2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (3/3)

Suite et fin de notre mini-dossier consacré à la décennie 2009-2019 en matière de cybersécurité en France… et un peu au-delà. Après les périodes 2009-2013 et 2014-2016, nous couvrons ici les années 2017 et 2018 et tâcherons, en fin d’article et en guise de conclusion, d’identifier quelques grandes tendances et dynamiques.


L’année 2017 a été relativement chargée, notamment sur le plan opérationnel :

  • à partir du 1er janvier, le Commandement de la cyberdéfense (COMCYBER) rassemble l’ensemble des forces de cyberdéfense des armées françaises sous une même autorité opérationnelle, permanente et interarmée. Placé sous l’autorité du Chef d’État-Major des armées (CEMA), il assure le commandement des opérations militaires dans le cyberespace et notamment la protection et de la défense des systèmes d’information relevant du périmètre du ministère des Armées ;
  • début avril, la France, via le SGDSN et l’ANSSI, organise la première conférence internationale « Construire la paix et la sécurité internationales de la société numérique », à l’UNESCO. Pendant deux jours, les 6 et 7 avril, l’évènement a rassemblé des représentants de gouvernements, d’ONG, de la société civile, du monde la recherche et de l’économie numérique. Une passionnante étude juridique sur l’applicabilité du droit international au cyberespace, menée par Karine Bannelier et Théodore Christakis, a été publiée en amont de la conférence afin de nourrir les débats ;
Étude « Cyberattaques – Prévention-réactions : rôle des États et des acteurs privés », par Karine Bannelier et Théodore Christakis.
  • en mai 2017, la fin de l’élection présidentielle est marquée par les « MacronLeaks« , la publication de documents prétendument volés au parti politique « En Marche ! ». Cette action, rendue publique le vendredi 5 mai au soir, à la fin de la campagne et à l’aube du second tour du scrutin, fait suite à l’attaque du mouvement par un groupe de pirates. La divulgation de documents, non authentifiés et « marketés » comme « compromettants » durant la période de réserve qui interdit aux candidats, candidates à l’élection et à leurs soutiens de s’exprimer montre que cette attaque vise à perturber le processus électoral en cours et ainsi à s’en prendre à un symbole fort de la démocratie et du fonctionnement de l’État français ;
  • toujours en mai 2017, le monde découvre le rançongiciel WannaCry, utilisé dans le cadre d’une cyberattaque massive qui touchera plusieurs centaines de milliers de machines dans plus de 150 pays. Le logiciel malveillant, particulièrement virulent, se réplique et se propage très rapidement. Une fois qu’il prend pied sur une machine, il en chiffre les fichiers, les rendant indisponibles pour l’utilisateur, et demande une rançon en échange de la clé de déchiffrement. Paralysant ainsi le fonctionnement de nombreuses organisations (notamment le système de santé britannique), WannaCry donne une – triste – illustration de l’importance de l’aspect « disponibilité » dans la sécurité numérique, parfois un peu sous-estimé face aux questions plus « traditionnelles » de la confidentialité et de l’espionnage. Exploitant la faille dite « EternalBlue » – révélée quelques mois auparavant par le groupe The Shadow Brokers, qui revendiquait l’avoir dérobée à la NSA – WannaCry mettra également évidence des questions stratégiques comme la gestion des correctifs de sécurité par les utilisateurs ; la responsabilité des acteurs privés de portée systémique (tels que Microsoft, dont les systèmes d’exploitation sont les plus déployés au monde) dans la stabilité du cyberespace ; ou encore la gestion responsable des vulnérabilités par les gouvernements ;
L’interface du logiciel WannaCry, qui propose à l’utilisateur de payer une rançon de $300 en bitcoins pour transmettre la clé de déchiffrement.
  • en juin 2017, seulement quelques semaines après WannaCry, c’est au tour du logiciel NotPetya de défrayer la chronique. Parmi les victimes, on compte notamment l’armateur danois Maersk, qui annoncera une perte subséquente de 300 millions de dollars. Exploitant également la faille EternalBlue, NotPetya présente comme WannaCry les caractéristiques d’un rançongiciel… au moins en apparence. En effet, contrairement à ce que son interface laisse entendre, il n’existe pas de moyen de récupérer la clé de déchiffrement des données prises en otage par NotPetya, ce qui interroge sur les véritables finalités de ses concepteurs : sabotage et destruction, plutôt que rançonnage et extorsion ;
  • le 13 septembre, la Commission européenne présente le « EU Cybersecurity Act« , un ensemble (dit « paquet ») de mesures relatives à la cybersécurité en Europe, comprenant : 1/ une communication conjointe de la Commission et de la Haute représentante pour l’action extérieure (cheffe du Service européen d’action extérieure, le « ministère des affaires étrangères » de l’UE) listant des actions prioritaires en matière de cybersécurité ; 2/ une proposition de règlement européen comprenant un mandat permanent pour l’ENISA (agence européenne pour la sécurité des réseaux et de l’information, créée en 2004 et dotée jusque-là de mandats finis et renouvelables) et un projet de cadre européen de certification de sécurité ; 3/ une recommandation proposant un cadre européen de réponse aux crises cyber ; et 4/ une communication précisant certaines modalités de mise en œuvre de la directive NIS ;
  • en octobre, après une période d’expérimentation dans la région Hauts-de-France, la plateforme cybermalveillance.gouv.fr, pilotée par le GIE ACYMA, est lancée sur tout le territoire national. Incubée au sein de l’ANSSI avec le concours du Ministère de l’Intérieur, cette plate-forme joue notamment le rôle de guichet unique vers lequel peuvent se tourner les victimes d’actes de cybermalveillance (particuliers, TPE/PME, collectivités territoriales, etc.) afin d’être mises en contact avec des prestataires de proximité susceptibles de les assister. Le dispositif a également une mission de sensibilisation et d’information (-> le suivre sur Twitter).
Le dispositif d’assistance aux victimes d’actes de cybermalveillance.

