Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Cybersécurité Et Cyberdéfense Enjeux Stratégiques Salamon, Yann

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 344

L’intégralité des droits d’auteur de cet ouvrage seront reversés à l’Œuvre nationale du Bleuet de

France.

Avertissement
Les idées développées et présentées dans cet ouvrage
n’engagent que l’auteur. Elles ne sauraient constituer une
position engageante pour les institutions qui l’emploient ou
l’ont employé par le passé.
Préface

L’année 2019 a marqué la dixième année d’existence de l’Agence


nationale de la sécurité des systèmes d’information, l’ANSSI. Dix ans qui
ont contribué à implanter durablement l’Agence dans l’écosystème français,
européen et international de la cybersécurité. Dix ans, aussi, durant lesquels
la menace numérique n’a cessé de croître, de s’adapter pour se faire
toujours plus présente. Dix ans, enfin, qui ont permis de confirmer la
pertinence du modèle français et le choix, audacieux, de ne pas cantonner la
cybersécurité à un secteur tout en séparant strictement les activités
défensives, confiées à l’Agence, des activités cyber offensives.
Plus de dix ans après l’impulsion initiale, la cybersécurité est devenue
une priorité stratégique majeure pour de nombreux États. C’est ainsi qu’on
assiste, au niveau mondial, à la consolidation d’un « premier cercle » de
puissances cyber, composé sans surprise des États-Unis, du Royaume-Uni,
de la Chine, de la Russie et d’Israël. La dimension numérique est désormais
pleinement intégrée dans les stratégies d’influence, d’ingérence ou de
découragement des puissances étrangères. Le cyberespace est marqué par
une montée des tensions, donnant lieu à une instabilité croissante, servies
par des stratégies résolument offensives et, parfois, à visées hégémoniques.
Dans ce contexte, la France demeure une puissance cyber. Sa stratégie
audacieuse lui a permis de rapidement développer des capacités autonomes.
Elle reste l’une des rares Nations capables de faire entendre une voix
indépendante, équilibrée et forte, dans les instances européennes et
internationales.
Cette place singulière tient pour beaucoup à son modèle d’organisation,
qui nous a permis d’accompagner l’évolution de la menace tout en rendant
possible le déploiement d’une véritable politique publique de la
cybersécurité, condition d’une transformation numérique en confiance.

Une menace en constante évolution


C’est le quotidien du défenseur – plus généralement de quiconque évolue
dans la gestion des risques – que d’être perçu comme un empêcheur de
tourner en rond. On lui demande parfois d’arrêter de jouer les Cassandre
(oubliant par ailleurs que celle-ci ne se trompait jamais). On lui reproche
parfois de noircir le tableau ou de verser dans le catastrophisme pour
précipiter une prise de conscience, voire justifier sa raison d’être. Mais si le
défenseur est condamné à parler au conditionnel, c’est bien pour ne pas
avoir à parler au passé.
Nul besoin de grossir le trait en effet : l’activité de l’ANSSI ne cesse de
démontrer que la menace numérique est tout sauf virtuelle, que les défis
pour la sécurité du cyberespace restent immenses. Pour cause : la menace
numérique est entrée dans une dimension nouvelle. Les attaques
informatiques sont plus sophistiquées, mieux élaborées, plus destructrices.
Elles touchent désormais toute la société, du citoyen à la grande entreprise
jusqu’à nos institutions démocratiques. À la faveur d’une explosion des
usages et d’une externalisation toujours plus importante, la surface
d’attaque ne cesse d’augmenter, sans que cela ne se traduise
mécaniquement par un accroissement de la sécurité – loin s’en faut.

Une recrudescence des attaques « par rebond »

Dans un environnement globalisé, synchronisé, externalisé, dans lequel


les flux sont devenus tout aussi physiques que numériques,
l’interdépendance croissante des acteurs expose chacun d’entre eux à la
défaillance d’un des membres de leur écosystème. En cela, la supply chain
– comprendre les liens de sous-traitance et d’externalisation entre les
acteurs – constitue tout à la fois un puissant moteur de performance pour les
entreprises et les administrations, mais également un véritable défi pour la
sécurité du numérique.
Les attaquants l’ont bien compris. Ils exploitent désormais cette fragilité
à leur profit, visant d’abord les prestataires d’entreprises pour atteindre
leurs cibles principales. Cette tendance, particulièrement prégnante ces
derniers mois, concerne notamment les entreprises de services du
numérique (ESN) mais également un grand nombre de prestataires. Ces
modes opératoires compliquent la mission du défenseur, qui doit surmonter
les difficultés techniques et réglementaires induites par la nature de ces
victimes et leur envergure souvent internationale.

Le risque (presque) nouveau du sabotage

En plus de l’espionnage numérique, qui continue de mobiliser une partie


significative des ressources de l’ANSSI, les derniers mois ont été marqués
par une menace nouvelle – pas tant par sa nature que par son impact
potentiel –, la menace du sabotage. Les conséquences humaines et
économiques d’attaques de grande ampleur ou judicieusement ciblées
pourraient en effet s’avérer catastrophiques. Imaginez : si vous coupez les
transports en commun d’une capitale, toute l’activité économique du pays
concerné pourrait être paralysée en quelques heures. Si du jour au
lendemain, les distributeurs de billets ne distribuent plus de billets, il y a
fort à parier que cela donnerait lieu à d’importants troubles à l’ordre public.
Plus préoccupant encore : les infrastructures sensibles ou critiques
semblent être de plus en plus ciblées par des actions de cartographie et de
pré-positionnement. Qu’il s’agisse d’États ou d’organisations criminelles,
les attaquants s’attachent aujourd’hui à préparer les conflits ou les actions
criminelles de demain. Ces attaques, dont les objectifs demeurent encore
flous, pourraient constituer des opérations de reconnaissance en vue de
préparer des actions de sabotage futures. Cette menace se fait plus
prégnante à mesure que le contexte géopolitique se fait de plus en plus
incertain.
Une prolifération des armes numériques et des
vulnérabilités

La prolifération d’armes numériques et la divulgation de vulnérabilités


informatiques, logicielles ou matérielles, favorisent la montée en
compétence des attaquants. C’est ce qui a permis le franchissement d’un
nouveau cap en 2017, avec des attaques inédites en termes d’échelle et de
nocivité.
En paralysant de nombreuses entreprises, grandes et petites, mais
également des acteurs comme des services hospitaliers, les attaques
WannaCry et NotPetya ont démontré qu’il était possible de porter des
atteintes considérables à des intérêts nationaux, sans pour autant que des
infrastructures critiques soient forcément touchées. Elles obligent le
défenseur à toujours élargir son périmètre de supervision, pour tenir compte
d’une plus grande variété de victimes et d’attaquants. En outre, le réemploi
d’outils malveillants favorise l’anonymat et complique le travail déjà délicat
d’attribution par les services compétents. Les découvertes de failles
critiques, matérielles ou logicielles, parfois médiatisées avant l’application
de correctifs, offrent enfin aux attaquants de nouvelles possibilités
d’agression plus massives et plus discrètes.

Des attaques de plus en plus lucratives

De plus en plus d’attaques ont pour finalité l’enrichissement des


attaquants. Ceux-ci profitent en particulier des failles de sécurité pour
compromettre un grand nombre d’équipements par le dépôt discret de
« mineurs ». Il devient alors possible de se servir clandestinement de la
puissance de calcul cumulée de ces systèmes pour générer des actifs de
cryptomonnaies.
La préoccupation croissante des organisations à l’égard des enjeux de
sécurité numérique et le renforcement parallèle de leurs capacités de
défense amènent par ailleurs nombre d’attaquants à se tourner vers des
cibles moins exposées, mais plus vulnérables. Ainsi, de nombreuses
campagnes d’hameçonnage ciblant des collectivités territoriales ou des
acteurs du secteur de la santé sont observées depuis 2018. Les objectifs de
ces campagnes sont multiples mais comprennent généralement le vol de
données personnelles, la demande de paiement d’une rançon après
chiffrement des données, le minage de cryptomonnaies et la constitution de
réseaux de machines zombies (botnets).

Face à cet accroissement de la menace,


l’intuition stratégique française était la
bonne
Cette évolution du risque numérique teste en permanence la résilience et
la solidité de notre modèle de protection. Ce modèle s’organise autour
d’une stricte séparation entre les activités cyber offensives et les activités
dédiées à la sécurité numérique – ces dernières étant en large partie confiées
à l’ANSSI, autorité nationale à portée interministérielle.

Aux origines du modèle français

Le modèle français de cybersécurité est le résultat d’une succession de


choix politiques ambitieux issus d’une prise de conscience : la
transformation numérique de la société, de l’économie et de l’action
publique devra se faire en confiance, ou elle ne se fera pas.
Quelques mois après l’attaque informatique majeure – la première du
genre – ayant paralysé l’Estonie pendant plusieurs semaines, le Livre blanc
sur la défense et la sécurité nationale de 2008 aboutissait à la création, en
2009, de l’Agence nationale de la sécurité des systèmes d’information
(ANSSI), dans une visée strictement défensive et interministérielle. Cette
création préfigurait un modèle original d’organisation nationale de
cybersécurité, capable d’en accompagner les différents aspects.
En 2013, le nouveau Livre blanc sur la défense et la sécurité nationale
élargissait le champ d’action de l’Agence aux acteurs privés les plus
sensibles et stratégiques, dits opérateurs d’importance vitale (OIV). La
Stratégie nationale pour la sécurité du numérique présentée publiquement
par le Premier ministre en 2015 confirmait quant à elle l’ambition de porter
une politique publique globale de la cybersécurité et de s’adresser au reste
de la société, notamment les citoyens.
Enfin, les travaux stratégiques conduits en 2018 ont permis de réaliser un
saut qualitatif important dans la gouvernance et le pilotage des activités de
réponse aux attaques informatiques, notamment les plus sensibles. Elle a en
particulier permis d’expliciter les rôles des – désormais nombreux – acteurs
institutionnels qui interviennent dans le champ de la sécurité numérique.

Contre-modèles

L’effort français en matière de cybersécurité s’inscrit dans une


dynamique de développement capacitaire et de réflexion stratégique que
l’on retrouve chez les autres principales puissances cyber. Ces dynamiques
ont donné lieu à des organisations parfois très distinctes – le reflet d’autant
de stratégies et de doctrines propres à chaque État. Certains pays,
essentiellement guidés par des considérations pratiques et d’efficacité
technique, tendent ainsi à regrouper les capacités défensives et offensives
au sein de leurs appareils de défense ou de renseignement.
C’est le cas, par exemple, des États-Unis. Le modèle américain présente
l’avantage de mutualiser les compétences techniques nationales au sein
d’un même pôle d’expertise, en l’espèce la NSA. Il pose cependant la
question de l’acceptabilité, par le secteur privé, des interventions de l’État
en matière de cybersécurité.
Par ailleurs, la concentration des capacités au sein des appareils militaires
ou de renseignement peut rapidement déboucher sur une inclinaison
naturelle à privilégier les aspects offensifs. Prenons l’exemple de la gestion
des failles informatiques, qui sont recherchées par le « défenseur » à des
fins de correction et par « l’attaquant » à des fins d’exploitation. La valeur
de ces vulnérabilités ne cesse d’augmenter et le marché mondial connaît
actuellement une forte inflation. Lorsque l’attaquant et le défenseur sont la
même personne, on conçoit bien naturellement qu’il puisse être difficile de
renoncer à un tel actif stratégique.
Enfin, faute de dispositif global de cybersécurité, certains pays en sont
presque contraints à attaquer pour se défendre, de manière à neutraliser la
menace à sa source, dans une forme de « fuite en avant » qui se traduit par
des stratégies offensives préjudiciables à la stabilité du cyberespace.

Avantages du modèle français

Un peu plus de dix années après l’intuition initiale, le modèle français


confirme toute sa pertinence. Mieux, il continue d’essaimer : des pays aussi
divers que le Japon, Singapour, la Belgique ou Israël s’en inspirent parfois
explicitement pour construire ou reconstruire leurs propres gouvernances.
Du point de vue de l’ANSSI, il présente en effet quelques indéniables
avantages. À la différence d’un service de renseignement, le périmètre
strictement défensif de l’Agence lui permet d’afficher une posture non
ambiguë devant ses interlocuteurs, qu’il s’agisse d’entreprises ou
d’administrations victimes, d’assemblées parlementaires, de chercheurs, de
médias ou encore d’industriels.
Ce modèle a rendu possible l’élaboration de législations très ambitieuses
– souvent pionnières. Il en va ainsi du dispositif réglementaire de
sécurisation des activités d’importance vitale, qui nous est envié
(officieusement) par nombre de pays étrangers. Les récentes évolutions
législatives ont également permis d’accroître significativement les capacités
de détection de l’ANSSI ; elles sont également rendues possibles par ce
modèle protecteur et rassurant.
D’autres pays ont cherché à élaborer un cadre contraignant pour leurs
acteurs privés. À l’instar des États-Unis ou de la Russie, ces initiatives se
sont souvent soldées par des échecs, les entreprises rechignant à collaborer
activement avec les services de renseignement.
Autre caractéristique propre au modèle français : l’ANSSI est un
organisme interministériel, placé sous l’autorité du Premier ministre. Ce
positionnement lui permet d’assurer la coordination interministérielle et la
cohérence des positions. Il lui assure également un droit de regard et de
contrôle sur les systèmes d’information des autres administrations, ce qui
participe incontestablement du rehaussement de la sécurité de l’État.
C’est là un point essentiel de notre stratégie, ce qui fait sa force : le
modèle français permet de déployer une politique globale de cybersécurité,
c’est-à-dire une politique qui s’attacherait non seulement à défendre les
infrastructures – publiques et privées – les plus critiques, mais aussi à parler
au plus grand nombre, c’est-à-dire à l’ensemble des acteurs de la
transformation numérique du pays.
Enfin, la séparation claire des missions, loin de les opposer, permet au
contraire une répartition équilibrée des moyens mais également une
coopération efficace au profit de la défense et de la sécurité nationale.

Tirer parti de toutes les opportunités offertes


par notre modèle
Le risque numérique, accru par l’accélération technologique et le
développement des usages, rend nécessaire une bien meilleure prise en
compte des enjeux de sécurité par l’ensemble des acteurs de la
transformation numérique. La sécurité doit sortir de son domaine réservé
pour associer l’ensemble des architectes de la société numérique. Car au-
delà des menaces sur la société, l’économie, la souveraineté et la stabilité
du cyberespace, il en va du développement même des technologies.
L’État peut contribuer à créer les conditions de cette montée en
puissance. Il s’agit en particulier de structurer un écosystème français de la
cybersécurité, par la création de synergies entre les acteurs publics,
économiques, de la recherche et de l’éducation. La vitalité de certains
acteurs nationaux du secteur le démontre : un marché français de la
cybersécurité est en construction. Il est désormais nécessaire de
l’accompagner.
D’autres pays ont mené cet effort structurant pour assurer la croissance
de leurs industries de cybersécurité et ainsi garantir les moyens de leur
souveraineté numérique. Israël constitue de ce point de vue un exemple
particulièrement inspirant. L’État hébreu a en effet très tôt affirmé son
ambition d’organiser son modèle autour de ces synergies. Cette ambition est
caractérisée, pour Israël, par la création en 2016 du CyberSpark, qui réunit
sur un même site des entreprises israéliennes et étrangères, des centres de
recherche privés et publics et des unités de l’armée israélienne spécialisées.
La mission pour la création d’un « cyber campus », récemment confiée à
Michel Van Den Berghe par le Premier ministre, participe de cet objectif de
rapprocher des mondes qui ne se parlent pas suffisamment. De la même
manière, l’ANSSI a récemment entrepris une démarche inédite d’ouverture
auprès de son écosystème. Notre modèle nous le permet.
Cela passe par un changement de regard sur la cybersécurité. Celle-ci ne
peut plus être appréhendée uniquement comme un poste de coût ou un
« patch » appliqué en bout de course de l’innovation. Interrogez les experts
de l’ANSSI : c’est un champ d’innovation passionnant, d’une grande
richesse scientifique, profondément transdisciplinaire et associant une
grande variété d’acteurs, privés et publics, en France comme à
l’international. Elle pose des défis intellectuels majeurs pour les innovateurs
de tous bords.
Si ces défis concernent naturellement les ingénieurs, les artisans des
politiques publiques, du droit et des relations internationales ne sont pas en
reste. Comment œuvrer à la stabilité du cyberespace ? Doit-on permettre
aux acteurs privés de se faire justice eux-mêmes, de riposter aux attaques
dans un contexte où les entreprises deviennent elles-mêmes des « champs
de bataille » ? La stabilité du cyberespace est un sujet qui bouscule les
habitudes politiques, diplomatiques et militaires. Les questions sont
nombreuses et les perspectives excitantes, passionnantes, structurantes.

***

Le « cyber », comme il est aujourd’hui convenu de l’appeler, est un


domaine nouveau, d’importance économique et géostratégique majeure,
souvent lieu d’expression violent et cynique mais également jugé, par les
plus optimistes, prometteur de grandes transformations bénéfiques pour
l’humanité.
Yann Salamon, fin connaisseur du sujet et de ses nombreuses subtilités,
nous emmène avec rigueur et passion dans ce monde nouveau qu’il est
aujourd’hui indispensable de mieux comprendre afin de contribuer, chacun
dans son rôle, à en tirer le meilleur… mais également à éviter des
catastrophes.

Guillaume Poupard

Directeur général de l’Agence nationale


de la sécurité des systèmes d’information (ANSSI)

Mai 2020
Avant-propos

I. Qu’entend-t-on par « enjeux


stratégiques » ?
Bien qu’il soit associé à une matière vieille de plusieurs millénaires,
la signification du mot « stratégique » a aujourd’hui largement perdu
en clarté. Souffrant d’une véritable déflation sémantique, le concept de
« stratégie » est de nos jours entré dans le langage commun. Utilisé tantôt
sous la forme d’un substantif tantôt sous la forme d’un adjectif, il peut
désigner ou caractériser des réalités ou des propriétés très différentes. Nos
réflexions nous ont amené à considérer trois principaux groupes de
représentation.
Le premier groupe voit la stratégie comme un art à exercer dans un
contexte d’altérité, de conflictualité et d’adversité. C’est la stratégie des
puristes, celle au sens le plus ancestral, celle de Sun Tzu, Machiavel, von
Clausewitz et Beaufre pour le monde militaire, celle de Bruce Henderson et
Michael Porter dans le monde de l’entreprise. Elle n’existe que dans
l’affrontement avec un Autre, dont les volontés et actions sont souvent hors
de notre champ de contrôle, dans un environnement dont la complexité est
elle-même de plus en plus difficile à appréhender. Parmi les représentations
les plus classiques de cet Autre, on trouve l’adversaire politique, l’ennemi
militaire ou encore le concurrent commercial.
La deuxième représentation utilise la stratégie comme un paramètre
servant à désigner ce qui est perçu comme de « haut niveau ». On
appellera ainsi « stratégique » ce qui est considéré comme important,
crucial, névralgique, incontournable, structurant, très englobant, ayant une
longue portée temporelle ou géographique, ou plus largement intéressant
directement ou relevant des dirigeants d’une entité. Cette représentation
emporte deux types d’enjeux : celui de la priorisation d’une part, qui traduit
souvent un jugement de valeur ; et celui de la hiérarchisation d’autre part,
qui tâche d’organiser une sorte de répartition verticale de responsabilités.
S’agissant de ce deuxième enjeu, on trouve ainsi parfois – notamment dans
les milieux militaires – des organisations en niveaux dits « stratégique »,
« opératif » et « tactique ». Pour fixer les idées : le niveau tactique cherche
à gagner des batailles, le niveau opératif est responsable des campagnes, le
niveau stratégique s’inquiète de gagner la guerre.
Enfin, une troisième représentation comprend la stratégie comme
une démarche planificatrice visant à définir une approche générale
pour une entité ou une activité. On parlera alors de directions,
d’orientations, de plans, de feuilles de route, d’axes d’efforts ou encore de
principes structurants. Il s’agit ici, peu ou prou, d’expliquer comment l’on
comprend un sujet ou une problématique, ce que l’on compte faire à ce
propos et comment on veut le faire. Les « vrais » stratèges mettent souvent
en garde contre l’aspect trop peu « décisionnaire » de cette acception, car il
n’y a point de vraie stratégie sans décision, sans renoncement, sans
irréversibilité, sans opposition. Force est de constater, néanmoins, que c’est
une utilisation du mot « stratégie » très largement répandue.
L’examen détaillé de la validité, des tenants et des aboutissants de
chacune de ces catégories pourrait mériter à lui seul un ouvrage dédié. Le
présent manuel s’autorisera à naviguer autant que nécessaire entre les trois
acceptions, avec une perspective : faire ressortir les enjeux « cyber » les
plus structurants.

II. Des enjeux stratégiques « cyber » ?


Un peu comme le mot « stratégie », le mot « cyber » désigne un
ensemble d’idées aux contours assez flous. Ce qui devrait normalement
n’être utilisé que comme un préfixe (en tant qu’apocope du mot
« cybernétique », qui désigne « la science des systèmes complexes ») est
aujourd’hui utilisé, par abus de langage, comme un nom commun à part
entière. Il renvoie de façon générale aux questions informatiques et
numériques, aux environnements et systèmes au sein desquels elles existent
et qui les soutiennent (« cyberespace », « cybercafé ») et aux pratiques –
souvent teintées d’altérité et de conflictualité – qui les accompagnent
(« cybermalveillance », « cyberdéfense », « cybercriminalité »,
« cyberdiplomatie »).
Derrière le mot « cyber », c’est souvent du sujet de la sécurité
numérique dont il est question. On parlera ainsi beaucoup de
« cybersécurité », de « cyberdéfense » ou encore de « menace cyber ».
Nous prenons ici le parti d’aborder les « questions cyber » sous l’angle de
la sécurité numérique et nous nous proposons d’en explorer différentes
facettes : champ de bataille, menace, protection et défense, politique
publique nationale, enjeux internationaux, éléments d’histoire.
La cybersécurité est aujourd’hui au cœur de l’une des grandes
transformations de notre époque : la transformation numérique. Elle
tire néanmoins ses origines dans un passé lointain, où la cryptologie était au
service de la protection du « secret du Roi », qu’elle s’efforçait de rendre
inintelligible pour qui n’avait pas à en connaître. Essor des communications
télégraphiques ; mécanisation et automatisation des chiffrements,
déchiffrements et décryptages ; apparition des premiers ordinateurs ;
avènement des réseaux informatiques et d’Internet ; libéralisation et
démocratisation des usages numériques ; numérisation croissante de la
société, de l’économie et plus généralement des infrastructures essentielles
au fonctionnement des nations ; explosion des problématiques liées aux
données et aux informations : autant d’enjeux qui ont fait, en un peu plus
d’un siècle, de la sécurité numérique un sujet structurant,
« stratégique », pour les individus, les entreprises, les États et la
civilisation plus largement.
III. Un manuel, pour quoi et pour qui ?
En 2018, l’Agence nationale de la sécurité des systèmes
d’information utilisait le slogan « tous connectés, tous concernés, tous
responsables ». Si elle ne concernait autrefois que quelques métiers très
spécifiques et n’intéressait que quelques sphères très restreintes, la sécurité
numérique est aujourd’hui l’affaire de tous et de toutes. Les clichés ont le
cuir épais : il y a fort à parier que les termes « informatique » et « sécurité
informatique » continuent encore en 2020 à convoquer les images d’Épinal
du geek boutonneux à grosses lunettes et cheveux gras, affublé d’un
accoutrement au goût douteux, ou encore du vilain pirate, arborant le
costume traditionnel du « sweat à capuche », terré au fond d’une cave
éclairée de néons verts. Outre leur masculinisation à outrance, ces
représentations centrées sur des individus isolés, très techniques, sont
obsolètes. La cybersécurité a progressivement dépassé – sans pour autant
s’en affranchir – les seules sphères des militaires, des transmetteurs, des
informaticiens, des ingénieurs : elle est pleinement présente dans le
domaine civil, dans les usages commerciaux, dans les politiques publiques,
dans les enjeux de société.
Le futur sera numérique – le présent l’est déjà ! – et point de
numérique sans confiance et sans sécurité. Le numérique est source
d’opportunités fantastiques, qu’elles soient culturelles, sociétales, ou encore
économiques. Sans confiance et sans sécurité, l’adversité, l’hostilité et la
conflictualité que nous mentionnions plus haut sapent toutes ces
opportunités… d’où le besoin de comprendre et de s’approprier les enjeux
stratégiques liés à la sécurité numérique.
Permettre à toutes et à tous de prendre de la hauteur sur les
questions de sécurité numérique sans exiger de prérequis autres que de
l’intérêt pour le sujet, telle est l’ambition de ce manuel. Outre des
cryptologues, des ingénieurs, des informaticiens et des
cybercombattants, le monde a besoin d’entrepreneurs, de décideurs, de
concepteurs de politiques publiques et plus largement de citoyens qui
soient au fait de ces enjeux. Nous avons besoin de nouvelles générations
qui, au-delà d’être digital natives, soient également cyber natives.
IV. Comment aborder ce manuel ?
Cet ouvrage est structuré en six chapitres.
Nous commencerons par nous intéresser à l’environnement actuel de la
cybersécurité : l’espace numérique. Nous tenterons d’en décrire quelques
propriétés structurantes et importantes pour le reste de nos considérations :
des tendances, des enjeux, des caractéristiques topologiques, les acteurs en
présence. Nous nous intéresserons enfin à des sujets très connexes à celui
de la sécurité numérique : les données et la souveraineté numérique.
Parce que l’existence de préoccupations de sécurité numérique implique
la présence d’une adversité, nous tâcherons ensuite de décrire ce que nous
appellerons la « menace d’origine cyber » : ses sources, les motivations et
finalités des attaquants, leurs cibles, leurs modes opératoires.
Dans un troisième chapitre, nous chercherons à atteindre un état
optimal de cybersécurité : comprendre et gouverner le risque cyber,
prévenir les cyberattaques, s’organiser en amont, s’en protéger, les détecter
et y réagir.
Le quatrième chapitre sera l’occasion de s’intéresser aux questions de
politique publique et de présenter le modèle français de cyberdéfense,
son organisation et quelques éléments structurants de doctrine.
Le pénultième chapitre sera consacré aux enjeux internationaux liés à la
sécurité numérique : coopérations bilatérales, enceintes multilatérales et
stabilité stratégique du cyberespace.
Enfin, forts de la conviction que savoir d’où l’on vient est d’une aide
précieuse pour savoir où aller, nous terminerons cet ouvrage par un essai de
rétrospective historique de la sécurité numérique en France.
1
L’espace numérique

Introduction : un nouveau domaine


d’opportunités… et de menaces
Pour parvenir à comprendre les enjeux stratégiques relatifs à la sécurité
du numérique, il semble que l’on ne puisse pas faire l’économie d’une étape
très classique dans ce genre de démarche : comprendre l’environnement
et l’état des lieux. En l’espèce, s’agissant des questions de cybersécurité,
l’environnement s’appelle « l’espace numérique », voire tout simplement
« le numérique ». À la différence des autres grands environnements
investis par l’être humain – la terre, la mer, l’air, l’espace extra-
atmosphérique – le numérique est une pure création humaine. Elle repose
sur deux grandes composantes : l’informatique et la mise en réseau
d’équipements informatiques. C’est bien ce dernier phénomène qui
permettra la création d’un véritable « environnement numérique » tel que
nous le connaissons aujourd’hui.
Cet ouvrage ayant vocation à se concentrer sur la sécurité du numérique,
on ne cherchera pas ici à couvrir de façon exhaustive toutes les questions
liées au numérique, qui sont déjà traitées par ailleurs par une vaste
littérature.
Si le numérique fait l’objet d’autant d’attention, c’est très probablement
parce qu’il constitue un gigantesque terrain de nouvelles opportunités
pour nos sociétés, nos économies et notre civilisation. Accès quasi-
instantané à des quantités phénoménales d’informations, maintien du lien
social entre des individus physiquement éloignés, applications scientifiques
et technologiques nouvelles, modèles économiques porteurs de valeur,
nouvelles façons de se déplacer, d’apprendre, de se rencontrer, de se parler,
de s’informer, de se soigner : ce sont autant de compartiments de terrain
prometteurs dont il nous reste à explorer tout le potentiel.
Afin de planter les bases de la suite, nous nous attarderons sur quelques
points essentiels à la compréhension. Après un bref rappel historique et
conceptuel portant sur le développement des réseaux informatiques, nous
étudierons les grandes propriétés du cyberespace et chercherons à clarifier
la notion relativement insaisissable de « données ». Ces premiers constats
posés, nous chercherons à observer quelques grandes tendances de « ce
qu’il se passe dans le numérique », sur les plans cognitifs, sociaux,
économiques, sociétaux et conflictuels. Ce dernier aspect nous amènera,
pour clore ce chapitre, à réfléchir à l’application d’un concept très ancien à
un domaine plutôt nouveau et à décrypter les interprétations de la
« souveraineté numérique ». Nous aurons alors toutes les cartes en main
pour aller explorer la face plus sombre du numérique, la contrepartie
inévitable à toutes les opportunités qu’il promet : la menace d’origine
cyber.

