2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (2/3)

Ceci est la suite d’un premier article couvrant la période 2009-2013. Nous parcourons ici les années 2014 à 2016 de cette décennie de cybersécurité en France… et un peu au-delà. 🙂


En 2014, plusieurs points notables :

  • au niveau européen, le Parlement et le Conseil adoptent en juillet le règlement 910/2014, dit « eIDAS ». Applicable à partir de 2016, celui-ci a pour vocation de contribuer à l’émergence d’un « marché unique numérique », en améliorant la confiance dans les transactions électroniques. Il établit pour cela un cadre d’interopérabilité et de reconnaissance mutuelle en matière d’identification électronique ;
  • au niveau otanien, le sommet de Newport aborde les questions de cybersécurité en indiquant notamment qu’il est nécessaire que les alliés renforcent leurs capacités nationales en matière de cyberdéfense. Avancée doctrinale notable par ailleurs : le lien entre cyberattaque et invocation de l’article 5 du traité de Washington (qui prévoit l’assistance des membres de l’OTAN en cas d’attaque majeure contre l’un d’entre eux) est explicitement établi. Si en théorie le lien est désormais explicitement établi, l’opérationnalisation de cette disposition est à l’époque (et c’est probablement encore le cas aujourd’hui) loin d’être acquise…

En 2015 :

  • en avril, la chaîne de télévision francophone TV5 Monde est frappée par une cyberattaque qui entraîne notamment l’arrêt de la diffusion de ses programmes. Les comptes Twitter et Facebook de la chaîne sont également compromis, et y sont publiés des messages de soutien à l’Etat islamique. Cette attaque est la première cyberattaque visant des intérêts français et comportant des effets de sabotage majeurs. La mobilisation des équipes de la chaîne, ainsi que de l’ANSSI, permettra la reprise de l’activité dès le lendemain. Accessible auprès de 290 millions de foyers dans le monde, la chaîne constitue un symbole majeur de la francophonie. L’attaque, revendiquée par un groupe se faisant appeler « CyberCaliphate », mais dont l’identité exacte reste floue, coutera plusieurs millions d’euros à TV5 Monde ;
  • à l’été, avancée majeure à l’ONU : le GGE parvient à un socle d’engagements volontaires de bonne conduite pour les Etats dans le cyberespace, notamment : le fait que les Etats doivent protéger leurs infrastructures critiques (« la meilleure défense, c’est la défense ») ; qu’ils doivent coopérer quand une attaque émane de leur territoire (application du principe de due diligence au cyberespace) ; qu’ils doivent faire preuve de transparence sur leur organisation et leur stratégie nationale en matière de sécurité ; ou encore qu’il est interdit d’attaquer les infrastructures critiques en temps (cf. Stuxnet) ;
  • en octobre, le Premier ministre présente la stratégie nationale pour la sécurité du numérique. La signature du Premier ministre consacre le caractère interministériel de ce document, dont l’élaboration aura duré près d’une année. On notera un choix sémantique important : on parle désormais de « sécurité du numérique ». Cet intitulé, qui pourrait paraître anodin, démontre en fait que l’Etat ne traite plus seulement la cybersécurité comme un sujet « souverain » mais prend également acte du besoin d’accompagner plus largement la transformation numérique de la société et de l’économie. Le document décline 5 « objectifs stratégiques » : garantir la souveraineté nationale ; apporter une réponse forte contre les actes de cybermalveillance ; informer le grand public ; faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et renforcer la voix de la France à l’international.
Stratégie nationale pour la sécurité du numérique (2015)

L’année 2016 est une année dense en matière de sécurité du numérique :

  • les conclusions du 18e conseil des ministres franco-allemand confirment la dynamique de la coopération bilatérale entre l’Allemagne et la France en matière de cybersécurité, ainsi que l’importance accordée par les deux Etats à l’autonomie stratégique européenne en matière de sécurité numérique ;
  • en avril, le Parlement européen adopte le Règlement général sur la protection des données (dit « RGPD »), afin de renforcer la protection des données à caractère personnel. Si elles ne portent pas à proprement parlé sur la cybersécurité, la mise en conformité avec les dispositions du RGPD présente une adhérence significative avec les questions de sécurité des systèmes d’information (pour aller plus loin : [CNIL] « RGPD : se préparer en 6 étapes« ) ;
  • à l’été, le premier contrat de partenariat public-privé (dit « cPPP ») en matière de cybersécurité est signé entre l’association European Cybersecurity Organisation (ECSO) – créée pour l’occasion – et la Commission européenne. En consacrant 450 millions d’euros du fonds européen H2020 sur les questions industrielles et de R&D, cette démarche doit concourir à la construction de l’autonomie stratégique européenne en matière de cybersécurité ;
  • début juillet, le sommet de l’OTAN aboutit sur plusieurs conclusions significatives, et notamment la reconnaissance du cyberespace comme domaine d’opérations dans lequel l’Alliance doit se défendre. Les Alliés ont par ailleurs signé le « Cyber Defence Pledge« , dans lequel ils s’engagent à renforcer leurs capacités nationales de cyberdéfense ;
  • fin juillet, c’est à l’Union européenne que l’on note une avancée très significative, avec l’adoption, après plusieurs années de négociation, de la directive sur la sécurité des réseaux et de l’information, dite « directive NIS« . Celle-ci prévoit le renforcement des capacités nationales des Etats membres en matière de cybersécurité, l’établissement d’un cadre de coopération volontaire entre les Etats membres, le renforcement de la cybersécurité des « opérateurs de services essentiels » (OSE) au fonctionnement de l’économie et de la société, et l’instauration de règles communes pour les fournisseurs de services numériques (cloud, moteurs de recherche et places de marché). Une philosophie très alignée avec la LPM française adoptée quelques années auparavant !
  • en novembre, les élections présidentielles étatsuniennes sont marquées par une vague de cyberattaques à l’encontre du Comité national démocrate (DNC), ayant entrainé la publication de documents confidentiels. Le monde entier prend ainsi conscience de l’acuité de la menace d’origine cyber portant sur les processus démocratiques.

Voilà pour cette période 2014-2016, bien chargée ! Suite et fin au prochain épisode !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *