2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (1/3)

En 2008, le Livre blanc sur la défense et la sécurité nationale, qui vise à définir les grands axes stratégiques des politiques publiques de sécurité et de défense nationale, est le premier document de ce niveau à prendre acte de l’importance de la sécurité des systèmes d’information (SSI).

La France doit garder un domaine de souveraineté, concentré sur les capacités nécessaires au maintien de l’autonomie stratégique et politique de la nation : la dissuasion nucléaire, le secteur des missiles balistiques, les sous-marins nucléaires d’attaque, la SSI font partie de ce premier cercle.

Livre blanc sur la défense et la sécurité nationale (2008)

Dans la foulée de ce Livre blanc, le 7 juillet 2009, le décret 2009-834 créait l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la désignant au passage comme autorité nationale de sécurité des systèmes d’information. L’année 2019 sera donc l’occasion pour l’Agence de souffler sa 10e bougie !

Le logo de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

10 ans après, quel chemin parcouru par la cybersécurité française ? et dans quel contexte ? Revenons sur quelques dates qui ont marqué cette décennie de sécurité numérique – en France et un peu plus largement…


En 2010, le monde découvre Stuxnet, qui aurait été co-conçu par les Etats-Unis et Israël afin de ralentir le programme d’enrichissement nucléaire iranien. Le cas échéant, ce serait le premier logiciel malveillant connu du grand public et conçu à des fins de sabotage dans le cadre d’une rivalité entre Etats. Si l’origine étatique de l’attaque était avérée, ce serait également un important exemple de cyberattaque contre une infrastructure critique d’un autre pays en « temps de paix », ce qui – au-delà du fait de ne pas être gentil du tout – pourrait nous amener à nous poser la question de la licéité de cette action au regard du droit international… Pour aller plus loin, lire ce bel article du NY Times sur Stuxnet.


En 2011, est publiée la première stratégie nationale en matière de défense et de sécurité des systèmes d’information, par l’ANSSI. Définissant 4 « objectifs stratégiques » (au fait, ça veut dire quoi « stratégique » ? 🙂 ) et 7 axes d’effort, elle évoque déjà la protection de l’information de souveraineté, la protection des infrastructures critiques ou les questions relatives au droit. On pourrait également noter 2 autres points intéressants : le glossaire à la fin, encore souvent cité par de nombreux ouvrages et articles qui cherchent à définir les termes « cyberespace » ou « cybersécurité » ; et la place à part entière accordée aux enjeux de communication et de sensibilisation, qui ont, on le voit, connu une croissance spectaculaire ces dernières années.

Défense et sécurité des systèmes d’information – Stratégie de la France (2011)

En 2012 :

  • à l’été, le code malveillant Shamoon terrasse plusieurs entreprises majeures du secteur de l’énergie comme Aramco (à l’époque, 1er exportateur mondial de pétrole brut) et RasGas . L’attaque, qui cherche à détruire le plus grand nombre de machines possible, est soutenue par une campagne de DDoS et de propagande sur les réseaux sociaux. Elle mettra plus de 30000 machines hors service et paralysera le réseau principal des victimes pendant une quinzaine de jours ;
  • fin 2012, l’ANSSI publie un appel à commentaires pour son premier guide d’hygiène informatique (publication début 2013, nouvelle version début 2017). Se voulant la « transposition dans le monde numérique de règles élémentaires de sécurité sanitaire », elles constituent un socle fondamental d’une quarantaine de règles de sécurité qui ne permet pas de se protéger des attaques les plus sophistiquées, mais doit permettre de parer au « tout venant ».