Pour terminer cette rétrospective, plusieurs jalons politico-stratégiques majeurs sont à relever en 2018 :

  • le premier d’entre eux est sans conteste la publication de la Revue stratégique de cyberdéfense, en février. Comme ses deux prédécesseurs, le Président de la République a commandé, en arrivant à l’Élysée, une réflexion stratégique portant sur les questions de sécurité et de défense. Deux petites nouveautés pour le début de quinquennat d’Emmanuel Macron : 1/ le « Livre blanc sur la défense et la sécurité nationale » s’appelle désormais une « Revue stratégique sur la défense et la sécurité nationale » ; 2/ l’exercice se scinde en deux, avec un premier document couvrant le périmètre traditionnel « sécurité et défense » et un second document exclusivement consacré aux enjeux de cyberdéfense, la « Revue stratégique de cyberdéfense ». La réalisation de cette dernière sera confiée en juillet 2017 par le Premier ministre au Secrétaire général de la défense et de la sécurité nationale (SGDSN). Structurée en 3 grandes parties, cette Revue stratégique sera notamment l’occasion de formaliser et de confirmer l’organisation du modèle français de cyberdéfense, séparant organiquement les missions défensives et offensives ;
  • en juillet, la loi de programmation militaire (LPM) 2019-2025 est promulguée. Selon la même logique que celle mise en œuvre en 2013 pour donner un véhicule législatif aux mesures proposées par le Livre blanc (nous décrivions cela dans le premier article de ce mini-dossier), cette LPM de 2018 comporte, dans son article 34, des dispositions relatives au renforcement des capacités de détection de cyberattaques. Elle permet notamment aux opérateurs de communications électroniques de mettre en œuvre des dispositifs de détection d’attaques qui pourraient affecter les systèmes de leurs abonnés, afin de les en informer le cas échéant ;
  • en octobre, l’ANSSI lance la méthode d’analyse de risques EBIOS Risk Manager, héritière de la précédente méthode EBIOS et destinée à devenir la méthode française de référence pour le management des risques numériques. S’appuyant sur cinq ateliers et sur un label permettant de mettre en valeur des outils pour la déployer efficacement, elle se fixe pour objectif « de permettre aux dirigeants d’appréhender correctement les risques numériques, au même titre que les autres risques de nature stratégique » ;
EBIOS Risk Manager
  • le 12 novembre, le Président de la République lance « l’Appel de Paris pour la confiance et la sécurité dans le cyberespace » dans le cadre du 13e Forum sur la gouvernance de l’Internet. « Déclaration de haut niveau en faveur de l’élaboration de principes communs de sécurisation du cyberespace », cet Appel de Paris s’inscrit dans la continuité des réflexions internationales portant sur la stabilité de l’espace numérique (notamment les différentes sessions du GGE des Nations Unies, dont nous parlions ici et ici), en réaffirmant notamment que le droit international s’applique au cyberespace ;
  • dans la continuité de l’Appel de Paris et des travaux précédents sur la stabilité du cyberespace, est organisé, les 13 et 14 décembre, l’évènement inaugural du Global Forum de l’OCDE sur la sécurité numérique. Là où le GGE de l’ONU constituait une enceinte de travail exclusivement inter-gouvernementale, l’OCDE permet de mener les réflexions à une nouvelle étape, en faisant se rencontrer les représentants des gouvernements, du secteur privé, du monde académique et de la société civile, afin d’évoquer des sujets comme la « cyberdéfense active », la « sécurité by design« , la divulgation proactive et coordonnée des vulnérabilités ou la responsabilité des acteurs de portée systémique.

