2009-2019 : 10 ans de cybersécurité en France… et un peu au-delà (3/3)

Suite et fin de notre mini-dossier consacré à la décennie 2009-2019 en matière de cybersécurité en France… et un peu au-delà. Après les périodes 2009-2013 et 2014-2016, nous couvrons ici les années 2017 et 2018 et tâcherons, en fin d’article et en guise de conclusion, d’identifier quelques grandes tendances et dynamiques.


L’année 2017 a été relativement chargée, notamment sur le plan opérationnel :

  • à partir du 1er janvier, le Commandement de la cyberdéfense (COMCYBER) rassemble l’ensemble des forces de cyberdéfense des armées françaises sous une même autorité opérationnelle, permanente et interarmée. Placé sous l’autorité du Chef d’État-Major des armées (CEMA), il assure le commandement des opérations militaires dans le cyberespace et notamment la protection et de la défense des systèmes d’information relevant du périmètre du ministère des Armées ;
  • début avril, la France, via le SGDSN et l’ANSSI, organise la première conférence internationale « Construire la paix et la sécurité internationales de la société numérique », à l’UNESCO. Pendant deux jours, les 6 et 7 avril, l’évènement a rassemblé des représentants de gouvernements, d’ONG, de la société civile, du monde la recherche et de l’économie numérique. Une passionnante étude juridique sur l’applicabilité du droit international au cyberespace, menée par Karine Bannelier et Théodore Christakis, a été publiée en amont de la conférence afin de nourrir les débats ;
Étude « Cyberattaques – Prévention-réactions : rôle des États et des acteurs privés », par Karine Bannelier et Théodore Christakis.
  • en mai 2017, la fin de l’élection présidentielle est marquée par les « MacronLeaks« , la publication de documents prétendument volés au parti politique « En Marche ! ». Cette action, rendue publique le vendredi 5 mai au soir, à la fin de la campagne et à l’aube du second tour du scrutin, fait suite à l’attaque du mouvement par un groupe de pirates. La divulgation de documents, non authentifiés et « marketés » comme « compromettants » durant la période de réserve qui interdit aux candidats, candidates à l’élection et à leurs soutiens de s’exprimer montre que cette attaque vise à perturber le processus électoral en cours et ainsi à s’en prendre à un symbole fort de la démocratie et du fonctionnement de l’État français ;
  • toujours en mai 2017, le monde découvre le rançongiciel WannaCry, utilisé dans le cadre d’une cyberattaque massive qui touchera plusieurs centaines de milliers de machines dans plus de 150 pays. Le logiciel malveillant, particulièrement virulent, se réplique et se propage très rapidement. Une fois qu’il prend pied sur une machine, il en chiffre les fichiers, les rendant indisponibles pour l’utilisateur, et demande une rançon en échange de la clé de déchiffrement. Paralysant ainsi le fonctionnement de nombreuses organisations (notamment le système de santé britannique), WannaCry donne une – triste – illustration de l’importance de l’aspect « disponibilité » dans la sécurité numérique, parfois un peu sous-estimé face aux questions plus « traditionnelles » de la confidentialité et de l’espionnage. Exploitant la faille dite « EternalBlue » – révélée quelques mois auparavant par le groupe The Shadow Brokers, qui revendiquait l’avoir dérobée à la NSA – WannaCry mettra également évidence des questions stratégiques comme la gestion des correctifs de sécurité par les utilisateurs ; la responsabilité des acteurs privés de portée systémique (tels que Microsoft, dont les systèmes d’exploitation sont les plus déployés au monde) dans la stabilité du cyberespace ; ou encore la gestion responsable des vulnérabilités par les gouvernements ;
L’interface du logiciel WannaCry, qui propose à l’utilisateur de payer une rançon de $300 en bitcoins pour transmettre la clé de déchiffrement.
  • en juin 2017, seulement quelques semaines après WannaCry, c’est au tour du logiciel NotPetya de défrayer la chronique. Parmi les victimes, on compte notamment l’armateur danois Maersk, qui annoncera une perte subséquente de 300 millions de dollars. Exploitant également la faille EternalBlue, NotPetya présente comme WannaCry les caractéristiques d’un rançongiciel… au moins en apparence. En effet, contrairement à ce que son interface laisse entendre, il n’existe pas de moyen de récupérer la clé de déchiffrement des données prises en otage par NotPetya, ce qui interroge sur les véritables finalités de ses concepteurs : sabotage et destruction, plutôt que rançonnage et extorsion ;
  • le 13 septembre, la Commission européenne présente le « EU Cybersecurity Act« , un ensemble (dit « paquet ») de mesures relatives à la cybersécurité en Europe, comprenant : 1/ une communication conjointe de la Commission et de la Haute représentante pour l’action extérieure (cheffe du Service européen d’action extérieure, le « ministère des affaires étrangères » de l’UE) listant des actions prioritaires en matière de cybersécurité ; 2/ une proposition de règlement européen comprenant un mandat permanent pour l’ENISA (agence européenne pour la sécurité des réseaux et de l’information, créée en 2004 et dotée jusque-là de mandats finis et renouvelables) et un projet de cadre européen de certification de sécurité ; 3/ une recommandation proposant un cadre européen de réponse aux crises cyber ; et 4/ une communication précisant certaines modalités de mise en œuvre de la directive NIS ;
  • en octobre, après une période d’expérimentation dans la région Hauts-de-France, la plateforme cybermalveillance.gouv.fr, pilotée par le GIE ACYMA, est lancée sur tout le territoire national. Incubée au sein de l’ANSSI avec le concours du Ministère de l’Intérieur, cette plate-forme joue notamment le rôle de guichet unique vers lequel peuvent se tourner les victimes d’actes de cybermalveillance (particuliers, TPE/PME, collectivités territoriales, etc.) afin d’être mises en contact avec des prestataires de proximité susceptibles de les assister. Le dispositif a également une mission de sensibilisation et d’information (-> le suivre sur Twitter).
Le dispositif d’assistance aux victimes d’actes de cybermalveillance.