I. Réseaux informatiques, Internet,


cyberespace
1. Quelques rappels fondamentaux
Réseaux informatiques, Internet, cyberespace, numérique : les liens entre
ces différents concepts sont si forts, et parfois si flous, qu’il est aisé de les
confondre, même dans les milieux les plus experts.
L’on pourrait résumer la situation ainsi :
•les équipements dits « informatiques » (i.e. les ordinateurs et leurs
systèmes périphériques) ont pour raison d’être la manipulation, le
stockage et le traitement d’informations sous une forme dite
« numérique » (ou « digitale », lorsque cet anglicisme est admis). Pour
rappel, l’adjectif « numérique » fait référence au fait qu’à leur plus bas
niveau de traitement, les informations peuvent être représentées de
façon binaire par des 0 et des 1 ;
• l’interconnexion physique (par des câbles ou via des ondes

électromagnétiques qui permettent de s’affranchir de support filaire) et


logique (par des protocoles de communication) permet la création de
réseaux informatiques ;
• ces réseaux informatiques peuvent eux-mêmes être mis en réseau, le
plus célèbre et le plus utilisé de ces « réseaux de réseaux » étant
probablement celui que l’on appelle Internet, qui relie un gigantesque
ensemble de réseaux publics et privés par le biais d’un protocole de
communication appelé TCP/IP ;
• malgré sa très vaste emprise, Internet ne constitue néanmoins qu’une
partie de l’ensemble des interconnexions mondiales, certains réseaux ne
lui étant pas du tout reliés ;
• plus largement, l’ensemble des équipements informatiques du monde et

de leurs différentes formes de mises en réseaux constitue « l’espace


numérique » ou le « cyberespace ».
De par le rôle singulier qu’il a joué dans l’avènement de l’espace
numérique et l’importance de son étendue actuelle, Internet mérite que l’on
s’attarde sur les grands jalons de son histoire.

2. Brève histoire d’Internet

Les années 1960 sont le théâtre des premiers travaux sur la


commutation de paquets et les réseaux informatiques. Entre 1966
et 1972, la DARPA1 américaine lance ainsi le projet ARPANET, premier
réseau à transfert de paquets. Contrairement à une légende largement
répandue, le but initial de ce projet n’était pas militaire mais visait à
faciliter les télécommunications entre chercheurs. Un projet de recherche
indépendant, mené par la RAND Corporation2, s’est bien intéressé à un
moyen de maintenir les communications en cas d’attaque – notamment
nucléaire – mais est finalement resté théorique. Il est par ailleurs important
de mentionner à ce stade une contribution française encore trop peu
connue : celle d’une équipe menée par Louis Pouzin dans le cadre du projet
Cyclades, qui aboutira à l’invention du datagramme.
Très tôt, certains s’intéressent aux enjeux de sécurité liés à la mise en
réseau des ordinateurs. Ainsi, en avril 1967, l’ingénieur américain Willis
Ware publiera un article fondateur en la matière intitulé « Security and
Privacy in Computer Systems3 ». À l’époque, ces considérations sont peu
entendues. Les principes fondateurs d’ARPANET résideront dans la
distribution et la déconcentration : par construction, la connectivité est
préférée à la sécurité.
À la fin des années 1980, la National Science Foundation – le CNRS
étatsunien – ouvre des centres informatiques afin de rendre ARPANET
accessible à plus grande échelle. Cela permet l’ouverture, au début des
années 1990, du réseau à une utilisation commerciale. La décennie 1990
verra ainsi plusieurs jalons importants, en matière de technologie et de
gouvernance :
• en 1991, la création par l’équipe de Tim Berners-Lee au CERN du

« World Wide Web » (aussi appelé le « web », « WWW » ou encore la


« Toile »), s’appuyant sur quelques briques fondatrices telles que le
protocole HTTP, les liens hypertextes ou le langage HTML ;
• en 1992, la création de l’ISOC (Internet Society), pour promouvoir et
coordonner les développements sur Internet ;
• en 1993, la création du premier navigateur web, et l’enregistrement des
noms de domaine ;
• en 1994, la création du W3 Consortium, pour gérer l’évolution du web ;
• en 1998, la création de l’ICANN (Internet Corporation for Assigned
Names and Numbers), pour superviser l’administration des noms de
domaine.
En toile de fond, le web est vite perçu par beaucoup comme un
formidable terreau d’opportunités commerciales. Cette vision des
choses, tirée par la volonté de dégager des profits, confirmera les principes
fondateurs de l’architecture d’ARPANET – la connectivité est toujours
préférée à la sécurité – et marquera l’essor d’un mouvement de pensée
largement structurant dans les affaires numériques : le mouvement libéral.
En parallèle, les années 1990 virent également la montée en puissance
d’un autre courant de pensée significatif : le mouvement libertaire. En
1990 est ainsi créée l’Electronic Frontier Foundation (EFF). Ses fondateurs
sont partis des postulats que les autorités de l’époque semblaient ignorer les
formes émergentes de communication en ligne, et qu’il était nécessaire de
protéger davantage les libertés fondamentales sur Internet. Quelques années
plus tard, en 1996, l’un des co-fondateurs de l’EFF, John Perry Barlow,
publiera même la Déclaration d’indépendance du cyberespace4, faisant de
l’idée qu’aucun gouvernement ne peut s’approprier Internet un
principe fondateur de ce manifeste5. La vision ainsi portée par Barlow
faisait d’Internet un monde garantissant l’anonymat et où la surveillance
serait impossible.
Dans les années 2000, le développement des réseaux à haut débit, filaires
ou sans fil, permit notamment la multiplication des services tels que les
blogs, les wikis, les outils de partage de photos et de vidéos, les réseaux
sociaux et, plus largement, l’Internet mobile. Le web passa ainsi une
nouvelle étape, que Tim O’Reilly appellera le « web 2.0 » en 20056, en
devenant de plus en plus participatif, interactif et social. L’internaute
peut, sans connaissances techniques informatiques pointues, y contribuer à
l’échange d’informations et interagir sur le contenu et la structure des pages
qu’il visite. L’action de l’utilisateur ajoute ainsi de la valeur au service
qu’il utilise, dont il devient en quelque sorte le co-développeur. Cette
tendance contribuera à placer la donnée au cœur de tous les enjeux et à
favoriser un essor considérable des effets dits de « plateformes ». De
nombreux acteurs économiques ont su tirer profit de cette séquence,
donnant ainsi naissance à de véritables géants du numérique tels que les
entreprises américaines Google, Apple, Facebook et Amazon, figures de
proue du mouvement connues sous le nom de « GAFA ».
3. Gouvernance technique d’Internet

Loin de n’être qu’un objet technologique, les concepteurs d’Internet l’ont


très vite doté d’organes de gouvernance technique. Pensé dès l’origine
comme un système décentralisé, Internet est un maillage dépourvu
d’autorité centrale unique. En l’état actuel des choses, l’on peut
considérer qu’il est dirigé par un réseau international de groupes autonomes
provenant de la société civile, du secteur privé, des États, des communautés
académiques et des organisations internationales.
Attention : le mot « gouvernance », largement entré dans le langage
courant, est susceptible de prêter à confusion. Il s’agit bien ici d’aborder la
question de la gouvernance d’Internet du point de vue de son architecture
technique, s’agissant notamment de ses infrastructures, des normes
techniques qui le concernent et des schémas de décision qui régissent les
choix autour de ces éléments.
Sans chercher à traiter de façon exhaustive ce sujet relativement
complexe, l’on peut mentionner quelques entités qui jouent un rôle
significatif dans la gouvernance technique actuelle d’Internet :
• l’ISOC, association de droit américain qui promeut le développement,
l’évolution et l’usage d’Internet ;
• l’IAB (Internet Architecture Board), groupe informel chapeauté par

l’ISOC en charge du développement technique ;


• l’IETF (Internet Engineering Task Force), groupe informel dépendant de
l’IAB travaillant à l’élaboration et à la promotion de standards
techniques tels que TCP/IP ;
• l’ICANN, société de droit californien à but non lucratif, sous tutelle du

département du Commerce américain jusqu’en 2016, chargée de


l’administration de l’adressage IP et de la gestion des treize serveurs
DNS dits « racines » ;
• les cinq RIR (Regional Internet Registry), qui allouent les blocs
d’adresses IP dans chacune des cinq zones du monde dans lesquelles ils
sont situés ;
• l’IGF (Internet Governance Forum), sous tutelle de l’ONU, qui est le
grand forum mondial sur la gouvernance d’Internet.
Outre ces entités, la gouvernance d’Internet s’appuie également sur un
principe assez célèbre : celui de la neutralité du net7. Sacralisant la
séparation entre les fonctions de transport (réseau physique) et de traitement
des informations (réseau logique), il postule la non-discrimination à
l’égard de la source, de la destination ou du contenu de l’information
transmise. À l’heure où ces lignes sont écrites, début 2020, et au regard
d’enjeux politiques, économiques et techniques complexes, ce principe fait
l’objet de nombreux débats.

4. Le « deep » et le « dark »

Trois concepts régulièrement évoqués et emportant des considérations


parfois « obscures » méritent un peu d’attention.
Le « deep web », ou « web profond », représente la partie du web non
indexée et non référencée par les moteurs de recherche. Il contient
notamment toutes les pages web accessibles après une authentification de
l’utilisateur, telles que les webmails, les banques en ligne, les sites à accès
payant ou certains réseaux sociaux. Si, par définition, la taille du deep web
est très difficile à mesurer, certaines estimations évoquent la proportion des
trois quarts du web global.
Un « darknet » est un réseau dit « superposé » disposant notamment de
fonctions d’anonymisation. Cette propriété, qui permet une certaine
discrétion aux utilisateurs, amène ce concept à être souvent associé à des
activités illégales ou dissidentes. Le réseau Tor8 en constitue un célèbre
exemple. Un « dark web » est un dispositif analogue à celui du web
d’Internet, mais associé à un dark net.

II. Topologie du cyberespace


Comment appréhender et se représenter le cyberespace ? Qui en sont les
principaux acteurs ? Quelles en sont les grandes caractéristiques ? Telles
sont les questions auxquelles cette section se propose de répondre.

1. Couches, frontières, centres de gravité, pentes

Une représentation désormais communément admise du cyberespace le


découpe en trois couches :
• une couche matérielle ou physique, la plus basse, composée
d’équipements palpables (p. ex. des ordinateurs, câbles, terminaux
mobiles, data centers, clés USB, disquettes, CD-ROM, etc.) ;
• une couche logicielle ou logique, intermédiaire, qui anime le
fonctionnement des équipements de la couche matérielle. Elle met
notamment en œuvre :
– des systèmes d’exploitation et des applications au sein d’une
machine donnée,
– des protocoles permettant à plusieurs machines de communiquer
entre elles,
– et des langages de programmation et des interfaces d’entrées et
sorties permettant aux machines et aux humains d’interagir ;
• et une couche sémantique, dans laquelle vivent des données porteuses
d’un sens. Ce sens peut être plus ou moins compréhensible par
l’humain et plus ou moins abstrait. Une catégorisation intéressante
distingue par exemple :
– les métadonnées, qui sont des « données à propos d’une donnée »,
telles que son propriétaire, son auteur, son destinataire, leurs
éventuelles adresses IP, la date et l’heure de sa création ou encore
des éléments de géolocalisation,
– les contenus « directs »,
– et les conglomérats d’information, dont un exemple très parlant nous

est fourni par le concept du « mot-dièse » (« hashtag ») du réseau


social Twitter. Qu’un mot-dièse donné soit situé dans les « trend
topics » constitue par exemple une information en soi.
Au-delà de la représentation en couches superposées, une question
importante pour la bonne compréhension de tout environnement est celle
des limites et des frontières. On entendra souvent dire qu’il « n’y a pas de
frontières dans le cyberespace ». C’est une déclaration peut-être trop
simpliste et réductrice. S’il est évident que les limites et frontières du et
dans le cyberespace sont moins simples à appréhender que celles des
milieux terrestres, maritimes et aériens par exemple, force est de constater
qu’il en existe bel et bien.
Dans la couche matérielle, sauf dans des cas extraordinaires, les
équipements se situent bien dans des espaces géographiques aux frontières
bien définies : les pays et les juridictions. Par ailleurs, si de nombreux
éléments des autres milieux ne sauraient faire l’objet d’une propriété, les
infrastructures informatiques appartiennent toujours à une entité, une
personne physique individuelle ou une entreprise privée par exemple. Enfin,
le trafic Internet entre et sort des pays par un certain nombre de points
d’accès, plus ou moins facilement identifiables.
Dans la couche logique, l’existence même du deep web et des dark nets,
mentionnés plus haut, met en évidence l’existence de limites au sein du
cyberespace. Certains outils, comme les pare-feux (firewalls), qui
permettent de filtrer les flux traversant une interface constituent des
exemples de limites logicielles. À une échelle très macroscopique,
l’initiative du « Great Firewall of China » portée par les autorités chinoises,
qui s’appuie sur des technologies analogues à celles utilisées dans les pare-
feux, démontre la volonté de certains gouvernements d’ériger et de
maîtriser des frontières logiques aux frontières physiques de leur territoire
politique. De façon plus locale, en droit français, la loi dite « Godfrain9 »
prévoit de punir de deux ans d’emprisonnement et de 60 000 euros
d’amende le fait « d’accéder ou de se maintenir, frauduleusement, dans tout
ou partie d’un système de traitement automatisé de données », ce qui
implique, de nouveau, l’existence de limites d’ordre logiciel.
Outre les couches et limites, d’autres éléments remarquables peuvent être
mis en évidence dans le cyberespace. On peut notamment lui trouver des
« centres de gravité », avec des effets de polarisation relativement forts
autour de certains acteurs devenus largement incontournables tels que
Microsoft, Intel, Google ou Facebook ; ou encore, de façon peut-être plus
subtile, des « effets de pente », de « bulle » ou de « captivité ». Par ces
effets, les internautes sont amenés, lorsqu’ils naviguent sur le web, à se
retrouver « naturellement » ramenés vers certaines « zones » d’Internet. On
pensera notamment aux moteurs de recherche ou aux différentes plates-
formes. Ces effets ont intuitivement une adhérence forte avec les centres de
gravité évoqués supra. Ils peuvent apparaître de façon émergente ou
peuvent être délibérément recherchés par certains acteurs.

2. Acteurs en présence

Après nous être intéressé à la topologie de l’espace numérique, il est


judicieux de s’arrêter du côté des acteurs qui font le cyberespace et
interagissent en son sein. Force est de constater qu’une myriade d’entités
de natures très différentes ont désormais accès à l’espace numérique et sont
amenées à y jouer un rôle. C’est un défi non trivial que d’essayer de les
lister et de les représenter simplement. À grosses mailles, l’on constate que
les acteurs du cyberespace jouent trois types de rôles vis-à-vis de celui-ci :
ils en sont acteurs, constructeurs ou régulateurs. Ces acteurs peuvent par
exemple être regroupés en quatre grandes catégories.
Une première catégorie rassemble les acteurs étatiques et
gouvernementaux. Ils sont acteurs du cyberespace : ils s’en servent pour
accompagner leur développement économique et sociétal, par exemple pour
échanger de façon efficace avec leurs citoyens. Ils en sont également
régulateurs : ils sont impliqués dans la gouvernance technique d’Internet, ils
élaborent des réglementations et des politiques publiques nationales ou de
niveau plus macroscopique (p. ex. européen), ils s’intéressent à la « stabilité
stratégique » du cyberespace. Ils en sont enfin, dans une certaine mesure,
constructeurs : ils ont fait émerger un certain nombre d’innovations qui ont
permis de bâtir le cyberespace et notamment ses infrastructures et normes
sous-jacentes, et détiennent une partie de ces infrastructures.
Une deuxième catégorie est celle du secteur privé, dont les rôles
historiques d’acteurs et de constructeurs sont aujourd’hui rejoints par celui
de régulateurs. Le commerce en ligne et les services proposés par les géants
du numérique constituent de bons exemples d’activités menées dans le rôle
d’acteurs : le secteur privé tire profit du cyberespace pour bâtir ses modèles
économiques et améliorer son efficacité opérationnelle. L’émergence du
numérique n’a par ailleurs été réellement possible qu’à partir du moment où
les produits et services qui sous-tendaient le cyberespace ont pu être
industrialisés : une très large partie des équipements informatiques,
matériels et logiciels, dans le monde est aujourd’hui construite et fournie
par le secteur privé. Enfin, force est de constater que l’émergence de géants
du numérique incontournables comme les GAFA a fait largement croître un
troisième rôle pour le secteur privé : celui de régulateur. Certains acteurs
ont une taille et une portée systémique telles qu’ils sont devenus un maillon
essentiel de la chaîne de régulation – ou parfois de dérégulation – du
cyberespace.
Une troisième catégorie regroupe les autres acteurs collectifs :
organisations internationales, organisations non gouvernementales, médias,
associations, groupes criminels, etc. Tous acteurs du cyberespace, plusieurs
– comme certaines organisations internationales – jouent par ailleurs un rôle
de régulateur.
Enfin, une quatrième et dernière catégorie regroupe les individus,
essentiellement positionnés sur le rôle d’acteurs.

3. Caractéristiques et propriétés

Après la topologie et les acteurs, il nous reste à jeter un œil aux


propriétés du cyberespace et aux « règles du jeu » en son sein. Cette
sous-section est inspirée par les travaux de penseurs français du
cyberespace dont quelques références bibliographiques pertinentes sont
proposées en fin d’ouvrage.
Une première catégorie de propriétés concerne l’espace numérique lui-
même :
• il est artificiel et intangible – contrairement à la terre, la mer, l’air ou
l’espace extra-atmosphérique, il est créé par l’être humain et ses
couches logicielles et sémantiques ne sont pas physiquement
palpables ;
• il est complexe, à comprendre, à modéliser et à prévoir – il est le siège
de nombreuses parties, qui ont de nombreuses interactions entre elles ;
• il se veut résilient, par construction ;
• il est permanent et (presque) partout – utilisable tout le temps, les
métriques et contraintes de distance qui s’appliquent aux autres milieux
y sont largement différentes ;
• il est flou – du point de vue de l’utilisateur, les informations se
comportent parfois comme un électron dans un atome : on sait qu’elles
sont là et on peut interagir avec elles, mais on ne sait pas précisément
où elles se trouvent physiquement ;
• il est le siège de nombreuses interdépendances – il existe notamment
des interdépendances croissantes entre le milieu numérique et les
milieux dits « cinétiques » ;
• il met en évidence de nombreuses dualités, dont les frontières sont
parfois difficiles à appréhender : civil/militaire, privé/public,
personnel/professionnel, individuel/collectif. Cette propriété emporte
une implication importante en matière de régulation : il n’est pas
toujours simple de savoir quelles « règles » appliquer.
Une deuxième catégorie de propriétés regroupe des règles du jeu
induites pour les utilisateurs :
• ceux-ci peuvent être facilement publics, via notamment les réseaux
sociaux, les blogs ou plus généralement les plates-formes de diffusion
de contenus telles que YouTube ou Dailymotion ;
• ils peuvent, à l’inverse, faire un usage discret, voire anonyme, voire
même clandestin du cyberespace ;
• ils peuvent enfin se réunir et se focaliser sur des actions conjointes et
ponctuelles alors même qu’ils sont séparés géographiquement et qu’ils
ne se connaissent pas a priori. Ce principe, dit de « coalescence », rend
notamment possibles un certain nombre de mouvements, qui peuvent
ainsi se faire entendre en ligne et démultiplier les effets de leurs actions
de communication, ou bien s’organiser plus facilement en ligne pour
pouvoir se retrouver ensuite dans le « monde réel ».
Enfin, et cela nous permettra d’aborder dès à présent des questions liées
plus directement à la sécurité numérique, une troisième catégorie de règles
du jeu dans le cyberespace sont plus spécifiques à la conflictualité en son
sein :
• les actions n’y sont pas directement létales. S’il est désormais

malheureusement établi que certaines actions offensives dans le


cyberespace peuvent conduire à la perte de vies humaines, cet effet
n’est le plus souvent qu’indirect, nécessitant toujours la transformation
d’une commande numérique en une conséquence dans le monde
« physique » ;
• c’est un espace dans lequel il peut être très difficile de détecter les
attaques, et encore davantage de les attribuer, ce qui, en première
approche, peut paraître relativement surprenant dans un milieu créé de
toutes pièces par l’être humain, sur des fondamentaux essentiellement
techniques. Cette propriété permet de mener des attaques de façon
discrète, voire anonyme, voire clandestine, ce qui rend également très
complexe, pour la partie défendante, l’option d’une éventuelle riposte
dans des conditions « correctes » de temporalité, de proportionnalité et
de nécessité – comme l’imposerait le cadre de la légitime défense tel
qu’il est posé par le droit international ;
• les outils utilisés dans le cyberespace sont multiples, polyvalents et
relativement changeants. Les outils offensifs, en particulier, peuvent
proposer des effets très divers, permettre de toucher des cibles variées
et différents aspects de ces cibles, comme nous le verrons plus loin. Ils
nécessitent, et c’est probablement une spécificité forte de cet espace de
conflictualité, d’être adaptés aux cibles visées (en fonction de leur
architecture, de leur configuration, des logiciels qu’elles utilisent, etc.) ;
• le principe de coalescence, s’il peut être utilisé pour des fins louables,
peut également l’être pour des usages plus malveillants, en permettant à
des groupes d’attaquants de se former et de se disperser de façon très
agile. Des groupes comme Anonymous, susceptibles d’orchestrer des
actions offensives menées par des acteurs ne se connaissant pas a priori
et significativement séparés géographiquement, constituent de bons
exemples d’application de ce principe ;
• le cyberespace permet enfin de s’affranchir de certaines contraintes
de frontières physiques et de temporalité qui se présenteraient dans
d’autres milieux. S’il est probablement hâtif d’affirmer « qu’il n’y a pas
de frontières dans le cyberespace », comme nous l’avons déjà vu, il est
en revanche clair qu’il permet de mener des actions offensives qui
traversent les frontières géographiques et sont susceptibles de délivrer
quasi instantanément des effets sur des distances très lointaines.
De façon générale, la conflictualité dans le cyberespace présente une
asymétrie forte entre l’attaque et la défense. La partie attaquante n’a
théoriquement besoin d’exploiter qu’une seule faille, d’un seul système, sur
une temporalité relativement courte, pour réussir à mener à bien son action.
Elle a par ailleurs l’avantage de l’initiative et surtout la possibilité de rester
relativement furtive dans une large part de ses opérations. La partie
défendante, quant à elle, doit protéger et défendre un ensemble de systèmes,
en permanence, et contre l’ensemble des vulnérabilités connues susceptibles
de les affecter.
Plus largement, les caractéristiques du cyberespace ont grandement
contribué à la montée d’une conflictualité significative, entre les États
notamment. Le contexte géopolitique qui a émergé après la Seconde
Guerre mondiale, doté notamment d’éléments constitutifs d’un cadre
juridique international, d’une gouvernance intergouvernementale mondiale,
d’alliances régionales stabilisatrices ou encore de technologies et de
doctrines – telles que la dissuasion nucléaire – ayant vocation à décourager
l’emploi de la force armée, était de nature à faire progressivement baisser le
niveau général de conflictualité. Le cyberespace, s’il est indéniablement
source de nombreuses opportunités, permet également de s’affranchir d’un
certain nombre de contraintes, liées notamment à l’éloignement
géographique, aux réglementations, ou encore à des rapports de forces a
priori défavorables. C’est l’ensemble de ces caractéristiques qui a permis
l’augmentation du niveau de la menace d’origine cyber durant ces dernières
décennies, et par là même du niveau général de conflictualité entre les
différents acteurs, étatiques ou non, en présence dans le cyberespace.

III. Les données numériques


1. De quoi parle-t-on ?
Comment parler de numérique sans aborder la notion de « donnée » ?
Concept à la fois fondamental pour le domaine informatique et
incontournable dès lors que l’on s’intéresse aux enjeux liés aux nouvelles
technologies, il est surtout extrêmement complexe à appréhender et à
représenter.
Si la donnée est parfois définie comme une « description élémentaire
d’une réalité », l’on peut largement s’interroger sur ce caractère
« élémentaire », tant l’impression est forte qu’il sera toujours possible de
trouver une donnée plus élémentaire au sujet d’une donnée spécifique. À
quelques approximations près, il n’est probablement pas inutile de
s’appuyer ici sur l’image de la physique des particules qui composent la
matière, dont on a également l’impression qu’il sera toujours possible – au
fur et à mesure de l’amélioration de nos capacités scientifiques – d’observer
des particules plus élémentaires que celles qui le sont à un instant précis.
En tout état de cause, pour comprendre et se représenter ce qu’est une
donnée, deux visions peuvent constituer des points de départ intéressants.
La première appréhende le domaine informatique selon deux grands
piliers : les données d’une part, qui représentent des informations, et les
traitements qui sont faits de ces données d’autre part, par le biais
notamment d’algorithmes, eux-mêmes mis en œuvre par des capacités de
calcul. Dans cette approche, les données sont le carburant du moteur que
constituent les capacités de traitement. Cette représentation permet
notamment de donner tout son sens à l’expression populaire qui consiste à
qualifier la donnée de « pétrole du XXIe siècle ». Elle est à considérer à la
lumière d’une tendance lourde, observée depuis plusieurs années :
l’effritement progressif de la notion de périmètre de système
d’information, corrélé notamment à la montée en puissance des
technologies de virtualisation et, par voie de conséquence, des services
« d’informatique en nuage » (« cloud computing »).
Une seconde approche, inspirée plus largement des sciences cognitives,
considère la donnée comme un point de départ à un problème. Dans ce
contexte, il est intéressant de s’attarder sur différents mots pour lesquels la
tentation est grande de les traiter comme interchangeables et qui pourtant
recouvrent des réalités différentes : donnée, information, connaissance et
renseignement. Plus spécifiquement :
• donner un sens, une interprétation, à l’aide d’un raisonnement, à une
donnée produit une information ;
• apprendre, appliquer et comprendre des informations permet de
consolider des connaissances ;
• recueillir des données, informations et connaissances sur un adversaire
ou, plus généralement, sur une situation et, par le traitement, l’analyse,
la corrélation, la mise en perspective, les rendre utiles à des décideurs
permet de produire du renseignement.
De façon claire, les données que les humains et les machines sont
susceptibles d’être amenés à traiter peuvent être de nombreux types :
qualitatives ou quantitatives, discrètes ou continues, brutes ou
interprétables, etc.

2. Quelques représentations en cycles de vie

La donnée est une matière très évolutive. Il est ainsi intéressant d’en
penser le cycle de vie et d’essayer d’en tirer des grandes phases. Il serait
illusoire de chercher à définir un schéma unique. Il paraît plus pertinent
d’explorer plusieurs façons de représenter ce cycle de vie.
Une première approche générale, en cinq phases, est par exemple la
suivante :
• création, par une machine ou un humain – soulevant notamment des
problématiques d’étalonnage et de fiabilité ;
• traitement, exploitation, analyse, par une machine ou un humain – où
des enjeux relatifs à la puissance de calcul sont fortement prégnants ;
• stockage ;
• accès, partage, diffusion – soulevant notamment la question du
contrôle d’accès, et donc de la gestion de l’identification, de
l’authentification et de l’autorisation ;
• destruction – potentiellement complexe pour les supports numériques.
Une autre proposition, plus proche du champ de l’informatique
décisionnelle, et donc très orientée sur la finalité d’aide à la décision, est la
suivante : collecte ; structuration ; stockage ; traitement ; analyse ;
visualisation ; décision.

3. Enjeux de valeur et de sensibilité

Comme l’expression « or noir du XXIe siècle » le laisse entendre, les


données sont potentiellement sources et porteuses d’une grande valeur.
Leur nature particulière confère néanmoins des propriétés très spécifiques à
cette valeur :
• elle est très subjective, n’est pas quantifiable de façon absolue et
dépend grandement de l’utilisateur des données concernées ;
• elle est co-construite, et augmente notamment avec l’utilisation, le
traitement, le croisement et l’agrégation des données ;
• son évolution dans le temps est difficile à prévoir.
Par ailleurs, plusieurs aspects de la donnée peuvent être valorisés : le
contenu « direct » ou les métadonnées associées par exemple.
Enfin, la donnée peut être valorisée de plusieurs façons différentes.
Elle peut être perçue comme une matière première et être marchandée en
l’état, plus ou moins « raffinée », sous une forme agrégée, sous la forme
d’un service ou encore sous forme d’analyses (p. ex. des bases de données,
des fiches de synthèse, des listes de numéros de carte bancaire). Elle peut
aussi être perçue comme un levier de prise de décision ou d’optimisation
opérationnelle, et être utilisée par une organisation pour créer davantage de
valeur et améliorer ses produits (p. ex. les recommandations de plates-
formes comme Amazon, Netflix, Google ou Facebook s’appuient sur les
données qu’elles détiennent concernant leurs utilisateurs pour proposer à
ces derniers des contenus, services et produits en phase avec ce qu’elles
pensent être leur profil). Enfin, elle peut également constituer un actif
stratégique pour une organisation qui serait la seule à détenir certaines
données, lui permettant ainsi de s’octroyer une position unique dans un
domaine ou un marché.
S’intéresser à la valeur des données nous amène assez naturellement à en
étudier les aspects de sensibilité. Comme leur valeur, la sensibilité des
données varie significativement en fonction du type de données concernées,
tout au long de leur cycle de vie et, de façon plus générale, dans le temps.
Outre ces enjeux de valorisation et de sensibilité, la gestion des données
appelle de nombreuses considérations :
• des questions technologiques, et plus largement industrielles, pour
avoir les moyens matériels et logiciels de traiter et stocker les données ;
• des questions juridiques et réglementaires, qui emportent de nombreux
défis s’agissant des données (p. ex. de compréhension de l’objet
réglementé, de temporalité, de localisation et d’extraterritorialité) ;
• ou encore des questions de gouvernance, liées notamment à la variété,
au volume ou encore à la qualité des données gérées.

4. Aparté sur l’intelligence artificielle

Sans chercher à traiter le sujet en détails, on ne saurait – à l’aube de la


décennie 2020 – aborder les questions relatives aux données numériques
sans évoquer, au moins brièvement, le thème de l’intelligence artificielle
(IA).
Ensemble de techniques, s’appuyant sur des algorithmes de traitement
d’une part et des jeux de données d’autre part, et permettant à des
machines d’accomplir des tâches et de résoudre des problèmes
normalement réservés aux humains et à certains animaux, l’IA est
susceptible de mobiliser quatre grandes fonctions : la perception, le
raisonnement, l’action et l’apprentissage.
Elle peut ainsi permettre :
• de voir et d’identifier des images ;
• d’entendre, de retranscrire et de « comprendre » du langage naturel ;
• de lire et de « comprendre » des informations écrites ;
• de mener des actions, sur la base de ce qui est vu, entendu et
« compris » ;
• plus largement, de raisonner, en analysant par exemple des grandes
quantités de données pour apprendre et prendre des décisions.
L’apprentissage automatique (« machine learning ») est central dans le
développement d’IA capables de « raisonner ». Il peut notamment se faire :
• de façon supervisée, lorsque les données d’apprentissage sont
labelisées. Cela permet par exemple d’apprendre à une IA à classer des
images parmi des catégories déjà définies ;
• par renforcement, lorsque l’IA « s’entraîne » dans un environnement
qui lui délivre des « récompenses », positives ou négatives, en fonction
des décisions qu’elle prend ;
• ou de façon non supervisée, grâce à des données d’apprentissage non
labelisées. Cela permet par exemple d’apprendre à une IA à classer des
images dans des catégories qu’elle définira elle-même.
On parle également régulièrement « d’apprentissage profond » (ou
« deep learning ») pour évoquer des modes d’apprentissage qui s’appuient
sur des architectures spécifiques telles que les réseaux de neurones profonds
ou les réseaux de neurones convolutifs.
Notre intérêt principal se portant sur la sécurité numérique, il est utile
d’essayer de dégager quelques grands axes d’adhérence de l’IA aux
questions de cybersécurité. Nous pouvons brièvement en illustrer trois,
entre autres :
• utilisation de l’IA à des fins d’attaque : la maîtrise de capacités de
perception, de raisonnement, d’action et d’apprentissage devrait
permettre aux attaquants de mener des cyber offensives plus
sophistiquées, mieux planifiées, plus réactives, plus adaptées aux
cibles, plus globales et plus efficientes ;
• utilisation de l’IA à des fins de défense : à l’inverse, la mobilisation de
l’IA, et notamment de l’apprentissage automatique, pourrait servir la
cause de la protection et de la défense, en aidant par exemple à la
détection des cyberattaques ou à la recherche de vulnérabilités dans des
produits ;
• vérification du fonctionnement propre de l’IA : de la même façon que
l’on évalue les propriétés de sécurité des produits logiciels et matériels,
on pourrait s’attendre à voir émerger des besoins d’évaluation de la
sécurité des IA – tant dans les algorithmes mis en œuvre que dans la
qualité des jeux de données qui permettront l’apprentissage.

IV. Ce qu’il se passe dans le numérique


1. Plusieurs grands aspects d’une transformation
globale
Après avoir étudié la genèse, la topologie et les grandes caractéristiques
du cyberespace, et avoir jeté un bref regard sur les données numériques, il
semble pertinent de s’attarder sur quelques grandes mutations et
tendances qui peuvent être observées dans le contexte de la numérisation
croissante de nos sociétés et de nos économies. Pour observer de plus près
ce qui est parfois appelé, de façon assez générale, la « transformation
numérique », nous choisissons de nous focaliser plus particulièrement sur
plusieurs aspects.
Le numérique s’appuyant, par nature, sur la science du traitement de
l’information, nous commencerons par aborder quelques questions liées à la
cognition : accès à la connaissance, apprentissage et esprit critique.
Au-delà des changements cognitifs dont les individus peuvent être le
siège à l’aune du numérique, il est également intéressant d’observer les
changements sociaux qu’il induit, les transformations dans la façon qu’ont
les êtres humains de créer et d’entretenir des liens entre eux.
L’étape qui suit souvent l’établissement de liens sociaux entre les
individus est celle de l’établissement de liens économiques. En la matière,
le numérique a déjà permis – et devrait continuer à permettre – des
évolutions majeures.
Plus largement, le numérique et les usages associés influent sur la façon
dont la société se consolide, s’organise et se perçoit, offrant ainsi de
nouveaux défis aux régulateurs.
Enfin, et cela constituera une transition vers le cœur de notre sujet, le
numérique est à l’origine de différentes sources de conflictualité, et
notamment d’une conflictualité que nous qualifierons de « stratégique »
entre les États.
Les lecteurs en feront probablement le constat : les sous-sections qui
suivent aborderont les aspects précédemment cités sous un angle qui
pourrait être perçu comme relativement pessimiste. Si l’auteur assume
pleinement la prudence à l’égard des points qui vont suivre, il n’en reste pas
moins convaincu que le numérique constitue une opportunité formidable de
progrès pour l’humanité. Comme toute opportunité, cette tendance vient
avec un certain nombre de risques, qu’il convient de comprendre et de
maîtriser. Cet ouvrage a modestement vocation à contribuer à augmenter la
compréhension de ces enjeux par les personnes en position de décision –
tant dans le monde public que privé – mais également, plus largement, par
l’ensemble des citoyens et citoyennes souhaitant s’approprier leur destin
numérique.

2. Cognition : accès à la connaissance, apprentissage,


esprit critique

Nous l’expliquions plus haut : l’espace numérique est constitué par


l’ensemble des équipements informatiques du monde et de leurs différentes
formes de mises en réseaux. Ces équipements ont vocation à permettre la
manipulation, le stockage et le traitement d’informations, sous formes
numériques.
C’est ainsi un fait : l’apparition du monde numérique a très
logiquement accru l’accès des êtres humains à toutes sortes
d’informations et de connaissances, participant ainsi à une diffusion plus
large de la culture. Certains lecteurs peuvent encore se souvenir d’une
époque où l’élaboration d’un exposé scolaire amenait les élèves à passer un
temps certain dans une bibliothèque et à éplucher des ouvrages pour y
glaner des informations. C’est une époque où l’on possédait des
dictionnaires et des encyclopédies en papier chez soi. C’est également une
époque où un repas entre amis, entre collègues ou en famille pouvait
soulever des questions relevant du domaine de la culture générale pour
lesquelles on n’aurait matériellement pas la possibilité de trouver des
réponses avant le dessert…
Le Baromètre du numérique 2018 établi par le CRÉDOC pour le CGE,
l’ARCEP et l’Agence du numérique10 indique notamment que 75 % de la
population française âgée de plus de 12 ans est dotée d’un smartphone en
2018, et que 80 % de la population française se connecte quotidiennement à
Internet. Un corollaire important de ce fort taux de pénétration des
smartphones et d’Internet est un accès quasi-permanent à une quantité
potentiellement infinie d’informations. C’est à la fois une chance et un
danger – car le « trop » peut vite s’avérer l’ennemi du « bien ». Ainsi, cet
accès continu à l’information soulève plusieurs questions structurantes
quant aux capacités cognitives de l’être humain, relatives notamment à
l’attention, à l’apprentissage et à l’esprit critique.
La capacité d’attention des individus fait l’objet d’une concurrence
accrue de la part des acteurs de l’économie numérique. Si le concept
« d’économie de l’attention » n’a pas émergé avec le numérique11, il semble
toutefois que celui-ci est fortement susceptible de catalyser son essor. En
effet, il stimule, par nature, des marchés structurés de façon à ce qu’une
offre, en l’occurrence des contenus, soit abondante et que la « demande », à
savoir ici le « temps de cerveau disponible » des consommateurs de
l’Internet, soit rare et fasse l’objet de toutes les convoitises. En se basant sur
les travaux du sociologue allemand Georg Franck, vers lesquels nous
oriente le chercheur français Yves Citton, l’on peut dégager quelques
éléments structurants de la transformation de l’attention en une nouvelle
richesse, tous largement facilités par le numérique :
• l’attention est une grandeur mesurable – les différentes formes
d’attention portée par les internautes sur un site web donné peuvent par
exemple générer des statistiques et, plus largement, des éléments
quantitatifs et qualitatifs riches (p. ex. le temps passé sur une page
donnée, le nombre de pages consultées par un internaute donné durant
une même visite, le nombre de visites uniques par mois, le nombre
d’abonnés à une liste de diffusion) ;
• l’attention peut se capitaliser dans le temps, sous la forme de ce que
l’on pourrait appeler la « notoriété » ;
• l’attention peut faire l’objet d’échanges, notamment sur des plates-
formes où producteurs et consommateurs de contenus peuvent se
retrouver.
Les lecteurs et lectrices les plus avertis auront sans doute reconnu ici les
trois grandes fonctions constitutives d’une monnaie, selon Aristote : unité
de compte, réserve de valeur et intermédiaire d’échanges.
Au-delà de la montée en puissance indéniable de cette économie de
l’attention, la question des effets du numérique sur la capacité
d’attention des individus invite également à la réflexion. Malgré une
croyance populaire, il ne semble pas clairement établi que la capacité
moyenne d’attention des êtres humains ait significativement baissé ces
dernières années. En revanche, l’on peut tout de même voir se dégager une
tendance au renforcement d’une certaine « culture de l’immédiateté »,
favorisée par l’habituation des utilisateurs à un environnement où tout est
rapidement disponible « à portée de clic » : informations, contenus
audiovisuels, produits, services, rencontres, etc.
Au-delà de l’attention, ce sont également les processus d’apprentissage
qui sont fortement touchés par l’avènement du numérique. En effet, la
possibilité d’accéder depuis « presque partout », « presque tout le temps », à
« presque tout » neutralise notamment, dans un certain nombre de cas, le
besoin pour les individus d’apprendre des connaissances « par cœur » et,
par voie de conséquences, leur fait progressivement perdre cette capacité en
la mobilisant moins. Au-delà de l’exemple classique, et finalement
relativement anecdotique, des numéros de téléphone que plus personne ne
connaît par cœur puisqu’ils sont stockés dans la mémoire d’un smartphone,
cet état de fait emporte de fortes implications dans le domaine de
l’éducation. Pour l’apprentissage des langues étrangères par exemple : si
des contenus de meilleure qualité sont accessibles plus facilement (via les
plates-formes de streaming, qui diffusent des films et séries en version
originale ou des contenus issus directement de médias nationaux) et
permettent ainsi de se familiariser de façon plus efficiente avec les sonorités
réelles d’une langue et ses idiomes, les bases grammaticales de certaines
langues – conjugaisons, verbes irréguliers, prépositions, déclinaisons, genre
des mots – nécessitent toujours une certaine forme d’apprentissage « par
cœur », qui devient de plus en plus difficile à mobiliser.
Enfin, devant la masse d’informations disponibles, un autre enjeu majeur
pour les individus réside dans leur capacité à faire le tri entre le bon grain
et l’ivraie, en mobilisant notamment leur esprit critique. Ce sujet en tire
plusieurs autres, portant tant sur les sources d’information – leur
pertinence et leur multiplicité – que sur la « qualité » de l’information
elle-même.
Sur le sujet des sources, la question dite de « l’enfermement
algorithmique » mérite d’être mentionnée. Cette problématique est
intrinsèquement liée au modèle économique d’un certain nombre de plates-
formes numériques : pour capter au maximum l’attention de leurs
utilisateurs et utilisatrices, celles-ci cherchent à leur livrer des contenus le
plus en phase possible avec leur profil, et notamment leurs attentes, leurs
besoins, leurs passions et leurs appétences. Après le visionnage d’un
contenu vidéo, YouTube et Netflix en suggéreront d’autres. Google
cherchera à répondre aux questions de ses utilisateurs avant même qu’ils
aient fini de les lui poser, en suggérant des fins possibles pour les requêtes.
Facebook et Twitter filtreront et choisiront des contenus à afficher sur la
page d’accueil des utilisateurs. Après un achat, Amazon recommandera
d’autres ouvrages. Toutes ces suggestions et recommandations, formulées
grâce à ce que les plates-formes savent de leurs utilisateurs – connaissance
construite et alimentée par toutes les données captées au fil des visites et
des interactions – répondent à une intention qui pourrait être louable :
proposer à l’utilisateur un contenu, produit ou service qui lui
« correspondrait » le mieux. Cette approche emporte néanmoins un risque
significatif : celui de l’isolation dans une « bulle intellectuelle et
culturelle », défavorable à la confrontation des idées et des points de vue.
Le sujet de l’esprit critique nous emmène également dans une sphère
sémantique où divers concepts tels que « fake news », « désinformation »
ou encore « propagande », parfois utilisés à tort de façon interchangeable,
se retrouvent. Sans prétendre à une étude exhaustive sur le sujet – les
lecteurs et lectrices intéressés pouvant par exemple trouver davantage
d’éléments dans le rapport Les manipulations de l’information : un défi
pour nos démocraties du CAPS et de l’IRSEM12 – il n’est pas inutile de
s’attarder quelques instants sur la signification des termes. Le concept de
« fake news », s’il n’est pas nouveau, a connu un regain d’intérêt très
significatif dans le contexte de la campagne présidentielle américaine de
2016, prenant ainsi une teinte très politisée. Les autorités françaises, en
s’appuyant notamment sur le rapport précité, ont cherché à s’entendre sur
un mot ou une expression, ainsi que des définitions afférentes, qui
permettrait de capturer au mieux l’essence du « problème ». Le concept de
« désinformation », qui désigne des « informations dont on peut vérifier
qu’elles sont fausses ou trompeuses, qui sont créées, présentées et diffusées
dans un but lucratif ou dans l’intention délibérée de tromper le public et qui
sont susceptibles de causer un préjudice public13 », est ainsi central. Plus
largement, pour être considérée comme « manipulée », l’information doit
avoir fait l’objet d’une campagne coordonnée de propagation de
nouvelles falsifiées ou volontairement déformées dans le but politique
de nuire. Tout comme l’économie de l’attention, la manipulation de
l’information n’est pas un phénomène nouveau – c’est au contraire une
pratique tout à fait ancestrale. En revanche, tout comme pour l’économie
de l’attention, le numérique a grandement contribué à catalyser l’essor
de ces pratiques, en permettant notamment une diffusion massive et
extrêmement rapide des informations à travers les plates-formes
numériques et les médias sociaux.
Ce phénomène peut s’expliquer d’une part par des raisons techniques :
une plate-forme numérique peut « toucher » beaucoup d’utilisateurs, avec
très peu de contraintes de distance et de temps.
Il est également intéressant de jeter ici un pont vers les sciences
humaines et sociales, en constatant que la tendance décrite ci-dessus
s’explique également par des raisons liées à la psychologie des individus,
qui sont « naturellement » enclins à porter et à maintenir leur attention sur
certains types d’information. Ainsi, des contenus que l’on pourrait
qualifier de choquants, polarisants, extraordinaires ou encore voyeurs
auront davantage tendance à capter l’attention, à susciter de
l’engagement de la part des publics et à être repartagés, devenant ainsi
populaires voire viraux.
Plus largement, un détour du côté de la psychologie comportementale
nous offre une grille de lecture de quelques « techniques » mises en œuvre,
sciemment ou non, par les plates-formes numériques pour capter l’attention
de leurs utilisateurs. Les quelques phénomènes suivants ont par exemple été
documentés par Tristan Harris14, ancien employé de Google :
• l’effet « machine à sous » – fortement lié au concept béhavioriste, initié
par Edward Thorndike et développé par le psychologue américain
Burrhus Frederic Skinner, du « conditionnement opérant », qui décrit
une méthode d’apprentissage fondée sur le renforcement et la punition.
Plus précisément, il est établi qu’un « programme de renforcement
intermittent à proportion variable » est la façon la plus efficace de
maintenir un comportement acquis et de le rendre résistant à
l’extinction. En d’autres termes : lorsqu’un individu « joue », la
meilleure façon de le rendre dépendant est de le « récompenser »,
mais seulement de temps en temps et avec une récompense
d’intensité variable. C’est le cas des machines à sous. Dans le
numérique, ceci se matérialise de façon plus discrète via, par exemple :
– les notifications (de message, de commentaire, de « like », etc.), qui
arrivent de façon aléatoire et sont petit à petit perçues comme des
« récompenses » de valeurs variables à aller récolter,
– le rafraîchissement de pages, qui s’apparente à un nouveau tour de
jeu sur une machine à sous, en étant susceptible de faire apparaître
de nouveaux contenus, dont l’intérêt sera variable et inconnu a
priori,
– le « scroll » (défilement vertical, sur des réseaux sociaux comme
Facebook, LinkedIn ou Twitter) et le « swipe » (défilement
horizontal, sur des plates-formes comme Tinder), qui promettent de
délivrer du nouveau contenu dont la valeur n’est pas prévisible ;
• l’effet « fear of missing something important », qui pousse par exemple
à ne pas se désinscrire d’une newsletter, à ne pas supprimer de contacts
sur les réseaux sociaux ou à ne pas cesser d’utiliser les médias sociaux,
par peur de manquer une information importante qui y serait publiée ;
• l’effet « besoin d’approbation sociale », auquel certaines catégories de
population comme les adolescents sont plus sensibles, et qui joue sur
l’importance d’actions comme le fameux « like », l’identification dans
une photo ou encore la publication d’une nouvelle photo de profil ;
• l’effet « réciprocité sociale », qui permet à l’activité d’une personne sur
la plate-forme de générer de l’activité chez une autre. De la même
façon qu’une convention sociale largement répandue invite à répondre
« de rien » à un « merci », des règles sociales tacites ont émergé sur les
plates-formes numériques : un courriel appelle une réponse, se faire
« suivre » sur Twitter invite à « suivre » également en retour, obtenir
une recommandation sur LinkedIn incite à rendre la pareille, etc. ;
• l’effet « tonneau des Danaïdes », du nom de ce tonneau sans fond que
les Danaïdes, personnages issus de la mythologie grecque, ont été
condamnées à remplir éternellement. Dans le monde numérique, cet
effet, qui permet d’allonger le temps passé par les utilisateurs sur les
plates-formes, se matérialise notamment :
– par des mécanismes de lecture automatique, à la fin du visionnage
d’un contenu sur YouTube ou Netflix par exemple,
– ou par des mécanismes de remplissage automatique de fils
d’actualités lors du défilement vertical, sur Facebook, LinkedIn ou
Twitter par exemple.

3. Relations sociales

Les outils numériques aident les gens à socialiser, à se rencontrer, à


se parler et à entretenir des relations interpersonnelles. À cet égard, les
réseaux et médias sociaux, en particulier, remplissent plusieurs fonctions :
conserver et entretenir des relations sociales existantes ; accéder à de
nouvelles relations sociales, élargir ses cercles de connaissances ; ou
encore transmettre et recevoir de l’information, et en particulier relayer
ce que l’on pense et fait.
Sans chercher à disserter sur la passionnante question de la nature plutôt
« sociale » ou plutôt « individualiste » de l’être humain, largement
documentée par de nombreux philosophes tels qu’Aristote, Pascal ou
Rousseau, il est intéressant d’essayer de tirer quelques constats empiriques
d’effets potentiellement néfastes des réseaux sociaux numériques.
Tout d’abord, force est de constater qu’au-delà des seules informations,
les questions liées à l’enfermement algorithmique, soulevées plus haut,
ont évidemment aussi une portée sociale – créant par exemple des risques
de maintien d’individus radicalisés dans des groupes sociaux favorables à
certaines idéologies peu recommandables.
Par ailleurs, d’un autre constat central découleront plusieurs remarques :
sur les réseaux sociaux, chacun se met en scène en montrant ce qu’il a
envie de montrer – de façon plus ou moins consciente.
Ce phénomène est susceptible de créer une vie sociale fondée sur une
représentation très biaisée de ce que font, pensent et vivent les autres.
En fonction de leur personnalité, les utilisateurs peuvent soit chercher à
montrer les aspects sympathiques de leur vie, soit les aspects qui le sont
moins (pour ceux qui cherchent par exemple à être plaints). Très peu
captureront la réalité de leur vie dans les « bonnes » proportions. Même
dans les cas où sa vie serait réellement fabuleuse et où il ne chercherait pas
intentionnellement à mettre en scène un avatar extrêmement positif de lui-
même, un utilisateur ne sera, en tout état de cause, capable de n’en montrer
que quelques pourcents en ligne – sauf à ce qu’exposer sa vie quotidienne
soit son métier – et, très clairement, il n’exposera que ce qui est saillant,
intéressant et populaire.
Cette création d’un avatar plus ou moins idéalisé de soi-même engendre
d’autres tendances sociologiques notables : le sentiment d’être « seul mais
avec beaucoup de gens », la publicisation de la vie privée et la montée de
l’individualisme, une forme de concurrence entre les individus qui
s’accompagne de toutes sortes de stress et d’angoisses, etc.
Enfin, un dernier aspect sur lequel nous pouvons nous attarder est celui
du risque de la création – ou à tout le moins de la diffusion massive – par
les réseaux sociaux, d’une « normalité sociale » pas toujours souhaitable,
s’agissant de ce qu’il est normal voire souhaitable de penser, de ce qu’il est
normal voire souhaitable d’accomplir, de façons normales voire
souhaitables de se comporter, ou encore des sujets qu’il est acceptable,
normal voire souhaitable d’aborder, ou à l’inverse, de ceux pour lesquels ce
n’est pas le cas.
4. Enjeux économiques

La numérisation croissante des processus métiers se fait avec l’espoir


de les mettre en mesure de créer et de fournir plus de valeur, plus vite,
plus loin et de façon globalement plus efficiente.
Cette tendance conduit à l’émergence – et également à la disparition –
de métiers, marchés et modèles économiques. La façon dont la valeur se
répartit entre les acteurs d’un écosystème ou d’une filière se modifie. Les
relations entre les acteurs changent le long de la chaîne de valeur :
certains prennent de l’importance, d’autres en perdent, de nouveaux
apparaissent, certains disparaissent.
Par exemple, dans une conception « classique » et non numérisée de
l’industrie de la création littéraire, on peut distinguer, peu ou prou : un
auteur en début de chaîne, une maison d’édition, une imprimerie, des
distributeurs, des librairies. L’arrivée du numérique a « disrupté » certains
acteurs de cette chaîne de valeur. On pensera évidemment à des géants
comme Amazon, qui a commencé par faire concurrence aux librairies, et qui
remonte petit à petit la chaîne, en s’attaquant au maillon « impression »
avec les livres électroniques, qui peuvent être consultés sur des liseuses
comme le Kindle ; et également au maillon « édition », avec des services
comme Amazon Kindle Direct Publishing, qui permet à des auteurs de
s’auto-éditer. Reste un maillon : la création initiale du contenu. On pourrait
imaginer qu’Amazon engage des auteurs pour créer ses propres contenus…
ou qu’une intelligence artificielle s’en charge !
Amazon est à la création littéraire ce que Netflix est à la création de séries
télévisées et de films. Initialement positionné sur le dernier maillon de la
chaîne, la location de DVD, Netflix a également « remonté » la chaîne de
valeur de son industrie, en allant aujourd’hui jusqu’à créer ses propres
contenus.
La donnée joue par ailleurs un rôle essentiel dans l’ensemble de la
chaîne de valeur : elle ajoute directement de la valeur, elle est la valeur
transportée, elle permet d’optimiser la création de valeur. Elle amène
aussi la clientèle directement au sein de la chaîne de valeur : l’entreprise
peut utiliser les données de ses clients à des fins commerciales, soit pour lui
proposer des « meilleurs » produits, soit – de façon plus discutable – en
revendant ces données à des tiers. Plus largement, ce phénomène sous-tend
l’essor de modèles économiques basés sur la publicité ciblée, sur les
contenus personnalisés, et plus largement sur les données à caractère
personnel.
Un autre phénomène économique largement stimulé par le numérique est
celui de la « plate-formisation ». Une « plate-forme économique » peut
être décrite, assez simplement, comme un acteur économique qui met en
relation au moins deux autres acteurs économiques. Le concept n’est pas
nouveau – la bourse est un exemple de plate-forme – mais force est de
constater que le numérique, en permettant notamment à de très nombreux
acteurs économiques de se « rencontrer » quasiment sans contraintes de
temps et de distances, a largement favorisé l’émergence de ce type
d’acteurs. Dans les faits, parmi les acteurs majeurs du numérique, un grand
nombre agissent comme des plates-formes (p. ex. Airbnb, Amazon, Apple,
Facebook, Google, Netflix, Twitter, Uber). Il est intéressant de noter que la
« plate-formisation », en ce qu’elle facilite la mise en relation d’acteurs
économiques, favorise l’essor d’une économie dite « collaborative », qui
déplace les problématiques de possession vers des enjeux davantage
centrés sur l’usage.
De façon plus générale, la numérisation de l’économie fait la part
belle aux effets de réseau et d’écosystème. Les entreprises deviennent des
« entreprises étendues » : de véritables réseaux d’acteurs économiques
travaillant sur des projets communs. Le concept de « supply chain » vit
également sa révolution numérique : supply chains mondialisées,
production délocalisée facilitée par l’impression 3D et pilotée en temps réel,
lien entre systèmes de production et de planification, nouveaux marchés
internationaux, passage de modèles de production « make-to-stock15 » vers
des modèles « assemble-to-order16 » ou « make-to-order17 », etc.
Pour terminer, il paraît impossible de ne pas évoquer l’intelligence
artificielle et les sujets qui lui sont connexes, tels que l’apprentissage
automatique. Si ces technologies font l’objet d’un traitement médiatique
susceptible de générer beaucoup d’attentes et de craintes, de façon plus ou
moins légitime, il semble indéniable qu’elles devraient permettre à de
nombreux acteurs économiques d’être plus « apprenants », en utilisant
notamment le potentiel des données pour optimiser drastiquement certains
procédés métiers.