En guise de conclusion de ce mini-dossier, on se propose d’identifier quelques tendances structurantes dans l’évolution des questions liées à la cybersécurité sur la décennie qui vient de s’écouler. On groupera ces constats en 5 grandes catégories.

  1. La portée du « sujet cyber » – Si les racines de la cybersécurité sont fondamentalement techniques, il est acquis que le sujet n’est aujourd’hui plus un sujet réservé à des informaticiens, techniciens et ingénieurs. C’est un sujet de politique publique, de régulation, de confrontation, de développement économique, de concurrence, de développement sociétal. Il emporte des enjeux de niveau national, européen voire international. Les médias en parlent, le grand public en a conscience et, dans une certaine mesure, s’en préoccupe. Plus largement, la numérisation croissante de la société et de l’économie fait du numérique une opportunité pour tous – organisations publiques et privées, et individus – mais génère également des menaces qui pèsent sur tous.
  2. L’approche étatique du « sujet cyber » – Si elle est toujours traitée autour d’un cœur régalien « historique » comme un sujet de sécurité et de défense nationale (n’oublions pas qu’à l’origine, il y a la cryptographie, longtemps très ancrée dans la sphère militaire et assez fortement régulée), la sécurité numérique est également appréhendée par les gouvernements, en France et à l’étranger, de façon plus large. Au-delà de la sphère « souveraine », la cybersécurité est aussi comprise comme la garantie d’une transformation numérique menée en confiance de l’économie et de la société. Elle fait notamment l’objet de nombreux efforts de régulation et de réglementation, aux niveaux des pays et des organisations internationales comme l’UE.
  3. L’évolution de la menace d’origine cyber – La menace ancestrale et emblématique de l’espionnage est toujours présente et aiguë. Par ailleurs, l’omniprésence des systèmes numériques et l’avènement des objets connectés et des dispositifs de type « capteurs » et « actionneurs » – qui font le lien entre le monde numérique et le monde physique – font émerger une menace réelle de sabotage, de neutralisation et de destruction. Les effets potentiellement létaux d’une cyberattaque sont à cet égard de moins en moins théoriques. Également, plusieurs exemples récents mettent en exergue la réalité des menaces de déstabilisation et de désinformation, plus orientées sur les contenus que les contenants, et sur la couche sémantique que sur les couches logicielles et matérielles. Si ce dernier aspect, présentant une adhérence certaine avec les questions de contrôle de l’information, est intégré depuis longtemps dans les doctrines chinoises et russes, il constitue un nouveau défi que les doctrines occidentales doivent relever.
  4. L’évolution des objets à protéger – Alors que la sécurité informatique d’il y a quelques années s’intéressait majoritairement à la protection de systèmes d’information compris comme des « boites » avec des périmètres bien décrits, les enjeux de la sécurité numérique contemporaine ne permettent plus d’ignorer que la notion de « frontière » (technique, juridique, réglementaire, etc.) d’un système d’information est un concept de plus en plus flou et de plus en plus compliqué à appréhender.
  5. Le traitement du sujet à l’international – La décennie écoulée a vu les organisations internationales s’engager dans un premier grand cycle de prise en main du « sujet cyber » – avec plus ou moins de succès selon les organisations. L’ONU a ouvert la voie de la réflexion sur l’applicabilité du droit international au cyberespace, l’OTAN s’est attaché à transposer un certain nombre de ses problématiques plus militaires à l’espace numérique, et – last but not least! – l’Union européenne s’est illustrée comme un acteur et un échelon incontournable dans le domaine, avec notamment l’élaboration et la mise en œuvre de plusieurs réglementations de portée majeure. A l’échelle des nations, les 10 dernières années ont permis aux États de mettre en place des coopérations bilatérales et multilatérales importantes, sur les plans opérationnels, techniques et politico-stratégiques.

Après cette décennie riche pour la cybersécurité française et mondiale, l’avènement et le développement de sujets majeurs comme l’intelligence artificielle ou les technologies quantiques promettent une décennie à venir qui devrait être au moins aussi passionnante !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (2/3)

Ceci est la suite d’un premier article couvrant la période 2009-2013. Nous parcourons ici les années 2014 à 2016 de cette décennie de cybersécurité en France… et un peu au-delà. 🙂


En 2014, plusieurs points notables :

  • au niveau européen, le Parlement et le Conseil adoptent en juillet le règlement 910/2014, dit « eIDAS ». Applicable à partir de 2016, celui-ci a pour vocation de contribuer à l’émergence d’un « marché unique numérique », en améliorant la confiance dans les transactions électroniques. Il établit pour cela un cadre d’interopérabilité et de reconnaissance mutuelle en matière d’identification électronique ;
  • au niveau otanien, le sommet de Newport aborde les questions de cybersécurité en indiquant notamment qu’il est nécessaire que les alliés renforcent leurs capacités nationales en matière de cyberdéfense. Avancée doctrinale notable par ailleurs : le lien entre cyberattaque et invocation de l’article 5 du traité de Washington (qui prévoit l’assistance des membres de l’OTAN en cas d’attaque majeure contre l’un d’entre eux) est explicitement établi. Si en théorie le lien est désormais explicitement établi, l’opérationnalisation de cette disposition est à l’époque (et c’est probablement encore le cas aujourd’hui) loin d’être acquise…

En 2015 :

  • en avril, la chaîne de télévision francophone TV5 Monde est frappée par une cyberattaque qui entraîne notamment l’arrêt de la diffusion de ses programmes. Les comptes Twitter et Facebook de la chaîne sont également compromis, et y sont publiés des messages de soutien à l’Etat islamique. Cette attaque est la première cyberattaque visant des intérêts français et comportant des effets de sabotage majeurs. La mobilisation des équipes de la chaîne, ainsi que de l’ANSSI, permettra la reprise de l’activité dès le lendemain. Accessible auprès de 290 millions de foyers dans le monde, la chaîne constitue un symbole majeur de la francophonie. L’attaque, revendiquée par un groupe se faisant appeler « CyberCaliphate », mais dont l’identité exacte reste floue, coutera plusieurs millions d’euros à TV5 Monde ;
  • à l’été, avancée majeure à l’ONU : le GGE parvient à un socle d’engagements volontaires de bonne conduite pour les Etats dans le cyberespace, notamment : le fait que les Etats doivent protéger leurs infrastructures critiques (« la meilleure défense, c’est la défense ») ; qu’ils doivent coopérer quand une attaque émane de leur territoire (application du principe de due diligence au cyberespace) ; qu’ils doivent faire preuve de transparence sur leur organisation et leur stratégie nationale en matière de sécurité ; ou encore qu’il est interdit d’attaquer les infrastructures critiques en temps (cf. Stuxnet) ;
  • en octobre, le Premier ministre présente la stratégie nationale pour la sécurité du numérique. La signature du Premier ministre consacre le caractère interministériel de ce document, dont l’élaboration aura duré près d’une année. On notera un choix sémantique important : on parle désormais de « sécurité du numérique ». Cet intitulé, qui pourrait paraître anodin, démontre en fait que l’Etat ne traite plus seulement la cybersécurité comme un sujet « souverain » mais prend également acte du besoin d’accompagner plus largement la transformation numérique de la société et de l’économie. Le document décline 5 « objectifs stratégiques » : garantir la souveraineté nationale ; apporter une réponse forte contre les actes de cybermalveillance ; informer le grand public ; faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises et renforcer la voix de la France à l’international.
Stratégie nationale pour la sécurité du numérique (2015)

L’année 2016 est une année dense en matière de sécurité du numérique :

  • les conclusions du 18e conseil des ministres franco-allemand confirment la dynamique de la coopération bilatérale entre l’Allemagne et la France en matière de cybersécurité, ainsi que l’importance accordée par les deux Etats à l’autonomie stratégique européenne en matière de sécurité numérique ;
  • en avril, le Parlement européen adopte le Règlement général sur la protection des données (dit « RGPD »), afin de renforcer la protection des données à caractère personnel. Si elles ne portent pas à proprement parlé sur la cybersécurité, la mise en conformité avec les dispositions du RGPD présente une adhérence significative avec les questions de sécurité des systèmes d’information (pour aller plus loin : [CNIL] « RGPD : se préparer en 6 étapes« ) ;
  • à l’été, le premier contrat de partenariat public-privé (dit « cPPP ») en matière de cybersécurité est signé entre l’association European Cybersecurity Organisation (ECSO) – créée pour l’occasion – et la Commission européenne. En consacrant 450 millions d’euros du fonds européen H2020 sur les questions industrielles et de R&D, cette démarche doit concourir à la construction de l’autonomie stratégique européenne en matière de cybersécurité ;
  • début juillet, le sommet de l’OTAN aboutit sur plusieurs conclusions significatives, et notamment la reconnaissance du cyberespace comme domaine d’opérations dans lequel l’Alliance doit se défendre. Les Alliés ont par ailleurs signé le « Cyber Defence Pledge« , dans lequel ils s’engagent à renforcer leurs capacités nationales de cyberdéfense ;
  • fin juillet, c’est à l’Union européenne que l’on note une avancée très significative, avec l’adoption, après plusieurs années de négociation, de la directive sur la sécurité des réseaux et de l’information, dite « directive NIS« . Celle-ci prévoit le renforcement des capacités nationales des Etats membres en matière de cybersécurité, l’établissement d’un cadre de coopération volontaire entre les Etats membres, le renforcement de la cybersécurité des « opérateurs de services essentiels » (OSE) au fonctionnement de l’économie et de la société, et l’instauration de règles communes pour les fournisseurs de services numériques (cloud, moteurs de recherche et places de marché). Une philosophie très alignée avec la LPM française adoptée quelques années auparavant !
  • en novembre, les élections présidentielles étatsuniennes sont marquées par une vague de cyberattaques à l’encontre du Comité national démocrate (DNC), ayant entrainé la publication de documents confidentiels. Le monde entier prend ainsi conscience de l’acuité de la menace d’origine cyber portant sur les processus démocratiques.

Voilà pour cette période 2014-2016, bien chargée ! Suite et fin au prochain épisode !

2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (1/3)

En 2008, le Livre blanc sur la défense et la sécurité nationale, qui vise à définir les grands axes stratégiques des politiques publiques de sécurité et de défense nationale, est le premier document de ce niveau à prendre acte de l’importance de la sécurité des systèmes d’information (SSI).

La France doit garder un domaine de souveraineté, concentré sur les capacités nécessaires au maintien de l’autonomie stratégique et politique de la nation : la dissuasion nucléaire, le secteur des missiles balistiques, les sous-marins nucléaires d’attaque, la SSI font partie de ce premier cercle.