Pour terminer cette rétrospective, plusieurs jalons politico-stratégiques majeurs sont à relever en 2018 :

  • le premier d’entre eux est sans conteste la publication de la Revue stratégique de cyberdéfense, en février. Comme ses deux prédécesseurs, le Président de la République a commandé, en arrivant à l’Élysée, une réflexion stratégique portant sur les questions de sécurité et de défense. Deux petites nouveautés pour le début de quinquennat d’Emmanuel Macron : 1/ le « Livre blanc sur la défense et la sécurité nationale » s’appelle désormais une « Revue stratégique sur la défense et la sécurité nationale » ; 2/ l’exercice se scinde en deux, avec un premier document couvrant le périmètre traditionnel « sécurité et défense » et un second document exclusivement consacré aux enjeux de cyberdéfense, la « Revue stratégique de cyberdéfense ». La réalisation de cette dernière sera confiée en juillet 2017 par le Premier ministre au Secrétaire général de la défense et de la sécurité nationale (SGDSN). Structurée en 3 grandes parties, cette Revue stratégique sera notamment l’occasion de formaliser et de confirmer l’organisation du modèle français de cyberdéfense, séparant organiquement les missions défensives et offensives ;
  • en juillet, la loi de programmation militaire (LPM) 2019-2025 est promulguée. Selon la même logique que celle mise en œuvre en 2013 pour donner un véhicule législatif aux mesures proposées par le Livre blanc (nous décrivions cela dans le premier article de ce mini-dossier), cette LPM de 2018 comporte, dans son article 34, des dispositions relatives au renforcement des capacités de détection de cyberattaques. Elle permet notamment aux opérateurs de communications électroniques de mettre en œuvre des dispositifs de détection d’attaques qui pourraient affecter les systèmes de leurs abonnés, afin de les en informer le cas échéant ;
  • en octobre, l’ANSSI lance la méthode d’analyse de risques EBIOS Risk Manager, héritière de la précédente méthode EBIOS et destinée à devenir la méthode française de référence pour le management des risques numériques. S’appuyant sur cinq ateliers et sur un label permettant de mettre en valeur des outils pour la déployer efficacement, elle se fixe pour objectif « de permettre aux dirigeants d’appréhender correctement les risques numériques, au même titre que les autres risques de nature stratégique » ;
EBIOS Risk Manager
  • le 12 novembre, le Président de la République lance « l’Appel de Paris pour la confiance et la sécurité dans le cyberespace » dans le cadre du 13e Forum sur la gouvernance de l’Internet. « Déclaration de haut niveau en faveur de l’élaboration de principes communs de sécurisation du cyberespace », cet Appel de Paris s’inscrit dans la continuité des réflexions internationales portant sur la stabilité de l’espace numérique (notamment les différentes sessions du GGE des Nations Unies, dont nous parlions ici et ici), en réaffirmant notamment que le droit international s’applique au cyberespace ;
  • dans la continuité de l’Appel de Paris et des travaux précédents sur la stabilité du cyberespace, est organisé, les 13 et 14 décembre, l’évènement inaugural du Global Forum de l’OCDE sur la sécurité numérique. Là où le GGE de l’ONU constituait une enceinte de travail exclusivement inter-gouvernementale, l’OCDE permet de mener les réflexions à une nouvelle étape, en faisant se rencontrer les représentants des gouvernements, du secteur privé, du monde académique et de la société civile, afin d’évoquer des sujets comme la « cyberdéfense active », la « sécurité by design« , la divulgation proactive et coordonnée des vulnérabilités ou la responsabilité des acteurs de portée systémique.

