forme de criminalité est amenée à s’installer durablement dans la prochaine décennie. C’est qu’elle est particulièrement lucrative : sur les dernières années, le butin de certains groupes criminels avoisine ou dépasse le milliard d’euros.
La frontière entre la lutte contre la cybercriminalité et les considérations de sécurité nationale se fait ténue. Une attaque contre une petite ou moyenne entreprise serait naturellement appréhendée sous l’angle de la cybercriminalité. Mais quid, par exemple, d’un rançongiciel qui toucherait des milliers de PME sur l’ensemble du territoire ?
Dans ce contexte de menace croissante, la maîtrise du cyberespace devient l’une des clés de puissance dans le monde à venir.
C’est déjà une priorité stratégique pour les grandes puissances mondiales, qui mobilisent tous les moyens techniques, opérationnels, diplomatiques et juridiques pour asseoir une forme de supériorité, voire de suprématie, dans ce nouvel espace. On assiste alors à la consolidation d’un premier cercle de cyber puissances, condamnant l’ensemble des autres États à une forme de vassalité.
Dans le même temps, les géants privés du numérique, dont la dernière décennie a marqué l’avènement fulgurant, ne sont pas en reste. En majorité chinois et américains, ceux que l’on surnomme « Big Tech » en raison d’une taille critique et d’une puissance financière sans précédents ambitionnent désormais de parler d’égal à égal avec les États. Voire de contester certains monopoles régaliens, qu’il s’agisse de fournir une identité, de battre monnaie ou d’assurer la sécurité des biens et des personnes.
Reposant sur une vision globale et équilibrée de la cybersécurité portée par une agence placée sous l’autorité du Premier ministre, et une séparation stricte entre les missions de défense et de sécurité numériques, confiées en large partie à l’ANSSI, et les missions cyberoffensives, notre modèle confirme toute sa pertinence au bout de dix ans.
La vocation strictement défensive de l’Agence lui permet d’afficher une posture claire et non ambiguë devant ses interlocuteurs, entreprises ou administrations, victimes, assemblées parlementaires, chercheurs, médias, organisations non gouvernementales, pour jouer à plein temps un rôle de gardien et d’éclaireur dans les transformations numériques.
Ce modèle a en outre rendu possible la mise en œuvre de législations ambitieuses, souvent pionnières. Il en va ainsi du dispositif réglementaire de sécurisation des activités d’importance vitale qui a préfiguré un dispositif similaire de niveau européen et qui nous est envié en dehors de nos frontières. Les récentes évolutions législatives, qui ont permis d’accroître significativement les capacités de détection et de contrôle réglementaire de l’ANSSI, sont également rendues possibles par ce modèle protecteur.
La croissance consentie à l’ANSSI durant la dernière décennie, comme celle prévue pour les années à venir, traduisent la conscience élevée de nos autorités politiques face à l’ampleur du risque numérique. C’est également une marque de confiance importante. Après une première décennie de développement qui a permis d’occuper un rôle central dans la compréhension, la prévention et la réponse au risque numérique, l’ANSSI doit tirer le meilleur parti de cette croissance en cours et à venir.
Face au dynamisme et aux volontés hégémoniques de certaines puissances mondiales, l’écosystème français doit faire front. Les capacités et l’engagement des acteurs régaliens sont essentiels (et doivent le demeurer !), ceux-ci ne pourront assumer seuls l’objectif de confiance et de sécurité numériques. Plus que jamais, les acteurs publics doivent montrer la voie, susciter l’adhésion, fédérer, accompagner la prise en compte progressive de ces enjeux.
Source ANSSI