5. Enjeux sociétaux de régulation

D’un point de vue « sociétal », le numérique et les évolutions qu’il


engendre ne sont pas toujours très simples à appréhender. Les
technologies – et notamment les technologies numériques – progressent
vite, voire très vite. Néanmoins, ces dynamiques restent la plupart du temps
assez rationnelles, presque prévisibles. Il y a bien quelques nouveautés qui
peuvent surprendre, mais dans une vaste majorité des cas, les innovations
technologiques sont assez incrémentales et « suivables ». S’il est certain
que des « technologies » comme l’IA ou l’informatique quantique ont le
potentiel de « disrupter » de nombreux domaines, ce sont des sujets bien
identifiés, depuis de nombreuses années, et pour lesquels des travaux
significatifs seront sans doute encore nécessaires avant d’aboutir à des
résultats réellement révolutionnaires voire, dans certains cas, simplement
fonctionnels.
Si l’évolution des technologies est rapide mais répond à une certaine
logique, celle des usages numériques est, elle, un peu moins prévisible.
En quelques mois, des usages « surprenants » peuvent apparaître et prendre
des proportions non moins surprenantes. Le domaine des usages ne se
cantonne pas seulement à des enjeux de recherche scientifique et
technologique : il touche plus largement les comportements humains,
individuels ou – encore plus complexes – de groupe. Il n’est plus
seulement un sujet de scientifiques mais également un sujet
d’entrepreneurs, pour qui les technologies ne sont souvent qu’un outil de
plus pour « créer le contexte » et changer les « modèles mentaux18 ». À titre
d’exemple, pensons à Airbnb ou à Facebook : qui aurait vraiment pu
prévoir, quelques années (voire quelques mois) avant la création de ces
plates-formes que des millions de personnes seraient un jour prêtes à
accueillir de parfaits inconnus dans leur salon, ou à exposer une grande
partie de leur vie privée à la vue de millions d’autres utilisateurs ?
Ainsi, le monde numérique évolue si vite qu’il est parfois compliqué d’y
distinguer les tendances qui seront structurantes, durables ou éphémères.
Du point de vue du régulateur, le numérique est un véritable défi. En
effet, il lui faut, entre autres :
• comprendre un sujet qui repose sur des sous-jacents fondamentalement
techniques ;
• comprendre, puis décider de ce qui doit être régulé ;
• trouver au moins une façon pertinente de le faire ;
• expliquer son projet de régulation, notamment à travers un dialogue
avec les personnes et entités régulées, et plus largement la société
civile ;
• agir concrètement ;
• être capable de faire évoluer la régulation pour suivre les évolutions du
numérique, ou produire une régulation qui soit assez robuste et
intemporelle.
Ce défi est d’autant plus grand lorsqu’on le regarde à la lumière des trois
critères traditionnellement reconnus comme constitutifs des États : une
population, un territoire et un pouvoir souverain. Or, c’est sans doute assez
intuitif : dans le cadre numérique, les notions de population et de territoire
sont particulièrement complexes à appréhender pour un régulateur.
On en profitera pour rappeler ici que « réguler » ne signifie pas
uniquement « réglementer19 ». Outre des leviers coercitifs, notamment
réglementaires, le régulateur peut également miser sur l’incitation (p. ex.
via des conseils, des guides, de la sensibilisation, de l’information) ou
encore prendre à sa charge un certain nombre d’actions – par exemple
lorsque, pour des raisons de viabilité économique, elles ne peuvent pas être
prises en charge par le secteur privé.
Ainsi, de la même façon qu’il y a désormais du numérique dans la
plupart des métiers, le numérique s’invite également dans la plupart des
politiques publiques : environnement, transports, urbanisme, santé,
diplomatie, défense, politique industrielle, etc. Ce constat plaide pour au
moins deux choses :
• la nécessité que les métiers et les porteurs des différentes politiques
publiques comprennent et s’approprient les enjeux liés au
numérique ;
• la nécessité d’une coordination interministérielle du sujet – incarnée
en France, à l’heure où ces lignes sont écrites, par le secrétariat d’État
chargé du numérique.
Du point de vue des citoyens et citoyennes, les enjeux sociétaux du
numérique sont également nombreux. Ils commencent avec une
problématique fondamentale : celle de l’inclusion numérique – la nécessité
de donner accès à tous et toutes au numérique et surtout aux opportunités
qu’il permet. Ici, des sujets comme ceux de la numérisation de
l’administration sont cruciaux.
Enfin, un dernier aspect qui vaut la peine d’être mentionné sur le plan
sociétal est probablement celui des considérations éthiques qu’emportent
certaines applications numériques, comme – encore elle – l’intelligence
artificielle. À titre d’exemple, dans le cas d’usage qui pourrait finir par
devenir relativement commun où une IA « conduit » un véhicule autonome
et connecté, comment lui apprendre à décider, en situation d’urgence, entre
des options, toutes aussi dramatiques les unes que les autres, telles que :
• heurter un arbre, risquant de tuer les occupants du véhicule ;
• heurter un groupe de piétons « d’un certain âge » ;

• ou heurter quelques enfants ?

6. Une source croissante de conflictualité stratégique

Dans la plupart des cas, les enjeux cognitifs, sociaux, économiques et


sociétaux mentionnés précédemment sont susceptibles de générer des
opportunités et des risques. Un défi majeur qui se pose aux sociétés, aux
régulateurs, aux gouvernements et probablement à la civilisation est de
réussir à tirer le meilleur profit de ces opportunités et de maîtriser au
mieux ces risques, pour que la transition numérique puisse se faire en
confiance.
Or, force est de constater que l’espace numérique s’est illustré ces
dernières années comme un lieu de conflits et de remises en cause.
Comme l’explique l’historien Yuval Noah Harari dans son ouvrage
Sapiens : Une brève histoire de l’humanité20, depuis la fin de la Seconde
Guerre mondiale, le monde était entré dans une phase que l’on pourrait
qualifier de « paisible », particulièrement en Europe. En effet, après 1945,
l’on constate plusieurs phénomènes concomitants qui ont participé à
faire « descendre » la pression de la conflictualité entre les États :
• l’augmentation du coût de la guerre – les armements coûtent cher, les
« retombées » de la guerre également ;
• la baisse des profits permis par la guerre – les richesses étant de plus
en plus immatérielles, mener des guerres « classiques » n’est plus un
moyen efficient pour s’en emparer ;
• l’augmentation de la rentabilité de la paix – dans les économies
capitalistes modernes, le commerce extérieur et les investissements sont
essentiels et fonctionnent d’autant mieux que la paix est assurée de
façon pérenne ;
• le glissement dans la culture politique mondiale, qui donne, de façon
assez majoritaire, une priorité à la désescalade et au règlement
pacifique des différends.
Malheureusement, le numérique a contribué, dans une certaine
mesure, à remettre en cause cet état de fait. La conflictualité numérique
(pour ne pas dire la « guerre numérique ») a certes des coûts, mais
nettement moindres que ceux de la guerre « cinétique ». Par essence, le
numérique permet d’aller capter des richesses immatérielles telles que des
informations. La tension dans le cyberespace peut évidemment saper la
confiance de ceux qui souhaitent y commercer, mais n’obère pas cette
possibilité de façon aussi nette que les conflits armés classiques. Enfin, la
relative impunité, due aux différentes propriétés que nous avons explorées
précédemment, dont peuvent jouir les assaillants dans l’espace numérique
leur permet de s’affranchir d’un certain nombre de considérations
d’affichage politique.
Par ailleurs, plusieurs ingrédients historiques propres à la création et au
développement d’Internet ont probablement aussi contribué à cet état de
fait :
• le principe technique fondateur qui a prévalu à la création du réseau
ARPANET, qui préfigurera notre Internet actuel, est la résilience de
fonctionnement, pas la sécurité ;
• d’un point de vue plus philosophique, Internet s’est développé autour
de courants de pensée libertaires et libéraux.
Le cyberespace, espace « mondial », bien commun, est ainsi de facto
un lieu peu régulé, où s’exprime une conflictualité de plus en plus
marquée entre les États, et la remise en cause de principes ancestraux
tels :
• que la notion « classique » de frontières – s’il est assez faux de dire

« qu’il n’y a pas de frontières dans le cyberespace », il est clair que les
frontières et limites – matérielles, logicielles et sémantiques – qui s’y
trouvent sont complexes à appréhender ;
• que le monopole de la violence légitime des États, théorisé par le
sociologue Max Weber21 – les outils cyber offensifs étant de plus en
plus simples d’accès et d’utilisation, et finalement peu régulés, il est
courant de voir un nombre croissant d’acteurs de tous types s’en saisir ;
• qu’un certain « ordre mondial », régi par la théorie « classique » des
relations internationales et le droit international, où les États et les
organisations internationales jouent un rôle central. La montée en
puissance de certains acteurs privés, dont les produits et services sont
devenus omniprésents dans l’espace numérique voire absolument
essentiels à sa simple existence, est de nature à remettre en cause cet
ordre établi, en positionnant ces acteurs directement au cœur des
discussions intergouvernementales sur la régulation et la stabilité
stratégique du cyberespace.

V. Enjeux de souveraineté
1. De la souveraineté classique à la souveraineté
numérique
Enjeux de régulation, conflictualité entre les États : la transition vers
le sujet de la souveraineté numérique arrive à point nommé. Depuis
quelques années, et notamment depuis la parution de l’ouvrage du même
nom en 2014, écrit par Pierre Bellanger22, ce concept fait en effet florès
dans les différentes sphères de réflexion proches des questions numériques
et de cybersécurité. Il est notamment utilisé dans la Stratégie nationale pour
la sécurité du numérique de 201523 et dans la Revue stratégique de
cyberdéfense de 201824. Il a même fait l’objet, en 2019, d’une commission
d’enquête à part entière du Sénat25.
Malgré son usage désormais courant, le concept de souveraineté
numérique reste – il faut bien l’avouer – relativement compliqué à
définir. Il est intéressant de constater que le contexte d’emploi de
l’expression est souvent marqué par une certaine dose d’affects : on parle
régulièrement d’une souveraineté numérique que l’on n’aurait pas, ou que
l’on aurait « perdue » et qu’il faudrait « retrouver ».
Pour tenter de clarifier le sens de l’expression « souveraineté
numérique », nous suivrons une méthode simple : revenir sur l’acception
classique du concept de souveraineté, liée aux droits constitutionnel et
international, puis examiner les perspectives de transposition du concept
dans l’environnement numérique.

2. Acception classique du concept de souveraineté

Le concept de souveraineté est fortement lié à l’émergence du droit


international moderne, lors de la période charnière de la guerre de
Trente Ans et de la signature des traités de Westphalie, au cours du
XVIIe siècle.
Pour rappel, l’Europe occidentale du Moyen-Âge est le théâtre d’une
lutte entre deux grandes sources de pouvoir : la féodalité d’une part,
l’Église catholique d’autre part. Le premier ordre est organisé autour d’une
hiérarchie entre suzerains et vassaux, dont le chef – au moins en théorie –
est l’Empereur du Saint-Empire romain germanique. Le second ordre
s’appuie sur des normes édictées par Rome et est dirigé par le Pape, qui
détient une autorité pour arbitrer les différends entre grands princes
chrétiens.
C’est dans ce paysage géopolitique que se tient la guerre de Trente Ans,
opposant les principautés du nord de l’Allemagne, progressivement
converties au protestantisme et soutenues par la France et les royaumes
scandinaves, et celles du sud, qui restent fidèles au catholicisme – et à
l’Empereur – et qui sont soutenues par l’Espagne.
La fin du conflit constitue une rupture majeure. Les protestants sortent
vainqueurs et les États allemands ne sont plus assujettis à l’Empereur et
deviennent « souverains ». Cette souveraineté se matérialise alors
notamment par deux principes concrets : la religion des sujets d’un État est
celle de son monarque ; les États ne peuvent intervenir dans les affaires
religieuses internes d’un autre État. La signature des traités de Westphalie,
en 1648, pose ainsi les bases d’un nouvel ordre international, dit
« système westphalien », du droit international public (DIP) que nous
connaissons aujourd’hui, et du concept de souveraineté. Ce système
s’appuie sur plusieurs principes structurants, et notamment celui de
« l’égalité souveraine » des États indépendants26.
Il est important de noter que cette souveraineté n’implique pas une
liberté illimitée. Selon le principe de l’autodétermination de Georg
Jellinek, par lequel les États ont « la compétence de leurs compétences »,
être souverain signifie, pour un État, être libre de choisir ses
engagements et de se plier à ceux-ci. Ainsi, les États choisissent de limiter
leurs compétences en se soumettant au droit international, mais également à
des règles coutumières, à des conventions ou encore en rejoignant des
organisations internationales.
Le respect du DIP par les États implique également la non-ingérence
dans les affaires intérieures d’un autre État, le respect de l’intégrité
territoriale des États ou encore l’obligation de rechercher un règlement
pacifique des différends.
Pour exister en tant que tel dans le droit international, un État doit réunir
trois critères constitutifs27 : une population permanente, un territoire
déterminé et un gouvernement. Il est alors un « sujet primaire » du DIP,
avec certains pouvoirs comme l’entretien de relations diplomatiques avec
d’autres États, la signature de traités internationaux, la présentation d’une
réclamation internationale ou encore – sous certaines conditions – l’usage
de la force. L’autorité exercée de façon souveraine par le gouvernement de
l’État concerné s’exprime notamment selon deux composantes : une
composante intérieure, qui lui confère notamment le « monopole de la
violence légitime » ; et une composante extérieure, qui se matérialise par
la reconnaissance de sa souveraineté par les autres États.
Ce que l’on appelle la « communauté internationale » est l’incarnation
de la rencontre des États souverains, qui s’autolimitent par l’existence des
autres États et le respect du droit international.

3. Souveraineté numérique ?

Le concept de souveraineté numérique est complexe à définir. Une


première difficulté majeure réside dans le fait qu’il ne fait pas l’objet d’un
consensus : quand une définition est arrêtée au niveau d’un État, celle-ci
n’est pas nécessairement identique à celle d’autres États. Par ailleurs, force
est de constater qu’au-delà d’une souveraineté numérique étatique, l’on
retrouve parfois le concept de souveraineté numérique appliqué à des
organisations infra-étatiques – telles que des entreprises privées voire même
des individus.
On ne s’intéressera ici qu’au domaine étatique, partant du principe que
c’est la sphère la plus naturelle d’expression du concept de souveraineté
numérique. Ainsi, en repartant des grandes idées qui structurent l’acception
classique de la souveraineté, et notamment les critères constitutifs des États,
nous allons rencontrer d’autres difficultés lors de la transposition au monde
numérique.
L’un des critères constitutifs des États cités ci-dessus porte sur le
territoire. Ce critère implique l’existence de frontières et de limites claires
à ce territoire. Par convention, de telles limites sont définies sur le sol, pour
le sous-sol, dans l’espace aérien et dans une partie de l’espace maritime (i.e.
les eaux dites « territoriales » et les zones économiques exclusives). Par
convention toujours, la haute mer et l’espace extra-atmosphérique sont
considérés comme des zones qui n’appartiennent à aucun État. Dans le
monde numérique, comme nous l’avons vu plus haut, il existe bel et bien
des frontières et des limites, mais force est de constater qu’elles ne sont pas
simples à tracer et à observer, et que, par ailleurs, elles ne coïncident pas
souvent avec les frontières politiques délimitées dans les autres milieux. Il
devient dès lors compliqué, pour le gouvernement d’un État, d’exercer
une autorité sur un territoire qu’il appréhende mal.
Comme indiqué précédemment, l’autorité exercée par un État sur sa
population et son territoire emporte des considérations à l’intérieur et à
l’extérieur de celui-ci, telles que la reconnaissance de la souveraineté d’un
État par les autres États, la non-ingérence dans les affaires intérieures de cet
État par les autres États, ou encore le respect de son intégrité territoriale.
Par ailleurs, cette souveraineté s’exprime au travers de fonctions dites
« régaliennes », qui constituent des prérogatives exclusives du pouvoir
souverain, que lui seul peut donc exercer sur son territoire, telles que :
• la défense, le maintien de la sécurité extérieure, et la levée d’une armée
à cette fin ;
• la diplomatie, la définition d’une politique étrangère et l’établissement
de relations avec d’autres États ;
• la sécurité intérieure et le maintien de l’ordre public ;
• le droit et la justice ;
• la monnaie et les finances publiques, et notamment le vote d’un budget
et la collecte d’impôts.
Or, l’on constate que le numérique facilite la remise en question de
l’ensemble de ces principes. Ainsi, par exemple :
• dans le domaine du droit, certaines réglementations nationales, telles
que le CLOUD Act28 étatsunien, ont des portées dites
« extraterritoriales » ;
• dans le domaine du droit toujours, les conceptions nationales de notions
comme la liberté d’expression, la vie privée ou les droits d’auteur
peuvent avoir des effets bien au-delà des frontières du pays concerné29 ;
• dans le domaine de la défense, de la sécurité, du maintien de l’ordre
public et du droit, la prolifération des outils d’attaque et les
propositions de légaliser les pratiques dites de « hack back », visant à
permettre à des acteurs privés de riposter par eux-mêmes à des attaques
dont ils seraient victimes, sont de nature à significativement remettre en
cause le monopole étatique de la violence légitime ;
• dans le domaine de la monnaie et des finances publiques, l’émergence
de monnaies électroniques, émises et gérées de façon décentralisée, et
permettant par ailleurs un certain anonymat dans les transactions, vient
concurrencer certaines prérogatives régaliennes des États.
Pour terminer ce chapitre, nous nous essayerons à quelques tentatives de
définition du concept de souveraineté numérique. Au niveau étatique, la
Revue stratégique de cyberdéfense parue en 2018 propose ainsi une
définition applicable à l’État français en deux volets :
• d’une part, c’est la capacité à conserver une certaine liberté
d’appréciation, de décision et d’action dans l’espace numérique, et
notamment d’y opérer des systèmes et de maintenir un niveau adéquat
de confidentialité des données ;
• d’autre part, c’est la capacité à protéger les composantes
traditionnelles de la souveraineté – telles que les processus électoraux
ou les fonctions de dissuasion nucléaire ou de renseignement – dans
l’espace numérique.
Plus largement, si l’on cherche à dériver cette définition à un niveau
infra-étatique, pour les organisations et les individus, on pourrait par
exemple parler de la « capacité à exercer un pouvoir de décision, à
s’autodéterminer et à s’autogouverner dans l’espace numérique ».
De ces tentatives de définition, l’on peut tirer quelques grandes
implications.
On note, premièrement, une certaine contradiction entre le ton de ces
propositions et ce que l’on pourrait appeler « l’esprit d’Internet », tel
qu’il était défini à son origine. En particulier, nous nous rappelons que le
courant de pensée libertaire, porté notamment par John Perry Barlow, faisait
la part belle à la liberté des individus. Ceux-ci échapperaient, dans le
cyberespace, à la territorialité et à la matérialité et donc à l’emprise de
l’autorité des États.
Par ailleurs, de la même façon que la souveraineté des États ne signifie
pas qu’ils jouissent d’une liberté illimitée et implique au contraire une
forme d’autolimitation, il est raisonnable de s’interroger sur la pertinence
de définir un système ayant vocation à réguler le cyberespace dans son
ensemble. Le cas échéant, l’on se demandera quelles sont les règles de ce
cadre, qui les fixe et avec quelle légitimité. Cette réflexion sur la sécurité et
la stabilité de l’espace numérique fera l’objet d’un chapitre à part entière en
fin d’ouvrage.
Enfin, à ce stade, un constat est clair : une définition pertinente du
concept de souveraineté numérique doit nécessairement tenir compte
d’une gamme d’enjeux très large ayant une forte adhérence avec les
questions de sécurité numérique, mais touchant également à des questions
technologiques, industrielles, réglementaires, juridiques, économiques,
fiscales et monétaires. C’est d’ailleurs l’un des constats faits par la
commission d’enquête du Sénat sur la souveraineté numérique qui, dans son
rapport rendu en 201930, parle d’une « quadruple remise en cause »
portant sur « la défense, l’ordre juridique, l’ordre économique, le
système fiscal et monétaire ». Par ailleurs, il indique, entre autres :
• que l’être humain « n’est pas une somme de données à exploiter » ;
• qu’il faut « défendre notre modèle de société et nos valeurs » ;
• que « le cyberespace, loin de l’utopie égalitaire de ses débuts, est devenu
un lieu d’affrontement mondial, où s’exercent luttes d’influence,
conflits d’intérêts et logiques sociales et économiques antagonistes » ;
• que « la révolution numérique et la maîtrise des données ont fait
émerger des acteurs économiques capables de rivaliser avec les
États ».

1. La DARPA est une agence du département de la Défense américain en charge de la recherche et du


développement de technologies destinées à des usages militaires.
2. La RAND Corporation est une organisation à but non lucratif américaine de type think tank ayant
vocation à améliorer les décisions politiques et économiques.
3. WARE W., « Security and Privacy in Computer Systems », dans International Workshop on
Managing Requirements Knowledge, Atlantic City, 1967, p. 279-282.
4. https://www.eff.org/cyberspace-independence/
5. Extrait de la version originale en anglais : « Governments of the Industrial World, you weary giants
of flesh and steel, I come from Cyberspace, the new home of Mind. On behalf of the future, I ask
you of the past to leave us alone. You are not welcome among us. You have no sovereignty where
we gather ».
6. O’REILLY T., « What Is Web 2.0 – Design Patterns and Business Models for the Next Generation of
Software », sur tim.oreilly.com [en ligne], publié le 30 septembre 2005.
7. WU T., « Network Neutrality, Broadband Discrimination », dans Journal of Telecommunications
and High Technology Law, vol. 2, 2003, p. 141.
8. https://www.torproject.org/
9. Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique.
10. CRÉDOC, « Baromètre du numérique 2018 », pour le CGE, l’ARCEP et l’Agence du numérique,
2018.
11. On trouve des travaux liés à ce sujet dès le début du XXe siècle. Plus spécifiquement,
l’expression « économie de l’attention » a été utilisée pour la première fois par l’économiste et
sociologue américain Herbert Simon dès le début des années 1970.
12. JEANGÈNE VILMER J.-B., ESCORCIA A., GUILLAUME M., HERRERA J., « Les Manipulations de
l’information : un défi pour nos démocraties », rapport du CAPS du ministère de l’Europe et des
Affaires étrangères et de l’IRSEM du ministère des Armées, 2018.
13. Cf. note page 42.
14. HARRIS T., « How Technology is Hijacking Your Mind – from a Magician and Google Design
Ethicist », sur medium.com [en ligne], publié le 18 mai 2016.
15. En « make-to-stock », la production est stockée jusqu’à la commande par le client.
16. En « assemble-to-order », des produits génériques sont stockés, puis assemblés à la commande
du client.
17. En « make-to-order », la production s’effectue au moment de la commande du client.
18. Voir ROUSSET B., SILBERZAHN P., Stratégie modèle mental, Diateino, 2019.
19. L’amalgame entre « régulation » et « réglementation » vient probablement d’une mauvaise
traduction de l’anglais « regulation » qui signifie bien, lui, « réglementation ».
20. HARARI Y. N., Sapiens : Une brève histoire de l’humanité, Albin Michel, 2015.
21. WEBER M., Le savant et le politique, 10/18, 1996.
22. BELLANGER P., La souveraineté numérique, Stock, 2014.
23. Premier ministre, « Stratégie nationale pour la sécurité du numérique », 2015.
24. SGDSN, Revue stratégique de cyberdéfense, 2018.
25. Sénat, LONGUET G. (rapporteur), « Le devoir de souveraineté numérique », rapport fait au nom de
la commission d’enquête du Sénat sur la souveraineté numérique, 2019.
26. Charte des Nations unies, article 2, paragraphe 1er : « l’organisation est fondée sur le principe de
l’égalité souveraine de tous ses membres ».
27. Article 1er de la convention de Montevideo de 1933.
28. Le CLOUD Act est une loi fédérale des États-Unis adoptée en 2018.
29. Voir ITEANU O., Quand le digital défie l’État de droit, Eyrolles, 2016.
30. Cf. page 54, note 4.
2
La menace d’origine cyber

Introduction : une menace élevée, croissante


et protéiforme
La cybersécurité est un état recherché qui s’appuie généralement sur
la mise en œuvre de mesures de protection et de défense contre une
adversité. On appellera cette adversité, selon le contexte et selon les
cultures, « menace informatique », « menace d’origine informatique »,
« menace d’intérêt informatique », « menace par voies informatiques » ou
encore « cybermenace ». On rencontrera également les qualificatifs
précédents dans lesquels on aura substitué l’adjectif « informatique » par
« numérique ».
Le choix des termes les plus appropriés pour qualifier cette adversité est
laissé en exercice au lecteur. Nous opterons ici, par souci de concision, pour
« menace cyber » et nous nous attacherons, dans ce chapitre, à décrire ce
qui la caractérise.
Pour donner une tentative de définition de cette « menace cyber », nous
pourrions indiquer qu’il s’agit d’une potentielle utilisation malveillante de
l’espace numérique. Elle prend forme lorsque qu’une entité attaquante
effectue un enchaînement d’actions via des voies numériques ou
physiques pour exploiter les propriétés du cyberespace (notamment ses
vulnérabilités, techniques ou structurelles), afin de réaliser des impacts,
eux-mêmes d’ordre numérique ou physique.
Dès lors, de nombreuses questions méritent d’être soulevées, et
notamment :
• Qui sont ces « entités attaquantes » ?
• Quelles motivations les poussent à agir et quelles sont les finalités de
leurs actions ?
• Que prennent-elles pour cibles ?
• Comment s’y prennent-elles pour commettre leurs méfaits ?