En guise de conclusion de ce mini-dossier, on se propose d’identifier quelques tendances structurantes dans l’évolution des questions liées à la cybersécurité sur la décennie qui vient de s’écouler. On groupera ces constats en 5 grandes catégories.

  1. La portée du « sujet cyber » – Si les racines de la cybersécurité sont fondamentalement techniques, il est acquis que le sujet n’est aujourd’hui plus un sujet réservé à des informaticiens, techniciens et ingénieurs. C’est un sujet de politique publique, de régulation, de confrontation, de développement économique, de concurrence, de développement sociétal. Il emporte des enjeux de niveau national, européen voire international. Les médias en parlent, le grand public en a conscience et, dans une certaine mesure, s’en préoccupe. Plus largement, la numérisation croissante de la société et de l’économie fait du numérique une opportunité pour tous – organisations publiques et privées, et individus – mais génère également des menaces qui pèsent sur tous.
  2. L’approche étatique du « sujet cyber » – Si elle est toujours traitée autour d’un cœur régalien « historique » comme un sujet de sécurité et de défense nationale (n’oublions pas qu’à l’origine, il y a la cryptographie, longtemps très ancrée dans la sphère militaire et assez fortement régulée), la sécurité numérique est également appréhendée par les gouvernements, en France et à l’étranger, de façon plus large. Au-delà de la sphère « souveraine », la cybersécurité est aussi comprise comme la garantie d’une transformation numérique menée en confiance de l’économie et de la société. Elle fait notamment l’objet de nombreux efforts de régulation et de réglementation, aux niveaux des pays et des organisations internationales comme l’UE.
  3. L’évolution de la menace d’origine cyber – La menace ancestrale et emblématique de l’espionnage est toujours présente et aiguë. Par ailleurs, l’omniprésence des systèmes numériques et l’avènement des objets connectés et des dispositifs de type « capteurs » et « actionneurs » – qui font le lien entre le monde numérique et le monde physique – font émerger une menace réelle de sabotage, de neutralisation et de destruction. Les effets potentiellement létaux d’une cyberattaque sont à cet égard de moins en moins théoriques. Également, plusieurs exemples récents mettent en exergue la réalité des menaces de déstabilisation et de désinformation, plus orientées sur les contenus que les contenants, et sur la couche sémantique que sur les couches logicielles et matérielles. Si ce dernier aspect, présentant une adhérence certaine avec les questions de contrôle de l’information, est intégré depuis longtemps dans les doctrines chinoises et russes, il constitue un nouveau défi que les doctrines occidentales doivent relever.
  4. L’évolution des objets à protéger – Alors que la sécurité informatique d’il y a quelques années s’intéressait majoritairement à la protection de systèmes d’information compris comme des « boites » avec des périmètres bien décrits, les enjeux de la sécurité numérique contemporaine ne permettent plus d’ignorer que la notion de « frontière » (technique, juridique, réglementaire, etc.) d’un système d’information est un concept de plus en plus flou et de plus en plus compliqué à appréhender.
  5. Le traitement du sujet à l’international – La décennie écoulée a vu les organisations internationales s’engager dans un premier grand cycle de prise en main du « sujet cyber » – avec plus ou moins de succès selon les organisations. L’ONU a ouvert la voie de la réflexion sur l’applicabilité du droit international au cyberespace, l’OTAN s’est attaché à transposer un certain nombre de ses problématiques plus militaires à l’espace numérique, et – last but not least! – l’Union européenne s’est illustrée comme un acteur et un échelon incontournable dans le domaine, avec notamment l’élaboration et la mise en œuvre de plusieurs réglementations de portée majeure. A l’échelle des nations, les 10 dernières années ont permis aux États de mettre en place des coopérations bilatérales et multilatérales importantes, sur les plans opérationnels, techniques et politico-stratégiques.

Après cette décennie riche pour la cybersécurité française et mondiale, l’avènement et le développement de sujets majeurs comme l’intelligence artificielle ou les technologies quantiques promettent une décennie à venir qui devrait être au moins aussi passionnante !