5 réflexions sur la transformation numérique (2/2)

Dans un précédent article, je commençais à livrer quelques réflexions sur la transformation numérique.

Après avoir touché du doigt les questions de l’apport du numérique à l’accès à la connaissance, à l’apprentissage et aux relations sociales, j’aborde ici des questions économiques, sociétales et plus… conflictuelles.


#3. Le numérique transforme l’économie, nos façons de créer, transmettre et capter de la valeur.

Évidemment, le numérique transforme profondément les métiers, le business, l’économie.

Les processus métiers se numérisent, permettant de créer et délivrer de la valeur plus vite, mieux, plus, plus loin.

Par ailleurs, le numérique permet l’émergence – ou la disparition ! – de nouveaux métiers, de nouveaux marchés, de nouveaux modèles économiques. Il change la façon dont la valeur se répartit entre les acteurs d’un écosystème ou d’une filière.

Les relations entre les acteurs changent le long de la chaîne de valeur : des acteurs prennent de l’importance, d’autres en perdent, de nouveaux apparaissent, certains disparaissent. Par exemple, dans une conception « classique » et non numérisée de la création littéraire, on peut distinguer grosso modo : un(e) auteur/trice en début de chaîne, une maison d’édition, une imprimerie, des distributeurs, des librairies. L’arrivée du numérique a « disrupté » certains acteurs de cette chaîne de valeur. On pensera évidemment à des géants comme Amazon, qui ont commencé par faire concurrence aux librairies… et qui remontent petit à petit la chaîne :

  • les livres électroniques, qui peuvent être consultés sur des liseuses comme le Kindle d’Amazon, s’attaquent au maillon « imprimerie » ;
  • Amazon Kindle Direct Publishing permet à des auteurs et autrices de s’auto-éditer, s’attaquant ainsi au maillon « éditeur ».

Reste un maillon : la création initiale du contenu. On pourrait imagine qu’Amazon s’arme d’auteurs et d’autrices « en propre » pour créer ses propres contenus… ou qu’une intelligence artificielle s’en charge ! 🙂

Amazon est à la création littéraire ce que Netflix est à la création de séries TV et de films. Initialement positionné sur le dernier maillon de la chaîne, la location de DVD, Netflix a également remonté la chaîne de valeur de son industrie, en allant aujourd’hui jusqu’à créer ses propres contenus.

La donnée joue un rôle essentiel dans l’ensemble de la chaîne de valeur : elle ajoute directement de la valeur, elle est la valeur transportée, elle permet d’optimiser la création de valeur. Elle amène aussi le client directement au sein de la chaîne de valeur : l’entreprise peut utiliser les données de ses clients à des fins commerciales, soit pour lui proposer des « meilleurs » produits, soit – de façon plus discutable – en revendant ces données à des tiers.

Un autre phénomène économique largement stimulé par le numérique est la « plate-formisation ». Pour faire simple, une « plate-forme » économique est un acteur économique qui met en relation (au moins) deux autres acteurs économiques. Le concept n’est pas nouveau – la bourse est un exemple de plate-forme – mais force est de constater que parmi les grands acteurs du numérique, un grand nombre agissent comme des plate-formes (ex : Airbnb, Amazon, Apple, Facebook, Google, Netflix, Twitter, Uber).

Dans la même veine, on remarque aussi que le concept « d’entreprise étendue » s’appuie également largement sur le numérique. L’entreprise étendue, qui est en fait un réseau d’acteurs économiques travaillant sur des projets communs, utilise ainsi par construction les effets de réseau et d’écosystème, que le numérique permet de façon évidente de catalyser.

S’agissant de la supply chain plus spécifiquement, on constatera aisément que le numérique démultiplie les possibilités : supply chains mondialisées, production délocalisée (facilitée par l’impression 3D) et pilotée en temps réel, lien entre le SI de production et le SI de planification, nouveaux marchés internationaux, passage de modèles de production « make-to-stock » (i.e. production générique stockée jusqu’à la commande par le client) vers des modèles « assemble-to-order » (i.e. stockage de produits génériques, assemblés à la commande du client) ou « make-to-order » (i.e. production au moment de la commande du client), etc.

Pour terminer, comment ne pas citer l’intelligence artificielle et les sujets qui lui sont connexes tels que l’apprentissage et l’automatisation ?

#4. Le numérique transforme nos sociétés et nos façons de vivre ensemble.

D’un point de vue sociétal, le numérique ne me semble pas toujours très simple à appréhender.

Les technologies – et notamment les technologies numériques – évoluent vite. Néanmoins, ces évolutions restent la plupart du temps assez rationnelles – presque prévisibles. Il y a bien quelques nouveautés qui peuvent surprendre, mais dans une vaste majorité des cas, les innovations technologiques sont assez incrémentales et « suivables ». Oui, l’intelligence artificielle et l’informatique quantique vont disrupter plein de choses… mais on en parle et on travaille dessus depuis des années, et on a probablement encore quelques années de travail devant nous avant d’avoir des choses fonctionnelles et réellement révolutionnaires.

Si l’évolution des technologies est rapide mais répond à une certaine logique, celle des usages numériques est, elle, un peu moins prévisible. En quelques mois, des usages « surprenants » peuvent apparaître et prendre des proportions surprenantes. La raison ? On n’est plus (seulement) dans le domaine de la recherche scientifique et technologique mais dans les comportements humains, individuels ou – encore plus complexes – de groupe. On n’est plus seulement sur un sujet de scientifiques mais également dans un sujet d’entrepreneurs, pour qui les technologies ne sont souvent qu’un outil pour « créer le contexte » et changer les « modèles mentaux » (sur ce sujet, voir par exemple l’ouvrage « Stratégie modèle mental » de Philippe Silberzahn et Béatrice Rousset). A titre d’exemple, pensons à Airbnb ou Facebook. Qui aurait vraiment pu prévoir, quelques années (voire quelques mois) avant la création de ces plate-formes que des millions de personnes allaient tout d’un coup être prêtes à accueillir des parfaits inconnus dans leur salon, ou à exposer une grande partie de leur privée à la vue de milliers/millions/milliards d’autres utilisateurs ?

Ce monde numérique évolue si vite qu’il est parfois compliqué de savoir quand « s’arrêter » pour prendre du recul sur son évolution. Il n’est pas toujours simple de distinguer les tendances qui seront structurantes, durables ou éphémères.

Du point de vue du régulateur, le numérique est un véritable challenge. Il lui faut, entre autres :

  • comprendre un sujet qui repose sur des sous-jacents fondamentalement techniques ;
  • comprendre/décider ce qui doit être régulé ;
  • trouver au moins une façon pertinente de le faire ;
  • expliquer son projet de régulation, notamment à travers un dialogue avec les régulés, et plus largement la société civile ;
  • agir concrètement ;
  • être capable de faire évoluer la régulation pour suivre les évolutions du numérique – ou produire une régulation qui soit assez robuste et intemporelle.

On en profitera pour rappeler ici que réguler ne signifie uniquement réglementer. Outre des leviers coercitifs, notamment réglementaires, le régulateur peut également faire de l’incitation (ex : conseils, guides, sensibilisation, information, etc.) et prendre à sa charge un certain nombre d’actions.

Ainsi, de la même façon qu’il y a désormais du numérique dans la plupart des métiers, le numérique s’invite également dans la plupart des politiques publiques : environnement, transports, urbanisme, santé, diplomatie, défense, politique industrielle, etc. Ceci plaide pour au moins deux choses :

  • la nécessité que les métiers et porteurs des différentes politiques publiques comprennent les enjeux liés au numérique ;
  • la nécessité d’une coordination interministérielle du sujet (incarnée en France, à l’heure où ces lignes sont écrites, par le secrétariat d’État chargé du numérique).

Du point de vue des citoyens et citoyennes, les enjeux sociétaux du numérique sont également nombreux. Ils commencent avec une problématique fondamentale : celle de l’inclusion numérique – la nécessité de donner accès à tous et toutes au numérique, et surtout aux opportunités qu’il permet. Ici, des sujets comme ceux de la numérisation de l’administration (à cet égard, lire cet excellent article de Côme Berbain, directeur des technologies numériques de l’État) sont cruciaux.

Enfin, un dernier aspect qui vaut la peine d’être mentionné sur le plan sociétal est probablement celui des considérations éthiques qu’emportent certaines applications numériques, comme l’intelligence artificielle. A titre d’exemple, lorsque l’IA conduira nos voitures autonomes, comment lui apprendrons-nous à décider, en situation d’urgence, entre des options, toutes aussi dramatiques les unes que les autres, qui consisteraient à :

  • rentrer dans un arbre, en prenant le risque de tuer les passagers du véhicule ;
  • foncer sur un groupe de piétons « d’un certain âge » ;
  • ou foncer sur quelques enfants ?

#5. Le numérique est aussi une source croissante de conflictualité stratégique.

Nous avons essayé d’aborder brièvement quelques-uns des passionnants enjeux cognitifs, sociaux, économiques et sociétaux emportés par le numérique.

Dans la plupart des cas, ces enjeux amènent des opportunités et des risques. Le défi majeur qui se pose à nous, à nos sociétés, à nos régulateurs, à nos gouvernements et à notre civilisation est de réussir à tirer le meilleur profit de ces opportunités et de maîtriser au mieux ces risques, pour que la transition numérique puisse se faire en confiance.

Or, force est de constater que l’espace numérique s’est illustré ces dernières années comme un lieu de conflits et de remises en cause. Plusieurs ingrédients historiques ont probablement contribué à cet état de fait :

  • le principe technique fondateur qui a prévalu à la création du réseau ARPANET (qui préfigurera notre Internet actuel) est la résilience de fonctionnement – pas la sécurité ;
  • d’un point de vue plus philosophique, les courants de pensée autour desquels s’est développé Internet sont : d’une part, l’esprit libertarien (cf. déclaration d’indépendance du cyberespace de John Perry Barlow, Wikipédia, Wired, Bitcoin, etc.), et d’autre part, un certain libéralisme économique.

Le cyberespace, espace « mondial », bien commun, est ainsi notamment un lieu peu régulé, où s’exprime une conflictualité de plus en plus marquée entre les États et la remise en cause de principes pourtant ancestraux tels :

  • que la notion « classique » de frontières – s’il est assez faux de dire « qu’il n’y a pas de frontières dans le cyberespace », il est clair que les frontières et limites – matérielles, logicielles et sémantiques – qui s’y trouvent sont complexes à appréhender ;
  • que le monopole de la violence légitime des États (théorisé par le sociologue Max Weber) – les outils cyber-offensifs étant de plus en plus simples d’accès et d’utilisation, et finalement peu régulés, il est courant de voir un nombre croissant d’acteurs, de tous types, s’en saisir ;
  • qu’un certain « ordre mondial« , régi par la théorie « classique » des relations internationales et le droit international, où les États – puis dans une certaine mesure les organisations internationales – jouent un rôle principal. La montée en puissance de certains acteurs privés, dont les produits et services sont devenus omniprésents dans l’espace numérique, voire absolument essentiels à sa simple existence, est de nature à remettre en cause cet ordre établi, en positionnant ces acteurs directement au cœur des discussions intergouvernementales sur la régulation et la stabilité stratégique du cyberespace. Comme le disait John Frank, VP pour les affaires européennes chez Microsoft : « we are the battlefied« .

Voilà pour ces 5 réflexions sur la transition numérique !

N’hésitez pas à interagir, de la façon qui vous conviendra le mieux, pour enrichir la discussion !

5 réflexions sur la transformation numérique (1/2)

Pour bien commencer cet article, il aurait probablement fallu définir le « numérique », passer un peu de temps sur sa passionnante histoire et expliquer également le concept de « transformation numérique ».

Autorisons-nous à couper dans les virages, en partant du principe que tous nos lecteurs et lectrices auront pu constater par eux/elles-mêmes à quel point la présence du numérique dans nos vies a cru ces dernières années/décennies, et à quel point cette tendance ne semble pas faiblir.

Fort de ce constat, je vous propose ici 5 morceaux de réflexions sur cette transformation numérique et ses impacts sur notre monde et nos vies.

Parce que je sais que le numérique a aussi considérablement réduit l’attention span des êtres humains 🙂 , je vous les livre en plusieurs articles.

Voici les 2 premières réflexions : sur l’accès à la connaissance, l’apprentissage et les relations sociales.


#1. Le numérique transforme notre accès à la connaissance et notre apprentissage.

Vous souvenez-vous de ça ?

La version papier de l’Encyclopædia Universalis

Ou encore de ça ?

Ces choses évoquent probablement un temps que les moins de 20 ans ne peuvent pas connaître. 🙂

Le numérique a radicalement changé la façon d’accéder au savoir et à la connaissance : presque tout semble désormais accessible en quelques clics, quasiment tout le temps et partout. Wikipédia offre un socle de connaissance « de base » extrêmement bien fourni. Pour tout le reste, il suffit de « googler/gougueuliser » (on en a même fait des mots à part entière…) ou de « qwanter » (j’avoue : personne ne dit ça pour le moment mais j’ai bon espoir de lancer le mouvement ! 🙂 ).

Un corollaire important de ce constat est que le numérique a également radicalement changé les enjeux autour de l’apprentissage.

A cet égard, j’étais frappé il y a quelques temps lors d’un échange avec un professeur de langue étrangère au collège, à qui je demandais s’il avait vu des évolutions de son métier permises par le numérique. Pour résumer, sur l’exemple des langues étrangères :

  • les élèves semblent aujourd’hui un meilleur accent et un meilleur vocabulaire. C’est normal : ils ont accès bien plus facilement à de bien meilleurs contenus que leurs prédécesseurs d’il y a 20 ou 30 ans. En 2019, on travaille la compréhension orale d’une langue étrangère grâce à des séries sur Netflix, à des vidéos sur YouTube et plus largement à des contenus vidéos et audios de vrais médias nationaux. A mon époque (antédiluvienne), on travaillait la compréhension orale avec des cassettes audio grésillantes et peu intéressantes… ;
  • en revanche, les élèves semblent aujourd’hui en plus grandes difficultés quand il s’agit d’apprendre, et notamment d’apprendre « par cœur ». Loin de moi l’idée de lancer un débat sur le « par cœur », sa pertinence et son futur souhaitable ou probable, mais il reste que l’apprentissage d’une langue passe très souvent par l’apprentissage d’un certain nombre de choses « par cœur », comme les conjugaisons, les verbes irréguliers, les prépositions, les déclinaisons, les genres des mots et autres joyeusetés. Cela vaut aussi, au passage, pour des choses aussi fondamentales que l’orthographe français ou les tables de multiplication. En effet, aujourd’hui « tout » peut être stocké dans un appareil électronique toujours à portée de main, ou éventuellement « trouvé » assez rapidement en quelques clics pourvu qu’on ait un peu de 3/4G : pourquoi s’embêter à apprendre par cœur ? D’ailleurs, combien de numéros de téléphone connaissez-vous encore par cœur ? 🙂

Pour continuer à exploiter l’exemple des langues, j’aurais très envie de vous demander : quelles langues étrangères conseilleriez-vous aux nouvelles générations d’apprendre ? Pour ma part, pour être un peu provocateur et susciter le débat, je proposerais bien : 1/ l’indétrônable anglais ; 2/ le Python 🙂 . J’en ferai peut-être un article dédié un jour…

Ces problématiques d’accès à la connaissance et d’apprentissage vont être de plus en plus centrales dans les années à venir, tant dans la vie personnelle des gens que dans leur vie professionnelle. Pour les organisations, outre la connaissance, la capacité à apprendre et à se transformer en conséquence deviendra – et est même déjà – un vrai facteur de différenciation, voire de survie. Pour tout cela, des sujets très « numériques » comme la donnée, le big data et l’intelligence artificielle seront parfaitement incontournables.

Au-delà de l’accès à la connaissance et de l’apprentissage, une vraie question va se poser avec de plus en plus d’acuité : celle de la qualité de l’information et de l’esprit critique de l’être humain vis-à-vis des informations auxquelles il est exposé.

A l’ère des chaînes d’information en continue, de l’information qui doit tenir en 140 caractères, de l’attention span humain désormais inférieur à celui des poissons rouges, des fake news et de la désinformation, un enjeu majeur se présente à nos systèmes éducatifs : former l’esprit critique des générations futures.

#2. Le numérique transforme les relations sociales.

Un angle d’approche simple de ce sujet est évidemment celui des réseaux sociaux. Si je devais capter l’attention d’un groupe à qui je ferais un exposé sur le sujet, je succomberais sans doute à la tentation d’un sondage facile : « qui parmi vous a au moins un compte Facebook, Twitter, Instagram ou LinkedIn ?« .

Lorsque j’intervenais dans les écoles d’ingénierie ou les instituts d’études politiques il y a quelques années, il y avait encore quelques irréductibles. Aujourd’hui quasiment plus.

Les réseaux sociaux amènent tout un tas de réflexions passionnantes. En tout état de cause, ils permettent beaucoup de choses :

  • conserver et entretenir des relations sociales existantes ;
  • transmettre et recevoir de l’information ;
  • donner une caisse de résonance à ce que l’on fait et ce que l’on pense ;
  • accéder à des nouvelles relations sociales, que l’on aurait peut-être eu du mal à créer dans le seul « monde physique ».

Ces apports sont réels et probablement très bénéfiques pour beaucoup de gens. Je tiens néanmoins à tenter une petite analyse des aspects moins « sympathiques » de ces environnements – parce que je l’avoue : je suis parfois un peu cynique comme garçon 🙂 .

Que ce soit dit néanmoins : je ne suis pas porteur d’un message fondamentalement « anti-réseaux sociaux ». Il me semble seulement que leur omniprésence dans nos vies témoigne probablement du fait que leurs apports sont bien visibles et assez évidents… et qu’il peut être intéressant de s’attarder un peu sur les côtés moins positifs.

Je commencerai par passer très rapidement sur les aspects liés :

  • à la colossale économie des données à caractère personnel qui s’est créée autour des réseaux sociaux (j’aurai l’occasion d’y revenir dans un article ultérieur) ;
  • et aux enjeux dits « d’enfermement algorithmique« . Pour résumer : quand Amazon vous recommande des livres sur la base de ce que vous avez déjà lu ou regardé, c’est probablement très pertinent au regard de ce que vous savez que vous aimez déjà… mais ça ne vous aide probablement pas à sortir complètement de « votre monde ». Ce phénomène est également vrai quand sur votre « mur » ou votre « timeline » n’apparaissent que des sujets qui vous sont familiers.

Ces aspects sont indéniablement importants, mais je souhaitais mettre particulièrement en avant une idée qui me semble structurante quant à la vie sur les réseaux sociaux : chacun(e) s’y met en scène en montrant ce qu’il/elle a envie – consciemment ou pas – de montrer.

Ce qui est probablement assez inquiétant, c’est que cela est susceptible de créer une vie sociale basée sur une représentation très biaisée de ce que font, pensent et vivent les autres. En fonction des personnalités, les utilisateurs/trices peuvent soit chercher à montrer les aspects sympathiques de leur vie, soit les aspects qui le sont moins (pour celles et ceux qui cherchent à être plaint(e)s). Très peu – voire aucun(e) – ne captureront la réalité de leur vie dans les « bonnes » proportions. Même si votre vie est vraiment géniale et que vous ne cherchez pas intentionnellement à mettre en scène un avatar extrêmement positif de vous-même, vous ne serez de toute façon capables de n’en montrer que quelques pourcents en ligne – sauf à ce qu’exposer votre vie quotidienne soit votre métier – et clairement vous n’exposerez que ce qui est saillant/intéressant/cool/populaire.

Pour illustrer ceci, j’écrivais récemment à un ami : « si je racontais sincèrement ma journée d’aujourd’hui, il n’y aurait probablement rien du tout qui aurait sa place sur un réseau social, quel qu’il soit. Et pourtant, j’ai passé une plutôt bonne journée. Une journée très normale. Trop normale peut-être.« 

Ce phénomène de la création d’un avatar (un peu ou beaucoup) idéalisé de soi-même engendre d’autres tendances sociologiques notables : le sentiment d’être « seul(e) mais avec plein de gens« , la publicisation de la vie privée et la montée de l’individualisme, une forme de concurrence (qui vient avec toutes sortes de stress et d’angoisses) entre les individus, etc.

A certains égards, les réseaux sociaux jouent sur un terrain sur lequel beaucoup d’acteurs de l’économie numérique se retrouvent : l’économie de l’attention. Dans un monde dans lequel vous pouvez être connecté(e) en permanence et où la quantité d’informations qui s’offre à vous est littéralement infinie, une quête stratégique de tout acteur qui veut exister dans le monde numérique est celle de votre attention. Reed Hastings, le PDG de Netflix, résumait cela très bien en 2017 lorsqu’il expliquait qu’il était en concurrence avec… le sommeil. Dans un monde où l’attention est le Graal, ce qui sort du lot, est visible et se propage n’est pas nécessairement ce qui est vrai ou intéressant, mais ce qui se « consomme » bien, ce qui est populaire/viral/voyeur/choquant/extraordinaire. (Au passage, si vous êtes parvenu(e)s jusque-là, c’est que vous m’avez déjà offert énormément de votre attention : ne connaissant que trop bien sa valeur, je tiens à vous en remercier, très sincèrement !)

Un autre risque inhérent à la numérisation des relations sociales est celui de désapprendre aux gens à poser des questions à d’autres gens. Par exemple, si j’ai envie de savoir où travaille untel ou unetelle, je pourrai son nom dans la barre de recherche de LinkedIn. En fonction de son employeur, de son poste, de son ancienneté dans ce poste et de sa carrière précédente, je déduirai probablement (vraisemblablement inconsciemment) plein d’informations comme : une estimation de ses revenus, les codes du monde professionnel dans lequel il/elle évolue, son attachement à une entreprise ou cause particulière, son recul sur son employeur et sur sa propre carrière, ses « drivers » professionnels (argent, prestige, impact, stabilité, etc.), etc. C’est tellement « simple » (en tout cas en apparence) : pourquoi lui demander de vive voix ?

Ma propre expérience – qui, je le concède, est très peu représentative – m’a amené à observer que finalement, les gens tendent à se poser peu de vraies questions. Peu creusent pour de vrai. Il est aujourd’hui tout à fait possible de passer des soirées entières avec des gens, d’en savoir (ou de croire en savoir) beaucoup sur eux, et pourtant de ne rien leur demander. C’est inutile : tout est sur Facebook, Instagram et LinkedIn – en permanence. Poser une question peut parfois même être perçu comme socialement « bizarre » : c’est ne pas être au courant d’une information que « tout le monde » peut avoir.

Un corollaire de ce phénomène est celui de la normalisation par les réseaux sociaux de ce qu’il est acceptable ou non d’aborder. Ce qui est en ligne peut implicitement être compris comme ce que quelqu’un accepte de raconter aux gens. L’interroger sur quelque chose qu’il/elle n’a pas spontanément posté en ligne, c’est rentrer dans sa « vraie » vie privée…

Un dernier aspect que je souhaite développer sur ce sujet est celui du risque de la création, par les réseaux sociaux, d’une normalité sociale pas toujours souhaitable :

  • il peut évidemment s’agir de normaliser ce qu’il est souhaitable de penser. Il me semble que ce point est assez intuitif pour que je me passe de le commenter davantage ;
  • il peut également s’agir de normaliser ce qu’il est souhaitable d’accomplir : qui n’a par exemple pas dans ses contacts un(e) ami(e) qui a récemment pris un congé sabbatique pour partir faire un « tour du monde » ? Même si je prends moi-même beaucoup de plaisir à voyager, on est en droit de s’interroger : faire le tour du monde est-il une fin en soi ? faire le tour du monde est-il un accomplissement possible – voire souhaitable – pour tous les êtres humains ?
  • enfin, il peut s’agir de normaliser des façons de se comporter. Par exemple, le nom même d’un réseau « social » ne nous invite-t-il déjà pas, d’une certaine manière, à être « sociables » ? et être « sociable » dans ce cadre, n’est-ce pas avoir des choses impactantes à raconter et à montrer ? Si j’adore passer de longues heures seul dans mon salon à lire des livres, quelle place me sera réservée dans ces endroits ?

Suite et fin au prochain épisode !

Une brève histoire de la cybersécurité française (partie 4 : de 1970 à 2010)

Voici le quatrième article de notre « brève histoire de la cybersécurité française ». Après un premier article sur la période allant de l’invention de l’imprimerie à la fin de la Première Guerre mondiale, un deuxième s’intéressant à l’entre-deux-guerres et à la Seconde Guerre mondiale, et un troisième sur les années 50 et 60, voici la suite et la fin de notre dossier, qui retrace la période allant des années 70 au début des années 2010.


#8. Les années 70

Après les premiers travaux sur la commutation de paquets et les réseaux informatiques, le programme ARPANET – premier réseau à transfert de paquets, développé par la DARPA – voit le jour aux Etats-Unis à partir de 1966. Son premier lien est établi fin 1969. Cœur technique du futur Internet, son but initial est de faciliter les télécommunications entre chercheurs (une synergie est vite trouvée avec une recherche de résilience en cas d’attaque nucléaire…). Parmi les principes fondateurs d’ARPANET, la connectivité, la distribution et la déconcentration prennent largement le pas sur les questions de sécurité, malgré des avertissements comme celui lancé dès 1967 par Willis Ware sur les dangers potentiels de la réticulation.

ARPANET, entre 1969 et 1977

En France, l’essor d’ARPANET crée un engouement pour la notion de réseau informatique. En 1971, Louis Pouzin réunit une petite équipe pour conduire le projet Cyclades, destiné à créer un réseau global de télécommunication basé sur la commutation de paquets. Abandonnés en 1978, les travaux menés par Pouzin inspireront néanmoins ceux portant sur le développement d’Internet – avec l’invention notamment en 1973 du datagramme.

Louis Pouzin

Plus spécifiquement, dans le domaine du Chiffre français, André Cattieuw, arrivé au STC-CH en 62, succède en 1976 au général André Muller à la tête du service. L’année suivante, par le décret du 8 mars 1977, le STC-CH deviendra le Service central des chiffres et de la sécurité des télécommunications (SCCST), toujours sous autorité du SGG. Est créée par ailleurs la Commission interministérielle des chiffres et de la sécurité des télécommunications (CICST).

Ce changement de nom traduit la prise en compte d’une réalité qui s’était installée progressivement : l’interpénétration du Chiffre et des transmissions. Passant successivement du « crayon/papier » aux matériels mécaniques et électromécaniques puis électroniques, les moyens de chiffrement avaient fait des progrès considérables sur les décennies précédentes. Cette évolution a amené progressivement les domaines du Chiffre et des télécommunications à se rapprocher. Les autorités de l’époque prennent acte de leur interdépendance croissante et irréversible qui, au-delà d’une simple évolution des moyens mis en œuvre, appelait également une révision significative des doctrines d’emploi et de sécurité du Chiffre.

Le SCCST se voit confier un panel de missions de plus en plus larges :

  • coordination interministérielle (et notamment le secrétariat de la CICST et de sa sous-commission « Cryptologie », qui se réunissait alors mensuellement) ;
  • exploitation (et notamment la fabrication de clés cryptographiques pour les départements civils et militaires) ;
  • études et recherches cryptologiques et techniques ;
  • formation des personnels (via le CECS) ;
  • contrôle du commerce et de l’exportation des matériels de chiffrement ;
  • relations internationales en matière de Chiffre.

Le service, basé 57 boulevard des Invalides, compte alors entre 40 et 50 agents, issus du SGG, des armées et du ministère de la coopération. Le CECS peut compter par ailleurs sur des liens universitaires.

#9. Les années 80 et 90

En décembre 1980, une décision du Premier ministre, Raymond Barre, met en place une enceinte de coordination de haut niveau, le Directoire de cryptologie, pour « permettre au Gouvernement dans le domaine du Chiffre et de la sécurité des communications de se saisir de problèmes essentiels. »

Malgré toutes ces évolutions, le Service rencontre beaucoup de difficultés pour recruter son personnel. Le SGG demande alors un audit, effectué par le vice-amiral d’escadre Bernard Klotz. L’audit confirme la prise en compte des nouvelles tendances que sont « l’essor de l’informatique et de la téléinformatique, le développement des télécommunications numériques et l’apparition de services nouveaux comme le Minitel, la télévision à péage ou la carte à puce [inventée en 1974 par le français Roland Moreno]. »

Un Minitel

Des constats importants sont également faits quant à la cryptographie :

  • longtemps cantonnée essentiellement aux domaines militaires et diplomatiques, la cryptographie se répand progressivement dans la société civile (carte à puce, télévision à péage, échanges bancaires, etc.) ;
  • les technologies de l’époque permettent de réaliser des moyens de chiffrement à la fois puissants et bon marché ;
  • la cryptologie, alors qu’elle avait longtemps considérée comme une discipline autonome, est désormais une composante d’une discipline plus large, la sécurité informatique, que l’on ne tarderait plus à appeler « sécurité des systèmes d’information » (SSI).
Un des premiers prototypes de carte à puce, réalisé par Roland Moreno en 1975

Ainsi, en mars 1986, plusieurs textes réglementaires sont publiés pour créer :

  • le Directoire de la sécurité des systèmes d’information (DSSI) ;
  • la Délégation interministérielle pour la sécurité des systèmes d’information (DISSI) ;
  • le Service central de la sécurité des systèmes d’information (SCSSI) ;
  • la Commission interministérielle de la sécurité des systèmes d’information (CISSI) ;
  • et le Centre d’études supérieures de la SSI (CESSSI).

Dans les faits, la plupart de ces structures succèdent à des entités déjà existantes (SCCST -> SCSSI ; CICST -> CISSI ; CECS -> CESSSI).

Le Directoire de la SSI est placé auprès du Premier ministre et présidé par le SGG. Il est chargé de proposer la politique à suivre pour la SSI et d’en contrôler l’application. Il réunit deux fois par an des représentants des ministres chargés des finances, des relations extérieures, de la défense, de l’intérieur, de l’industrie, de la recherche et de la technologie, et des PTT. Prennent également part au DSSI : le chef de l’état-major particulier du Président de la République, le chef du cabinet militaire du Premier ministre, le SGDN, le DISSI (qui en assure le secrétariat) et le chef du SCSSI.

La Délégation interministérielle pour la SSI, seule entité vraiment nouvelle, est rattachée d’un point de vue administratif et budgétaire au SGG. Elle assure le secrétariat du DSSI et la présidence de la CISSI, et dispose de la SCSSI. Elle propose les mesures SSI « que l’intérêt national rendrait souhaitables » et coordonne l’activité des compétences françaises en SSI – essentiellement au sein de la Défense, des PTT et de la SCSSI. Elle s’intéresse aux domaines de la sécurité des communications, de la cryptologie, de la protection contre les rayonnements compromettants et de la sécurité logique. C’est une structure légère, composée d’un délégué et de deux adjoints (l’un proposé par le ministère de la défense, l’autre par celui des PTT). Le vice-amiral d’escadre Klotz devient le premier DISSI à compter de mars 1986. L’ingénieur général des télécoms Jacques Vincent-Carrefour lui succédera, de 1987 à 1996. Le colonel André Cattieuw, jusque-là chef du SCCST, devient l’un des adjoints du DISSI – jusqu’en 1993.

Le vice-amiral d’escadre Bernard Klotz
L’ingénieur des télécoms Jacques Vincent-Carrefour

Le SCSSI succède au SCCST. Cette nouvelle appellation s’inscrit dans la continuité du précédent changement de nom du service : il s’agit de traduire sa prise en compte de tous les aspects de la SSI. Le SCSSI évalue le niveau de protection des SI de l’Etat, participe aux activités de recherche, coordonne les études et développements dans le domaine de la SSI, contrôle les exportations des matériels de chiffrement, entretient des relations internationales dans le domaine de la SSI, etc. Le CESSSI lui est par ailleurs rattaché. Le premier chef du SCSSI est l’ingénieur de l’armement Pierre Mary.

Les 10 années qui suivront seront le théâtre d’un certain nombre de péripéties administratives logistiques :

  • en 1987, à la suite d’un audit demandé par le Premier ministre, la DISSI et le SCSSI sont rattachés au SGDN. La SCSSI est par ailleurs répartie géographiquement entre le boulevard des Invalides et le fort du Kremlin-Bicêtre ;
  • en 1990, le SCSSI se regroupe dans un bâtiment construit dans l’enceinte du fort d’Issy-les-Moulineaux ;
  • en 1993, la DISSI et le SCSSI sont de retour dans le giron du SGG ;
  • en 1996, la DISSI est dissoute (dans le cadre de la réforme de l’Etat et de l’allègement de ses structures), ses compétences sont transférées au SGDN, ses moyens répartis entre le SGDN et le SCSSI. Le SGDN préside le DSSI à la place du SGG et devient l’autorité chargée, au niveau interministériel, de mettre en œuvre la politique du Gouvernement en matière de SSI. Le SCSSI, quant à lui, est sous double tutelle du SGDN (pour l’emploi) et du SGG (pour la gestion). Il compte à ce stade environ 80 agents (ses homologues britanniques et allemands en comptent respectivement 370 et 335).

Sur cette période, les chefs successifs du SCSSI sont l’ingénieur de l’armement Michel Dages (1989-1995) et le général Jean-Louis Desvignes (1995-2000).

Le général Jean-Louis Desvignes

En parallèle, aux Etats-Unis, les années 80 constituent une période intéressante pour la prise en compte des enjeux cyber. Ainsi, en septembre 1984, le Président Reagan signe la NSDD-145, la National Policy on Telecommunications and Automated Information Systems Security. C’est la première fois qu’un président américain ou qu’une directive de la Maison blanche aborde la question de la cybersécurité. Au-delà de la prise de conscience, la question de la répartition des rôles se pose rapidement, dans une organisation nationale qui, outre la problématique du fédéralisme, ne sépare pas, comme en France les missions défensives et offensives. A cette époque, la seule entité réellement capable d’endosser des responsabilités de cybersécurité est la NSA, un service de renseignement désormais bien connu. Alors que la NSDD-145 désigne la NSA pour sécuriser les ordinateurs et serveurs américaines, cette disposition est rejetée par le Congrès, qui voit d’un mauvais oeil qu’un service de renseignement ayant vocation à intercepter les communications étrangères et ayant interdiction formelle d’espionner les citoyens US se voit confier une telle responsabilité.

Aux alentours de 1990, le SCSSI voit une évolution importante de ses missions : alors que les préoccupations initiales du service étaient essentiellement d’ordre gouvernemental, les aspects dits « commerciaux » prennent de plus en plus d’importance. Ceci se traduit notamment dans la loi 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, qui faisait un premier pas vers la libéralisation de la cryptologie. Si jusque-là les moyens de cryptologie étaient par défaut considérés comme des matériels de guerre, cette situation est devenue un cas particulier (i.e. ceux « spécialement conçus ou modifiés pour permettre ou faciliter l’utilisation ou la mise en œuvre des armes »). Dans les faits, les autorités françaises ont mené, entre 1990 et 1996, une politique facilitant l’accès des particuliers aux technologies de signature mais décourageant leur utilisation de moyens de chiffrement. L’essor d’Internet ayant largement répandu ces derniers, la posture française évolua encore. La loi sur les télécommunications du 26 juillet 1996 tenta ainsi, en s’appuyant sur un système de séquestre de clés cryptographiques auprès d’un tiers agréé par le Premier ministre, de favoriser encore la libéralisation de la cryptographie.

En parallèle, en 1997, le gouvernement du Premier ministre Lionel Jospin lance le Programme d’action gouvernementale pour la société de l’information (PAGSI). Dans son discours à l’Université d’été de la communication à Hourtin en 1997, le Premier ministre prend ainsi acte de « la généralisation de l’usage des technologies et des réseaux d’information », de « l’évolution technologique de plus en plus rapide, qui s’accompagne d’un développement exponentiel du marché » et de « la mondialisation des flux d’information ».

Deux ans plus tard, dans la continuité des travaux du comité interministériel pour la société de l’information de janvier 1999, Lionel Jospin prononcera, en août 1999, toujours à Hourtin, un discours fondateur pour la sécurité numérique française. De nombreuses décisions structurantes sont ainsi prises durant cette période :

  • la décision de libéraliser complètement l’utilisation des produits de cryptologie (sous réserve du maintien des contrôles à l’exportation), en passant notamment la limite de 40 à 128 bits ;
  • la transposition de la directive européenne de 1995 relative à la protection des données à caractère personnel ;
  • la prise en compte de la valeur probante des document numériques signés électroniquement ;
  • la création d’une capacité de cyberdéfense pour le compte de l’administration, le CERTA, qui sera rattaché au SCSSI, lui-même rattaché pleinement, courant 1999, au SGDN ;
  • l’accroissement des moyens techniques et humains affectés à la SSI, notamment le renforcement du SCSSI.

#10. Des années 2000 à nos jours

Outre le fameux « bug de l’an 2000 », l’entrée dans les années 2000 se fait sur fond d’attaques massives par DDoS envers des géants (ou futurs géants) américains du commerce électroniques tels que Yahoo!, Amazon et eBay, illustrant bien la dépendance de pans entiers de l’économie sur la disponibilité du réseau Internet. Alors que la problématique de la sécurité informatique était initialement portée sur la sécurité des messages échangés, on assiste petit à petit à l’essor des « cyberattaques » massives et visibles, avec des effets significatifs à l’encontre des systèmes.

En France, en juillet 2001 est créée la Direction centrale de la SSI (DCSSI), à la suite du SCSSI. Rattachée au SGDN, basée à l’Hôtel national des Invalides, et dotée alors d’environ 80 personnes, elle assure plusieurs grandes fonctions :

  • une fonction de stratégie et de régulation, en contribuant à la définition de la politique gouvernementale en matière de SSI ; en évaluant, certifiant et agréant les produits de sécurité ; en gérant les autorisations d’exportation ; en assurant les relations internationales en matière de SSI ; en analysant l’environnement technologique et industriel dans le domaine ;
  • une fonction opérationnelle, en évaluant les vulnérabilités et les menaces ; en donnant l’alerte ; en développant les capacités à les contrer et à les prévenir ; en assurant un rôle d’appui et de conseil au profit de l’administration ;
  • une fonction d’expertise, en développant l’expertise scientifique et technique dans le domaine de la SSI, pour l’administration et les services publics.

Son premier directeur est l’ingénieur des télécommunications Henri Serres, ancien directeur technique de la DGSE. C’est l’ingénieur des télécommunications Patrick Pailloux qui prendra sa suite en octobre 2005.

Henri Serres, premier directeur central de la SSI

Début 2007, une cyberattaque massive paralyse l’Estonie, sur fond de rivalités géopolitiques avec la Russie. L’Estonie ira jusqu’à invoquer l’article 5 du Traité de l’Atlantique Nord, qui prévoie l’assistance mutuelle aux Alliés en cas d’agression armée. Une cyberattaque menée contre un État et paralysant une partie de ses infrastructures peut-elle être considérée comme une agression armée ? Le cas échéant, quelle réponse prévoir ? Contre qui ? Si aucune suite ne sera donnée à l’époque par l’OTAN et les Alliés, les autorités françaises auront manifestement pris conscience de l’importance de ce qui sera désormais appelé le « risque cyber ». Preuve en est donnée dans le Livre blanc sur la défense et la sécurité nationale publié en 2008, qui place la SSI dans le « premier cercle » d’un « domaine de souveraineté, concentré sur les capacités nécessaires au maintien de l’autonomie stratégique et politique de la nation », aux côtés de la dissuasion nucléaire, des missiles balistiques et des sous-marins nucléaires d’attaque.

L’année suivante, en juillet 2009, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est créée. Toujours rattachée au SGDSN, elle succède à la DCSSI, en acquérant les statuts :

  • de « service à compétence nationale« , qui reconnaît son caractère opérationnel et lui permet de s’adresser notamment aux administrations centrales et déconcentrées sur l’ensemble du territoire national ;
  • et « d’autorité nationale de sécurité des systèmes d’information« , qui lui permet de continuer à exercer les missions confiées à la DCSSI mais avec une compétence propre donnée au directeur général de l’agence, qui peut signer des décisions au nom du Premier ministre et par délégation. En 2011, ce rôle d’autorité sera élargi à celui d’autorité de sécurité et de défense des SI.
Logo de l’ANSSI

L’agence intervient également officiellement dans la protection des infrastructures critiques de la Nation (concrètement : sur les systèmes d’information d’importance vitale (SIIV) des opérateurs d’importance vitale (OIV)). Ce sera l’objet d’importants travaux qui prendront corps notamment dans le Livre blanc sur la défense et la sécurité nationale de 2013, puis dans les dispositions de la Loi de Programmation militaire 2014-2019, promulguée la même année.

Livre blanc sur la défense et la sécurité nationale de 2013

En 2009, Patrick Pailloux devient le premier directeur général de l’ANSSI, rôle qu’il tiendra jusqu’en 2014. C’est Guillaume Poupard, un ingénieur de l’armement, qui prendra sa suite et encore à la tête de l’Agence à l’écriture de ces lignes…

Patrick Pailloux
Guillaume Poupard

Sur cette séquence très riche allant des années 70 au début des années 2010 peuvent être observées de nombreuses évolutions structurantes quant à la sécurité numérique française et mondiale :

  • l’interpénétration progressive et irréversible du Chiffre et des transmissions ;
  • l’apparition et le développement fulgurant de la mise en réseau de l’informatique, avec la création d’ARPANET puis l’essor d’Internet ;
  • l’essor des télécommunications et le développement des technologies numériques ;
  • l’arrivée du numérique et des enjeux de sécurité numérique dans la société civile et l’économie, au-delà de la seule sphère souveraine/régalienne/militaire ;
  • l’apparition des concepts de « SSI » puis de « cybersécurité » et de « cyberdéfense » – les deux derniers faisant écho à la recrudescence des cyberattaques ;
  • la prise en compte de la sécurité numérique comme un enjeu stratégique pour les Etats, non seulement au cœur de leurs stratégies de puissance mais également désormais partie intégrante de la conflictualité mondiale.

Notre dossier sur l’histoire de la sécurité numérique en France s’arrête ici, au début des années 2010, avec une sécurité numérique qui occupe désormais une place essentielle dans l’action publique, à la croisée :

  • des politiques publiques diplomatiques, industrielles et économiques,
  • des enjeux d’éducation et de formation,
  • des questions sociétales, juridiques et réglementaires,
  • et des problématiques de sécurité et de défense nationale.

Les lecteurs et lectrices intéressé(e)s par la décennie suivante pourront utilement se plonger dans un autre mini-dossier publié sur ce blog, « 2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà » :

La suite, c’est le futur de la sécurité numérique qui reste à construire !


Quelques sources utiles et accessibles en ligne qui ont inspiré cette série d’articles :

Également, quelques ouvrages :

  • Rémi Kauffer – Histoire mondiale des services secrets
  • Fred Kaplan – Dark Territory: The Secret History of Cyber War
  • Ouvrage de l’exposition « Le secret de l’Etat », tenue en 2015-2016 aux Archives nationales
  • Ouvrage de l’exposition « Guerres secrètes », tenue en 2016-2017 au musée de l’Armée

Enfin, l’auteur a eu la chance d’accéder à des travaux internes menés au SGDSN sur l’histoire de l’institution, ainsi qu’à certains documents conservés au Service historique de la Défense à Vincennes.

Une brève histoire de la cybersécurité française (partie 3 : de 1947 à 1970)

Cet article est la troisième partie d’une série d’écrits sur l’histoire de la sécurité numérique française : le premier couvrant une période allant de l’invention de l’imprimerie à la fin de la Première Guerre mondiale ; le second s’intéressant à l’entre-deux-guerres et à la Seconde Guerre mondiale.


#7. Les années 50 et 60

A la fin de la Seconde Guerre mondiale, la France est dotée d’une organisation du Chiffre qui posera les bases de la future organisation nationale de la cyberdéfense :

  • une séparation organique entre missions défensives et offensives,
  • et, pour la défense, une coordination au niveau interministérielle, avec la Direction technique des Chiffres (DTC) rattachée à l’Etat-Major de la Défense nationale (EMDN).

En 1947, il semblerait cependant que la DTC soit dissoute. Les modalités et raisons de cette opération sont peu claires mais il est possible qu’elles soient liées à des considérations administratives et budgétaires. Sans qu’un lien formel ne puisse à ce stade être établi, il est intéressant de « plonger » cette question dans le contexte politique de l’époque, post-libération, de réflexion sur le statut des fonctionnaires et des agents publics, qui sera formalisé par une loi parue en 1946. La coordination interministérielle du Chiffre semble à ce moment assurée par la section transmissions de l’EMGDN (successeur de l’EMDN).

En 1951, un décret du 4 janvier porte création d’une « commission interministérielle des chiffres » (CIC) et du « Service central technique du Chiffre«  (STC-CH), dans le giron du Secrétariat général du Gouvernement (SGG).

La commission a pour mission de coordonner et de contrôler les activités des services du Chiffre. Elle est présidée par le SGG et réunit les représentants des principaux ministères concernés. Elle s’appuiera sur les travaux de deux sous-commissions : une pour la Cryptologie et une pour les Affaires générales.

Le STC-CH, lui, assure les « travaux communs » et le secrétariat de la CIC. Son chef présidera la sous-commission « Cryptologie ». C’est au départ une structure très légère, de coordination, dotée seulement d’un chef et de deux adjoints. Dans les documents officiels établis au moment de sa création, trois noms sont cités : l’ambassadeur Philippe Grousset, chef du service du chiffre du ministère des affaires étrangères, qui sera ultérieurement (à compter de novembre 52) ambassadeur à Cuba ; le lieutenant puis capitaine de gendarmerie André Muller ; et le commandant Gerbaux, alors chef des transmissions gouvernementales au SGPDN (successeur de l’EMDN). Dans les faits, il semblerait que les nominations effectives des uns et des autres n’aient pas eu lieu immédiatement, et que seul le capitaine André Muller ait concrètement été affecté, comme chargé de mission à la Présidence du Conseil (SGG). André Muller jouera un rôle central pour le Chiffre français jusqu’à la fin de sa carrière, en 1976.

Ouvrage « Que sais-je ? Les écritures secrètes » d’André Muller, publié en 1971

Les années marquent le début de la Guerre froide. Ce climat géopolitique particulier, et plusieurs évènements plus spécifiques, auront des conséquences immédiates sur le Chiffre français. La crise de Suez, en 1956, est à ce titre particulièrement intéressant. Elle servira de révélateur pour les autorités françaises qui, comprenant qu’elles doivent se donner les moyens des ambitions internationales de la France, accentueront les efforts portés sur certains programmes liés aux enjeux de souveraineté. On peut citer évidemment le programme de dissuasion nucléaire mais également, et c’est moins connu, la filière française du Chiffre – et notamment son volet industriel.

Le SNLE « Le Téméraire »

En effet, à l’issue de la guerre, constat est fait que les moyens de chiffrement en place sont désormais inadaptés, notamment vis-à-vis des besoins modernes de communications et de l’essor des télétransmissions : dans les faits, des machines à chiffrer telles que la C-36 d’Hagelin, conçue au début des années 30, sont toujours en service . Les télécommunications relèvent du monopole des PTT, qui ne semblent pas toujours avoir conscience des enjeux liés à la confidentialité des communications. Il faut noter, par ailleurs, que si de gros progrès ont été réalisés durant la Seconde guerre mondiale dans le domaine du décryptement (notamment à Bletchley Park, dont les travaux sont qui plus est restés secrets longtemps après la fin du conflit, et était largement inconnus des autorités françaises), le monde du chiffrement/déchiffrement n’avait pas bénéficié du même essor.

C’est dans ce contexte qu’en 1957, sous l’impulsion notamment d’André Muller, un plan de modernisation des équipements de chiffrement est approuvé par la CIC. Après l’achat de la licence de fabrication de la machine CX52, il est décidé de lancer des travaux de conception d’une nouvelle machine à chiffrer, sous la forme d’un « concours national« . Chacune des trois armées y présente un projet :

  • « Myosotis » pour l’armée de terre, avec la CSF (qui deviendra plus tard Thomson-CSF puis Thales) ;
  • « Ulysse » pour la Marine, avec la SEA ;
  • et « Violette » pour l’armée de l’air, avec la SAGEM (qui donnera plus tard naissance au groupe Safran).

Ceci s’inscrit par ailleurs dans le cadre plus large de l’Alliance atlantique. L’intervention franco-britannique de 56 a en effet également mis en évidence l’inadéquation des moyens de chiffrement au niveau otanien. Au début des années 60, l’OTAN décidera ainsi du lancement d’un concours, similaire à celui lancé en France, afin de faire émerger, à l’horizon 1963, une nouvelle machine à chiffrer pour remplacer les matériels en place depuis plusieurs années. Quatre nations y participeront : les Etats-Unis (avec le KW-7), le Royaume-Uni (avec l’ALVIS), l’Allemagne (avec l’ELCROTEL) et… la France.

C’est le projet Myosotis qui est retenu au niveau français, et qui est soumis au concours de l’OTAN. La machine Myosotis est la première machine à chiffrer entièrement électronique, à base de transistors (inventés à la fin des années 40) au germanium. Elle est le résultat d’une coopération entre la CSF (industriel), la Délégation ministérielle pour l’armement (qui deviendra la DGA), le STC-CH et la sous-commission Cryptologie de la CIC.

La machine Myosotis

Si elle ne remporte pas le concours de l’OTAN (c’est l’ALVIS britannique qui est choisi par l’organisation en 63), la machine Myosotis recevra tout de même un agrément du comité militaire pour traiter de l’information classifiée de l’OTAN « à tous les niveaux ». Considérée par certains comme la « meilleure machine cryptographique de son époque », elle permet à la France de se placer dans le tout premier cercle des « puissances cryptographiques » au niveau mondial.

Agrément de Myosotis à protéger de l’information classifiée OTAN

Cet épisode aura pour vertus de doter la France :

  • d’une industrie nationale du Chiffre de premier rang, toujours existante aujourd’hui,
  • et d’une doctrine, notamment pour la conception et l’évaluation de produits cryptographiques.

En parallèle de la séquence Myosotis, les besoins grandissants en experts compétents en cryptographie conduisent les autorités à créer, en 1957, le Centre d’études cryptographiques supérieures (CECS), chargé de « former les spécialistes en cryptographie dont la France a besoin ». En 1962, le CECS est rattaché au STC-CH.

Dernier point important à signaler sur cette période : le lancement en 1966, par le président de Gaulle, du plan Calcul. La prise de contrôle, en 1964, de l’entreprise française Bull par l’américain General Electric conduit la première dans une situation où elle se trouve incapable d’investir dans les besoins de ses gros clients comme la Marine nationale ou EDF. Le gouvernement lance alors le plan Calcul, avec l’objectif de développer une industrie informatique nationale, dans la perspective de bâtir une industrie européenne. Cela entrainera notamment la création de l’IRIA (devenu depuis l’INRIA) et de la Compagnie internationale pour l’informatique (CII), qui in fine fusionnera avec Honeywell-Bull.


De cette séquence, on retiendra un certain nombre de points relativement structurants :

  • la plongée franche dans l’ère de l’électronique, à la suite des périodes du « papier/crayon », de la mécanisation et de l’électro-mécanisation ;
  • l’émergence du besoin d’évaluer les questions relatives aux rayonnements compromettants (le « TEMPEST »), au-delà des problématiques purement cryptographiques ;
  • l’arrivée de problématiques de politique industrielle dans le domaine du Chiffre : entre le début des années 30 et le début des années 50, quelques industriels (comme Hagelin) produisaient des machines à chiffrer et les vendaient aux armées. On voit ici apparaître une démarche d’origine politique : pour se donner les moyens de ses ambitions internationales et assurer correctement sa souveraineté, la France décide de faire produire des équipements de chiffrement (que l’on pourra souvent de « souverains ») par un industriel. Cela suppose notamment de mettre en place une coopération efficace entre pouvoirs publics et industriels, de réfléchir à une logique de financement, d’intégrer des logiques de marché et d’envisager des problématiques d’export ;
  • le rôle intéressant de l’OTAN, dont la nature militaire l’amènera à être la première organisation internationale à se saisir franchement des problématiques de Chiffre puis de sécurité informatique. Dans la séquence, l’OTAN aura joué un rôle de stimulateur, de créateur d’émulation, et permettra également de fournir un marché export à une filière industrielle du Chiffre pointue… mais coûteuse ;
  • l’émergence de problématiques d’exportation. Le coût de conception et de production des nouvelles machines à chiffrer électroniques conduit les industriels à rechercher des marchés au-delà des seuls marchés domestiques. Or, il est indéniable que ces équipements sont basés sur des technologies sensibles, dont la maîtrise et l’implémentation mettent en œuvre des savoir-faire rares. C’est à cette époque que les premières questions relatives à l’exportation des produits cryptographiques semblent se poser. Elles amèneront notamment les autorités françaises à considérer les équipements cryptographiques comme des « matériels de guerre », avec toutes les mesures de contrôle d’exportation subséquentes.

Le prochain épisode très bientôt !

Une brève histoire de la cybersécurité française (partie 2 : de 1918 à 1947)

Cet article est la suite d’un premier écrit sur l’histoire de la sécurité numérique française, couvrant une période allant de l’invention de l’imprimerie à la fin de la Première Guerre mondiale.


#5. L’entre-deux-guerres

La fin de la Première Guerre mondiale est l’occasion de tirer un certain nombre de leçons.

En mars 1919, une étude du 2e bureau du GQG portant sur « l’organisation du 2e bureau » s’interrogera notamment sur l’organisation du Chiffre en France, en lui reconnaissant deux grandes fonctions : le chiffrement/déchiffrement des messages d’une part, en lien avec les services de courrier ; et le décryptement et l’exploitation d’autre part. Cette étude, qui ne semble pas avoir donné lieu à des restructurations significatives, mettra en avant l’importance du décryptement pour le renseignement, l’ampleur des besoins en ressources (et notamment en ressources humaines bien formées), la question de la séparation entre le chiffrement/déchiffrement et le décryptement, ainsi que la distinction entre direction et exécution du Chiffre.

Plus largement, au niveau politico-stratégique, le Conseil supérieur de la défense nationale (CSDN) est réactivé en mars 1920 afin de tirer les enseignements du conflit qui vient de s’écouler. Prenant acte d’un manque d’anticipation et de préparation du dispositif français, les autorités décident, en novembre 1921 de créer un secrétariat général (pour la première fois permanent) du Conseil supérieur de la défense nationale (SG-CSDN).

Marcel Givierge était parti de la section chiffre du GQG en 1915 pour prendre un commandement. Il est de retour en 1921 pour prendre la suite du colonel Cartier à la tête de la section chiffre du ministère de la Guerre – qui quittera le cabinet du ministre pour rejoindre l’Etat-major des armées – et y restera jusqu’en 1927.

Dans les années 20, le CSDN perdra progressivement de son influence, à mesure de ses élargissements successifs. Le SG-CSDN devient, en février 1929, le Secrétariat général de la défense nationale (SGDN) et est rattaché au sous-secrétariat d’État à la présidence du Conseil. Le chef de bataillon Charles de Gaulle y sera affecté entre 1931 et 1936. Cette expérience, qui l’amènera notamment à assurer le secrétariat du CSDN, lui permettra sans aucun doute de faire significativement mûrir sa vision des questions politico-militaires, prenant conscience de la place occupée par le politique dans le domaine de la défense nationale.

Notation du commandant Charles de Gaulle au SGDN

Les années 1930 sont le théâtre d’une révolution importante : l’automatisation du Chiffre par des machines mécaniques et électro-mécaniques. La fameuse machine Enigma apparaît en Allemagne au milieu des années 20, avec plusieurs versions commerciales et d’autres adoptées par les différents corps de l’armée allemande.

Machine à chiffrer Enigma à 3 rotors

La machine Enigma n’est toutefois pas seule sur le marché des machines à chiffrer : l’industriel suédois Boris Hagelin fera ainsi fortune en vendant ses machines B-211, C-35, C-36 ou encore C-37 à différentes armées, dont l’armée française.

Machine à chiffrer C-36

La Pologne, indépendante depuis 1918, se sent menacée par ses voisins allemands et soviétiques. Prenant conscience de l’importance du chiffre dans les conflits, l’état-major de l’armée polonaise crée, en 1929, un cours secret de cryptographie pour les étudiants en mathématiques de l’université de Poznań (on apprendra plus tard qu’il était basé sur le livre de cryptographie publié par Marcel Givierge en 1925 !). Trois étudiants se font remarquer et intègrent le Biuro Szyfrów, le bureau du chiffre du renseignement militaire dirigé par Gwido Langer, créé en 1931 par fusion du bureau de renseignement transmissions et du bureau de cryptographie de l’état-major. Marian Rejewski, Jerzy Różycki et Henryk Zygalski s’affaireront ainsi entre 1931 et 1939 à essayer de « casser » Enigma.

Henryk Zygalski, Jerzy Różycki et Marian Rejewski

En France, fin 1930, le capitaine Gustave Bertrand devient chef de la section D (déchiffrement et interception) du 2e bureau, le service de renseignement de l’armée. Fin 1931, un employé au bureau du chiffre du ministère de la Reichswehr (l’armée allemande), Hans-Thilo Schmidt, entre en contact avec le service de renseignement français. Il lui fournira de précieuses informations jusqu’à son arrestation, en 1943. Fin 1932, Bertrand fournira aux Polonais des copies de documents allemands obtenus via Schmidt (aussi appelé « HE », « Asché » ou « Source D »), notamment des manuels de la machine Enigma et des pages de clés.

En février 1935, une nouvelle « commission interministérielle du chiffre » est créée. Aucune trace de son activité n’a été retrouvée.

Jusqu’à 1938, les Polonais du Biuro Szyfrów mettront au point plusieurs techniques visant à cryptanalyser les messages chiffrés par Enigma. Zygalski concevra les « feuilles de Zygalski« , des jeux de feuilles perforées pour chacune des six séquences initiales possibles d’insertion des trois rotors d’Enigma. En fonction des données d’entrée recueillies, les feuilles sont superposées et déplacées selon une séquence précise, limitant progressivement le nombre de perforations visibles. N’avoir plus qu’un trou visible procure ainsi assez de paramètres pour calculer la clé utilisée.

Feuille de Zygalski

Rejewski, quant à lui, ouvre la voie fin 1938 à une nouvelle rupture importante : l’automatisation mécanique de la cryptanalyse. Pour cela, il termine de mettre au point une « bombe cryptologique« . L’appareil électromécanique est conçu pour casser Enigma, en appliquant un test sur toutes les combinaisons de rotors possibles, successivement, faisant apparaître un nombre limité de possibilités.

Une bombe électromécanique, reconstruite à Bletchley Park

En 1939, dans un contexte de tension croissante et afin de les sauvegarder de l’invasion allemande imminente, les Polonais transmettent l’ensemble de leurs travaux aux Français et aux Britanniques. En particulier, en juillet 1939, lors d’une conférence tripartite entre Français, Polonais et Britanniques, les Polonais apportent une copie de la machine Enigma pour chacun des 2 autres partenaires. Ils n’avaient jusque-là pas informé leurs deux homologues des avancées significatives dans leurs travaux. Ces derniers, encore méconnus du grand public à ce jour, joueront un rôle capital dans les années suivantes.

#6. La seconde guerre mondiale

Septembre 1939 : l’invasion de la Pologne par l’Allemagne provoque l’entrée en guerre du Royaume-Uni et de la France, amorçant ainsi le second conflit mondial. Entre septembre 39 et mai 40 se déroule la « drôle de guerre« . Toutefois, si le conflit se tient alors sans combats majeurs sur le champ de bataille, la lutte du chiffre, elle, bat son plein.

Les questions de chiffre sont alors essentiellement organisées autour de 3 pôles : la section chiffre de l’EMA, le GQG et le PC Bruno. A la mobilisation, un certain commandant Jean Joubert des Ouches prend la direction de la section chiffre du GQG. Nous le retrouverons un peu plus tard…

Le commandant Bertrand prend, en octobre 1939, le commandement du « PC Bruno« , basé au château de Vignolles. Cellule dédiée au décryptement et rattaché au Service de renseignement (SR) militaire , le PC Bruno réunit des cryptologues français mais également les Polonais du Biuro Szyfrów – fermé au moment de l’invasion allemande – et des Espagnols travaillant sur les codes italiens et franquistes. Il coopérera avec le Government Code and Cypher School (GC&CS) britannique, fraîchement installé à Bletchley Park. En janvier 40, les Polonais du PC Bruno réussissent la première cryptanalyse de messages Enigma en temps de guerre, à l’aide des feuilles de Zygalski.

Gustave Bertrand au PC Bruno, en 1939-40

Le 10 mai 1940, l’offensive allemande sur les Pays-Bas, la Belgique, le Luxembourg et la France signe la fin de la drôle de guerre. Paris est occupée le 14 juin, le gouvernement de Pétain signe l’armistice avec l’Allemagne le 22 juin. La France est scindée en deux : une zone sous occupation allemande et une zone libre, au sud. Elle se voit interdire d’organiser des services spéciaux. Le SGDN sera dissout fin juillet. Le gouvernement de Pétain s’établit à Vichy. Le général de Gaulle, pour sa part, a rejoint Londres, et lance son célèbre appel le 18 juin.

Le 18 juin 1940, le général de Gaulle lance son célèbre « appel ».

Durant la séquence de mai-juin 40, la « cote » du chiffre descend : l’afflux des messages provoque erreurs, retards, et fatigue ; le chiffre n’est pas présent aux PC avancés/tactiques ; les messages décryptés sont souvent obsolètes.

Le PC Bruno est fermé en juin, puis transféré au PC Cadix, en zone libre. Formellement, Bertrand reste un officier loyal au régime de Vichy, mais une partie de ses activités n’est pas connue du gouvernement pétainiste.

Les membres du PC Cadix

En parallèle, Louis Rivet, chef du SR depuis 1936, prononce fin juin 40 le serment de Bon-Encontre, qui jette les bases d’une organisation clandestine des services spéciaux de l’armée d’armistice. Placé sous l’autorité de Rivet, le Bureau des Menées antinationales (BMA), admis par la convention d’armistice et censé assurer la protection de l’armée, permettra de couvrir les actions clandestines d’autres structures : le SR Guerre (futur « réseau Kléber« ) du lieutenant-colonel André Perruche ; le service de contre-espionnage offensif du capitaine Paul Paillole, sous la couverture de l’entreprise des « travaux ruraux » (TR) ; le SR Air du colonel Georges Ronin.

A Londres, de Gaulle crée début juillet 40 un service de renseignement, le « deuxième bureau », au sein de l’état-major de la France libre, dont il confie la direction à André « Passy » Dewavrin. Le deuxième bureau deviendra le « SR » en avril 41 puis le « bureau central de renseignement et d’action militaire » (BCRAM) en janvier 42. En septembre 42, le BCRAM devient simplement le BCRA.

André « Passy » Dewavrin

A partir de 1941, les Britanniques donnent un nom officiel aux travaux secrets menés à Bletchley Park : c’est le programme « Ultra« . Depuis le début de la guerre, le GC&CS s’y est pleinement saisi de la problématique de la guerre du chiffre, affectant des moyens considérables à cette tâche. A Bletchley Park, à l’image de la démarche polonaise du début des années 30, les Britanniques recrutent de brillants mathématiciens, dont le célèbre Alan Turing.

Alan Turing en 1938

S’attelant à poursuivre et à améliorer les travaux initiaux des Polonais, les Britanniques reproduiront notamment les feuilles de Zygalski, mettront en service leur propre « bombe » et travailleront à la conception du premier calculateur électronique basé sur le système binaire – le Colossus. En coopération avec le PC Bruno, les Britanniques réussiront à décrypter de nombreux messages allemands. On estime le ratio de répartition des découvertes de clés journalières à 80% au GC&CS et 20% au PC Bruno, ce qui illustre l’importance donnée au gouvernement britannique de l’époque à la guerre du chiffre, dont les détails resteront secrets encore de nombreuses années après la fin du conflit.

Bletchley Park, hutte 6

En octobre 42, la défaite allemande à El-Alamei dans le désert de Libye marque un tournant de la guerre. Le 8 novembre 1942, les Alliés débarquent en Afrique du Nord (opération « Torch ») et prennent Alger. L’amiral Darlan prend la tête du Haut-commissariat de France en Afrique. Louis Rivet est nommé à la tête de la nouvellement créée Direction des services de renseignement et de la sécurité militaire (DSR/SM). En France, le PC Cadix est évacué le 9 novembre et les Allemands occupent la zone libre le 11 novembre.

Opération Torch

L’occupation partielle puis totale de la France entre 1940 et 1942 a soulevé de nombreux problèmes de sécurité et des difficultés de coordination entre les différents services. Dès la libération de l’Algérie, la coopération et la coordination des services revient à l’ordre du jour.

Fin 1942, le général Henri Giraud prend la suite de l’amiral Darlan, assassiné. Il est rejoint par Jean Joubert des Ouches pour élaborer une direction technique des chiffres, séparée des services de renseignement : le Chiffre français se réorganise.

La suite de l’histoire se joue sur fond de rivalité entre Giraud et de Gaulle, qui arrivera à Alger en mai 43. La vision des deux généraux est relativement différente : Giraud est un pur militaire et ne veut pas faire de politique ; de Gaulle, fort de son expérience au SGDN, a une conception de l’État dans laquelle le militaire est subordonné au politique. Fortement incités à s’entendre par leurs alliés lors de la conférence d’Anfa en janvier 43, les deux hommes créeront le Comité français de libération nationale (CFLN) le 3 juin 1943. De Gaulle et Giraud y sont co-présidents et sont entourés de commissaires (équivalents à des ministres).

Les généraux Giraud et de Gaulle, à la conférence d’Anfa en janvier 1943

Le 3 août 1943, un décret du CFLN crée une « direction technique des chiffres » (DTC) et un « service unique du chiffre », rattaché au secrétariat du CFLN, qui assure le chiffrement et déchiffrement des messages pour tous les commissariats. Cette structure – ancêtre de l’ANSSI actuelle – a également pour mission d’évaluer les procédés de chiffrement utilisés par les autorités françaises et de leur fournir des clés de chiffrement.

Cette organisation officialise une séparation entre les aspects défensifs et offensifs de la cryptologie, toujours en vigueur aujourd’hui – les premiers étant confiés à la DTC et les seconds relevant des services de renseignement. Le colonel Joubert des Ouches est nommé directeur technique des chiffres.

Le général Jean Joubert des Ouches, en 1973

Durant les mois suivants, de Gaulle va progressivement prendre la tête, seul, du CFLN, cantonnant Giraud aux seules opérations militaires. Un dernier chantier de taille dans l’organisation de l’appareil français à Alger reste à mener : la fusion des services de renseignement gaullistes et giraudistes. La Direction générale des services spéciaux (DGSS) est créée en novembre 43, de la fusion du BCRA gaulliste et de la DSR/SM de Rivet. C’est Jacques Soustelle, ancien chef du BCRA et commissaire à l’information du Comité national de Londres, qui en prend la tête.

Fin 43, le CFLN est organisé :

  • de Gaulle à sa tête ;
  • un Conseil de défense nationale (CDN) institué, avec un secrétariat ;
  • une direction technique des chiffres opérationnelle, confiée à Joubert des Ouches et chargée uniquement de cryptologie « défensive » ;
  • un service de renseignement unifié, la DGSS, en charge des actions « offensives » (i.e. interception et décryptement).

A Bletchley Park, le premier calculateur électronique fondé sur le système binaire, le Colossus Mark I, est opérationnel.

Un Colossus Mark II

En 1944, le CFLN devient le Gouvernement provisoire de la République française (GPRF). Le service du chiffre s’organise en juin pour comprendre 3 sections (affaires étrangères, colonies et intérieur). La DTC se scinde en deux en octobre, une fraction restant à Alger et l’autre regagnant Paris. A Paris, la DTC est rattachée à l’Etat-major de la défense nationale (EMDN) – alors dirigé par le général Juin – qui est la structure ayant succédé au secrétariat du CDN. Toutes choses égales par ailleurs, cette organisation n’est pas sans rappeler la subordination actuelle de l’ANSSI (descendante de la DTC) au SGDSN (descendant de l’EMDN).

Fin 1945, la DGSS, devenue entretemps DGER, devient le SDECE. Passy en est le directeur… et un certain Gustave Bertrand son adjoint. Bertrand est également à la tête du service technique de recherche (STR) au sein du SDECE.

Décret de création du SDECE

Après la guerre, la DTC fonctionnera quelques années avant d’être supprimée en 1947, semble-t-il pour des raisons administratives et budgétaires. Elle exerçait deux missions : la coordination et le contrôle, au niveau interministériel et technique. Son directeur préside notamment une commission interministérielle des chiffres, qui réunit l’EMGDN (successeur de l’EMDN), les chefs de service du chiffre des ministères des affaires étrangères, de l’intérieur, de la guerre, de la marine, de l’air, des colonies, de la présidence du gouvernement et de la DGER. A sa suppression, la coordination interministérielle est assurée par l’EMGDN.


A la sortie de la Seconde guerre mondiale, nous retenons les quelques idées suivantes :

  • le Chiffre est toujours un important levier de puissance. Le maîtriser garantit l’initiative et procure des avantages décisifs sur l’adversaire, dans une logique de confrontation. Les moyens significatifs alloués à ce sujet par les Britanniques à Bletchley Park démontrent toute l’importance accordé au domaine par les autorités d’outre-Manche ;
  • sur le plan technique, on assiste à des avancées très significatives, motivées par le contexte de guerre : l’apport des mathématiques dans la cryptanalyse, la mécanisation et l’automatisation du décryptement ou encore l’apparition de l’électronique ;
  • si le sujet de la maîtrise du chiffre démontre son caractère décisif, il reste un domaine relativement confidentiel et l’apanage d’un nombre restreint de personnes ;
  • l’histoire de la cryptanalyse d’Enigma nous fournit un exemple consistant et intéressant de coopération internationale en matière de sécurité de l’information, avec toutes les difficultés ayant trait à la confiance mutuelle qu’il implique, encore de nos jours ;
  • l’exemple de la cryptanalyse d’Enigma nous fournit également de précieux enseignements sur les visions différentes françaises et britanniques de la valorisation de ce domaine et de ces travaux : 80% des décryptements des messages Enigma l’ont été par Bletchley Park ; on parle de 10000 personnes affectées au projet « Ultra » au sens large (probablement moins d’une centaine aux PC Bruno et Cadix) ; un imaginaire collectif aujourd’hui largement mis en avant par les Britanniques (cf. « Imitation Game », le musée de Bletchley Park, etc.) ; et un peuple français qui à l’heure actuelle, pour sa grande majorité, ignore le rôle joué par ses aïeuls du domaine du Chiffre dans la second conflit mondial ;
  • s’agissant de l’organisation, la sortie de la Seconde Guerre mondiale dotera la France d’une organisation du Chiffre, séparée en deux piliers distincts (i.e. « défense » pour le chiffrement/déchiffrement, et « attaque » pour l’interception/décryptement/renseignement), qui est toujours en vigueur à l’heure actuelle. On notera que chez de nombreuses grandes puissances, ces sujets sont encore souvent confiées aux mêmes structures – c’est le cas par exemple aux Etats-Unis (NSA) et au Royaume-Uni (GCHQ/NCSC) ;
  • enfin, la création de la DTC auprès du secrétariat du CFLN illustre une autre propriété de l’organisation française toujours en vigueur aujourd’hui : la nécessité de coordonner le sujet au niveau interministériel et de le placer au plus proche des hautes autorités et des enceintes de décisions politico-stratégiques.

La suite au prochain épisode !

Une brève histoire de la cybersécurité française (partie 1 : du XVe siècle à 1918)

« Celui qui ne sait d’où il vient ne peut savoir où il va. »

Otto de Habsbourg-Lorraine

Alors que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) fête ses 10 ans, notre conviction est que toute réflexion sur les enjeux stratégiques actuels et futurs de la sécurité numérique se nourrira utilement d’un regard rétrospectif sur les origines de celle-ci.

Après un mini-dossier consacré aux développements liés à la cybersécurité sur la décennie 2009-2019 en France et au-delà (2010-2013, 2014-2016, 2017-2018), nous revenons ici sur les racines plus lointaines de la sécurité numérique française…


En préambule, notons que cette modeste réflexion nous a convaincus que l’on comprend mieux l’histoire de la cybersécurité française en s’intéressant à plusieurs sujets qui lui sont connexes : histoire de la France, de son contexte géopolitique, de l’évolution de son appareil politico-militaire à travers les âges, de l’histoire du renseignement, de l’imprimerie, des postes, des transmissions, des télécommunications, de l’informatique… et surtout : de la cryptologie ! Nos réflexions montrent en effet que la volonté de préserver le confidentialité de certains messages (ou à l’inverse d’en percer le secret) constitue la base de la sécurité numérique actuelle.

Pour rappel, la cryptologie, discipline passionnante, désigne, étymologiquement la « science du secret ». Elle regroupe la cryptographie, qui cherche à protéger des messages (en confidentialité, mais également en intégrité et par extension en authenticité) et la cryptanalyse, qui au contraire cherche à retrouver un message intelligible à partir d’un message chiffré – sans posséder la clé de déchiffrement. Nos lecteurs et lectrices intéressées par le sujet pourront utilement consulter le webdoc de l’ANSSI sur la cryptographie, ainsi que ce site très utile pour éviter de mélanger les termes « chiffrer », « déchiffrer » et « décrypter » 🙂


#1. De l’invention de l’imprimerie à la fin du XVIIIe siècle

Les origines de l’imprimerie, sans conteste l’une des ruptures les plus importantes de notre ère, sont attribuées à Gutenberg, dans les années 1450. En permettant de commencer à diffuser largement les informations, l’imprimerie a aussi – dans une certaine mesure – fait naître le besoin de les protéger efficacement.

En 1468, Louis XI crée la poste royale par l’édit de Luxies, pour son service et celui de son gouvernement. Les relais de poste et les chevaucheurs du Roi ne servent qu’à acheminer le courrier du Roi, et ne desservent que les théâtres d’opérations militaires.

A la fin du XVIe siècle, Blaise de Vigenère s’intéresse à la cryptographie. Il décrit un chiffrement qui prendra son nom et fera de lui l’un des pères fondateurs de la cryptographie française. Il publie en 1586 un « Traicté des chiffres ou secretes manières d’escrire« .

Blaise de Vigenère (1523-1596)

Sous Louis XIII (1610-1643), le très influent cardinal de Richelieu remarquera Antoine Rossignol. A l’âge de 26 ans, ce dernier s’illustre en décryptant une lettre interceptée sur un messager sortant de la ville de Réalmont, tenue par les huguenots et assiégée par l’armée du roi. Le message ainsi décrypté permettra à l’armée du roi de reprendre la ville dès le lendemain. Travaillant par la suite pendant plus de 50 ans au service de Louis XIII puis de Louis XIV, il concevra avec son fils, Bonaventure, le « Petit Chiffre » et le « Grand Chiffre ». Ce dernier, qui servira notamment à rendre inintelligibles des messages faisant référence au célèbre « Homme au masque de fer », résistera à la cryptanalyse jusqu’au XIXe siècle, lorsque le cryptologue Etienne Bazeries s’y attaquera avec succès.

Antoine Rossignol (1600-1682)

Le règne de Louis XIV (1643-1715) verra la signature des traités de Westphalie, qui institueront un nouvel équilibre politique et religieux au niveau international et jetteront les bases de la vision moderne de la souveraineté des États. La nécessaire protection de cette souveraineté contribuera significativement à développer les pratiques de renseignement des souverains. Parmi les proches du Roi-Soleil, Colbert puis Louvois seront ainsi à l’origine du fameux « Cabinet noir », qui interceptait et recopiait les correspondances personnelles jugées sensibles, mettant par ailleurs en avant les rapports étroits entre services postaux et renseignement.