L’année 2013 aura été dense pour la cybersécurité :

  • en avril, un nouveau Livre blanc sur la sécurité et la défense nationale (un autre lien pertinent) est publié. Le Livre blanc de 2008 avait été « commandé » par le nouveau Président de la République de l’époque, Nicolas Sarkozy. Celui-ci est, de même, commandé par le Président nouvellement élu, François Hollande. Côté cybersécurité, il identifie clairement les cyber menaces comme des menaces majeures pour la sécurité nationale, au même titre que la guerre ou le terrorisme. Il prend acte de l’augmentation de la quantité et de la sophistication des cyberattaques, et du risque élevé qu’elles constituent du fait à la fois de leur forte probabilité et de leurs forts impacts potentiels. Le Livre blanc fait état des finalités d’espionnage de nombre de ces cyberattaques, mais aussi – et c’est essentiel – du risque de sabotage qu’elles emportent. Ce dernier constat, notamment, plaide pour un renforcement du niveau de sécurité des SI essentiels au bon fonctionnement des infrastructures critiques de la Nation ;
Livre blanc sur la défense et la sécurité nationale (2013)
  • quelques mois plus tard, l’affaire Snowden défraye la chronique. Edward Snowden, qui travaille pour un sous-traitant de la fameuse National Security Agency (NSA), transmet une grande quantité de documents classifiés qu’il aurait dérobé à l’agence étatsunienne de renseignement, parmi les plus puissantes au monde. Ces révélations, qui contribueront à ouvrir un large débat sur l’équilibre entre le respect de la vie privée et les pratiques des services de renseignement, permettront également d’illustrer concrètement certains modes opératoires d’attaques cyber. Or une meilleure connaissance de ces modes opératoires devrait (au moins en théorie) permettre aux défenseurs de mieux s’en protéger…
  • à l’été, le Groupe des experts gouvernementaux (GGE) sur les « développements dans le domaine de l’information et des télécommunications dans le contexte de la sécurité internationale » de l’ONU parvient à une avancée nettement moins médiatisée mais tout de même fondamentale : il s’accorde sur le fait que le droit international existant, en particulier la Charte des Nations Unies, s’applique dans le cyberespace. C’est une étape majeure dans les travaux sur le sujet de la régulation du cyberespace. Qu’est-ce qui constitue une cyber attaque ? Quel rôle doivent jouer les gouvernements dans la réponse contre les cyber attaques visant leurs citoyens ou les entreprises privées ? A partir de quand cela devient-il un sujet de sécurité nationale ? Y a-t-il des « règles de conduite » dans le cyberespace ? Le cas échéant, sont-elles contraignantes, sur qui/quoi s’appliquent-elles ? Autant de questions soulevées par cette réflexion. Ancrer ce débat dans l’enceinte des Nations Unies, dans une dimension intergouvernementale, et le rattacher à un droit existant – dont il restera à convenir des modalités concrètes d’application – est une première étape significative dans cette longue réflexion ;
  • enfin, pour clore cette année 2013 haute en cyber couleurs, c’est la promulgation, en décembre, de la Loi de programmation militaire 2014-2019 qui retiendra toute notre attention. Une « LPM » (comme on dit chez les initié/e/s) est une loi qui vise à « établir une programmation pluriannuelle [en l’occurrence, depuis 2003, des périodes de 6 ans] des dépenses que l’État français consacre à ses forces armées » (merci à Wikipédia pour cette formulation que je ne saurais mieux tourner 😉 ). Depuis 2008, la logique est de : 1/ faire écrire un Livre blanc par des « sachant/e/s » pour prendre acte du contexte stratégique (oh, encore ce mot, « stratégique« , décidément ! 🙂 ) sur les questions de sécurité et de défense nationale et proposer des orientations ; 2/ faire voter une loi pour acter la programmation des moyens permettant de répondre à ces orientations. Comme une importante partie des orientations des Livres blancs sur la sécurité et la défense nationale porte sur des questions de défense, et donc des enjeux militaires, le véhicule législatif qui permet d’acter la programmation capacitaire subséquente à ces orientations est une loi dite de… « programmation militaire ». Cette loi peut néanmoins contenir des dispositions non strictement militaires. C’est ainsi que, le Livre blanc de 2013 prenant acte de la nécessité de mieux protéger les infrastructures critiques contre les attaques cyber, il a été décidé d’inclure dans la LPM 2014-2019 d’importantes dispositions en ce sens (cf. chapitre IV de ladite loi). En particulier, l’article 22 de la loi prévoit notamment que le Premier ministre (dans les faits : l’ANSSI, qui fait partie des services du Premier ministre) fixera des mesures de sécurité pour les SI dits « d’importance vitale » (les « SIIV ») des opérateurs qui sont eux-mêmes « d’importance vitale » (les « OIV » de leur petit nom). Au-delà de l’aspect purement technique, il est important de souligner que cette démarche consistant pour un pays de légiférer sur la sécurité numérique de ses infrastructures critiques est probablement une première mondiale, qui inspirera par la suite d’autres pays et même l’Union européenne quelques années plus tard…
Projet de loi de programmation militaire 2014-2019

Voilà pour cette première partie de la décennie 2009-2019. La suite au prochain épisode…

Nikola Tesla : il y a plus de 100 ans, il voyait déjà Internet.

La lecture récente de l’autobiographie de Nikola Tesla, « Mes inventions« , m’a fait redécouvrir ce génie mal connu et passionnant. Pour rappel, Tesla était un ingénieur américain d’origine serbe. Né en 1856 et décédé en 1943, il est principalement connu pour ses travaux sur l’électricité et la distribution de l’énergie électrique.

Nikola Tesla, vers 1890.

De nos jours, son nom est connu du grand public grâce/à cause d’une marque de voitures électriques fondée par Elon Musk. Par ailleurs, je ne peux m’empêcher de mentionner les redoutables « bobines de Tesla », d’un jeu vidéo qui a marqué ma jeunesse : Command & Conquer – Alerte rouge 🙂

L’objet de ce billet n’est pas de faire la biographie de Tesla – Wikipedia le fait très bien 🙂 – mais d’attirer l’attention sur quelques passages de « Mes inventions » qui m’ont particulièrement intéressés et qui parlent de ce que Tesla appelle le « Système Mondial« . A la lecture de la description de ce dispositif – écrite aux alentours de 1900 – on ne peut s’empêcher de penser à un « système mondial » qui rythme la vie quotidienne de plusieurs milliards d’êtres humains sur Terre aujourd’hui : Internet. 🙂

Jugez-en par vous-même :

Le Système Mondial est le résultat de la réunion de quelques-unes des découvertes originales faites par l’inventeur, au cours de ses recherches et expérimentations. Il autorise non seulement la transmission instantanée et précise sans fil de signaux, de messages et de caractères partout dans le globe, mais également l’interconnexion de la totalité des systèmes téléphoniques et télégraphiques, ainsi que des autres stations de données, sans obligation de modifier les équipements existants. Grâce à lui, un abonné du téléphone peut communiquer avec n’importe quel autre abonné sur Terre. Un récepteur bon marché, de la taille d’une montre, lui permettra de suivre, sur terre comme sur mer, la retransmission d’un discours ou d’une musique émis ailleurs, quel que soit l’éloignement. Ces exemples entendent surtout donner une idée des possibilités qu’offre cette percée scientifique, qui abolit les distances, et prouve que ce conducteur naturel, on veut parler de la Terre, peut permettre d’atteindre les innombrables objectifs que l’ingéniosité humaine a jusqu’ici placés dans ses lignes de transmission. Le résultat de grande portée, c’est que tout appareil, comportant un ou plusieurs fils (à une distance manifestement limitée), pourra désormais fonctionner de la même façon, sans conducteurs artificiels et avec autant de facilité et d’efficacité, à des distances dont les seules limites seront celles fixées par notre planète. Avec cette méthode de transmission idéale, s’ouvrent de nouveaux champs d’exploitation commerciale, sans pour autant toucher aux domaines d’activité qui fonctionnent déjà.

Le Système Mondial repose sur la mise en application des inventions et découvertes suivantes :
– le transformateur Tesla ;
– le transmetteur amplificateur ;
– le système sans fil Tesla ;
– la technique de l’individualisation ;
– les ondes stationnaires terrestres.

[…] Voici quelques utilisations possibles :
– interconnexion des échanges et bureaux télégraphiques existant partout dans le monde ;
– instauration d’un service télégraphique gouvernemental secret et ne pouvant pas être intercepté ;
– interconnexion de tous les échanges et centrales téléphoniques du monde ;
– diffusion universelle de l’information par le télégraphe ou le téléphone, en connexion avec la presse ;
– instauration d’un Système Mondial de transmission de renseignements, à usage exclusivement privé ;
– interconnexion et travail de tous les télé-imprimeurs boursiers dans le monde ;
– instauration d’un Système Mondial de diffusion de musique ;
– enregistrement universel de l’heure, au moyen de pendules bon marché indiquant l’heure avec une précision astronomique et ne réclamant aucun entretien ;
– transmission mondiale de caractères, lettres, chèques, etc. calligraphiés ou tapés à la machine ;
– instauration d’un service universel pour la marine, offrant aux navigateurs la possibilité de s’orienter sans boussole, de déterminer position exacte, heure et vitesse, de prévenir collision et naufrages, etc.
– inauguration d’un système d’impression mondiale sur terre et sur mer ;
– reproduction mondiale de photos et de toutes sortes de dessins.

Nikola Tesla

Troublant, n’est-ce pas ? 😉

Une traduction française et complète de Mes inventions est disponible ici.

« Stratégie » : ça veut dire quoi ?

Pour ce tout premier article d’Upsigma, j’ai voulu mettre par écrit quelques éléments de réflexion sur une série de questions qui me taraude – et que l’on se pose autour de moi – depuis des années : c’est quoi la stratégie ? ça veut dire quoi « stratégique » ?

De nos jours, le mot « stratégie » et l’adjectif « stratégique » sont rentrés dans le langage courant, pour désigner des matières et propriétés relativement diverses. On se rappellera pourtant que la stratégie est une matière vieille de plus de 2000 ans – le premier stratège étant réputé être le général chinois Sun Tzu, du VIe siècle avant J.-C., auteur du célèbre ouvrage L’Art de la guerre – qui a fait l’objet de nombreuses études et documentations passionnantes depuis.

Quelques recherches m’ont amené à considérer 3 principaux groupes de représentation de la question.

#1. Le premier groupe voit la stratégie comme un art à exercer dans un contexte d’altérité, de conflictualité et d’adversité. C’est la stratégie des puristes, la plus ancestrale, celle de Sun Tzu, Machiavel, von Clausewitz, Beaufre et Liddell Hart dans le monde militaire, celle de Bruce Henderson et de Michael Porter dans le monde de l’entreprise. Elle n’existe que dans l’affrontement avec un Autre, dont les volontés et actions sont souvent hors de notre champ de contrôle, dans un environnement dont la complexité est elle-même de plus en plus difficile à appréhender.

#2. Le deuxième groupe utilise l’adjectif « stratégique » pour désigner ce qui est de « haut niveau » : important, crucial, névralgique, incontournable, très englobant, ayant une longue portée temporelle et/ou géographique, ou plus largement intéressant directement les dirigeants. Cette vision :

  • priorise les questions – ce qui est stratégique est ce qu’il y a de plus important ;
  • et hiérarchise la façon de les traiter – au sein des armées, on parle par exemple souvent des niveaux stratégique, opératif et tactique.

#3. Enfin, un troisième groupe comprend la stratégie comme une démarche planificatrice visant à définir une approche générale pour une entité ou une activité. On parle ici de directions, d’orientations, de plans, de feuilles de route, d’axes d’efforts ou encore de principes structurants. Les puristes de la stratégie pourraient critiquer l’aspect trop peu « décisionnaire » de cette acception, car point de vraie stratégie sans décision, sans renoncement, sans opposition !

Au-delà d’une volonté ayatollesque cherchant à fixer les bonnes et mauvaises façons de parler de stratégie, ce morceau de réflexion vise déjà à proposer une (très modeste) grille de lecture des usages en vigueur. A plusieurs reprises ces dernières années, j’ai été interrogé, dans mon contexte professionnel, sur la signification du mot « stratégie ». En m’essayant à livrer une explication comme celle proposée ci-dessus, j’ai souvent pu constater un début d’auto-censure chez mes interlocuteurs. « Zut, c’est vrai que j’utilise le mot stratégie à tort et à travers », me laissaient-ils comprendre. J’ai souvent rétorqué que l’utilisation même du mot « stratégie » n’est jamais un problème… tant que l’on est tous d’accord sur ce que l’on met derrière !

Et pour vous, c’est quoi une « question stratégique » ?