Livre blanc sur la défense et la sécurité nationale (2008)

Dans la foulée de ce Livre blanc, le 7 juillet 2009, le décret 2009-834 créait l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la désignant au passage comme autorité nationale de sécurité des systèmes d’information. L’année 2019 sera donc l’occasion pour l’Agence de souffler sa 10e bougie !

Le logo de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)

10 ans après, quel chemin parcouru par la cybersécurité française ? et dans quel contexte ? Revenons sur quelques dates qui ont marqué cette décennie de sécurité numérique – en France et un peu plus largement…


En 2010, le monde découvre Stuxnet, qui aurait été co-conçu par les Etats-Unis et Israël afin de ralentir le programme d’enrichissement nucléaire iranien. Le cas échéant, ce serait le premier logiciel malveillant connu du grand public et conçu à des fins de sabotage dans le cadre d’une rivalité entre Etats. Si l’origine étatique de l’attaque était avérée, ce serait également un important exemple de cyberattaque contre une infrastructure critique d’un autre pays en « temps de paix », ce qui – au-delà du fait de ne pas être gentil du tout – pourrait nous amener à nous poser la question de la licéité de cette action au regard du droit international… Pour aller plus loin, lire ce bel article du NY Times sur Stuxnet.


En 2011, est publiée la première stratégie nationale en matière de défense et de sécurité des systèmes d’information, par l’ANSSI. Définissant 4 « objectifs stratégiques » (au fait, ça veut dire quoi « stratégique » ? 🙂 ) et 7 axes d’effort, elle évoque déjà la protection de l’information de souveraineté, la protection des infrastructures critiques ou les questions relatives au droit. On pourrait également noter 2 autres points intéressants : le glossaire à la fin, encore souvent cité par de nombreux ouvrages et articles qui cherchent à définir les termes « cyberespace » ou « cybersécurité » ; et la place à part entière accordée aux enjeux de communication et de sensibilisation, qui ont, on le voit, connu une croissance spectaculaire ces dernières années.

Défense et sécurité des systèmes d’information – Stratégie de la France (2011)

En 2012 :

  • à l’été, le code malveillant Shamoon terrasse plusieurs entreprises majeures du secteur de l’énergie comme Aramco (à l’époque, 1er exportateur mondial de pétrole brut) et RasGas . L’attaque, qui cherche à détruire le plus grand nombre de machines possible, est soutenue par une campagne de DDoS et de propagande sur les réseaux sociaux. Elle mettra plus de 30000 machines hors service et paralysera le réseau principal des victimes pendant une quinzaine de jours ;
  • fin 2012, l’ANSSI publie un appel à commentaires pour son premier guide d’hygiène informatique (publication début 2013, nouvelle version début 2017). Se voulant la « transposition dans le monde numérique de règles élémentaires de sécurité sanitaire », elles constituent un socle fondamental d’une quarantaine de règles de sécurité qui ne permet pas de se protéger des attaques les plus sophistiquées, mais doit permettre de parer au « tout venant ».

L’année 2013 aura été dense pour la cybersécurité :