Table d’encodage du Grand Chiffre

Sous Louis XV (1715-1774), la mise en place du « Secret du Roy » consolidera un réseau clandestin de renseignement structuré, mobilisant une trentaine d’agents, faisant ainsi passer la France dans l’ère du renseignement moderne. Les noms du cardinal Fleury, du prince de Conti, du comte de Broglie et de Jean-Pierre Tercier marqueront l’histoire du service, dont l’objectif initial était le soutien au mouvement polonais pro-français. Dirigé par Charles-François de Broglie entre 1752 et 1774, le Secret du Roy deviendra une organisation permanente et structurée, chiffrant et déchiffrant les messages du Roi, et lui transmettant directement les résultats de ses interceptions.

Louis XV

Louis XVI (1774-1792), manifestement moins adepte des pratiques de renseignement, exigera la dissolution du service à son arrivée au pouvoir. En pratique, le Secret du Roy poursuivra ses activités jusqu’à la mort de de Broglie en 1781.

#2. Le XIXe siècle

Le XIXe siècle – entre 1790 et 1870 – constitue une période de déclin pour le Chiffre français : on évite la poste, on lui préfère la valise diplomatique. En particulier, si Napoléon Ier met en œuvre un système de renseignement complexe, le Chiffre français de l’époque ne laisse pas un souvenir mémorable.

Napoléon Ier

#3. De 1870 à la première guerre mondiale

Après la défaite française face aux Prussiens, le renversement de l’Empire et le début de la IIIe République, les autorités françaises repartent de loin sur les problématiques sécuritaires : il n’existe plus de concept de défense nationale consistant, il n’y a pas d’organisme de coordination et de synthèse politico-militaire. Si le chef de l’État dispose de la force armée, il n’a en pratique pas de place dans le système décisionnel et la responsabilité de la protection de la Nation est portée par le gouvernement, et essentiellement les ministères de la Guerre, de la Marine et des Colonies.

En 1871, l’État-Major général des Armées s’appuie sur 4 bureaux, dont le fameux « 2e bureau », chargé du renseignement.

En 1889, une « commission du chiffre » est créée au ministère de la Guerre, avec pour mission d’élaborer des codes et systèmes de chiffrement. Elle collaborera avec les services du ministère de l’Intérieur et du ministère des Affaires étrangères. En 1894, cette commission deviendra permanente. Entre 1900 et 1914, le capitaine François Cartier en assurera le secrétariat. Parmi les illustres membres de la commission, nous pouvons citer le général Penel, président en 1900, ou le général Berthaut, président entre 1902 et 1912.

C’est à cette époque que l’on assiste au développement des communications télégraphiques et à l’émergence de la cryptologie civile. En 1903, l’installation d’une antenne radio au sommet de la Tour Eiffel offre de belles possibilités d’émission… et donc de réception, et par conséquent d’interception. En parallèle, l’introduction du télégraphe dans les armées attire l’attention sur les questions liées au Chiffre.

La TSF et la Tour Eiffel.

Fin 1906 se tient la première réunion du Conseil supérieur de la défense nationale, ancêtre de l’actuel Conseil de sécurité et de défense nationale. Il est présidé par le chef de l’État (à l’époque Armand Fallières – Georges Clémenceau est alors président du Conseil) et permet de récréer une instance de coordination politico-stratégique sur les questions de défense.

En janvier 1909 est créée une « commission interministérielle du chiffre », chargée de promouvoir et de développer la collaboration des services du chiffre (de la Guerre, de la Marine, de la Sûreté générale à l’Intérieur, des Postes, des Affaires étrangères et des Colonies). Peu de traces concrètes de cette commission sont parvenues jusqu’à nous mais il semblerait qu’elle se soit réunie entre 1912 et 1922.

Début 1912, Alexandre Millerand devient ministre de la Guerre. Auprès de lui est affecté le capitaine Marcel Givierge, un Polytechnicien artilleur et polyglotte sorti quelques années plus tôt de l’Ecole supérieure de Guerre. Sa maîtrise des langues – et notamment du russe – avait amené Givierge, quelques années auparavant à découvrir la cryptologie, par l’intermédiaire de Jacques Haverna. Alors chef du « service photographique » à la Sûreté générale, le service de renseignement intérieur, Haverna avait décrypté des télégrammes chiffrés russes mais personne ne pouvait en comprendre le contenu. C’est le début de l’intérêt de Givierge pour la cryptologie, qui ne cessera plus, l’amenant notamment à publier plusieurs ouvrages qui feront référence sur le sujet. C’est également le début d’une collaboration très fructueuse entre l’Intérieur et la Guerre sur le sujet – portée par la bonne entente entre Haverna et Givierge.

Convaincu de l’intérêt du Chiffre, Givierge persuadera le ministre de créer une section permanente du chiffre au ministère de la Guerre, à compter de septembre 1912. Dans les faits, la section ne comprend que 3 personnes : Cartier, le chef ; Givierge, son adjoint ; et un officier d’administration. En lien avec ses homologues du Quai d’Orsay et de l’Intérieur, elle aura pour missions : le chiffrement et le déchiffrement des messages du ministère ; la conception, la réalisation, la diffusion et la comptabilité des moyens de chiffrement ; et les études de cryptologie et de décryptement.

#4. La première guerre mondiale

1er août 1914 : la mobilisation générale est déclarée en France, à l’aube du premier conflit mondial. Un « Grand Quartier général » (GQG) est créé dans la foulée, avec à sa tête le général Joffre, pour assurer le commandement de l’ensemble du corps de bataille français. Le Conseil supérieur de la défense nationale, qui s’était réuni à 11 reprises entre 1906 et 1914, s’interrompt, alors qu’il aurait pu – et dû – jouer un rôle central dans la gestion française du conflit.

Affiche « ordre de mobilisation générale » datée du 2 août 1914.

La nature même du GQG commandera la nécessité de le doter d’une capacité de Chiffre : c’est le chef d’escadron Marcel Givierge qui sera affecté à ce rôle dès la mobilisation. Il y sera l’année suivante remplacé par son adjoint, le capitaine Soudart, pour partir prendre un commandement.

En parallèle, le chef de bataillon François Cartier est à la tête de la section chiffre du ministère de la Guerre, secondé par l’officier Olivari. La section est composée de 4 bureaux : chiffrement/déchiffrement, cryptographie, TSF et goniométrie.

La section chiffre du GQG et la section chiffre du ministère de la Guerre semblent constituer les deux pôles majeurs du Chiffre français durant la première guerre mondiale. Celui-ci, s’il est techniquement prêt à servir dans la Grande Guerre, rencontre un certain nombre de difficultés.

L’une des grandes problématiques que rencontreront Givierge et Cartier sera celle des ressources, et notamment la difficulté de disposer d’officiers 1/ formés au Chiffre et 2/ effectivement affectés au Chiffre dans les différents groupes d’armées et état-majors.

En tout état de cause, il ne semble pas faux de dire que le Chiffre est alors l’apanage d’un nombre très réduit d’individus, souvent passionnés par le sujet.

Une question se pose par ailleurs de façon récurrente à cette époque : celle du positionnement de la fonction Chiffre, notamment par rapport à la fonction renseignement (dans les faits, le Chiffre semble souvent rattaché aux « 2e bureaux » – ce sera le cas de la section chiffre du GQG, celle du ministère de la Guerre restant visiblement rattaché au cabinet du ministre), aux transmissions et au courrier.

Au début de la guerre, la section chiffre du ministère est très occupée par le chiffrement/déchiffrement des télégrammes et a peu de temps pour étudier les messages allemands interceptés chiffrés. Fin 1914, les cryptologues français s’attaquent néanmoins avec succès à un Chiffre allemand, le code « Ubchi« . Alors qu’ils parviennent à décrypter rapidement le code au fur et à mesure des changements de clés, une indiscrétion amène le journal « Le Matin » à publier des informations sur les capacités françaises de décryptement, ce qui conduira les Allemands à cesser progressivement d’utiliser ce Chiffre. Il sera remplacé par d’autres méthodes, comme l’ABC (entre novembre 1914 et janvier 1915) puis l’ABCD (jusqu’en mars 1915). Il semblerait par ailleurs que la section joue un rôle significatif – mais trop peu documenté en sources ouvertes – dans l’anticipation de la bataille de la Marne.

Le 21 janvier 1915, le capitaine Georges Painvain, polytechnicien, ingénieur du corps des Mines et professeur en géologie et paléontologie, fait parvenir un mémoire à la section du chiffre, expliquant comment casser rapidement le code ABC. Painvain est alors officier d’ordonnance au sein de la 6e armée du général Maunoury basée à Villers-Cotterêts. En pleine guerre des tranchées, l’ennui de Painvain va conduire le brillant officier à se nouer d’amitié avec l’officier chiffre de la 6e armée, le capitaine Paulier, qui éveillera en lui une passion pour le Chiffre. Le mémoire envoyé par Painvain amènera Cartier à rendre visite au général Maunoury, le 27 janvier suivant, pour en savoir plus sur l’auteur du mystérieux document. Sur pression de Millerand lui-même, le général acceptera de laisser partir Painvain au « cabinet noir », où il s’illustra rapidement parmi les meilleurs cryptologues de sa génération.

Georges Painvain

A partir du 5 mars 1918, les Allemands, ayant pris conscience de la capacité française à percer leurs différents codes, mettront en place un nouveau Chiffre : l’ADFGX (dont le nom officiel allemand était « GEDEFU 18 ») significativement plus robuste que les précédents. Ceci intervient dans un contexte difficile pour les Français, quelques semaines avant le début des manœuvres allemandes de « l’Offensive du Printemps » (à partir du 21 mars). Après plusieurs semaines d’efforts, Painvain parvient début avril à reconstituer le système et les clés.

Dernière ligne droite dans la bataille du Chiffre : le 1er juin, les Allemands complexifient le système ADFGX, qui devient ADFGVX. Ceci intervient de nouveau à un moment difficile pour les Français. Au terme de 26 heures de travail, Painvain parviendra, le 2 juin 1918, à trouver la clé du message intercepté la veille. Le message provient du GQG allemand et est destiné aux avant-postes situés dans la région de Remaugies, près de Compiègnes. Ce texte, depuis connu sous le nom de « Radiogramme de la Victoire« , commande aux unités sur place : « Hâtez l’approvisionnement en munitions, le faire même de jour tant qu’on n’est pas vu.« 

Le Radiogramme de la Victoire

L’information, couplée à la radiogoniométrie, permet aux autorités françaises d’anticiper l’offensive allemande prévue sur Compiègnes le 9 juin, et au général Mangin de mener une contre-offensive décisive à Méry. L’échec de la manœuvre allemande lui ferme définitivement la voie pour Paris. Cette séquence restera secrète jusqu’en 1962, date à laquelle le général Desfemmes en fera publiquement état lors d’une conférence à l’École spéciale militaire de Coëtquidan.


A ce stade, à la fin de la Première Guerre mondiale, les constats suivants peuvent être dressés :

  • la protection de la confidentialité de l’information constitue le cœur des préoccupations ;
  • à cet égard, la cryptologie (i.e. cryptographie et cryptanalyse) est un levier quasiment incontournable de puissance – pour les dirigeants et plus largement les États : bien maîtrisée, elle assure le secret de ses communications, procure l’initiative, renseigne sur les desseins ennemis ;
  • les questions de protection/défense de l’information et « d’attaque » (i.e. interception, décryptement, et parfois même l’exploitation du renseignement ainsi obtenu) sont très entremêlées et gérées par des entités qui combinent les deux missions ;
  • progressivement, l’imprimerie/dactylographie va permettre d’avoir de plus en plus de messages à s’échanger, et la télégraphie (notamment sans fil) de se les transmettre de plus en plus vite et loin ;
  • le Chiffre s’est d’abord propagé « vers le bas » : d’abord l’apanage des rois et des décideurs, il a progressivement percolé dans le cœur de l’État – les hautes sphères décisionnelles et les ministères les plus régaliens – avec des entités structurées et permanentes chargées de le diriger et de l’exploiter ;
  • le sujet est toujours « technique » : il mobilise essentiellement des mathématiciens, ingénieurs, scientifiques, techniciens, opérateurs. S’il est utile, voire décisif, pour le politique et les décideurs militaires, il est seulement un moyen en support de leur information et de leurs décisions.

La suite au prochain épisode !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (3/3)

Suite et fin de notre mini-dossier consacré à la décennie 2009-2019 en matière de cybersécurité en France… et un peu au-delà. Après les périodes 2009-2013 et 2014-2016, nous couvrons ici les années 2017 et 2018 et tâcherons, en fin d’article et en guise de conclusion, d’identifier quelques grandes tendances et dynamiques.


L’année 2017 a été relativement chargée, notamment sur le plan opérationnel :

  • à partir du 1er janvier, le Commandement de la cyberdéfense (COMCYBER) rassemble l’ensemble des forces de cyberdéfense des armées françaises sous une même autorité opérationnelle, permanente et interarmée. Placé sous l’autorité du Chef d’État-Major des armées (CEMA), il assure le commandement des opérations militaires dans le cyberespace et notamment la protection et de la défense des systèmes d’information relevant du périmètre du ministère des Armées ;
  • début avril, la France, via le SGDSN et l’ANSSI, organise la première conférence internationale « Construire la paix et la sécurité internationales de la société numérique », à l’UNESCO. Pendant deux jours, les 6 et 7 avril, l’évènement a rassemblé des représentants de gouvernements, d’ONG, de la société civile, du monde la recherche et de l’économie numérique. Une passionnante étude juridique sur l’applicabilité du droit international au cyberespace, menée par Karine Bannelier et Théodore Christakis, a été publiée en amont de la conférence afin de nourrir les débats ;
Étude « Cyberattaques – Prévention-réactions : rôle des États et des acteurs privés », par Karine Bannelier et Théodore Christakis.
  • en mai 2017, la fin de l’élection présidentielle est marquée par les « MacronLeaks« , la publication de documents prétendument volés au parti politique « En Marche ! ». Cette action, rendue publique le vendredi 5 mai au soir, à la fin de la campagne et à l’aube du second tour du scrutin, fait suite à l’attaque du mouvement par un groupe de pirates. La divulgation de documents, non authentifiés et « marketés » comme « compromettants » durant la période de réserve qui interdit aux candidats, candidates à l’élection et à leurs soutiens de s’exprimer montre que cette attaque vise à perturber le processus électoral en cours et ainsi à s’en prendre à un symbole fort de la démocratie et du fonctionnement de l’État français ;
  • toujours en mai 2017, le monde découvre le rançongiciel WannaCry, utilisé dans le cadre d’une cyberattaque massive qui touchera plusieurs centaines de milliers de machines dans plus de 150 pays. Le logiciel malveillant, particulièrement virulent, se réplique et se propage très rapidement. Une fois qu’il prend pied sur une machine, il en chiffre les fichiers, les rendant indisponibles pour l’utilisateur, et demande une rançon en échange de la clé de déchiffrement. Paralysant ainsi le fonctionnement de nombreuses organisations (notamment le système de santé britannique), WannaCry donne une – triste – illustration de l’importance de l’aspect « disponibilité » dans la sécurité numérique, parfois un peu sous-estimé face aux questions plus « traditionnelles » de la confidentialité et de l’espionnage. Exploitant la faille dite « EternalBlue » – révélée quelques mois auparavant par le groupe The Shadow Brokers, qui revendiquait l’avoir dérobée à la NSA – WannaCry mettra également évidence des questions stratégiques comme la gestion des correctifs de sécurité par les utilisateurs ; la responsabilité des acteurs privés de portée systémique (tels que Microsoft, dont les systèmes d’exploitation sont les plus déployés au monde) dans la stabilité du cyberespace ; ou encore la gestion responsable des vulnérabilités par les gouvernements ;
L’interface du logiciel WannaCry, qui propose à l’utilisateur de payer une rançon de $300 en bitcoins pour transmettre la clé de déchiffrement.
  • en juin 2017, seulement quelques semaines après WannaCry, c’est au tour du logiciel NotPetya de défrayer la chronique. Parmi les victimes, on compte notamment l’armateur danois Maersk, qui annoncera une perte subséquente de 300 millions de dollars. Exploitant également la faille EternalBlue, NotPetya présente comme WannaCry les caractéristiques d’un rançongiciel… au moins en apparence. En effet, contrairement à ce que son interface laisse entendre, il n’existe pas de moyen de récupérer la clé de déchiffrement des données prises en otage par NotPetya, ce qui interroge sur les véritables finalités de ses concepteurs : sabotage et destruction, plutôt que rançonnage et extorsion ;
  • le 13 septembre, la Commission européenne présente le « EU Cybersecurity Act« , un ensemble (dit « paquet ») de mesures relatives à la cybersécurité en Europe, comprenant : 1/ une communication conjointe de la Commission et de la Haute représentante pour l’action extérieure (cheffe du Service européen d’action extérieure, le « ministère des affaires étrangères » de l’UE) listant des actions prioritaires en matière de cybersécurité ; 2/ une proposition de règlement européen comprenant un mandat permanent pour l’ENISA (agence européenne pour la sécurité des réseaux et de l’information, créée en 2004 et dotée jusque-là de mandats finis et renouvelables) et un projet de cadre européen de certification de sécurité ; 3/ une recommandation proposant un cadre européen de réponse aux crises cyber ; et 4/ une communication précisant certaines modalités de mise en œuvre de la directive NIS ;
  • en octobre, après une période d’expérimentation dans la région Hauts-de-France, la plateforme cybermalveillance.gouv.fr, pilotée par le GIE ACYMA, est lancée sur tout le territoire national. Incubée au sein de l’ANSSI avec le concours du Ministère de l’Intérieur, cette plate-forme joue notamment le rôle de guichet unique vers lequel peuvent se tourner les victimes d’actes de cybermalveillance (particuliers, TPE/PME, collectivités territoriales, etc.) afin d’être mises en contact avec des prestataires de proximité susceptibles de les assister. Le dispositif a également une mission de sensibilisation et d’information (-> le suivre sur Twitter).
Le dispositif d’assistance aux victimes d’actes de cybermalveillance.

Pour terminer cette rétrospective, plusieurs jalons politico-stratégiques majeurs sont à relever en 2018 :

  • le premier d’entre eux est sans conteste la publication de la Revue stratégique de cyberdéfense, en février. Comme ses deux prédécesseurs, le Président de la République a commandé, en arrivant à l’Élysée, une réflexion stratégique portant sur les questions de sécurité et de défense. Deux petites nouveautés pour le début de quinquennat d’Emmanuel Macron : 1/ le « Livre blanc sur la défense et la sécurité nationale » s’appelle désormais une « Revue stratégique sur la défense et la sécurité nationale » ; 2/ l’exercice se scinde en deux, avec un premier document couvrant le périmètre traditionnel « sécurité et défense » et un second document exclusivement consacré aux enjeux de cyberdéfense, la « Revue stratégique de cyberdéfense ». La réalisation de cette dernière sera confiée en juillet 2017 par le Premier ministre au Secrétaire général de la défense et de la sécurité nationale (SGDSN). Structurée en 3 grandes parties, cette Revue stratégique sera notamment l’occasion de formaliser et de confirmer l’organisation du modèle français de cyberdéfense, séparant organiquement les missions défensives et offensives ;
  • en juillet, la loi de programmation militaire (LPM) 2019-2025 est promulguée. Selon la même logique que celle mise en œuvre en 2013 pour donner un véhicule législatif aux mesures proposées par le Livre blanc (nous décrivions cela dans le premier article de ce mini-dossier), cette LPM de 2018 comporte, dans son article 34, des dispositions relatives au renforcement des capacités de détection de cyberattaques. Elle permet notamment aux opérateurs de communications électroniques de mettre en œuvre des dispositifs de détection d’attaques qui pourraient affecter les systèmes de leurs abonnés, afin de les en informer le cas échéant ;
  • en octobre, l’ANSSI lance la méthode d’analyse de risques EBIOS Risk Manager, héritière de la précédente méthode EBIOS et destinée à devenir la méthode française de référence pour le management des risques numériques. S’appuyant sur cinq ateliers et sur un label mettant de mettre en valeur des outils permettant de la déployer efficacement, elle se fixe pour objectif « de permettre aux dirigeants d’appréhender correctement les risques numériques, au même titre que les autres risques de nature stratégique » ;
EBIOS Risk Manager
  • le 12 novembre, le Président de la République lance « l’Appel de Paris pour la confiance et la sécurité dans le cyberespace » dans le cadre du 13e Forum sur la gouvernance de l’Internet. « Déclaration de haut niveau en faveur de l’élaboration de principes communs de sécurisation du cyberespace », cet Appel de Paris s’inscrit dans la continuité des réflexions internationales portant sur la stabilité de l’espace numérique (notamment les différentes sessions du GGE des Nations Unies, dont nous parlions ici et ici), en réaffirmant notamment que le droit international s’applique au cyberespace ;
  • dans la continuité de l’Appel de Paris et des travaux précédents sur la stabilité du cyberespace, est organisé, les 13 et 14 décembre, l’évènement inaugural du Global Forum de l’OCDE sur la sécurité numérique. Là où le GGE de l’ONU constituait une enceinte de travail exclusivement inter-gouvernementale, l’OCDE permet de mener les réflexions à une nouvelle étape, en faisant se rencontrer les représentants des gouvernements, du secteur privé, du monde académique et de la société civile, afin d’évoquer des sujets comme la « cyberdéfense active », la « sécurité by design« , la divulgation proactive et coordonnée des vulnérabilités ou la responsabilité des acteurs de portée systémique.

En guise de conclusion de ce mini-dossier, on se propose d’identifier quelques tendances structurantes dans l’évolution des questions liées à la cybersécurité sur la décennie qui vient de s’écouler. On groupera ces constats en 5 grandes catégories.

  1. La portée du « sujet cyber » – Si les racines de la cybersécurité sont fondamentalement techniques, il est acquis que le sujet n’est aujourd’hui plus un sujet réservé à des informaticiens, techniciens et ingénieurs. C’est un sujet de politique publique, de régulation, de confrontation, de développement économique, de concurrence, de développement sociétal. Il emporte des enjeux de niveau national, européen voire international. Les médias en parlent, le grand public en a conscience et, dans une certaine mesure, s’en préoccupe. Plus largement, la numérisation croissante de la société et de l’économie fait du numérique une opportunité pour tous – organisations publiques et privées, et individus – mais génère également des menaces qui pèsent sur tous.
  2. L’approche étatique du « sujet cyber » – Si elle est toujours traitée autour d’un cœur régalien « historique » comme un sujet de sécurité et de défense nationale (n’oublions pas qu’à l’origine, il y a la cryptographie, longtemps très ancrée dans la sphère militaire et assez fortement régulée), la sécurité numérique est également appréhendée par les gouvernements, en France et à l’étranger, de façon plus large. Au-delà de la sphère « souveraine », la cybersécurité est aussi comprise comme la garantie d’une transformation numérique menée en confiance de l’économie et de la société. Elle fait notamment l’objet de nombreux efforts de régulation et de réglementation, aux niveaux des pays et des organisations internationales comme l’UE.
  3. L’évolution de la menace d’origine cyber – La menace ancestrale et emblématique de l’espionnage est toujours présente et aiguë. Par ailleurs, l’omniprésence des systèmes numériques et l’avènement des objets connectés et des dispositifs de type « capteurs » et « actionneurs » – qui font le lien entre le monde numérique et le monde physique – font émerger une menace réelle de sabotage, de neutralisation et de destruction. Les effets potentiellement létaux d’une cyberattaque sont à cet égard de moins en moins théoriques. Également, plusieurs exemples récents mettent en exergue la réalité des menaces de déstabilisation et de désinformation, plus orientées sur les contenus que les contenants, et sur la couche sémantique que sur les couches logicielles et matérielles. Si ce dernier aspect, présentant une adhérence certaine avec les questions de contrôle de l’information, est intégré depuis longtemps dans les doctrines chinoises et russes, il constitue un nouveau défi que les doctrines occidentales doivent relever.
  4. L’évolution des objets à protéger – Alors que la sécurité informatique d’il y a quelques années s’intéressait majoritairement à la protection de systèmes d’information compris comme des « boites » avec des périmètres bien décrits, les enjeux de la sécurité numérique contemporaine ne permettent plus d’ignorer que la notion de « frontière » (technique, juridique, réglementaire, etc.) d’un système d’information est un concept de plus en plus flou et de plus en plus compliqué à appréhender.
  5. Le traitement du sujet à l’international – La décennie écoulée a vu les organisations internationales s’engager dans un premier grand cycle de prise en main du « sujet cyber » – avec plus ou moins de succès selon les organisations. L’ONU a ouvert la voie de la réflexion sur l’applicabilité du droit international au cyberespace, l’OTAN s’est attaché à transposer un certain nombre de ses problématiques plus militaires à l’espace numérique, et – last but not least! – l’Union européenne s’est illustrée comme un acteur et un échelon incontournable dans le domaine, avec notamment l’élaboration et la mise en œuvre de plusieurs réglementations de portée majeure. A l’échelle des nations, les 10 dernières années ont permis aux États de mettre en place des coopérations bilatérales et multilatérales importantes, sur les plans opérationnels, techniques et politico-stratégiques.

Après cette décennie riche pour la cybersécurité française et mondiale, l’avènement et le développement de sujets majeurs comme l’intelligence artificielle ou les technologies quantiques promettent une décennie à venir qui devrait être au moins aussi passionnante !

« Stratégie », « qualité », « efficience » ou « efficacité » ?

Comme je le racontais dans un autre article, le mot « stratégie » est de nos jours rentré dans le langage courant. Ce phénomène a engendré une véritable « déflation conceptuelle » : le mot a progressivement perdu de sa valeur sémantique. Dans le monde de l’entreprise et des organisations, les mots « stratégie », « qualité », « efficience » ou encore « efficacité » sont ainsi souvent utilisés de façon interchangeable et tendent à être confondus. Un petit article pour essayer de faire le point sur ces différents concepts et ce qu’ils recouvrent…


En premier lieu, il nous faut poser deux concepts essentiels pour la suite : les objectifs et les moyens. Les quatre mots que nous allons étudier auront chacun une relation particulière aux objectifs et aux moyens.


Les définitions d’efficacité et d’efficience sont relativement simples et directes, même s’il reste important de ne confondre l’un et l’autre :

  • l’efficacité consiste à atteindre des objectifs fixés, sans considération de « bonne » ou « mauvaise » utilisation des moyens mis en œuvre ;
  • l’efficience consiste à atteindre des objectifs fixés… mais en tâchant d’optimiser les moyens utilisés.

Dans la sphère de l’efficience, on cherchera donc à réduire les coûts, à faire plus vite et mieux avec moins, à augmenter la productivité/le rendement. On peut également chercher à réduire au maximum les externalités négatives (ex : émissions de carbone, rejets de substances diverses, pollution sonore ou visuelle). On calculera souvent des ratios divisant les résultats obtenus par les moyens engagés. Cette sphère est notamment celle du taylorisme.

Si on me fixe l’objectif de fermer une porte donnée, je suis efficace si je parviens à fermer la porte. Je suis efficient(e) si je parviens à fermer la porte rapidement, sans efforts, sans faire de bruit.


La qualité, selon l’ISO 9000:2000 est « l’aptitude d’un ensemble de caractéristiques intrinsèques à satisfaire des exigences ». Derrière cette définition un peu austère, il s’agit :

  • en externe, de satisfaire les attentes exprimées ou implicites des clients/bénéficiaires de l’organisation ;
  • en interne, d’améliorer et d’optimiser le fonctionnement de l’organisation.

La qualité passe ainsi par l’amélioration des produits, services, processus, procédés de production, satisfaction client et, plus largement, de la performance de l’organisation et de la satisfaction de ses parties prenantes.

La maîtrise de la qualité s’appuie sur la définition d’objectifs mesurables, sur la mesure de ces objectifs, sur la formalisation des processus métiers, sur l’identification d’indicateurs, afin de repérer et limiter les dysfonctionnements.

La logique de la démarche qualité s’illustre bien pour les procédés répétitifs tels que les processus industriels de production par exemple. Si l’on prend l’exemple des véhicules automobiles, on comprend assez intuitivement que l’on peut en découper le processus de production en des sous-processus, pour lesquels on peut identifier des jalons et des indicateurs, que l’on peut ensuite suivre afin de mesurer et de piloter la performance. Ces indicateurs pourront porter par exemple sur la durée de réalisation d’une tâche, sur des propriétés particulières d’un produit donné (dimensions, couleur, température, résistance, etc.) ou encore sur le nombre de pièces défectueuses dans chaque lot produit.

La stratégie est souvent confondue avec une démarche qualité, visant à améliorer la performance, à optimiser les opérations et à augmenter la qualité des produits. Or si la stratégie a pour objectif de faire mieux que ses concurrents, la qualité, elle, a pour objectif de faire mieux que ce que l’on fait déjà, du mieux « possible ».


Dans son acception la plus ancestrale, la stratégie met également en relation des objectifs et des moyens, mais en y ajoutant une notion essentielle : l’adversité.

A cet égard, on pourra par exemple quelques passages très éclairants issus du dernier ouvrage du général Desportes, « Entrer en stratégie » :

« Entrer en stratégie, c’est, sans délai, se trouver confronté à la volonté de l’Autre. […] La stratégie, c’est l’art de réaliser son projet malgré l’Autre, sujet vivant, libre, doté d’intentions. L’essence de la stratégie est d’être, toujours, une confrontation incertaine. »

« La logique de la stratégie relève de l’interaction, non de l’action. Cela la différencie fondamentalement de la gestion : elle est une théorie et une pratique de l’action dans son rapport à l’altérité. Sans Autre, sans volonté indépendante extérieure à lui-même, sans acteur intentionnel auquel il est confronté, le stratège n’a pas de raison d’être […]. »

« En stratégie, l’avantage n’a de sens que comparatif ou concurrentiel, la performance n’ayant de sens que relatif : ce qui compte, c’est de faire mieux que l’Autre. »

Général Vincent Desportes (2S), « Entrer en stratégie » (2019)

La stratégie emporte une logique de concurrence, de compétition, d’incertitude, de conflictualité, de défi, d’altérité consciente animée d’intentions incontrôlables et imprévisibles

On peut alors envisager des « stratégies par la qualité » qui sont en fait des stratégies de différenciation consistant à chercher à se démarquer de ses concurrents en proposant des produits de meilleure (ou parfois même de moindre) qualité à ses clients. Évidemment, ces approches ne sont pas les seules possibles. Il y a probablement autant de stratégies que d’organisations, mais on peut citer par exemple les schémas « génériques » des stratégies de niche, qui visent à se concentrer sur des segments très précis afin d’éviter au maximum la concurrence ; ou encore les stratégies de volumes amenant à des effets de domination par les coûts.