La première section de ce chapitre est dédiée à la compréhension de cette


menace cyber. Dans un deuxième temps, nous nous essayerons à la difficile
entreprise de la replacer dans le contexte actuel afin d’en dégager de
grandes tendances. Dans une troisième section, nous passerons en revue
quelques affaires récentes et significatives de cyberattaques documentées en
sources ouvertes.

I. Comprendre la menace cyber


1. Les sources de menace : les attaquants
Si la transformation numérique du monde et des sociétés est porteuse de
nombreuses promesses, elle inspire également des projets malveillants à un
nombre croissant d’acteurs, dont les formes sont diverses, qui
s’appuient sur des outils et techniques de plus en plus faciles d’accès et
d’utilisation.
Comme nous l’avons vu au chapitre précédent, une des caractéristiques
du cyberespace est de rendre possible les conflits asymétriques. Un
individu isolé peut ainsi déjà constituer à lui seul un attaquant crédible et
infliger des dégâts substantiels à des entités significativement plus grosses,
plus complexes, plus organisées et disposant de plus de moyens que lui.
Vient immédiatement en tête la représentation désormais relativement
classique et caricaturale d’une personne, souvent jeune et de sexe masculin,
vêtue d’un sweat-shirt à capuche de couleur sombre, qui, depuis une cave
éclairée par des lampes néons verts fluorescents, s’introduit dans les
systèmes informatiques des plus grandes multinationales ou des
organisations militaires les mieux protégées.
Le cours de l’histoire a néanmoins amené les attaquants à se regrouper,
sous des formes de plus en plus variées. S’essayer à une typologie des
attaquants n’est pas chose aisée, mais nous pouvons dégager trois
catégories.
Il y a tout d’abord les groupes dont c’est le métier, qui vivent de leurs
actions offensives. Ils agissent pour leur propre compte (p. ex. en volant
de l’argent ou des données qu’ils revendent) ; pour le compte d’une
organisation plus large à laquelle ils appartiennent (p. ex. une agence
étatique ou une entreprise privée) ; ou pour le compte de commanditaires
externes (p. ex. des États, des groupes terroristes, des mafias, des
entreprises) qui les rémunèrent, à la manière de mercenaires ou, plus
cyniquement, comme des prestataires de services.
Ces groupes démontrent généralement un fort niveau de
professionnalisation : ils industrialisent leurs procédures, et leurs membres
se spécialisent sur certains rôles et certaines tâches de la chaîne d’attaque.
On pourra trouver notamment, mais pas systématiquement :
• les commanditaires ou sponsors, qui décident de mener une attaque,
pour servir des finalités, et atteindre un « état final recherché » (selon la
formulation chère aux militaires) ;
• les planificateurs et stratèges, qui définissent les plans généraux

d’attaque, choisissent les cibles, coordonnent éventuellement les


actions cyber avec d’autres types d’actions (usage de la force par
exemple) ;
• les éclaireurs, qui s’occupent de la phase de reconnaissance, en

récoltant des informations sur les cibles et leur environnement ;


• les développeurs, qui peuvent maintenir de véritables arsenaux d’outils
malveillants à la disposition des opérationnels ;
• les hébergeurs (éventuellement à leur insu) de contenus malveillants ;
• les opérateurs, qui conduisent à proprement parler les attaques, et en
particulier : les perceurs, chargés de s’introduire dans les systèmes
ciblés, et les explorateurs, chargés de se propager dans les systèmes
ciblés, de s’y « latéraliser », d’y atteindre un endroit précis (p. ex. un
dossier particulier qui contient des données convoitées par le
commanditaire), d’y obtenir certains privilèges (p. ex. des droits
d’administration) et de s’y maintenir le cas échéant (plus ou moins
discrètement, en fonction de l’effet recherché) ;
• les analystes, qui exploitent les éventuelles données volées ;
•les revendeurs, qui monétisent ces éventuelles données volées ;
• les commerciaux, qui s’occupent de construire une offre de services

d’attaque, d’en faire la promotion, d’en gérer les clients ;


• les veilleurs, qui scrutent les éventuels effets visibles de l’attaque (dans
les médias par exemple) ;
• et enfin des personnes en charge des fonctions support classiques :
infrastructure, logistique, informatique interne, ressources humaines
(recruter, former, fidéliser, s’assurer qu’elles sont de confiance, etc.),
finances (trouver des financements, procéder aux achats et locations
nécessaires avec la discrétion requise, etc.).
La terminologie proposée ci-dessus ne fait l’objet d’aucun consensus
formel, mais tente de dresser un panorama assez large des différentes
fonctions qui peuvent être mobilisées par les groupes d’attaquants.
Au-delà de ces groupes professionnels ou quasi-professionnels, des
entités dont ce n’est pas le métier à plein temps peuvent mener des
actions malveillantes, de façon ponctuelle, éventuellement opportuniste,
dans le cadre de leur activité professionnelle principale ou en marge de
celle-ci.
Enfin, il ne faut pas sous-estimer une tendance croissante : se retrouver
en position d’attaquant à son insu. S’il y a toujours au moins un individu
délibérément malveillant dans une chaîne d’attaque, il est de plus en plus
fréquent d’y trouver de nombreux relais et rebonds qui y prennent part sans
même en avoir conscience.
2. Les motivations et finalités des attaquants

Pourquoi les attaquants attaquent-ils ? Cette question peut se diviser en


deux sous-questions :
• une plutôt centrée sur les attaquants eux-mêmes : pourquoi agissent-

ils ? Pour quelles raisons ? Qu’est-ce qui les anime ? Quelles sont leurs
motivations ?
•une plutôt centrée sur les attaques qu’ils commettent : pour quoi
agissent-ils ? Quelles finalités cherchent-ils à atteindre ?
Les motivations des attaquants peuvent être de différents ordres :
• étatiques – pour servir ce qui s’apparente à une « cause nationale »
(pour un « vrai » État ou pour des « pseudo-États »). Dans ce cadre, ils
sont amenés à espionner d’autres États et à leur dérober leurs secrets,
tels que des stratégies diplomatiques dans le cadre de négociations
internationales. Ils cherchent à les déstabiliser, en s’attaquant par
exemple à la crédibilité de leurs processus électoraux. Ils cherchent
encore à les agresser en attaquant leurs infrastructures critiques
nationales. Ce sont souvent des unités spécialisées, en lien de près ou
de loin avec des organisations militaires ou des services de
renseignement. Leur démarche est généralement professionnelle,
rigoureusement planifiée, ciblée et peut mettre en œuvre des outils
sophistiqués ;
• lucratives et compétitives – ici motivés essentiellement par l’argent, les
attaquants cherchent à en dérober. Dans certains cas, ils cherchent à se
positionner par rapport à des concurrents économiques, en leur volant
leurs secrets industriels et commerciaux, leurs bases de clients, leur
savoir-faire, en les décrédibilisant. Ce sont des mafias, des
mercenaires, des cybercriminels, ou plus généralement des concurrents
peu scrupuleux. Ils arnaquent et rançonnent. Ils utilisent couramment
les cryptomonnaies, qu’ils minent pour s’enrichir en se servant de
ressources dont ils ont détourné frauduleusement l’utilisation, ou dont
ils tirent parti pour rendre leurs flux financiers discrets voire
anonymes ;
• idéologiques et politiques – mis en branle par une idéologie, des
opinions politiques, des convictions, les attaquants utilisent les attaques
informatiques comme une forme de militantisme. Ils cherchent à
diffuser leurs idées, à convaincre voire à imposer leur vision. On les
affuble souvent d’un mot-valise : « hacktivistes ». Les sujets de leurs
revendications sont variés : invitation au djihadisme, homophobie,
xénophobie, anticapitalisme, etc. On assiste souvent à des attaques
nécessitant peu de compétences techniques mais à forte visibilité et à
fort impact réputationnel ;
• émotionnelles ou sentimentales – les attaquants sont ici un salarié
fâché contre son employeur, ou un amoureux jaloux, éconduit ou
trompé. Ils cherchent par exemple à se venger ou à obtenir des
informations ;
•ludiques ou récréatives – la nuisance n’est en général dans ce cas pas
une fin en soi. Il s’agit de s’amuser, de relever des défis techniques,
pour la beauté du geste, pour en reverser les résultats dans la
communauté à des fins d’amélioration ou encore, pour les plus
égocentriques, pour se vanter. On trouve ici la série des « chapeaux »
blancs, gris et noirs (respectivement white hats, grey hats et black hats),
les plus sombres étant les moins bien intentionnés. On parle aussi des
script-kiddies, aux faibles compétences techniques, qui utilisent des
outils malveillants mis au point par d’autres sans nécessairement en
comprendre le fonctionnement et souvent sans en maîtriser réellement
les effets ;
• défensives – une attaque cyber peut être menée en riposte à une

première attaque. Plusieurs cas de figure peuvent se présenter. Il peut


notamment s’agir de « rendre la pareille » à l’attaquant original, en
rentrant alors dans le jeu risqué de l’escalade du conflit. Sans être
nécessairement empreinte de la volonté de se venger et d’en découdre,
une riposte peut plus simplement servir à neutraliser les effets d’une
attaque dont on serait la victime. Ces démarches de riposte, dans la
mesure où elles pourraient paraître légitimes, soulèvent de nombreuses
questions politiques, légales et techniques qui seront détaillées
ultérieurement dans cet ouvrage.
Toutes ces catégories ne sont pas mutuellement exclusives et les
actions d’un attaquant peuvent être motivées par plusieurs éléments à la
fois.
De même, plusieurs finalités peuvent être recherchées par les attaquants.
Assez classiquement, on mentionne les grandes catégories suivantes :
• l’espionnage – il s’agit de porter atteinte à la confidentialité de
l’information, de dérober des secrets. C’est probablement le type
d’attaque informatique le plus emblématique ;
• le sabotage et la neutralisation – l’attaquant va chercher à mettre un
système hors de fonctionnement. Il peut par exemple le saturer de
requêtes pour le mettre en état de « déni de service » (denial of service
– DoS – en anglais) ou s’y introduire pour l’arrêter, le faire
dysfonctionner ou supprimer des données essentielles à son
utilisation. On observe ce type d’attaques de plus en plus fréquemment,
et avec des ampleurs de plus en plus significatives. C’est d’autant plus
inquiétant que si les effets des autres types d’attaques restent le plus
souvent confinés au monde numérique, les attaques par sabotage
peuvent avoir des effets dévastateurs voire létaux dans le monde
physique ;
• la déstabilisation et la manipulation – les attaquants peuvent s’en
prendre à la confidentialité, l’intégrité ou à la disponibilité d’une
information. Ils peuvent rendre publiques des informations sensibles,
diffuser de fausses nouvelles, chercher à influencer des
communautés, ou décrédibiliser des organisations ou des processus,
tels que les processus électoraux. Les moyens mis en œuvre ici ne sont
pas nécessairement techniques et portent souvent sur les perceptions et
sur les aspects sémantiques ;
• la fraude – il s’agit ici pour les attaquants de dérober de l’argent ou
plus généralement des biens matériels ou immatériels. Certaines
attaques de ce type ont déjà pu rapporter l’équivalent de plusieurs
dizaines de millions d’euros à leurs commanditaires ;
• des finalités que l’on pourrait qualifier de plus « tactiques » :
– le relais et le rebond – en prenant appui sur un système compromis

pour en faire le point de départ d’une nouvelle attaque, dans


l’immédiat ou ultérieurement. Cette démarche peut présenter
plusieurs intérêts potentiellement cumulatifs pour les attaquants :
amplifier l’attaque en focalisant sur une cible plusieurs
« faisceaux » malveillants (grâce, par exemple, à des parcs de
systèmes compromis – les botnets), brouiller les pistes en
s’éloignant de la cible et en masquant leurs traces, ou encore tirer
parti de contextes locaux plus avantageux (juridictions moins
défavorables aux attaquants, mécanismes d’entraide judiciaire
international moins développés, etc.),
– le pré-positionnement – en se maintenant discrètement dans un
système pour en tirer profit ultérieurement.
Comme pour les motivations, ces catégories ne s’excluent pas entre
elles, et une même attaque peut poursuivre plusieurs finalités. Un
attaquant peut par exemple s’infiltrer dans un système, y dérober des
informations sensibles, en garder une partie pour l’exploiter (espionnage),
en revendre une autre pour en tirer de l’argent (fraude), publier le reste
(dans un état original ou modifié) pour déstabiliser, puis neutraliser le
système afin de le rendre inopérant. Les attaques aux finalités multiples
ne sont plus rares. Elles traduisent un niveau élevé de planification,
d’organisation et de ressources engagées.
Dès lors que l’on aborde la question des finalités se pose immédiatement
celle du « résultat » d’une attaque donnée. Si cette question peut sembler
simple du point de vue de l’attaquant – qui, dans une majorité de cas, sera
en mesure de savoir s’il a ou non atteint ses objectifs – elle l’est beaucoup
moins du côté du défenseur. En effet, même si une attaque est détectée par
un défenseur, les propriétés de l’espace numérique font qu’il lui est
compliqué d’être certain :
• qu’il ne se passe pas autre chose en même temps ;
• qu’il ne s’est pas passé autre chose qu’il n’aurait pas vu ;

•qu’il ne se passera pas autre chose, dans la continuité ou en parallèle de


l’attaque en cours.
Pour résumer : il est extrêmement difficile pour un défenseur de
savoir avec un bon niveau de précision quelles étaient les intentions
originales de l’attaquant qui s’en prend à lui. Ce faisant, il devient très
compliqué de qualifier l’attaque de « succès » ou « d’échec ». Ce constat
emporte un corollaire sur lequel nous reviendrons ultérieurement : il peut
être très compliqué, voire quasiment impossible, d’attribuer avec
certitude à un acteur précis la décision de lancer une cyberattaque.

3. Les cibles : des entités, des systèmes, des données

Les attaquants peuvent cibler des entités pour ce qu’elles sont ou


représentent (p. ex. une culture, une idéologie, une politique), ce qu’elles
ont (p. ex. des données, de l’argent, de la bande passante, de la puissance de
calcul), ou ce qu’elles font (p. ex. les infrastructures critiques d’un pays).
On pourra citer par exemple quelques grandes catégories de cibles :
• l’État, au sens large. L’attaquant cherchera à atteindre sa crédibilité, sa

légitimité, une politique générale ou spécifique, de l’information


classifiée de défense, des stratégies diplomatiques, etc. ;
• les infrastructures critiques nationales, qu’un attaquant pourra
chercher à saboter afin qu’elles ne puissent plus rendre un service
essentiel au bon fonctionnement d’une nation. Nous traiterons plus en
détails le concept français « d’opérateur d’importance vitale » (OIV)1
mais l’on peut d’ores et déjà mentionner quelques exemples assez
intuitifs tels que la fourniture d’énergie ou les services de transport ;
• les entreprises et les laboratoires, ciblés directement, par secteur ou
indirectement, pour leur patrimoine informationnel et leur savoir-faire
(secrets industriels, données brutes, résultats d’analyse, recherche,
innovation, etc.), leur base relationnelle (clients, fournisseurs,
partenaires, etc.), leur image ou encore leur argent ;
• les citoyens et leur vie privée, ciblés pour atteindre à leur image (p. ex.
de façon diffamatoire), pour leur extorquer de l’argent, pour les faire
chanter afin de les forcer à effectuer des actions profitables à
l’attaquant, pour usurper leur identité, ou encore pour utiliser un accès
privilégié dont ils peuvent disposer (p. ex. dans le cadre de leur vie
professionnelle).
Les potentielles victimes peuvent être ciblées directement ou
indirectement, via des rebonds et relais. Pour un particulier, l’attaquant
pourra chercher à compromettre d’abord son entourage. Pour une
entreprise, il s’agira par exemple de viser ses filiales, ses partenaires, ses
fournisseurs et sous-traitants, ses entités de tutelle, voire ses clients. C’est
une tendance croissante : pour toucher des grandes organisations, qui
commencent à être bien protégées et défendues, les attaquants s’en
prennent à de plus « petites » (bien que « plus petites » n’implique pas
nécessairement qu’elles soient moins bien protégées), qui leur sont liées
par des logiques économiques d’écosystème. Cette démarche est parfois
décrite par l’expression « supply chain attack ». Au-delà de la chaîne
d’approvisionnement, c’est une chaîne de valeur commune qui peut
constituer un levier intéressant pour des attaquants.
Par ailleurs, les potentielles victimes peuvent être ciblées très
spécifiquement ou par tirs groupés plus ou moins larges, en visant des
groupes d’entités présentant des caractéristiques similaires. Par exemple,
pour un attaquant s’intéressant à un secteur d’activité donné (parce qu’il
cherche à s’y implanter, à s’y développer ou à y battre ses concurrents), il
sera assez logique de s’en prendre à l’ensemble ou à une partie de ses
concurrents. Dans un tel cas de figure, à la faveur de synergies propres à un
secteur d’activité, s’en prendre à plusieurs entreprises ne sera finalement
pas beaucoup plus coûteux que d’en viser une seule. Un attaquant peut
également chercher à viser non pas des entités d’un même secteur mais des
entités d’une certaine taille. Pour des attaquants motivés par des
considérations lucratives, les TPE et PME représentent ainsi des cibles de
choix : leur taille les conduit souvent à négliger ou à sous-prioriser leur
propre cybersécurité, elles sont néanmoins souvent au cœur de l’innovation
d’une filière, et leur résilience toute relative à des attaques massives les
rend sensibles au rançonnage.
Les attaquants peuvent aussi cibler non pas des entités mais des
catégories de systèmes, au premier rang desquels les systèmes industriels
et plus largement les objets connectés. Schématiquement, ces objets
connectés peuvent :
• capter, en transformant des informations sur leur environnement (p. ex.
température, pression atmosphérique, luminosité, secousses sismiques,
rythme cardiaque, position ouverte ou fermée d’une trappe) en des
données numériques exploitables par un système informatique ;
• actionner, en transformant une commande envoyée par voie numérique

en une action dans le monde physique (p. ex. faire fonctionner un


moteur).
De façon générale, les objets connectés présentent un certain nombre de
caractéristiques qui en font des cibles intéressantes pour un attaquant.
Leur vulnérabilité intrinsèque est potentiellement forte, notamment car :
• ils ont une capacité de calcul embarquée, suffisante pour exécuter des
commandes, mais ne permettant souvent pas de disposer de
mécanismes de protection et de défense contre les attaques cyber ;
• ils sont difficiles à mettre à jour, parce qu’ils ne peuvent parfois pas
être éteints sans préjudice significatif aux processus auxquels ils
contribuent (p. ex dans une chaîne de production industrielle) ou qu’il
est parfois difficile d’y accéder physiquement (p. ex. au cœur d’un
réacteur nucléaire) ;
• ils sont en permanence allumés et connectés au réseau ;
• ils sont issus d’un écosystème encore peu favorable à leur maintien
en condition de sécurité, leurs producteurs n’ayant souvent aucune
incitation de la part du marché pour investir dans leur sécurité (p. ex.
car les clients finaux sont peu demandeurs de propriétés de sécurité, ou
parce qu’il n’y a pas de réglementation contraignante en la matière).
On assiste par ailleurs à des déploiements en masse d’objets identiques
– on parle parfois de « déploiement au caractère systémique ». Dès lors,
pour l’attaquant, savoir compromettre un objet peut rapidement
permettre de savoir en compromettre un très grand nombre.
Un objet connecté peut être visé pour constituer soit une cible finale,
pour sa capacité propre à capter et à actionner que l’attaquant dévoiera à
son profit ; soit un relais dans une manœuvre plus large, que l’attaquant
intégrera à son infrastructure d’attaque. Dans ce dernier cas :
• la compromission d’un objet seul permettra à l’attaquant de couvrir ses
traces, en complexifiant le chemin d’attaque, le rendant plus difficile à
remonter lors d’éventuelles investigations ;
• la compromission d’un objet seul peut également permettre à l’attaquant
de rebondir en bénéficiant du positionnement intéressant de l’objet au
sein d’une entité, d’un système ou même d’une juridiction ;
• compromettre un grand nombre d’objets connectés permettra à
l’attaquant de les intégrer à un réseau de systèmes compromis, qui
pourront être mobilisés simultanément afin d’amplifier
considérablement les effets d’une attaque (dans le cas d’une attaque
en déni de service distribué par exemple).
Enfin, outre des entités ou des systèmes, les attaquants peuvent cibler
plus directement les données, soit comme finalité de leur action (p. ex.
découvrir des secrets), soit comme moyen pour mener une attaque (p. ex.
dérober des informations compromettantes et les diffuser publiquement
pour embarrasser et déstabiliser une victime).
Les données sont d’autant plus compliquées à protéger et à défendre que,
si le concept même de « donnée » semble assez ancien et plutôt courant,
force est de constater, comme nous l’avons vu au chapitre précédent, qu’il
reste encore difficile à appréhender. En effet, on pourra notamment
remarquer que :
• la donnée, en tant que représentation d’une information, présente un
caractère relativement abstrait ;
• les catégories de données sont nombreuses (qualitatives, quantitatives,
contenus, métadonnées, brutes, interprétables, à caractère personnel,
etc.) et une même donnée peut appartenir à plusieurs d’entre elles ;
• d’un point de vue de la localisation « physique », il n’est pas toujours

évident de savoir où la donnée se trouve à un moment précis, celle-


ci ayant pu être répliquée ou scindée en plusieurs morceaux stockés à
différents endroits ;
• la question du droit s’appliquant sur une donnée2 est peu triviale.
Elle dépend notamment des catégories auxquelles appartient ladite
donnée. Le point précédent sur la localisation de la donnée, et donc
notamment la juridiction de laquelle elle dépend, constitue aussi un
facteur essentiel pour déterminer les conditions légales et
réglementaires qui s’appliquent ;
• la valeur et la sensibilité d’une donnée sont susceptibles d’évoluer
tout au long de son cycle de vie (i.e. création, traitement, stockage,
accès, destruction, etc.). En particulier, il est parfois très difficile de
prévoir la valeur et la sensibilité d’une donnée dans le futur, notamment
si elle se retrouve agrégée avec d’autres données.
Ces remarques emportent avec elles une conséquence fondamentale sur
la façon de protéger et de défendre les cibles que constituent les données :
les démarches dites « périmétriques », consistant à protéger et à défendre
une cible potentielle en mettant en place des mesures tout au long de sa
frontière, atteignent ici régulièrement leurs limites, les différentes
« frontières » caractérisant une donnée étant particulièrement floues et
mouvantes.

4. Les vulnérabilités

Afin de mener son attaque, un agent de menace aura nécessairement


besoin de trouver une vulnérabilité, c’est-à-dire une faille dans le système
ciblé qu’il pourra exploiter pour s’y introduire. Lorsque l’on présente la
menace, on insiste souvent davantage sur les attaquants et leurs finalités que
sur les vulnérabilités, circonscrivant ce sujet au domaine purement
technique. C’est dommage : de nombreux enjeux plus « politiques » (dans
le sens anglophone de policy) se dessinent autour du sujet des
vulnérabilités.

a. Des vulnérabilités de différentes natures

Tout d’abord, les vulnérabilités peuvent être de natures diverses. Nous


en distinguerons trois : humaine, technique, systémique.
La vulnérabilité humaine mérite d’être mentionnée en premier car, dans
un domaine d’apparence très technique tel que l’informatique, il est courant
d’oublier que la défaillance perçue d’un système est souvent causée par une
action humaine. Par ailleurs, les vulnérabilités humaines, ou plus
précisément les vulnérabilités psychologiques et sociales, sont
probablement celles qui sont les plus simples à trouver et à exploiter.
Dans la plupart des cas, elles ne nécessitent, du côté de l’attaquant, aucun
autre outil qu’un accès téléphonique ou une adresse de messagerie
électronique et très peu de compétences techniques informatiques. Ainsi, les
techniques dites « d’ingénierie sociale » (social engineering) – largement
documentées par Kevin Mitnick dans son ouvrage The Art of Deception3 –
reposent sur la manipulation, la supercherie, l’imposture et le culot pour
exploiter ces vulnérabilités humaines et obtenir une action d’une personne
ciblée.
Les vulnérabilités peuvent également être de nature technique, au sein
d’un composant ou d’un système donné. Il peut s’agir d’erreurs
introduites au moment de la conception ou du développement, rendant
l’équipement concerné vulnérable alors qu’il est normalement conçu pour
ne pas l’être. Il peut s’agir également des limites à la résistance
intrinsèque dudit système : il est vulnérable, car il n’est pas conçu pour
résister au-delà d’un certain seuil d’agression ou à certains types d’attaques.
Enfin, les vulnérabilités peuvent être, plus largement, de nature
systémique et apparaître lors de l’intégration de composants – pourtant
« correctement » sécurisés pris individuellement – au sein d’un système
complexe, ou lors de leur interconnexion. Ceci met l’accent sur
l’importance du métier d’intégrateur, car le seul fait de disposer de briques
élémentaires « suffisamment » sécurisées ne rend pas capable de construire
un système au moins aussi sécurisé : la résistance d’une chaîne ne saurait
dépasser celle de son maillon le plus faible… mais peut parfois, dans le
domaine numérique, lui être encore inférieure !

b. Le cycle de vie d’une vulnérabilité technique

Pour aller plus loin dans la compréhension des enjeux liés aux
vulnérabilités, il est particulièrement intéressant d’étudier les différentes
étapes du cycle de vie d’une vulnérabilité technique dans un produit, de
son apparition à sa correction. On peut les résumer de la façon suivante :
• création – la vulnérabilité est introduite, fortuitement ou non, dans le
produit au moment de la conception ou du développement ;
• mise en production – le produit est diffusé et commence à être utilisé,
ce qui de fait diffuse la vulnérabilité concernée ;
• découverte – la vulnérabilité est découverte, par une personne qui ne
peut pas être certaine qu’elle est la seule et encore moins la première ;
• outillage – un moyen concret d’exploiter la vulnérabilité est développé.
On appelle ce moyen un « exploit ». Il est important de noter qu’il n’est
pas toujours possible de développer un tel outil, ce qui minimise
grandement l’impact de certaines vulnérabilités, qui deviennent
inexploitables en pratique ;
• les trois étapes qui suivent peuvent se dérouler selon des séquencements
différents :
– information de l’éditeur – l’éditeur est informé de l’existence de la
vulnérabilité,
– publication – l’existence de la vulnérabilité est rendue publique,
– exploitation – la vulnérabilité est exploitée pour s’introduire dans le
produit, soit à des fins malveillantes soit pour un usage « légitime de
la force » (p. ex. audits, contre-terrorisme) ;
• correction – la vulnérabilité est corrigée par l’éditeur du produit, le plus
souvent par le biais d’un patch mis à la disposition des utilisateurs, qui
auront la charge de l’appliquer pour maintenir leur produit en condition
de sécurité. Cette phase n’est pas systématiquement atteinte car, même
si la vulnérabilité est connue de l’éditeur, celui-ci ne produira pas
nécessairement de correctif pour toutes les vulnérabilités dont il a
connaissance – soit car c’est techniquement très difficile ou impossible,
soit par choix de ne plus maintenir en condition de sécurité certains
produits, issus de vieilles gammes par exemple. Un enjeu majeur dans
le cycle de vie des vulnérabilités réside dans la durée entre la
découverte d’une vulnérabilité et sa correction effective. Celle-ci
doit être, idéalement, la plus courte possible.
Après la découverte et l’éventuel outillage de la vulnérabilité, au moins
trois grands scénarios possibles se dégagent :
• l’éditeur est d’abord informé de la faille, ce qui lui permet de
travailler à un correctif. La publication d’informations quant à la
vulnérabilité peut intervenir : soit une fois le correctif publié, soit dans
un délai fixé après l’information de l’éditeur – ce qui a souvent pour
but de le contraindre à produire un correctif rapidement. Ce scénario
n’exclut pas une éventuelle exploitation. En effet, une fois le correctif
publié par l’éditeur, il est à la charge de l’utilisateur de l’appliquer. Si
ce n’est pas fait, la faille est toujours présente, et une exploitation
malveillante par un attaquant est toujours possible. Ce scénario, le plus
favorable, est parfois appelé « divulgation responsable » ;
• la faille est directement publiée, et l’éditeur apprend son existence
en même temps que le grand public. Ce scénario permet toujours à
l’éditeur de produire un correctif, mais dans des conditions nettement
moins favorables que dans le scénario précédent. En particulier, plus le
temps entre la publication et la correction est long, plus la probabilité
que la vulnérabilité fasse l’objet d’une exploitation malveillante est
grande. Ce scénario est parfois appelé « full disclosure » ;
• la faille est découverte par des acteurs qui choisissent de ne pas la
divulguer, ni publiquement ni à l’éditeur. Ils peuvent soit l’exploiter
eux-mêmes, soit la revendre à d’autres acteurs. Par construction, ce
scénario n’exclut pas que la faille puisse être découverte de façon
indépendante, par des gens qui pourraient soit choisir de jouer le même
scénario, soit opter pour un autre des scénarios décrits précédemment.

c. Les vulnérabilités « 0-day »

Les vulnérabilités dites « 0-day » constituent un cas particulièrement


intéressant à étudier. Il s’agit de vulnérabilités découvertes, mais pour
lesquelles il n’existe pas de correctif – soit parce l’éditeur n’a pas
connaissance de l’existence de la faille, soit parce qu’il n’a simplement pas
publié de correctif.
Outre le fait qu’il n’existe pas de correctif, elles n’ont souvent pas fait
l’objet de communication publique et sont donc inconnues de la plupart des
utilisateurs et administrateurs de systèmes qu’elles concernent. Elles sont
donc particulièrement dangereuses et a fortiori très intéressantes pour
les attaquants. Elles présentent un certain nombre de caractéristiques
saillantes :
• elles sont relativement volatiles. Le fait, pour un attaquant, de les
exploiter pour compromettre des systèmes participe à la mettre en
évidence aux yeux du défenseur, ce qui est susceptible de faire
remonter l’information jusqu’à l’éditeur pour envisager la création d’un
patch ;
• elles sont donc également relativement rares. C’est d’autant plus vrai
que leur découverte nécessite souvent des compétences
particulièrement pointues et peu répandues ;
• elles peuvent faire l’objet d’un véritable commerce, où elles peuvent
donner lieu à des transactions qui impliquent des montants assez élevés.
Pour toutes ces raisons, les attaquants les plus organisés disposent parfois
d’arsenaux plus ou moins importants de 0-days, et les utilisent avec la
plus grande parcimonie. Ainsi, observer l’exploitation d’une ou plusieurs
failles de ce type dans le cadre d’une attaque – comme c’était le cas dans
l’affaire Stuxnet, évoquée plus loin – est souvent la signature d’un groupe
d’attaquants disposant de moyens particulièrement importants.

d. Économie générale de la recherche de vulnérabilités

La découverte de vulnérabilités s’appuie en général sur une véritable


démarche de recherche, dont les motivations peuvent être multiples :
• augmenter le niveau de sécurité d’un produit en cherchant ses failles
pour les combler ;
• de façon plus égocentrique, démontrer à la communauté
professionnelle ses capacités, en publiant ses résultats – les
compétences requises pour trouver des failles dans un produit sont en
effet souvent très pointues ;
• utiliser les failles découvertes pour mener des attaques – c’est
notamment le cas de certains États qui ont investi dans des programmes
cyber offensifs à des fins de renseignement ;
• revendre ces résultats à des groupes souhaitant les utiliser pour
mener des attaques – le prix de certaines vulnérabilités non publiques
pouvant parfois atteindre plusieurs centaines de milliers d’euros.
De façon générale, l’économie de la recherche de vulnérabilités s’appuie,
sans surprise, sur deux catégories : l’offre, portée par les chercheurs en
vulnérabilité ; et la demande, portée soit par les éditeurs, intéressés par les
failles de leurs produits afin de les combler, soit par les attaquants, qui
veulent connaître des vulnérabilités exploitables dans le cadre d’attaques.
Dès lors, les offreurs peuvent donner ou vendre le fruit de leurs
recherches :
• soit aux éditeurs – via notamment des programmes de bug bounties ;
• soit aux attaquants – directement, ou par l’intermédiaire d’entreprises
spécialisées qui agissent comme des brokers.
Les bug bounties peuvent prendre des formes diverses, mais le concept
est toujours le même : mettre en relation des organismes souhaitant faire
éprouver la sécurité de leurs produits ou de leurs systèmes propres et des
individus disposant de compétences en audit, test de pénétration, recherche
de vulnérabilités, etc. Les premiers sont prêts à donner une compensation –
souvent une rémunération financière – aux seconds leur ayant rapporté des
dysfonctionnements et des vulnérabilités. Un bug bounty est en principe
relativement cadré, avec des règles et un périmètre bien définis. De tels
programmes, qui capitalisent sur le modèle de l’externalisation ouverte
(ou « production participative » – crowdsourcing en anglais), présentent
plusieurs intérêts pour les organisations qui s’y prêtent :
• elles accèdent à des services de test de sécurité différents de ceux qui
peuvent être proposés par des entreprises spécialisées ;
• elles encouragent certains acteurs à les aider – contre rémunération –
plutôt qu’à les attaquer ;
• elles ont l’opportunité d’afficher de la transparence et de la
responsabilité vis-à-vis des efforts auxquels elles consentent pour leur
propre sécurité et la sécurité de leurs produits.
Depuis le premier programme de bug bounty, organisé par Netscape en
1995, de nombreuses entreprises – et notamment des grandes entreprises du
numérique – ont lancé leur propre programme.

e. Responsabilités des éditeurs et des utilisateurs

Dans un contexte où le numérique sous-tend une large partie des


processus vitaux des nations, la présence de vulnérabilités dans des
systèmes largement déployés au sein d’infrastructures critiques fait porter
un risque sérieux sur le bon fonctionnement de nos sociétés. Dès lors, la
question du partage des responsabilités entre les acteurs, lorsqu’il
s’agit de limiter l’apparition et l’exploitation des vulnérabilités
informatiques, est cruciale. Les acteurs concernés peuvent être regroupés
en deux catégories : les éditeurs de produits, et les utilisateurs.
S’agissant des éditeurs, la responsabilité, d’autant plus grande que leurs
produits sont massivement déployés, porte notamment sur deux aspects :
• la conception et le développement des produits, qui doivent
évidemment être menés en tenant compte des enjeux de sécurité. Pour
certains aspects, les éditeurs pourront chercher à s’investir dans des
démarches d’évaluation plus ou moins contraignantes afin, d’une part,
de soumettre leurs produits à des tests externes et indépendants et,
d’autre part, de donner de la lisibilité à leurs prospects ou clients sur la
robustesse de leurs équipements. Pour certaines applications ou certains
contextes sensibles, le recours à ce genre de démarches peut être
imposé par la loi ou la réglementation ;
• l’élaboration de correctifs lorsque des vulnérabilités sont trouvées.
Plusieurs questions se posent sur ce point précis :
– jusqu’à quand un éditeur se doit-il de maintenir un produit – a
fortiori lorsqu’il n’est plus commercialisé, mais tout de même utilisé
de façon massive – en condition de sécurité ?
– est-il envisageable et raisonnable que les correctifs de sécurité d’un
produit puissent ne pas être gratuits ?
S’agissant des utilisateurs, deux points essentiels peuvent être notés :
• être responsables dans les comportements d’achat, en tenant par
exemple compte des fonctions de sécurité proposées par un produit
dans la décision d’achat, ce qui aurait comme effet positif de créer un
avantage concurrentiel pour les éditeurs ayant investi sur cet aspect ;
• être responsables dans les comportements d’utilisation, par exemple :
– en veillant à paramétrer correctement les produits utilisés,
– en appliquant systématiquement, et avec diligence, les correctifs de
sécurité disponibles,
– et en mettant hors service les produits trop anciens et plus maintenus
par leur éditeur.

f. Enjeux de politique publique

Du point de vue du régulateur, les vulnérabilités informatiques sont à la


source d’un dilemme complexe : lorsque la puissance publique a
connaissance d’une vulnérabilité, doit-elle la publier, pour que l’éditeur
puisse chercher à la corriger ; ou doit-elle la garder secrète, au profit
de certaines fonctions régaliennes comme le renseignement ?
Un choix de politique publique orienté vers la divulgation des
vulnérabilités sous-tend une approche consistant à faire augmenter le
niveau général de sécurité des systèmes d’information en « bouchant les
trous » au fur et à mesure qu’ils sont découverts. Cette démarche transfert,
en quelque sorte, la responsabilité de la puissance publique vers les éditeurs
dans un premier temps, qui doivent élaborer des correctifs, puis vers les
utilisateurs, qui doivent les appliquer. En tout état de cause, cette démarche
part du principe qu’il existe un correctif pour une vulnérabilité donnée
avant qu’elle ne soit divulguée.
Une autre approche cherche plutôt à faire augmenter le niveau général
de sécurité des systèmes d’information en ne divulguant pas – ou pas
systématiquement – les vulnérabilités pour les utiliser en faisant de
« l’attaque à des fins de défense ». Concrètement, il s’agit d’utiliser ces
vulnérabilités pour s’introduire dans des systèmes susceptibles d’être
mobilisés à des fins qui iraient à l’encontre des intérêts d’une nation (p. ex.
espionnage étatique, sabotage d’infrastructures critiques, terrorisme). Cette
posture ne met pas à l’abri que les vulnérabilités concernées soient
découvertes et utilisées en secret par des acteurs malveillants. Elle laisse
ainsi la porte ouverte, en ne permettant pas à de nombreux systèmes
légitimes d’être complètement protégés, les exposant à des risques directs
de compromission, et plus largement en exposant leurs éditeurs à des
risques de perte de confiance des utilisateurs. Ce choix de politique
publique emporte également d’importantes considérations de confiance vis-
à-vis de l’action gouvernementale.
Ce dilemme complexe a été particulièrement médiatisé lors des
révélations faites par Edward Snowden en 2013 quant aux programmes de
renseignement technique menés par les autorités américaines et au sein de
la communauté dite des « Five Eyes4 ». À travers les informations portées à
la connaissance du grand public par l’ancien employé d’un sous-traitant de
la NSA, l’on comprend que l’agence américaine de renseignement avait
connaissance de vulnérabilités qu’elle a choisi de ne pas divulguer pour les
utiliser à des fins offensives. Cet épisode a renforcé une demande de
l’opinion publique d’obtenir de la transparence et de l’encadrement de la
part des autorités quant à leur gestion des vulnérabilités informatiques.
Ce besoin, s’il est avéré dans de nombreux pays occidentaux
démocratiques, n’appelle pas exactement les mêmes réponses en fonction
des États considérés. En effet, celles-ci doivent être adaptées à des
organisations nationales et des stratégies en matière de sécurité, de défense
nationale, de renseignement et de cyberdéfense qui varient
considérablement d’un pays à l’autre.
Dans les pays anglo-saxons tels que les États-Unis et le Royaume-Uni, au
sein desquels les fonctions de renseignement et de cyberdéfense sont
remplies par des organisations intégrées (p. ex. la NSA aux États-Unis, le
GCHQ au Royaume-Uni), le besoin se cristallise autour d’une question
essentielle : lorsqu’un service de renseignement comme la NSA a
connaissance d’une vulnérabilité informatique, quel est le processus qui
lui permet de décider entre la publication de celle-ci à des fins de
correction ou son utilisation à des fins de renseignement ? Ces
réflexions ont donné lieu à la publication, par chacun des deux pays cités,
de leurs « Vulnerability Equity Processes » (VEP) respectifs, qui détaillent
les gouvernances mises en place pour gérer la découverte de
vulnérabilités.
En France, il existe, depuis 1943, une séparation organique forte entre les
entités chargées de missions de renseignement et celles chargées des aspects
liés à la protection et à la défense des systèmes d’information. L’Agence
nationale de la sécurité des systèmes d’information (ANSSI), qui est
autorité en matière de sécurité et défense des systèmes d’information, n’a
ainsi aucune prérogative de renseignement. Lorsqu’elle a connaissance
d’une vulnérabilité, sa mission est sans ambiguïté : agir dans l’intérêt de
la protection et de la défense des systèmes concernés. En revanche, le
débat s’est déporté sur une autre question essentielle : la protection
juridique des découvreurs de vulnérabilités, appelés parfois les
« lanceurs d’alerte », dont l’activité était exposée à des sanctions pénales.
En 2016, l’article 47 de la loi pour une République numérique5 a ainsi
prévu que le code de la défense soit complété par un article L. 2321-4,
disposant que « pour les besoins de la sécurité des systèmes d’information,
l’obligation prévue à l’article 40 du code de procédure pénale6 n’est pas
applicable à l’égard d’une personne de bonne foi qui transmet à la seule
autorité nationale de sécurité des systèmes d’information [N.D.A. :
l’ANSSI] une information sur l’existence d’une vulnérabilité concernant la
sécurité d’un système de traitement automatisé de données.
« L’autorité préserve la confidentialité de l’identité de la personne à
l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci
a été effectuée.
« L’autorité peut procéder aux opérations techniques strictement
nécessaires à la caractérisation du risque ou de la menace mentionnés au
premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur
ou le responsable du système d’information ».

5. Les modes opératoires, outils et infrastructures

Cette dernière sous-section s’intéresse aux modes opératoires, aux


outils et aux infrastructures des attaquants.
Les travaux menés par la communauté internationale de la « cyber threat
intelligence » (CTI), visant à connaître, à décrire et à comprendre la
menace d’origine cyber, ont progressivement permis de structurer des
modélisations assez complètes des modes opératoires utilisés par les
attaquants. Une des terminologies désormais couramment utilisées
présente ainsi les « tactics, techniques and procedures » (TTP) mises en
œuvre dans les schémas d’attaque. Ces TTP ont vocation à décrire :
• les objectifs tactiques des attaquants – ce qu’ils cherchent à faire à
chaque étape d’une attaque ;
• pour chacun de ces objectifs tactiques, les techniques qu’ils emploient

pour y parvenir ;
• et, à un niveau de détail encore plus fin, les procédures qu’ils mettent
en œuvre pour actionner ces techniques.
Sans chercher à désigner un modèle qui serait meilleur que les autres,
chacun ayant ses avantages et ses limitations, il semble utile de mentionner
deux exemples particulièrement célèbres dans la communauté de la CTI : la
« cyber kill chain » de Lockheed Martin et le schéma ATT&CK de
MITRE.
La cyber kill chain de Lockheed Martin, publiée au début des années
2010, est particulièrement connue. S’inspirant de la méthode militaire qui
décrit la « kill chain » d’un adversaire – à savoir les différentes étapes d’une
action offensive qu’il pourrait mener – pour mieux entraver son action,
Lockheed Martin a cherché à décrire les grandes étapes d’une attaque
informatique. Début 2020, le modèle en vigueur était structuré en sept
étapes :
• « reconnaissance » : recherche, identification et sélection de cibles ;
• « weaponization » : élaboration d’une « arme », d’un vecteur d’attaque
permettant d’exploiter une ou plusieurs vulnérabilités identifiées dans
le ou les systèmes ciblés ;
• « delivery » : envoi du vecteur à la cible (par courriel, par clé USB, par
navigation web, etc.) ;
• « exploitation » : déclenchement de l’arme pour exploiter une
vulnérabilité ;
• « installation » : prise de position sur la cible pour s’y assurer un accès
durable ;
• « command and control » (C2) : contrôle à distance des outils introduits
dans le système compromis ;
• « actions on objectives » : conduite d’actions visant à réaliser les
objectifs initiaux de l’attaque (p. ex. exfiltration de données,
neutralisation de services, chiffrement de données).
Cette représentation permet de proposer une structuration assez globale
du déroulement d’une attaque.
Le schéma ATT&CK7 de MITRE8, dévoilé officiellement mi-2015, est
nettement plus détaillé. Il propose notamment différentes matrices qui
mettent en regard des objectifs tactiques et des techniques. L’une d’entre
elles, la « PRE-ATT&CK Matrix » s’intéresse tout particulièrement à la
préparation d’une attaque. Début 2020, elle proposait les objectifs
tactiques résumés dans le tableau ci-dessous.

Objectifs tactiques Description

Priority Definition Structurer puis définir les priorités de l’attaque.


Planning/Direction

Target Selection Sélectionner la ou les cibles.

Technical/People/Organization Récolter des informations techniques concernant les


Information Gathering systèmes ciblés et des informations sur l’organisation qui
en est propriétaire ainsi que sur les personnes impliquées,
de près ou de loin, dans leur gestion et leur utilisation.

Technical/People/Organization Identifier les vulnérabilités techniques, humaines et


Weakness Identification organisationnelles susceptibles d’être exploitées lors de
l’attaque.

Adversary OPSEC Prévoir l’utilisation de technologies ou de services


permettant de rendre l’attaque plus discrète, afin de mieux
passer les barrières de défense mises en place, de
réduire la probabilité de découverte de l’attaque, de
réduire ses possibilités d’attribution ou encore de rendre
sa compréhension plus difficile pour le défenseur.

Establish & Maintain Établir et maintenir une infrastructure d’attaque.


Infrastructure
Persona Development Développer des identités – et l’ensemble des informations
qui leur sont liées – sur lesquelles pourra s’appuyer
l’attaque.

Build/Test/Stage Capabilities Développer, tester et déployer les capacités techniques


nécessaires à la conduite de l’attaque.

S’agissant de la conduite de l’attaque elle-même, la « MITRE ATT&CK


Matrix for Enterprise » proposait, toujours début 2020, les objectifs
tactiques résumés dans le tableau ci-dessous.

Objectif Description
tactique

Initial Prendre pied pour la toute première fois sur le système visé.
Access

Execution Exécuter un code malveillant sur le système visé.

Persistence Maintenir l’attaquant sur le système visé, même – par exemple – en cas de
redémarrage ou de modification de configuration.

Privilege Obtenir des privilèges d’utilisation plus élevés sur le système, idéalement au
Escalation niveau administrateur.

Defense Éviter la détection par les dispositifs de sécurité du système visé.


Evasion

Credential Obtenir des informations permettant de s’identifier sur le système ciblé –


Access idéalement des couples [identifiant/mot de passe] d’utilisateurs
« intéressants » pour servir la finalité de l’attaque.

Discovery Explorer et comprendre l’environnement du système.

Lateral Se déplacer dans d’autres systèmes au sein du réseau de la victime.


Movement

Collection Récupérer des informations utiles pour atteindre l’objectif de l’attaque, par
exemple pour les exfiltrer.

Command Communiquer avec le système compromis pour le contrôler.


and Control
Exfiltration Exfiltrer des informations du système cible.

Impact Réaliser des effets sur le système cible et les données qu’il contient, en les
manipulant, en les modifiant, en les neutralisant ou en les détruisant.

Parmi les techniques susceptibles de servir ces objectifs tactiques, nous


en citons pour exemple quatre qui sont particulièrement utilisées :
l’ingénierie sociale, l’hameçonnage, le déni de service et le rançonnage.
L’ingénierie sociale (social engineering) désigne un ensemble de
techniques de manipulation qui cherchent à exploiter des vulnérabilités
humaines d’ordre psychologique, notamment des biais cognitifs, pour
obtenir des informations, voire des effets, sur le système ciblé. Elle met en
œuvre des procédés visant à persuader, en jouant sur des leviers tels que la
proximité, la sympathie, l’urgence, l’argument d’autorité ou encore
l’intimidation. Un exemple simple de manœuvre d’ingénierie sociale
consiste, pour un attaquant, à appeler un employé de l’entreprise ciblée en
se faisant passer pour le service informatique afin de l’amener à changer un
mot de passe permettant d’accéder à un compte ou à un service. Ces
techniques sont redoutables : elles ne mettent souvent en œuvre quasiment
aucune capacité technique, et s’appuient sur des faiblesses intrinsèques à
l’être humain, difficiles à prévenir et à détecter. Ce domaine a été largement
documenté par Kevin Mitnick dans un ouvrage qui fait référence en la
matière, déjà mentionné supra9.
L’hameçonnage (phishing) est une technique consistant à utiliser
l’image d’une entreprise ou d’une organisation pour tromper ses
clients ou bénéficiaires, et obtenir de ces derniers des informations – telles
que des identifiants d’accès ou des numéros de carte bancaire – ou des
actions. Une manœuvre classique d’hameçonnage peut se dérouler de la
façon suivante :
• envoi, par un attaquant, d’un message à un très large panel de
destinataires, clients avérés ou supposés d’une organisation dont
l’attaquant aura emprunté le nom voire la charte graphique ;
• demande, dans le message envoyé, d’effectuer une opération (p. ex.
mise à jour d’informations personnelles ou confirmation de mot de
passe), le plus souvent en invitant à cliquer sur un lien ;
• lors du clic sur le lien, connexion à un faux site semblable à celui de
l’organisation imitée, mais contrôlé par l’attaquant ;
• récupération par l’attaquant des informations saisies par la victime sur le
faux site.
Le message initial peut être envoyé à de très nombreux destinataires avec
un coût marginal extrêmement faible. Le nombre total de destinataires du
message pouvant ainsi être relativement élevé, la probabilité que l’un
d’entre eux tombe dans le piège est significative. La technique de
l’hameçonnage bénéficie ainsi d’importants effets d’échelle et s’avère
souvent efficace.
Un corollaire de l’hameçonnage est le harponnage (spear phishing), qui
vise non plus les clients mais les employés d’une organisation. La
manœuvre de harponnage sera d’autant plus efficace qu’une phase de
reconnaissance aura été conduite avec soin.
Le déni de service (denial of service, DoS) est une technique visant à
rendre indisponible un service ou plus généralement un ensemble de
ressources (p. ex. un site web, une messagerie électronique, de la bande
passante sur le réseau). Un cas particulier de cette technique est le déni de
service distribué (distributed denial of service, DDoS), consistant par
exemple à saturer un serveur web de requêtes pour le mettre hors service, à
l’aide d’un réseau de machines compromises et contrôlées par l’attaquant
appelé « botnet ». Ce botnet aura souvent été constitué par l’attaquant en
infectant progressivement diverses machines, dont les propriétaires n’auront
la plupart du temps pas conscience de faire partie du botnet. L’utilisation du
botnet a vocation à permettre l’amplification significative de l’attaque vers
la cible, qui se trouvera inondée de requêtes provenant de diverses sources.
Une telle technique peut servir plusieurs objectifs différents et
potentiellement parallèles tels que paralyser ou faire diversion. Elle s’avère
la plupart du temps très efficace, car quasiment imparable, même si ses
impacts opérationnels restent le plus souvent limités à l’indisponibilité des
ressources de la victime.
Le rançonnage consiste à « prendre en otage » les données d’un
système en les chiffrant – à l’aide d’un outil spécifique appelé
« rançongiciel » (ransomware) – et en exigeant du propriétaire le
paiement d’une rançon en échange de la clé cryptographique qui
permettra de les déchiffrer. Si cette technique était initialement utilisée
dans le cadre d’attaques à finalités essentiellement lucratives, des exemples
récents ont illustré qu’il pouvait parfois « simplement » s’agir de paralyser
la victime, sans nécessairement chercher à en obtenir une rançon. S’il peut
être utilisé contre de nombreux types de victimes, le rançonnage peut
toutefois être particulièrement efficace contre les entreprises, qui ont le plus
souvent des parcs entiers de systèmes configurés à l’identique et de forts
enjeux de continuité d’activité. Cette situation est de nature à favoriser la
propagation de l’attaque, et surtout à inciter la victime à payer la rançon –
malgré le fait qu’elle ne peut pas être certaine que cela lui permettra de
retrouver ses données. Les conséquences potentielles d’une attaque par
rançongiciel, outre l’indisponibilité, sont multiples : perte de certaines
données ; pertes financières, qui peuvent être liées au paiement de la
rançon, au coût de l’arrêt de l’activité ou à la reconstruction des systèmes
endommagés ; atteinte à l’image de l’organisation, et à la confiance que ses
clients et bénéficiaires peuvent lui porter. Les affaires WannaCry et
NotPetya, du printemps 2017, sont des exemples d’attaques par
rançongiciel.
Au-delà des techniques, on observe également que les attaquants
s’appuient sur un large panel d’outils – souvent appelés « maliciels » (ou
malware) – pour mener leurs opérations. Des outils spécifiques existent
pour chaque étape d’une attaque, et peuvent œuvrer dans chacune des
trois couches du cyberespace (i.e. matérielle, logicielle, sémantique).
Quelques exemples de logiciels couramment utilisés dans le cadre
d’attaques peuvent être cités : enregistreurs de frappe (keyloggers), portes
dérobées (backdoors), renifleurs réseau (sniffers), saturateurs, etc.
Par ailleurs, un certain nombre d’outils malveillants embarquent une
partie appelée « charge utile » (payload), qui délivre des effets malveillants
(p. ex. effacer ou chiffrer les données d’un système). Les attaques
nécessitant le plus souvent l’utilisation successive ou simultanée de
plusieurs de ces outils, ces derniers peuvent désormais être trouvés
regroupés dans de véritables frameworks, qui facilitent leur mise en œuvre.
Une partie significative de ces outils – et également des frameworks qui les
rassemblent – présentent un caractère dual : ils peuvent aussi bien être
utilisés par des individus mal intentionnés pour servir des finalités
malveillantes que par des personnes chargées d’auditer la sécurité de
certains systèmes d’information.
Enfin, la mise en œuvre de ces techniques et outils peut nécessiter la
mise en place d’une véritable infrastructure d’attaque. Parmi les
éléments d’infrastructure les plus courants dans les attaques avancées se
trouvent les systèmes dits de « commande et contrôle » (command and
control, C2). Ils permettent de piloter de façon centralisée plusieurs
éléments d’une attaque, tels que les machines dites « machines-zombies »
qui composent un botnet.
Il peut être intéressant de tenter une comparaison entre « armes cyber »
– sans chercher à définir précisément ce terme, on admettra ici qu’il
correspond peu ou prou aux logiciels malveillants – et « armes
cinétiques ». En prenant l’exemple des missiles, on retrouve quelques
similarités avec les armes cyber : le missile est un vecteur, doté d’une partie
visant à percer un blindage adverse et embarquant une charge utile – le plus
souvent explosive, pour provoquer des dégâts matériels, mais également
parfois d’autres natures (p. ex. chimique). Son utilisation s’appuie sur des
éléments d’infrastructure, pour le lancement et le C2 en vol. En revanche,
les armes cyber étant la plupart du temps immatérielles, elles sont plus
facilement duplicables et sont moins contraintes s’agissant du nombre de
cibles qu’elles peuvent atteindre. Elles ont la capacité d’avoir des effets
quasi-instantanés lors de leur déclenchement.

II. Tendances générales associées à la


menace d’origine cyber
Après nous être attaché à essayer de comprendre les grandes
composantes de la menace d’origine cyber, il est intéressant de l’observer
au prisme du contexte actuel pour tenter d’en tirer des éléments de
tendance structurants.
Une première remarque, à la fois très simple mais absolument essentielle,
est la suivante : la menace d’origine cyber est élevée et croissante. Cette
affirmation peut paraître anodine, mais elle ne l’est pas. Elle justifie à elle
seule l’attention qui doit être portée au sujet par les pouvoirs publics, les
organisations de tous les secteurs et les citoyens. Cette tendance générale
est appuyée par différents constats plus spécifiques.
S’agissant de l’environnement tout d’abord, une tendance structurante
sous-jacente est celle de la numérisation croissante de la société et de
l’économie, et de leur dépendance croissante aux systèmes numériques.
Les systèmes d’information et les processus qu’ils mettent en œuvre et
qu’ils supportent sont de plus en plus complexes. Il est difficile de prévoir
l’évolution des tendances, technologies et usages numériques, et par
extension de comprendre et d’anticiper la menace d’origine cyber. Le
cyberespace est par ailleurs largement reconnu comme un nouvel espace
d’affrontement militaire – cela a notamment fait l’objet d’une conclusion
du sommet de l’OTAN de 2016. Il permet également l’effritement de la
frontière entre des enjeux de défense nationale et des enjeux de
criminalité.
Les acteurs malveillants sont de plus en plus nombreux et variés. Ils
peuvent mener des attaques à moindre frais. Ils sont également capables
d’opérations particulièrement sophistiquées. Ils peuvent s’appuyer sur
une véritable logique de marché : soit pour accéder à des compétences et
des outils, soit pour monétiser des services d’attaque. En tout état de cause,
le conflit cyber présente une nette asymétrie en faveur des attaquants.
Les compétences en matière d’opérations dans le champ cyber
prolifèrent. La diffusion de celles qui permettent des actions offensives est
particulièrement inquiétante, a fortiori lorsqu’elles se situent à la rencontre
d’acteurs animés d’intentions malveillantes et d’autres disposant de
compétences techniques qu’ils sont prêts à monétiser.
La prolifération des outils d’attaque est également source
d’inquiétudes. De plus en plus simples d’utilisation, ils sont disponibles de
façon croissante en sources ouvertes, ou vendus à des prix abordables.
Les finalités des attaques évoluent. Elles sont parfois complexes à
appréhender. Les attaques à vocation de pré-positionnement ou de rebond
– de type « supply chain attack » par exemple – sont de plus en plus
courantes. On assiste par ailleurs à une recrudescence des actions de
déstabilisation à grande échelle, utilisant les réseaux sociaux et s’appuyant
sur des opérations d’exfiltration puis de divulgation de grandes quantités de
données. De façon générale, les finalités des attaques sont de plus en plus
multiples – une même attaque pouvant servir une combinaison de plusieurs
finalités.
Les modes opératoires des attaques font montre d’une sophistication
technique croissante – même si les manœuvres simples fonctionnent
toujours. On observe une préparation et une planification conséquente de
certaines attaques, illustrant les quantités importantes de ressources que
certains acteurs sont prêts à engager.
Les parties défensives ont globalement mis du temps à prendre
conscience des enjeux, encore trop souvent cantonnés à un domaine de
techniciens. Un manque récurrent « d’hygiène cyber » est encore très
régulièrement constaté, chez toutes sortes d’acteurs. De façon générale, les
surfaces à défendre – qui constituent pour la partie adverse des surfaces
d’attaque – sont de plus en plus importantes : davantage d’accès,
d’utilisateurs, de raisons d’attaquer, de données à protéger, de vecteurs
d’attaque. La complexité intrinsèque du sujet rend difficile la mesure
objective de la menace et des coûts qu’elle est susceptible d’induire.
Notons enfin que l’ensemble de ces tendances ne se succèdent pas :
elles se cumulent.

III. Quelques exemples récents


d’attaques informatiques
Cette section propose de présenter quelques affaires d’attaques
informatiques importantes documentées en sources ouvertes sur la décennie
écoulée.

1. Estonie (2007)
Fin avril 2007, une série de cyberattaques a paralysé l’Estonie. Cette
séquence s’inscrit dans un contexte géopolitique tendu entre l’Estonie et
son voisin russe. En particulier, la décision des autorités estoniennes de
déplacer le « Soldat de Bronze », un monument collaboratif de la Seconde
Guerre mondiale considéré par beaucoup d’Estoniens comme un symbole
de l’occupation soviétique, provoquera la colère de la minorité russe du
pays.
C’est dans ce cadre que des attaques en déni de service distribué ont visé
un large panel d’acteurs estoniens : le parlement, des ministères, des
banques, des médias, etc. De nombreux services en ligne, comme ceux des
plus grandes institutions bancaires du pays, Hansapank et SEB Eesti
Uhispank, ont ainsi été contraints à la fermeture. L’impact de cette attaque a
été d’autant plus fort que l’Estonie est un pays où le taux de pénétration du
numérique est particulièrement important.
De nombreuses voix se sont faites entendre pour accuser la Russie, qui a
toujours démenti, sans que des preuves formelles puissent être apportées.
L’Estonie ira jusqu’à invoquer l’article 5 du traité de l’Atlantique Nord,
prévoyant l’assistance mutuelle des Alliés en cas d’attaque armée. Cette
requête suscitera beaucoup de questionnements, s’agissant notamment de la
possibilité de qualifier une cyberattaque « d’attaque armée » et de la
possibilité d’invoquer cette clause sans attribution certaine de l’attaque. In
fine, les Alliés ne donneront pas suite à la demande estonienne.

2. Olympic Games et Stuxnet (2010)

Stuxnet est un maliciel de type « ver » découvert en juin 2010 et


spécialement conçu pour s’attaquer à un type de systèmes précis : les
centrifugeuses d’enrichissement d’uranium.
Attribuée en sources ouvertes à la NSA américaine, en collaboration avec
les services de renseignement israéliens, l’opération Olympic Games aurait
été initiée sous l’administration de George W. Bush et prolongée par son
successeur, Barack Obama. Avec pour objectif d’entraver la progression du
programme nucléaire iranien, l’opération se serait appuyée sur le maliciel
Stuxnet pour attaquer les centrifugeuses mises en œuvre par Téhéran.
Stuxnet est remarquable par sa complexité et sa spécificité : d’une taille
significative, il utilise par ailleurs plusieurs failles 0-day pour viser les
systèmes Windows et plus particulièrement des systèmes industriels. Ce
constat rend particulièrement crédible l’hypothèse selon laquelle ce logiciel
malveillant aurait été développé par des entités particulièrement motivées et
disposant de ressources importantes – telles que des États.

3. Shamoon (2012)

En août 2012, les entreprises Saudi Aramco et RasGas, d’importants


opérateurs énergétiques, sont victimes de l’opération Shamoon. Saudi
Aramco est la compagnie nationale saoudienne d’hydrocarbures, premier
exportateur mondial de pétrole brut. RasGas est une entreprise qatarienne,
deuxième exportateur mondial de gaz liquéfié.
Les finalités de l’opération sont le sabotage et la déstabilisation. Elle
cible les systèmes dits « SCADA » de gestion des infrastructures
industrielles. Le code malveillant est peu évolué, mais présente plusieurs
modules : un module de type « ver », visant la réplication sur un réseau
Windows ; un module de « bombe logique », exécutant une charge à une
heure donnée ; et un module de type « wiper », qui efface des répertoires et
écrase la zone d’amorçage (le « MBR ») des systèmes visés pour faire
apparaître une image de propagande – en l’occurrence un drapeau
américain en flammes. Le vecteur initial d’infection ayant transité via une
clé USB, l’hypothèse d’une complicité interne est avancée. En parallèle de
l’attaque, des opérations de DDoS contre les sites Internet de Saudi Aramco
et de propagande sur les réseaux sociaux sont lancées.
Le 15 août 2012, Saudi Aramco annonce être victime d’une attaque et
déconnecte son réseau d’Internet. Au total, près de 30 000 machines sont
mises hors service, le réseau principal est perdu pendant quinze jours, ce
qui contraint l’entreprise à revenir à l’utilisation du fax et du téléphone et à
arrêter plusieurs unités pétrochimiques.

4. Sony Pictures Entertainment (2014)


Sony Pictures Entertainment (SPE) est une société américaine du secteur
de l’audiovisuel appartenant à la Sony Corporation of America, elle-même
filiale du groupe japonais Sony. Elle produit et distribue des films de
cinéma ainsi que différents programmes télévisés.
En novembre 2014, l’entreprise est victime d’une importante
cyberattaque. Revendiquée par un groupe se faisant appeler « Guardians of
Peace », elle aurait conduit à l’exfiltration de plus de 100 téraoctets de
données, dont des films et des courriels internes.
Cette attaque se déroule dans un contexte particulier. SPE est en effet sur
le point de diffuser le film The Interview, dans lequel des journalistes
américains dont le dirigeant nord-coréen Kim Jong-Un est admirateur, sont
contraints par la CIA de profiter d’un voyage en Corée du Nord pour
assassiner ce dernier.
En plus d’une revendication financière, la rhétorique du groupe
d’attaquants s’intéresse au film plus spécifiquement, en brandissant
notamment la menace d’attaques terroristes contre les cinémas qui
projetteraient le film à sa sortie, ce qui conduit SPE à annuler sa diffusion.
La séquence conduit Barack Obama à prendre la parole publiquement.
Lors d’une conférence de presse, le 19 décembre 2014, le président des
États-Unis s’appuie sur des analyses menées par le FBI pour désigner la
Corée du Nord comme responsable de l’attaque et annoncer que les États-
Unis « répondront, de façon proportionnée, à un moment, à un lieu et d’une
façon de [leur] choix ».

5. Office of Personnel Management (2014-2015)

L’Office of Personnel Management (OPM) est l’entité étatsunienne en


charge de la gestion du personnel fédéral et de l’attribution des habilitations
à traiter de l’information classifiée.
En juin 2015, des données à caractère personnel d’anciens et d’actuels
agents fédéraux, de leurs proches et de postulants à un emploi fédéral, ont
été massivement exfiltrées et rendues publiques. Cela faisait suite à deux
attaques menées contre l’OPM en 2014, utilisant la technique dite du
« point d’eau » (watering hole) : des noms de domaine usurpant l’identité
des sites web de l’OPM ont été utilisés pour tromper des employés et
récupérer des identifiants d’accès. Le poste d’un employé a ainsi pu être
compromis, permettant l’installation d’un outil d’administration à distance
contrôlé par les attaquants.
Toute personne soumise à vérification d’antécédents depuis 2000 – soit
plus de 20 millions de personnes, représentant plus de 5 % de la population
étatsunienne – est une victime potentielle.
L’affaire a conduit la directrice de l’OPM à démissionner de ses
fonctions.

6. TV5 Monde (2015)

TV5 Monde est une chaîne de télévision généraliste francophone,


disponible dans la plupart des pays du monde.
Le 8 avril 2015, plusieurs attaques coordonnées sont menées par un
groupe se revendiquant du « CyberCaliphate » : prise de contrôle des
comptes Twitter, Facebook et YouTube de la chaîne, et diffusion de
messages de propagande ; défiguration du site web du groupe ;
neutralisation du système de diffusion audiovisuelle, provoquant l’arrêt de
la diffusion des programmes.
L’affaire constitue un exemple particulièrement important d’opération de
sabotage à l’encontre d’une victime à forte portée symbolique.
Des agents de l’ANSSI sont projetés sur le site pour analyser l’attaque et
aider les équipes techniques de la chaîne à rétablir le service dans de bonnes
conditions de sécurité.

7. Ashley Madison (2015)

Ashley Madison, site canadien de rencontres extraconjugales, totalisait en


2015 près de 125 millions de visites mensuelles et près de 40 millions
d’utilisateurs répartis dans cinquante-trois pays.
En juillet 2015, le site est victime d’un piratage mené par un groupe
appelé « The Impact Team » et demandant la fermeture d’Ashley Madison et
des sites affiliés du groupe Avid Life Media. Deux divulgations ont lieu en
août 2015 : 10 puis 30 gigaoctets de données à caractère personnel,
d’informations techniques et commerciales, et de courriels internes sont
publiés par le groupe d’attaquants. Parmi les données divulguées, on
compte des identités, des adresses électroniques, des photos et des données
bancaires. En particulier, près de 15 000 adresses de courriel sont des
adresses professionnelles d’employés du gouvernement et de l’armée des
États-Unis.
Parmi les conséquences de l’attaque, on relève des campagnes ciblées de
courriels malveillants, des tentatives d’extorsion, et même plusieurs cas de
suicides potentiellement liés à l’affaire.

8. SWIFT (2015-2016)

Fin 2015 et début 2016, SWIFT, la messagerie interbancaire mondiale,


subit une vague d’attaques sophistiquées ciblant des entités bancaires
clientes de la plateforme en Asie. Une trentaine d’ordres de paiement
frauduleux sont émis, pour près d’un milliard de dollars américains.
Presque tous sont bloqués, mais 81 millions de dollars sont tout de même
détournés par les pirates.
L’attaque est d’une grande sophistication et semble avoir été
méticuleusement planifiée. Les attaquants démontrent une bonne
connaissance du fonctionnement du système bancaire de la région. Le code
malveillant, permettant d’effacer localement toutes les traces d’activité des
attaquants, est spécifiquement développé pour cibler SWIFT.

9. The Shadow Brokers (2016-2017)

En août 2016, le groupe « The Shadow Brokers », jusque-là inconnu,


apparaît sur les réseaux sociaux. Le groupe commence par divulguer des
codes d’attaque sophistiqués, présentés comme dérobés à une entité
nommée « Equation Group », soupçonnée d’être liée à la NSA. Après une
première publication, The Shadow Brokers propose d’autres codes
malveillants aux enchères, en fixant un tarif d’entrée à un million de
bitcoins. Finalement, une deuxième publication a lieu en octobre 2016 et la
totalité du contenu est divulgué en avril 2017.
L’ensemble de la manœuvre a mis en lumière un risque particulièrement
inquiétant : la prolifération rapide et importante d’informations permettant
de développer des codes malveillants dangereux. Certaines seront très vite
utilisées par des attaquants dans le cadre d’opérations significatives – c’est
par exemple le cas de la faille EternalBlue, exploitée dans la campagne
d’attaque par rançongiciel WannaCry.
L’identité et les motivations réelles du groupe sont toujours peu claires.

10. Mirai (2016)

L’affaire Mirai est une série d’attaques en déni de service distribué ayant
eu lieu en septembre-octobre 2016. Mirai est le nom d’un code malveillant
utilisé pour compromettre un très grand nombre d’objets connectés – tels
que des caméras de surveillance – afin de les intégrer à de gigantesques
botnets permettant de mener l’attaque.
Parmi les victimes, plusieurs grands opérateurs d’hébergement et de
gestion de noms de domaine ont été touchés, tels qu’OVH en France et Dyn
aux États-Unis. Dyn comptait alors parmi ses clients des plates-formes
comme Twitter, Reddit, Airbnb, Amazon et Netflix – toutes impactées par
l’attaque sur leur prestataire.

11. Vault 7 (2017)

À compter de mars 2017, une divulgation massive de documents


classifiés concernant la CIA a été relayée par la plate-forme Wikileaks, sous
le nom de code « Vault 7 ». Plus de 8 000 documents ont été publiés de
façon hebdomadaire à compter du 23 mars 2017. L’origine de la fuite est
inconnue.
Ces documents fournissent entre autres des informations sur les capacités
d’attaque cyber de la CIA, sur des failles 0-day détenues par l’agence, sur
des noms de codes malveillants et d’opérations, sur des cibles, sur
l’organisation de l’agence et sur certains de ses partenariats nationaux et
internationaux.

12. WannaCry (2017)

Le vendredi 12 mai 2017, une campagne de compromission distribuant le


rançongiciel WannaCry se répand avec une viralité très importante. Le
logiciel exploite une vulnérabilité de l’implémentation du protocole SMB
dans certains produits Microsoft. Cette faille, nommée « EternalBlue », fait
partie des divulgations faites par le groupe The Shadow Brokers en
avril 2017. Elle avait fait l’objet d’un correctif publié par Microsoft en mars
de la même année.
Plus de 200 000 machines sont touchées dans plus de 150 pays. Parmi
leurs propriétaires, on compte notamment les groupes Telefonica, Deutsche
Bahn, FedEx et Petrochina. Le National Health Service britannique figure
également en bonne place parmi les victimes les plus touchées : 20 % des
services régionaux de gestion de santé auraient été infectés. L’attaque a eu
des impacts sur la prise de rendez-vous, la planification des actes médicaux,
la téléphonie et la messagerie. Elle conduit à l’arrêt de certains systèmes, au
report d’actes non urgents et à des redirections de certains patients vers
d’autres hôpitaux.
Quelques jours après le début de la campagne, un chercheur découvre
que l’enregistrement d’un certain nom de domaine agit comme un « kill
switch » et endigue la diffusion du logiciel. Des chercheurs français ont par
ailleurs découvert des moyens de retrouver, sous certaines conditions, les
données chiffrées par le logiciel sans avoir besoin de payer la rançon.
Les finalités de la campagne semblent principalement lucratives : une
rançon équivalant à 300 dollars américains est demandée aux victimes,
payable en bitcoins. Après trois jours, le montant de la rançon est doublé.
En juin 2016, plusieurs estimations font état d’une récolte totale supérieure
à 130 000 dollars.
La sophistication du logiciel, le faible taux d’application du correctif
publié par Microsoft et la forte exposition de certains systèmes sur Internet
sont autant de facteurs qui ont facilité la propagation du logiciel
malveillant.

1. On le verra plus en détails dans le chapitre 4 : en France, le concept « d’opérateur d’importance


vitale » (OIV) est inscrit dans le code de la défense. Les OIV gèrent les infrastructures critiques
nationales. Au nombre d’environ 250, ils peuvent être des entités publiques ou privées.
2. Voir BOURGEOIS M., Droit de la donnée – Principes théoriques et approche pratique, LexisNexis,
2017.
3. MITNICK K., SIMON W., The Art of Deception – Controlling the Human Element of Security, John
Wiley & Sons, 2003.
4. Alliance des services de renseignement australiens, britanniques, canadiens, étatsuniens et néo-
zélandais.
5. Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
6. Cet article dispose notamment que « toute autorité constituée, tout officier public ou fonctionnaire
qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu
d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les
renseignements, procès-verbaux et actes qui y sont relatifs ».
7. https://attack.mitre.org/
8. MITRE est une organisation à but non lucratif américaine qui décrit sa raison d’être comme la
volonté de « résoudre des problèmes pour un monde plus sûr ».
9. Cf. note page 73.
3
La cybersécurité

Introduction : la difficile quête d’un état


optimal de cybersécurité
Après avoir compris les caractéristiques structurantes de l’environnement
numérique et de l’adversité qui s’y déploie, se pose très naturellement la
question de la façon de se protéger et de se défendre contre cette
hostilité. C’est l’objet de ce chapitre : comprendre comment s’organiser
pour atteindre un état optimal de cybersécurité.
Avant d’aller plus loin, c’est probablement ici qu’il nous faut tenter de
clarifier l’utilisation de plusieurs expressions et termes couramment utilisés
de façon quasiment interchangeable : la sécurité des systèmes
d’information (SSI), la cybersécurité, la cyberdéfense et la sécurité
numérique. La SSI peut être comprise comme un ensemble de mesures
mises en œuvre pour atteindre et maintenir l’état de cybersécurité d’un
système d’information (SI). La cybersécurité, à proprement parler, est donc
un état souhaitable à atteindre. Pour s’inscrire dans la tendance structurante
de la numérisation croissante de l’environnement, on parle aussi désormais
de plus en plus régulièrement de « sécurité numérique » pour désigner un
concept analogue à celui de la cybersécurité – avec la volonté toutefois de
lui donner une teinte moins « sécurité et défense nationale », en mettant en
avant le « numérique » dans tout ce qu’il emporte de transformations
positives. La cyberdéfense, quant à elle, regroupe également des mesures
mises en œuvre pour maintenir un état de cybersécurité, mais face à une
adversité particulièrement marquée et dans une temporalité bien spécifique :
un évènement non désiré survient ou est susceptible de survenir à brève
échéance.
Il est important de noter que, malgré les différentes tentatives des uns et
des autres, les contours précis de ces concepts restent relativement mal
définis, et peuvent notamment faire l’objet de divergences parfois
significatives d’un pays à l’autre. À titre d’exemple, le mot anglais
« cyberdefense » est régulièrement utilisé pour désigner l’ensemble des
techniques mises en œuvre pour rechercher un état de cybersécurité, mais
spécifiquement sur le périmètre d’un ministère en charge des questions de
défense nationale. Cette façon de définir la cyberdéfense est également
parfois utilisée en France. Un autre exemple intéressant est celui de
l’expression « information security » qui peut être comprise par certaines
communautés comme de la « SSI », donc concentrée sur les SI, et par
d’autres comme un domaine s’intéressant également au sens des
informations que ces SI hébergent, et donc susceptible d’attirer vers des
sujets comme ceux de la lutte contre la manipulation de l’information, voire
de la censure. Nous étudierons des exemples concrets de ce dernier point
dans le chapitre traitant des enjeux internationaux.
Au-delà des enjeux de sémantique, dont nous essayerons de nous
détacher, l’objet du présent chapitre est de présenter une approche « haut
niveau » de la recherche d’un état de sécurité dans le domaine numérique. Il
est construit sur la base d’une idée fondamentale : non seulement la
sécurité absolue n’existe pas, mais elle n’est probablement pas
souhaitable. Si en première approche, la quête de la cybersécurité peut être
menée de façon très simple, à travers la mise en place de mesures
élémentaires – parfois appelées « mesures d’hygiène cyber » – les services
numériques sont de plus en plus présents et essentiels au fonctionnement
des organisations et des États, leurs architectures et leurs contours sont de
plus en plus complexes à appréhender et les informations qu’ils manipulent
sont de plus en plus précieuses. Forts de ces constats, il s’agit donc de
trouver un juste équilibre dans les mesures à mettre en place – entre une
approche trop drastique, lourde, coûteuse et ankylosante, et une approche
trop laxiste, légère et de fait dangereuse – pour permettre aux « fonctions
métier » de produire de la valeur dans des conditions optimales de
sécurité.
Ce chapitre est structuré en trois sections. Nous commencerons par
introduire le concept de risque, en procédant à quelques rappels
élémentaires et en l’appliquant au domaine numérique. Nous chercherons
ensuite à proposer une vision globale d’un processus-type de gouvernance,
de compréhension, d’évaluation, de traitement et de suivi de ce « risque
cyber ». Nous aborderons enfin un peu plus concrètement quelques
mesures de protection, de défense et de résilience qui peuvent être mises
en place face au risque d’origine numérique. Une majorité des concepts
développés ici pourront s’appliquer – en modulant le niveau d’ambition
injectée dans la démarche – à des entités de tailles et de natures très
diverses : États, organisations publiques ou privées, multinationales comme
petites entreprises, associations et individus.

I. Le risque cyber : un risque stratégique


qu’il faut « gouverner »
1. Remarques préliminaires
Un système d’information est constitué d’un ensemble de ressources
(appelées parfois « assets » ou « actifs ») destinées à collecter, stocker,
gérer et transmettre les informations au sein d’une organisation. La
protection des SI a ainsi vocation à identifier, analyser et évaluer les
risques qui portent sur ces actifs – qui peuvent être des matériels, des
logiciels, des processus métiers, etc. – et à prendre les mesures
nécessaires pour maîtriser ces risques.
Avant de poursuivre, il nous faut rappeler une distinction importante
entre les domaines de la sécurité et de la sûreté. La sécurité concerne des
actions malveillantes volontaires, par essence peu quantifiables
statistiquement. Les besoins de sécurité relatifs aux informations et
systèmes numériques peuvent traditionnellement être exprimés – par les
métiers, en fonction notamment de la criticité pour l’organisation des
processus auxquels le SI concourt – via la triade de propriétés dite « CID » :
confidentialité, intégrité et disponibilité. La sûreté, quant à elle,
s’intéresse à des dysfonctionnements et incidents involontaires, dont la
portée statistique est davantage quantifiable. Les enjeux de sûreté sont en
dehors du périmètre de cet ouvrage.

