Cyberdéfense et cybersécurité : l’enjeu de ce début de siècle

Du 27 novembre au 1er décembre Florian Bachelier participe à la European Cyber week, Forum International de la cyber-sécurité organisé à Rennes par le pôle d’excellence cyber. L’occasion de publier cette tribune de fond sur les enjeux de la cyberdéfense et la cybersécurité. 

Avec la cyberattaque dont l’Estonie, cet Etat balte très en avance dans le numérique, fut victime en 2007, nos nations ont pleinement pris conscience de l’extrême vulnérabilité des systèmes d’information. Avec l’explosion de la circulation des données et l’avènement de l’IoT (internet des objets), les entreprises ont réalisé qu’elles étaient également des cibles. La sécurité numérique, la sécurisation de la transition numérique, implique une vision intégrée qui, loin de distinguer, fonde un continuum du militaire à l’économique, du politique au citoyen.

Nous sommes au commencement d’un effort complexe qui implique tous les acteurs. Sur le plan de la défense, c’est-à-dire de la protection des infrastructures vitales de l’Etat et des opérateurs économiques sans lesquels une vie collective n’est plus possible, la France a su rattraper son retard et prendre un leadership fort en Europe. Entre le retour des politiques de puissance et la déstabilisation de l’ordre international, la défense implique, plus encore, la possibilité d’attaquer. La cyberdissuasion est ainsi également au cœur des enjeux, avec ses problèmes propres : imputation de l’origine de l’attaque, riposte proportionnée, etc. Dans cet effort, la France peut compter sur ses alliances, au premier plan l’OTAN. La remontée en puissance de l’Alliance atlantique, notamment avec la Nato Communication and Information Agency (NCIA), s’est soldée par une sécurisation réelle des réseaux otaniens.

Aujourd’hui, les alliés doivent renforcer leur résilience nationale et développer des capacités opérationnelles, à l’OTAN de coordonner les réponses si elles devaient entrer dans le champ de l’article 5 de la charte. Le CyberPledge et la coopération avec l’Union européenne poussent également le renforcement de la cyberdéfense collective. Comprenant une clause de mesure des progrès effectués, tous les ans, pays par pays, le CyberPledge doit permettre d’entretenir une dynamique pour que les alliés, nous compris, continuent à progresser. L’harmonisation d’une hétérogénéité, particulièrement forte dans le domaine cyber, est essentielle. L’interconnexion croissante de nos économies, de nos réseaux, de nos intérêts, requiert une protection cohérente et globale.

Pour la France, le budget 2018 conforte cet effort prioritaire avec près de 400 postes supplémentaires pour la cyberdéfense et le renseignement. Le COMCYBER devrait pouvoir compter d’ici 2019 sur près de 2 600 « cyber combattants », soutenus par 4 400 personnels de la réserve cyber. Dans le cadre du redressement capacitaire et opérationnel de nos armées vers un budget à 2% du PIB à l’horizon 2025, voulu par le Président de la République, le cyber a une place essentielle.

Mais, nous commettrions une erreur en traitant les problématiques cyber comme un champ à part des questions de défense et de sécurité. Le cyber est partout et son utilisation à des fins malveillantes relève d’une hybridité totale. Nous l’avons vu en Ukraine, nous le voyons dans les opérations d’espionnage et les groupes de hackers sponsorisés par des puissances étatiques. La contrainte cyber doit ainsi venir irriguer chacune de nos politiques publiques. A l’Assemblée nationale, le Législateur doit ainsi s’emparer de ce sujet crucial et systématiquement relever la composante cyber des dispositifs qu’il adopte.

Plus largement, la cybersécurité de nos entreprises devrait nous préoccuper tout autant que notre cyberdéfense. C’est une question d’innovation, de compétitivité, d’emploi, en somme de souveraineté. Si les grandes entreprises disposent aujourd’hui de mesures visant à prévenir les intrusions et la compromissions, tant de leurs systèmes que de leurs données, les petites et moyennes entreprises, qui représentent la plus grande part de notre tissu économique, demeurent vulnérables. Sensibiliser à la cybersécurité, éduquer au risque économique que le cyber peut faire peser sur les comptes et l’activité d’une entreprise, est ainsi une priorité. Le dispositif OIV prévu par l’ANSSI comporte certaines excellentes mesures mais qui seraient trop lourdes pour des entreprises de taille moyenne. C’est donc à nous d’imaginer un « kit » de sécurisation, peu onéreux mais efficace, pour répondre à une faille dans notre sécurité. Nous ne pouvons le faire seul, là aussi l’horizon pertinent c’est l’Europe. Un seul chiffre devrait convaincre les sceptiques et les nationalistes : 99 % des cyberattaques sont transfrontalières. L’Europe est notre horizon de souveraineté numérique non parce que nous sommes béats devant le projet politique d’unification du continent, mais parce qu’il ne peut pas en être autrement. L’approfondissement du marché unique numérique est l’occasion pour l’Union d’harmoniser les régulations et les mesures applicables dans les Etats membres, en somme de mettre en place un socle commun, minimal, de cybersécurité. La directive Network and Information Systems (NIS) et le Règlement général sur la protection des données (RGPD) sont deux dispositifs qui démontrent l’effectivité et la pertinence de la législation européenne sur les questions cyber.

Pour conclure ce propos, la cyberdéfense et la cybersécurité sont donc bien l’enjeu de ce début de siècle car il en va de la souveraineté de la nation et de notre avenir économique. La transition numérique est un relai de croissance et d’emploi, sans sécurité et défense nous n’en tirerons qu’un parti imparfait. La mobilisation générale est donc nécessaire pour répondre à l’enjeu, nous hisser et nous maintenir au premier rang mondial.  »

Par Florian Bachelier, premier Questeur, député d’Ille-et-Vilaine, membre de la Commission de la Défense nationale et des Forces armées, membre de la CyberTaskForce.

Aux côtés d’Emmanuel Macron à Tallin, septembre 2017: revue des troupes de l’OTAN