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (2/3)

Ceci est la suite d’un premier article couvrant la période 2009-2013. Nous parcourons ici les années 2014 à 2016 de cette décennie de cybersécurité en France… et un peu au-delà. 🙂


En 2014, plusieurs points notables :

  • au niveau européen, le Parlement et le Conseil adoptent en juillet le règlement 910/2014, dit « eIDAS ». Applicable à partir de 2016, celui-ci a pour vocation de contribuer à l’émergence d’un « marché unique numérique », en améliorant la confiance dans les transactions électroniques. Il établit pour cela un cadre d’interopérabilité et de reconnaissance mutuelle en matière d’identification électronique ;
  • au niveau otanien, le sommet de Newport aborde les questions de cybersécurité en indiquant notamment qu’il est nécessaire que les alliés renforcent leurs capacités nationales en matière de cyberdéfense. Avancée doctrinale notable par ailleurs : le lien entre cyberattaque et invocation de l’article 5 du traité de Washington (qui prévoit l’assistance des membres de l’OTAN en cas d’attaque majeure contre l’un d’entre eux) est explicitement établi. Si en théorie le lien est désormais explicitement établi, l’opérationnalisation de cette disposition est à l’époque (et c’est probablement encore le cas aujourd’hui) loin d’être acquise…

En 2015 :

  • en avril, la chaîne de télévision francophone TV5 Monde est frappée par une cyberattaque qui entraîne notamment l’arrêt de la diffusion de ses programmes. Les comptes Twitter et Facebook de la chaîne sont également compromis, et y sont publiés des messages de soutien à l’Etat islamique. Cette attaque est la première cyberattaque visant des intérêts français et comportant des effets de sabotage majeurs. La mobilisation des équipes de la chaîne, ainsi que de l’ANSSI, permettra la reprise de l’activité dès le lendemain. Accessible auprès de 290 millions de foyers dans le monde, la chaîne constitue un symbole majeur de la francophonie. L’attaque, revendiquée par un groupe se faisant appeler « CyberCaliphate », mais dont l’identité exacte reste floue, coutera plusieurs millions d’euros à TV5 Monde ;
  • à l’été, avancée majeure à l’ONU : le GGE parvient à un socle d’engagements volontaires de bonne conduite pour les Etats dans le cyberespace, notamment : le fait que les Etats doivent protéger leurs infrastructures critiques (« la meilleure défense, c’est la défense ») ; qu’ils doivent coopérer quand une attaque émane de leur territoire (application du principe de due diligence au cyberespace) ; qu’ils doivent faire preuve de transparence sur leur organisation et leur stratégie nationale en matière de sécurité ; ou encore qu’il est interdit d’attaquer les infrastructures critiques en temps (cf. Stuxnet) ;
  • en octobre, le Premier ministre présente la stratégie nationale pour la sécurité du numérique. La signature du Premier ministre consacre le caractère interministériel de ce document, dont l’élaboration aura duré près d’une année. On notera un choix sémantique important : on parle désormais de « sécurité du numérique ». Cet intitulé, qui pourrait paraître anodin, démontre en fait que l’Etat ne traite plus seulement la cybersécurité comme un sujet « souverain » mais prend également acte du besoin d’accompagner plus largement la transformation numérique de la société et de l’économie. Le document décline 5 « objectifs stratégiques » : garantir la souveraineté nationale ; apporter une réponse forte contre les actes de cybermalveillance ; informer le grand public ; faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et renforcer la voix de la France à l’international.
Stratégie nationale pour la sécurité du numérique (2015)

L’année 2016 est une année dense en matière de sécurité du numérique :

  • les conclusions du 18e conseil des ministres franco-allemand confirment la dynamique de la coopération bilatérale entre l’Allemagne et la France en matière de cybersécurité, ainsi que l’importance accordée par les deux Etats à l’autonomie stratégique européenne en matière de sécurité numérique ;
  • en avril, le Parlement européen adopte le Règlement général sur la protection des données (dit « RGPD »), afin de renforcer la protection des données à caractère personnel. Si elles ne portent pas à proprement parlé sur la cybersécurité, la mise en conformité avec les dispositions du RGPD présente une adhérence significative avec les questions de sécurité des systèmes d’information (pour aller plus loin : [CNIL] « RGPD : se préparer en 6 étapes« ) ;
  • à l’été, le premier contrat de partenariat public-privé (dit « cPPP ») en matière de cybersécurité est signé entre l’association European Cybersecurity Organisation (ECSO) – créée pour l’occasion – et la Commission européenne. En consacrant 450 millions d’euros du fonds européen H2020 sur les questions industrielles et de R&D, cette démarche doit concourir à la construction de l’autonomie stratégique européenne en matière de cybersécurité ;
  • début juillet, le sommet de l’OTAN aboutit sur plusieurs conclusions significatives, et notamment la reconnaissance du cyberespace comme domaine d’opérations dans lequel l’Alliance doit se défendre. Les Alliés ont par ailleurs signé le « Cyber Defence Pledge« , dans lequel ils s’engagent à renforcer leurs capacités nationales de cyberdéfense ;
  • fin juillet, c’est à l’Union européenne que l’on note une avancée très significative, avec l’adoption, après plusieurs années de négociation, de la directive sur la sécurité des réseaux et de l’information, dite « directive NIS« . Celle-ci prévoit le renforcement des capacités nationales des Etats membres en matière de cybersécurité, l’établissement d’un cadre de coopération volontaire entre les Etats membres, le renforcement de la cybersécurité des « opérateurs de services essentiels » (OSE) au fonctionnement de l’économie et de la société, et l’instauration de règles communes pour les fournisseurs de services numériques (cloud, moteurs de recherche et places de marché). Une philosophie très alignée avec la LPM française adoptée quelques années auparavant !
  • en novembre, les élections présidentielles étatsuniennes sont marquées par une vague de cyberattaques à l’encontre du Comité national démocrate (DNC), ayant entrainé la publication de documents confidentiels. Le monde entier prend ainsi conscience de l’acuité de la menace d’origine cyber portant sur les processus démocratiques.

Voilà pour cette période 2014-2016, bien chargée ! Suite et fin au prochain épisode !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (1/3)

En 2008, le Livre blanc sur la défense et la sécurité nationale, qui vise à définir les grands axes stratégiques des politiques publiques de sécurité et de défense nationale, est le premier document de ce niveau à prendre acte de l’importance de la sécurité des systèmes d’information (SSI).

La France doit garder un domaine de souveraineté, concentré sur les capacités nécessaires au maintien de l’autonomie stratégique et politique de la nation : la dissuasion nucléaire, le secteur des missiles balistiques, les sous-marins nucléaires d’attaque, la SSI font partie de ce premier cercle.

Livre blanc sur la défense et la sécurité nationale (2008)

Dans la foulée de ce Livre blanc, le 7 juillet 2009, le décret 2009-834 créait l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la désignant au passage comme autorité nationale de sécurité des systèmes d’information. L’année 2019 sera donc l’occasion pour l’Agence de souffler sa 10e bougie !

Le logo de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

10 ans après, quel chemin parcouru par la cybersécurité française ? et dans quel contexte ? Revenons sur quelques dates qui ont marqué cette décennie de sécurité numérique – en France et un peu plus largement…


En 2010, le monde découvre Stuxnet, qui aurait été co-conçu par les Etats-Unis et Israël afin de ralentir le programme d’enrichissement nucléaire iranien. Le cas échéant, ce serait le premier logiciel malveillant connu du grand public et conçu à des fins de sabotage dans le cadre d’une rivalité entre Etats. Si l’origine étatique de l’attaque était avérée, ce serait également un important exemple de cyberattaque contre une infrastructure critique d’un autre pays en « temps de paix », ce qui – au-delà du fait de ne pas être gentil du tout – pourrait nous amener à nous poser la question de la licéité de cette action au regard du droit international… Pour aller plus loin, lire ce bel article du NY Times sur Stuxnet.


En 2011, est publiée la première stratégie nationale en matière de défense et de sécurité des systèmes d’information, par l’ANSSI. Définissant 4 « objectifs stratégiques » (au fait, ça veut dire quoi « stratégique » ? 🙂 ) et 7 axes d’effort, elle évoque déjà la protection de l’information de souveraineté, la protection des infrastructures critiques ou les questions relatives au droit. On pourrait également noter 2 autres points intéressants : le glossaire à la fin, encore souvent cité par de nombreux ouvrages et articles qui cherchent à définir les termes « cyberespace » ou « cybersécurité » ; et la place à part entière accordée aux enjeux de communication et de sensibilisation, qui ont, on le voit, connu une croissance spectaculaire ces dernières années.

Défense et sécurité des systèmes d’information – Stratégie de la France (2011)

En 2012 :

  • à l’été, le code malveillant Shamoon terrasse plusieurs entreprises majeures du secteur de l’énergie comme Aramco (à l’époque, 1er exportateur mondial de pétrole brut) et RasGas . L’attaque, qui cherche à détruire le plus grand nombre de machines possible, est soutenue par une campagne de DDoS et de propagande sur les réseaux sociaux. Elle mettra plus de 30000 machines hors service et paralysera le réseau principal des victimes pendant une quinzaine de jours ;
  • fin 2012, l’ANSSI publie un appel à commentaires pour son premier guide d’hygiène informatique (publication début 2013, nouvelle version début 2017). Se voulant la « transposition dans le monde numérique de règles élémentaires de sécurité sanitaire », elles constituent un socle fondamental d’une quarantaine de règles de sécurité qui ne permet pas de se protéger des attaques les plus sophistiquées, mais doit permettre de parer au « tout venant ».

L’année 2013 aura été dense pour la cybersécurité :

  • en avril, un nouveau Livre blanc sur la sécurité et la défense nationale (un autre lien pertinent) est publié. Le Livre blanc de 2008 avait été « commandé » par le nouveau Président de la République de l’époque, Nicolas Sarkozy. Celui-ci est, de même, commandé par le Président nouvellement élu, François Hollande. Côté cybersécurité, il identifie clairement les cyber menaces comme des menaces majeures pour la sécurité nationale, au même titre que la guerre ou le terrorisme. Il prend acte de l’augmentation de la quantité et de la sophistication des cyberattaques, et du risque élevé qu’elles constituent du fait à la fois de leur forte probabilité et de leurs forts impacts potentiels. Le Livre blanc fait état des finalités d’espionnage de nombre de ces cyberattaques, mais aussi – et c’est essentiel – du risque de sabotage qu’elles emportent. Ce dernier constat, notamment, plaide pour un renforcement du niveau de sécurité des SI essentiels au bon fonctionnement des infrastructures critiques de la Nation ;
Livre blanc sur la défense et la sécurité nationale (2013)
  • quelques mois plus tard, l’affaire Snowden défraye la chronique. Edward Snowden, qui travaille pour un sous-traitant de la fameuse National Security Agency (NSA), transmet une grande quantité de documents classifiés qu’il aurait dérobé à l’agence étatsunienne de renseignement, parmi les plus puissantes au monde. Ces révélations, qui contribueront à ouvrir un large débat sur l’équilibre entre le respect de la vie privée et les pratiques des services de renseignement, permettront également d’illustrer concrètement certains modes opératoires d’attaques cyber. Or une meilleure connaissance de ces modes opératoires devrait (au moins en théorie) permettre aux défenseurs de mieux s’en protéger…
  • à l’été, le Groupe des experts gouvernementaux (GGE) sur les « développements dans le domaine de l’information et des télécommunications dans le contexte de la sécurité internationale » de l’ONU parvient à une avancée nettement moins médiatisée mais tout de même fondamentale : il s’accorde sur le fait que le droit international existant, en particulier la Charte des Nations Unies, s’applique dans le cyberespace. C’est une étape majeure dans les travaux sur le sujet de la régulation du cyberespace. Qu’est-ce qui constitue une cyber attaque ? Quel rôle doivent jouer les gouvernements dans la réponse contre les cyber attaques visant leurs citoyens ou les entreprises privées ? A partir de quand cela devient-il un sujet de sécurité nationale ? Y a-t-il des « règles de conduite » dans le cyberespace ? Le cas échéant, sont-elles contraignantes, sur qui/quoi s’appliquent-elles ? Autant de questions soulevées par cette réflexion. Ancrer ce débat dans l’enceinte des Nations Unies, dans une dimension intergouvernementale, et le rattacher à un droit existant – dont il restera à convenir des modalités concrètes d’application – est une première étape significative dans cette longue réflexion ;
  • enfin, pour clore cette année 2013 haute en cyber couleurs, c’est la promulgation, en décembre, de la Loi de programmation militaire 2014-2019 qui retiendra toute notre attention. Une « LPM » (comme on dit chez les initié/e/s) est une loi qui vise à « établir une programmation pluriannuelle [en l’occurrence, depuis 2003, des périodes de 6 ans] des dépenses que l’État français consacre à ses forces armées » (merci à Wikipédia pour cette formulation que je ne saurais mieux tourner 😉 ). Depuis 2008, la logique est de : 1/ faire écrire un Livre blanc par des « sachant/e/s » pour prendre acte du contexte stratégique (oh, encore ce mot, « stratégique« , décidément ! 🙂 ) sur les questions de sécurité et de défense nationale et proposer des orientations ; 2/ faire voter une loi pour acter la programmation des moyens permettant de répondre à ces orientations. Comme une importante partie des orientations des Livres blancs sur la sécurité et la défense nationale porte sur des questions de défense, et donc des enjeux militaires, le véhicule législatif qui permet d’acter la programmation capacitaire subséquente à ces orientations est une loi dite de… « programmation militaire ». Cette loi peut néanmoins contenir des dispositions non strictement militaires. C’est ainsi que, le Livre blanc de 2013 prenant acte de la nécessité de mieux protéger les infrastructures critiques contre les attaques cyber, il a été décidé d’inclure dans la LPM 2014-2019 d’importantes dispositions en ce sens (cf. chapitre IV de ladite loi). En particulier, l’article 22 de la loi prévoit notamment que le Premier ministre (dans les faits : l’ANSSI, qui fait partie des services du Premier ministre) fixera des mesures de sécurité pour les SI dits « d’importance vitale » (les « SIIV ») des opérateurs qui sont eux-mêmes « d’importance vitale » (les « OIV » de leur petit nom). Au-delà de l’aspect purement technique, il est important de souligner que cette démarche consistant pour un pays de légiférer sur la sécurité numérique de ses infrastructures critiques est probablement une première mondiale, qui inspirera par la suite d’autres pays et même l’Union européenne quelques années plus tard…
Projet de loi de programmation militaire 2014-2019

Voilà pour cette première partie de la décennie 2009-2019. La suite au prochain épisode…