  • en avril, un nouveau Livre blanc sur la sécurité et la défense nationale (un autre lien pertinent) est publié. Le Livre blanc de 2008 avait été « commandé » par le nouveau Président de la République de l’époque, Nicolas Sarkozy. Celui-ci est, de même, commandé par le Président nouvellement élu, François Hollande. Côté cybersécurité, il identifie clairement les cyber menaces comme des menaces majeures pour la sécurité nationale, au même titre que la guerre ou le terrorisme. Il prend acte de l’augmentation de la quantité et de la sophistication des cyberattaques, et du risque élevé qu’elles constituent du fait à la fois de leur forte probabilité et de leurs forts impacts potentiels. Le Livre blanc fait état des finalités d’espionnage de nombre de ces cyberattaques, mais aussi – et c’est essentiel – du risque de sabotage qu’elles emportent. Ce dernier constat, notamment, plaide pour un renforcement du niveau de sécurité des SI essentiels au bon fonctionnement des infrastructures critiques de la Nation ;
Livre blanc sur la défense et la sécurité nationale (2013)
  • quelques mois plus tard, l’affaire Snowden défraye la chronique. Edward Snowden, qui travaille pour un sous-traitant de la fameuse National Security Agency (NSA), transmet une grande quantité de documents classifiés qu’il aurait dérobé à l’agence étatsunienne de renseignement, parmi les plus puissantes au monde. Ces révélations, qui contribueront à ouvrir un large débat sur l’équilibre entre le respect de la vie privée et les pratiques des services de renseignement, permettront également d’illustrer concrètement certains modes opératoires d’attaques cyber. Or une meilleure connaissance de ces modes opératoires devrait (au moins en théorie) permettre aux défenseurs de mieux s’en protéger…
  • à l’été, le Groupe des experts gouvernementaux (GGE) sur les « développements dans le domaine de l’information et des télécommunications dans le contexte de la sécurité internationale » de l’ONU parvient à une avancée nettement moins médiatisée mais tout de même fondamentale : il s’accorde sur le fait que le droit international existant, en particulier la Charte des Nations Unies, s’applique dans le cyberespace. C’est une étape majeure dans les travaux sur le sujet de la régulation du cyberespace. Qu’est-ce qui constitue une cyber attaque ? Quel rôle doivent jouer les gouvernements dans la réponse contre les cyber attaques visant leurs citoyens ou les entreprises privées ? A partir de quand cela devient-il un sujet de sécurité nationale ? Y a-t-il des « règles de conduite » dans le cyberespace ? Le cas échéant, sont-elles contraignantes, sur qui/quoi s’appliquent-elles ? Autant de questions soulevées par cette réflexion. Ancrer ce débat dans l’enceinte des Nations Unies, dans une dimension intergouvernementale, et le rattacher à un droit existant – dont il restera à convenir des modalités concrètes d’application – est une première étape significative dans cette longue réflexion ;
  • enfin, pour clore cette année 2013 haute en cyber couleurs, c’est la promulgation, en décembre, de la Loi de programmation militaire 2014-2019 qui retiendra toute notre attention. Une « LPM » (comme on dit chez les initié/e/s) est une loi qui vise à « établir une programmation pluriannuelle [en l’occurrence, depuis 2003, des périodes de 6 ans] des dépenses que l’État français consacre à ses forces armées » (merci à Wikipédia pour cette formulation que je ne saurais mieux tourner 😉 ). Depuis 2008, la logique est de : 1/ faire écrire un Livre blanc par des « sachant/e/s » pour prendre acte du contexte stratégique (oh, encore ce mot, « stratégique« , décidément ! 🙂 ) sur les questions de sécurité et de défense nationale et proposer des orientations ; 2/ faire voter une loi pour acter la programmation des moyens permettant de répondre à ces orientations. Comme une importante partie des orientations des Livres blancs sur la sécurité et la défense nationale porte sur des questions de défense, et donc des enjeux militaires, le véhicule législatif qui permet d’acter la programmation capacitaire subséquente à ces orientations est une loi dite de… « programmation militaire ». Cette loi peut néanmoins contenir des dispositions non strictement militaires. C’est ainsi que, le Livre blanc de 2013 prenant acte de la nécessité de mieux protéger les infrastructures critiques contre les attaques cyber, il a été décidé d’inclure dans la LPM 2014-2019 d’importantes dispositions en ce sens (cf. chapitre IV de ladite loi). En particulier, l’article 22 de la loi prévoit notamment que le Premier ministre (dans les faits : l’ANSSI, qui fait partie des services du Premier ministre) fixera des mesures de sécurité pour les SI dits « d’importance vitale » (les « SIIV ») des opérateurs qui sont eux-mêmes « d’importance vitale » (les « OIV » de leur petit nom). Au-delà de l’aspect purement technique, il est important de souligner que cette démarche consistant pour un pays de légiférer sur la sécurité numérique de ses infrastructures critiques est probablement une première mondiale, qui inspirera par la suite d’autres pays et même l’Union européenne quelques années plus tard…
Projet de loi de programmation militaire 2014-2019

Voilà pour cette première partie de la décennie 2009-2019. La suite au prochain épisode…