2. La nécessaire complémentarité entre les approches


« par la conformité » et l’analyse des risques

Afin de se protéger correctement de la menace d’origine cyber, un État


ou une organisation pourra mettre en place un certain nombre de mesures de
sécurité. En la matière, un large panel de leviers est disponible. Cela étant,
la mise en place de telles mesures doit être menée de façon éclairée et
raisonnée, en cohérence avec la menace qui pèse sur les éléments qui
ont vocation à être protégés et la valeur qui leur est accordée par leurs
propriétaires. La recherche de cette cohérence peut être approchée sous
des angles différents, qui devraient être vus comme complémentaires.
La première approche, fondamentale, consiste à mettre en œuvre des
socles de mesures issues de référentiels a priori adaptés au contexte de
l’organisation. Ces référentiels peuvent être liés à un métier ou à la
régulation propre à une activité. Il peut aussi s’agir de listes de mesures très
basiques. Le guide de « règles d’hygiène informatique » publié par l’ANSSI
dans sa version initiale en 2013 et mis à jour en 20171 constitue un exemple
incontournable d’un tel référentiel. Listant aujourd’hui quarante-deux
mesures réparties en dix chapitres, il a vocation à proposer une
« transposition dans le monde numérique de règles élémentaires de sécurité
sanitaire ». Cette approche, qui a vocation à s’appuyer sur des listes
prédéfinies de mesures à implémenter, est parfois appelée, par abus de
langage, « par la conformité » – l’organisme concerné cherchant à être
conforme à la liste en en ayant mis en place tous les éléments. Cette
démarche concentre les ressources sur l’implémentation des mesures de
sécurité plutôt que sur la définition de la liste des mesures à mettre en place.
Elle est peu « personnalisée » mais se veut accessible, notamment pour
protéger des SI peu complexes contre des menaces génériques et peu
sophistiquées.
L’approche par l’analyse des risques, quant à elle, permet d’appréhender
la question en partant « par le haut », en étudiant la menace qui pèse
spécifiquement sur le SI étudié, et les évènements redoutés qui pourraient
subvenir, afin d’adapter au mieux les mesures de sécurité à mettre en place.
Pour rappel, on décrit de façon classique un risque comme l’exploitation
de la vulnérabilité d’un système donné, qui engendre un impact néfaste
avec une certaine vraisemblance. Un risque peut ainsi avoir des origines
ou des natures variées, mais il est clair que ce que l’on pourrait appeler « le
risque cyber » constitue désormais un risque à part entière pesant sur
les États, les organisations et les individus. L’approche par l’analyse des
risques est particulièrement adaptée pour les systèmes complexes, soumis à
des menaces significatives. Elle nécessite néanmoins de s’appuyer sur un
socle des compétences relativement variées et spécifiques qui permettront
de mettre en œuvre des outils méthodologiques appropriés. En fonction de
l’ambition fixée à l’exercice, elle peut requérir un investissement de
ressources significatif.
Ces deux approches ne s’opposent pas : elles se complètent. En
fonction des enjeux du SI étudié, l’approche « par la conformité »
constituera un socle fondamental qui pourra utilement être complété par un
travail d’analyse des risques, plus précis et plus spécifiquement adapté au
SI concerné, à son contexte d’emploi, aux processus métiers auxquels il
contribue et aux scénarios de risque qui pèsent sur lui.

3. Un risque stratégique et systémique : une


préoccupation pour les dirigeants

Nous l’avons dit : le « risque cyber », qui voit une menace exploiter une
ou plusieurs vulnérabilités d’un système numérique, est un risque à part
entière. Il est stratégique, sa réalisation pouvant s’avérer létale pour une
organisation, avec une fulgurance effrayante. Sauf à refuser une dynamique
de numérisation souvent inéluctable, il est très difficilement évitable.
Même si de nombreux efforts peuvent être déployés pour l’anticiper au
mieux, il reste, dans une large mesure, très imprévisible. Les intentions,
compétences, moyens et plans des attaquants – qui bénéficient, rappelons-
le, d’un réel avantage dans l’asymétrie du conflit numérique – sont difficiles
à connaître avec précision, et plus encore à anticiper. Enfin, nous le verrons
plus loin : il est difficile à transférer ou à externaliser – il est tout au plus
partageable avec des entités tierces.
Parmi les quelques propriétés majeures qui font du numérique un terrain
d’opportunités, l’on peut citer, d’une part, la capacité de manipuler des
quantités massives de données, en les stockant et en effectuant très
rapidement énormément d’opérations. Il y a, d’autre part, la capacité
essentielle, qui a explosé depuis la fin des années 1970, à mettre les
systèmes d’information en réseaux. Cette dernière propriété fait du risque
cyber un risque systémique : il porte à la fois sur une organisation mais
aussi plus largement sur l’ensemble de l’écosystème utile à son
fonctionnement (clients, fournisseurs, partenaires, etc.). Une organisation
peut à la fois contribuer à amplifier le risque cyber qui porte sur son
écosystème, mais également voir le risque cyber qui porte sur elle accru par
sa dépendance à son écosystème.
Pour toutes ces raisons, si la notion de risque cyber renvoie
historiquement à un domaine relevant d’une sphère très technique, il est
désormais clair qu’il est amené à s’étendre vers la sphère de
préoccupation des dirigeants et des décideurs, et plus largement de
l’ensemble des organisations. Il n’est plus le seul fait d’équipes techniques
qui conçoivent, déploient et opèrent des SI au profit d’autres fonctions de
leur organisation. À un niveau fonctionnel, tout métier qui utilise le
numérique en support de sa chaîne de valeur, ou qui produit des
équipements ou services numériques, est concerné par le risque cyber. À un
niveau plus individuel, tout employé d’une organisation qui accède au SI
mis en place par cette dernière est susceptible d’y ouvrir une brèche, de
façon volontaire ou non, et est ainsi également concerné par le risque cyber.
La sécurité numérique est, comme on a coutume de le dire, « l’affaire de
tous ». Cette prise de conscience et cette implication collective et holistique
dans la recherche de l’état de cybersécurité ne sont pas triviales. Si de plus
en plus de gens et de fonctions sont aujourd’hui à l’aise avec les outils
numériques, l’informatique et a fortiori la sécurité informatique restent
encore très souvent le fait d’experts techniques.

4. Le besoin d’une gouvernance holistique

La prise en compte à un « bon niveau » et de manière assez large des


questions relatives à la sécurité numérique au sein d’une entité génère un
besoin de structuration, d’organisation et de gouvernance – d’autant
plus fort que l’organisation est importante, ses systèmes complexes, la
valeur qu’elle crée élevée, et les enjeux avec lesquels elle est en prise
sensibles.
Très concrètement, le risque cyber doit être gouverné : il doit être
mesuré, objectivé, piloté. Le système de gouvernance mis en place doit
répondre à une question essentielle pour la continuité, la pérennité et la
prospérité de l’organisation : quels sont les impacts potentiels des risques
cyber qui pèsent sur les différents métiers ?
Ainsi posée, cette question intéresse directement les dirigeants et
décideurs, qui doivent réussir à obtenir une vision globale et la plus
objective possible du sujet. Elle doit également pénétrer et diffuser dans
l’ensemble de l’organisation, via la sensibilisation et l’engagement du plus
grand nombre, proportionnellement aux rôles et aux enjeux de chacun.
Au fil des chapitres précédents, le caractère dynamique et évolutif des
enjeux numériques a normalement dû apparaître comme une évidence. Cela
a une implication structurante sur la gouvernance et la gestion du risque
cyber : ce ne peut pas être une démarche figée mais ne peut être qu’un
processus itératif et cyclique, selon une logique d’amélioration
continue.
Les considérations présentées ici font écho à un concept désormais
classique et répandu dans les organisations, connu sous le sigle « GRC2 ».
Ce champ d’activité désigne une approche générale rassemblant plusieurs
domaines afin de conduire une organisation vers ses finalités de façon
efficiente, conformément aux « règles du jeu » auxquelles elle est soumise,
et en gérant au mieux l’incertitude inhérente à l’environnement dans lequel
elle évolue.
De façon plus concrète, en matière de gouvernance et d’anticipation du
risque cyber, les axes suivants peuvent être explorés :
• organisation de sessions de sensibilisation, de formations (qui, en plus
des sensibilisations, sont de nature à apporter des compétences
directement employables à ceux qui les suivent), et d’entraînements ;
• mise en place d’un système de management du risque, notamment cyber,
et conduite de démarches d’homologation de systèmes ;
• mise en place et utilisation d’une documentation de sécurité (p. ex. des

politiques, des procédures, des guides) ;


• mise en place d’une organisation visant à acquérir et à capitaliser de la
connaissance sur les vulnérabilités : veille, audits de sécurité (processus
systématique, indépendant et documenté, vis-à-vis d’un référentiel) à
des niveaux organisationnels ou techniques (p. ex. tests d’intrusion,
revues de configurations, revues d’accès) ;
• mise en place d’une organisation visant à acquérir et à capitaliser de la
connaissance sur la menace : veille, renseignement, intelligence
économique ;
• mise en place de mesures contractuelles ;
• mise en place d’une organisation pour le maintien en condition
opérationnelle et de sécurité (MCO/MCS) des systèmes ;
• mise en œuvre de mesures de sécurité du développement, de
l’acquisition et des changements.

5. Une attention particulière sur la conformité

Outre des considérations technico-opérationnelles – savoir détecter et


comprendre les incidents de sécurité, savoir y réagir, y être résilient –
l’aspect « conformité » constitue une préoccupation importante de
l’approche. La recherche de la conformité vis-à-vis de réglementations
contraignantes, de normes, de standards ou de référentiels de bonnes
pratiques (comme les règles d’hygiène déjà mentionnées) permet
principalement de poursuivre deux grands objectifs :
• le respect de règles obligatoires et imposées par le cadre législatif et
réglementaire. Toute déviance en la matière serait susceptible d’appeler
de nouveaux risques réglementaires, financiers ou réputationnels ;
• la consolidation d’un « socle fondamental de sécurité », pour se

protéger et se défendre contre une large majorité de menaces


génériques et communes.
Les principaux éléments de réglementation français et européens seront
respectivement présentés dans les deux prochains chapitres.
S’agissant des normes et standards, nous pouvons, sans chercher à
dresser une liste exhaustive des nombreux textes existants, citer par
exemple :
• la suite de normes ISO/IEC 27 000 portant sur la sécurité numérique et

en particulier sur le « management de la sécurité de l’information » ;


• la norme ISO/IEC 15 408 (aussi appelée « Critères communs ») portant
sur l’évaluation des produits de sécurité numérique ;
• la norme ISA/IEC 62 443 relative à la sécurité numérique des systèmes
industriels ;
• les référentiels de qualification de prestataires de services PSCE,
PSHE, PASSI, PDIS, PRIS ou encore SecNumCloud, élaborés par
l’ANSSI, portant respectivement sur la certification électronique,
l’horodatage électronique, l’audit des SI, la détection des incidents de
sécurité, la réponse aux incidents et l’informatique en nuage ;
• les référentiels de bonnes pratiques COBIT, développé par l’ISACA, et
ITIL, initialement développé par l’Office of Government Commerce
britannique ;
• la série de standards FIPS 140 du NIST3 américain, portant sur la
sécurité des modules cryptographiques ;
• le référentiel NIST SP 800-53 de mesures de sécurité informatique,
s’adressant tout particulièrement aux agences fédérales américaines
pour la protection de leurs systèmes non classifiés ;
• le référentiel « Cyber Essentials » de bonnes pratiques de sécurité
numérique du National Cyber Security Centre (NCSC) britannique ;
• le NIST Cybersecurity Framework, référentiel de mesures de SSI,
initialement destiné aux opérateurs d’infrastructures critiques
américains, mais largement utilisé au-delà de cette seule sphère ;
• la norme PCI DSS, établie par les principaux réseaux de cartes de
paiement, s’adressant tout particulièrement aux entreprises qui
recueillent, traitent et stockent les données de ces dispositifs.
Évaluer son écart par rapport à un référentiel pertinent pour son
activité, c’est-à-dire son niveau de non-conformité au référentiel, doit
permettre à une organisation d’obtenir une première appréciation du
niveau de risque auquel elle est exposée. Pour aller plus loin et raffiner
cette appréciation, une approche par scénarios permettra de s’adapter plus
précisément au contexte et aux missions de l’organisation.

6. Des textes de référence issus de différentes sphères

Il est intéressant de constater que la gouvernance du risque cyber fait


l’objet de l’attention de plusieurs communautés, qui se retrouvent autour
du fonctionnement des entreprises : spécialistes de la cybersécurité,
économistes, auditeurs, comptables, gestionnaires de risques, commissaires
aux comptes ou encore assureurs.
Pour illustrer cela, nous choisissons de citer ici quatre documents de
référence sur la gouvernance et la gestion du risque cyber, publiés par des
entités issues des différents écosystèmes cités ci-dessus :
• Gestion du risque de sécurité numérique pour la prospérité économique
et sociale4, par l’OCDE en 2015 ;
• Cyber-risques : enjeux, approches et gouvernance5, par l’IFACI en
2018 ;
• At the Junction of Corporate Governance and Cybersecurity6, par la
FERMA et l’ECIIA, en 2019 – qui réexamine notamment le fameux
modèle des « trois lignes de défense » de l’Institute of Internal Auditors
à l’aune des questions de cybersécurité. La première ligne est composée
des managers opérationnels, notamment sur les fonctions numériques ;
la deuxième ligne est celle de l’animation de la GRC ; la troisième
ligne comporte les fonctions d’audit interne ;
•Maîtrise du risque numérique – L’atout confiance7, par l’AMRAE et
l’ANSSI en 2019.
Outre proposer des contenus particulièrement pertinents, ces différentes
publications illustrent une tendance probablement très vertueuse : la
sécurité informatique s’insère progressivement dans le cadre existant,
plus large, de la gouvernance des risques au sein des organisations.

II. Un processus itératif pour animer


la gouvernance du risque cyber
1. Une méthode en fil rouge : EBIOS Risk Manager
Nous l’avons vu : les SI sont de plus en plus complexes. Composés
d’éléments nombreux et de natures diverses, ils couvrent des périmètres
parfois vastes aux frontières pas toujours clairement palpables. Nous
l’avons vu également : la menace qui porte sur ces systèmes est, de façon
tendancielle, élevée, croissante et protéiforme. Protéger des systèmes
complexes d’une menace qui ne l’est pas moins nécessite une approche
structurée, permettant de bien appréhender les risques – dans notre cas
d’origine cyber, mais qui peuvent également être d’autres natures – qui
pèsent sur ces systèmes.
Pour rappel, le concept de risque se définit par deux facteurs essentiels :
l’impact de sa réalisation d’une part ; sa vraisemblance d’autre part. Ainsi,
le risque d’ouragan à Paris peut par exemple avoir des impacts matériels
graves et présente une vraisemblance non nulle mais relativement faible.
Une fois le concept de risque posé, il s’agit de mener une démarche dite
« d’analyse des risques », dont les grandes étapes sont les suivantes :
• identification des risques, avec prise en compte des mesures de sécurité
actuellement en place, et mise en évidence des risques pour lesquels ces
mesures sont en deçà du niveau nécessaire pour s’en protéger ;
• évaluation des risques, définition de recommandations pour les réduire
et proposition d’un plan de réduction des risques ;
• validation du plan de réduction des risques (et donc de ses échéances et
des moyens nécessaires à sa mise en œuvre) ;
• acceptation des risques résiduels.
Dans cette démarche, que l’on pourrait plutôt qualifier de subjective et
qualitative, il s’agira, pour traiter les risques, de chercher un équilibre
cohérent avec son niveau d’appétence au risque : on priorisera les plus
graves et vraisemblables, pour ensuite travailler en boucle itérative
d’amélioration continue. En effet, en fonction du niveau d’appétence au
risque de l’organisation, le traitement complet de tous les risques identifiés
peut s’avérer extrêmement coûteux et peu « rentable » au regard des
impacts potentiels ou de la vraisemblance de ceux-ci.
La démarche d’analyse des risques n’est pas propre au domaine de la
sécurité numérique et peut être mobilisée sur tous les thèmes qui emportent
classiquement des grands enjeux de risques (environnement, finances,
réputation, etc.). En matière de cybersécurité, plusieurs grands
référentiels peuvent utilement être mis à profit pour mener des analyses des
risques.
S’agissant des normes et standards, l’ISO a notamment publié la
famille de normes ISO/IEC 27 000 pour aider les organisations à assurer la
sécurité de leurs informations. En particulier, la norme ISO/IEC 27 001
expose des exigences relatives aux « systèmes de management de la
sécurité de l’information » (SMSI), et la norme ISO/IEC 27 005 contient
des lignes directrices relatives à la gestion des risques en sécurité de
l’information, en appui des concepts généraux énoncés dans l’ISO/IEC
27 001.
S’agissant des méthodes, la méthode EBIOS Risk Manager, publiée par
l’ANSSI en 20188, s’appuie sur plus de vingt ans de travaux et d’évolutions
pour constituer aujourd’hui la méthode française de référence en matière
d’analyse des risques. Sa conduite s’appuie sur cinq grands « ateliers » :
• l’atelier 1 vise à cadrer l’étude et à définir ses objectifs, en définissant
notamment les périmètres métiers et techniques ; en identifiant les
« évènement redoutés », leurs impacts et leur gravité ; et en
déterminant le socle de sécurité et les référentiels applicables ;
• l’atelier 2 vise à identifier les « sources de risques » et les « objectifs
visés » par celles-ci, à les évaluer et à les prioriser ;
• l’atelier 3 vise à élaborer des « scénarios stratégiques », en
cartographiant notamment la menace numérique de l’écosystème et les
parties prenantes critiques ;
• l’atelier 4 vise à élaborer des « scénarios opérationnels » et à évaluer

leur vraisemblance ;
• l’atelier 5 vise à synthétiser les scénarios de risque, à définir une
stratégie de traitement et des mesures associées, à évaluer et
documenter les risques résiduels, et à mettre en place un suivi.
La promotion de démarches d’analyse des risques est de nature à faire
« sortir » le sujet de la sécurité numérique d’une sphère essentiellement
tournée vers des enjeux techniques relevant du domaine de l’informatique
pour investir et mobiliser le champ des métiers. Ce faisant, il s’agit
d’obtenir de la part de ces derniers des appréciations fines et réalistes des
impacts concrets sur l’activité de l’organisation de la réalisation de
risques cyber. Une véritable quantification de ces impacts devient alors
possible, donnant une portée stratégique à l’analyse des risques. Elle se
présente ainsi comme un véritable outil d’aide à la décision pour les
dirigeants, qui peuvent mieux appréhender et comprendre les risques qui
pèsent sur leur organisation.
Cette dernière remarque appelle une brève réflexion sur la façon dont
sont perçus les coûts liés à la mise en place de mécanismes de
cybersécurité. D’un point de vue financier, la sécurité numérique est en
effet très souvent appréhendée comme un centre de coûts… au moins
jusqu’à ce qu’une attaque survienne et permette à une victime de mettre un
prix sur les pertes engendrées – pour l’entreprise Saint-Gobain, touchée
en 2017 par le maliciel NotPetya, ce sont par exemple 220 millions d’euros
de chiffre d’affaires et 80 millions d’euros de résultat d’exploitation.
Gageons néanmoins que la mise en œuvre de mesures de sécurité
numérique puisse, de façon croissante, être perçue de manière positive et
valorisée : réduction de polices d’assurance, incitations fiscales, création
d’avantages compétitifs sur les marchés, etc.

2. Délimiter le périmètre, comprendre le contexte

La démarche d’analyse des risques est nécessairement initiée par une


phase de compréhension. Il s’agit, d’une part, de délimiter le périmètre
d’étude : un État, une organisation, une fonction, un système. Il s’agit,
d’autre part, de comprendre le contexte dans lequel évolue ce périmètre
d’étude. En substance, c’est le temps de questions très fondamentales :
• qu’est-ce qui a de la valeur et que je cherche à protéger ?
• qu’ai-je à perdre ?
• quelle est mon appétence générale au risque ?
• dans quel cadre, notamment légal, réglementaire et normatif, évolue
mon activité ?
Ce questionnement est l’objet de la première partie de l’atelier 1 de la
méthode EBIOS Risk Manager.

3. Identifier et évaluer des risques et des scénarios

Dans un deuxième temps, la réflexion s’intéressera plus particulièrement


aux risques et à leurs composantes. On cherche ici à identifier les risques
inhérents – c’est-à-dire pris sans mesures particulières de protection – et
pour cela les évènements redoutés, leurs impacts et leur gravité
potentiels, les sources de risques et les objectifs visés par celles-ci. Tous
ces éléments sont évalués quantitativement, sur la base d’échelles
appropriées, et sont priorisés.
Cette phase est traitée par les ateliers 1 et 2 d’EBIOS Risk Manager.
Pour rendre ces éléments concrets, il est possible d’établir des scénarios,
à différents niveaux – stratégiques ou opérationnels – et d’évaluer leur
vraisemblance, comme le proposent les ateliers 3 et 4 de la méthode
EBIOS Risk Manager.
Les scénarios stratégiques s’adressent essentiellement aux décideurs et
aux gestionnaires de risques. Ils font ressortir les impacts sur l’activité de
l’organisation et la quantification, généralement financière, de ceux-ci. En
nombre limité, de l’ordre de quatre ou cinq, ils sont représentatifs car très
différents les uns des autres, et sont liés aux menaces et aux impacts les plus
sévères et crédibles. Sur cette base, des décisions stratégiques peuvent être
prises par les dirigeants et mises en œuvre par les gestionnaires de risques.
Les scénarios opérationnels, quant à eux, s’adressent aux experts
techniques. Ils visent, d’une part, à mesurer la vraisemblance des scénarios
et, d’autre part, à trouver des solutions techniques qui présentent un bon
retour sur investissement. Ils servent ainsi à renforcer la protection, à
orienter la défense et à préparer la résilience.

4. Décider, en pleine conscience, d’une façon de traiter


les risques

Une fois les principaux risques identifiés, il s’agit de décider d’une façon
de les traiter. Cet aspect, abordé dans le cinquième atelier de la méthode
EBIOS Risk Manager, conduit à plusieurs axes de réflexion.
Une première question porte sur les différentes catégories « classiques »
d’options de traitement des risques. On les présente souvent sous la
forme de quatre possibilités :
• refuser le risque et l’éviter, ce qui concrètement consiste à cesser
l’activité qui engendre ledit risque (p. ex. « craignant le risque de
mourir dans un accident d’avion, j’arrête complètement de prendre
l’avion ») ;
• maintenir le risque tel qu’il est, en ayant conscience de sa gravité
potentielle et de sa vraisemblance, mais en décidant de ne rien faire de
plus pour faire baisser l’un de ces facteurs (p. ex. « j’ai conscience qu’il
y a un risque pour mon intégrité physique à rouler sans ceinture, et
pourtant je l’accepte et décide de ne pas mettre ma ceinture ») ;
• partager le risque avec un tiers, un sous-traitant (p. ex. une doublure
pour réaliser une cascade dangereuse) ou un assureur ;
• ou réduire le risque, en prenant des mesures de sécurité. Cet aspect fait
l’objet d’une section dédiée ci-après.
Sur le point spécifique du partage du risque, nous l’évoquions en début
de chapitre : il est difficile, voire impossible, pour une organisation de
transférer complètement le risque cyber qui pèse sur elle. Par exemple,
une entreprise qui choisirait de souscrire une police d’assurance contre ce
risque serait probablement couverte, en cas de cyberattaque, pour les
dommages directs engendrés, les coûts relatifs aux opérations de
remédiation et éventuellement le manque à gagner induit. Elle ne pourra
toutefois pas se départir d’autres retombées non négligeables sur le long
terme, s’agissant notamment de sa réputation et de la confiance accordée
par les utilisateurs, clients et partenaires. Le règlement général sur la
protection des données (RGPD), que nous réévoquerons ultérieurement,
nous fournit un autre exemple concret : s’il permet de sous-traiter un
traitement de données à caractère personnel, il n’en enlève pas la
responsabilité à l’organisation qui l’a initié.
Une seconde question à évoquer ici porte plus spécifiquement sur la
décision formelle de traitement des risques identifiés : qui décide,
comment et qu’est-ce que cela implique ? L’ensemble de la démarche a
en fait vocation à donner des éléments structurés et objectivés à un
décideur pour lui permettre de faire un choix en ayant pleinement
conscience des risques auxquels l’activité dont il est responsable est
exposée, et en en comprenant les tenants et aboutissants. Ce dernier aspect
est important : le décideur a besoin de comprendre ces enjeux sans
nécessairement savoir parler un langage informatique très technique. Cela
invite à porter une attention particulière au choix des métriques et
indicateurs qui seront utilisés tout au long des analyses. Pour un système
donné, la démarche formelle consistant à identifier et à évaluer les risques
qui pèsent sur lui, à élaborer un plan de traitement de ces risques permettant
de le mettre en production dans de « bonnes » conditions de sécurité, et à
faire valider formellement l’ensemble de ces éléments par une personne
investie de l’autorité nécessaire pour endosser cette responsabilité constitue
ce que l’on appelle une homologation de sécurité.
Une fois l’analyse des risques effectuée et la stratégie de traitement
décidée et documentée, il s’agira d’initier une démarche de mise en œuvre
assortie d’un suivi régulier. S’appuyant sur ce qui est appelé « plan
d’amélioration continue de la sécurité » (PACS) par la méthode EBIOS
Risk Manager (ici à l’atelier 5), un comité de suivi peut par exemple être
constitué pour orchestrer la démarche.

III. La réduction des risques grâce aux


mesures de protection, de défense et de
résilience
1. Généralités
Comme évoqué précédemment, la mise en œuvre de mesures de sécurité
peut s’inscrire dans la continuité d’une démarche d’analyse des risques, et
plus largement dans un dispositif de gouvernance des risques. Cette mise en
œuvre est régie par un principe général propre à la menace cyber :
l’asymétrie entre l’attaque et la défense. Si, en théorie, une attaque peut
réussir par l’exploitation d’une seule vulnérabilité à un moment précis, la
défense, quant à elle, doit prendre en compte un système dans son ensemble
et sur la durée.
Pour étudier les mesures de sécurité numérique, l’on s’attardera d’abord
sur leurs types, sur leurs fonctions et sur leurs grands principes de
fonctionnement. Dans un second temps, nous évoquerons la question du
découragement, et nous étudierons plus particulièrement les mécanismes
ayant trait à la protection, à la détection puis à la réaction.

a. Types et fonctions

Les mesures – ou « mécanismes » ou « contrôles » – de sécurité peuvent


être de plusieurs types, et s’appliquer aux personnes, aux processus ou aux
technologies. Il peut s’agir de mesures techniques propres au monde
numérique, telles que des logiciels de chiffrement ou de détection
d’attaques. Il peut s’agir de mesures plus organisationnelles, procédurales,
administratives ou juridiques, telles que des politiques ou des procédures de
sécurité. Il peut enfin s’agir de mécanismes de protection physiques,
similaires à ceux utilisés par ailleurs pour protéger des infrastructures ou
des locaux, tels que des palissades ou des verrous.
Les mécanismes de sécurité peuvent remplir plusieurs fonctions, selon la
phase de l’attaque concernée. En amont, ils peuvent contribuer à anticiper
un incident et à orienter la défense, en permettant par exemple
d’augmenter la connaissance de la menace qui pèse sur les systèmes à
protéger ou de détecter les signaux faibles précurseurs d’une attaque qui
pourrait survenir ; à décourager un attaquant potentiel, en augmentant le
coût d’une attaque qu’il pourrait être susceptible de commettre ; ou à
renforcer la protection et à empêcher une attaque de survenir. Une fois
l’attaque survenue ou en cours de survenance, ils peuvent servir à la
détecter et à alerter en conséquence. Enfin, après l’occurrence d’un
incident de sécurité, ils peuvent concourir à la résilience du SI et de
l’organisation qui l’utilise, en compensant et en corrigeant les effets et les
impacts de l’incident.

b. Principes

Plusieurs grands principes peuvent être retenus lors de la mise en place


des mécanismes de sécurité. Nous listons ici quelques-uns des plus
importants :
• la réduction de la surface d’attaque, en désactivant par exemple les
services et applications inutiles, afin de limiter les prises offertes à
l’attaquant ;
• la défense en profondeur, en mettant en place, sur le modèle des forts
Vauban, plusieurs lignes de défense, indépendantes, complémentaires et
coordonnées de manière notamment à transférer la responsabilité de
protection d’une ligne à l’autre lorsque la première est franchie ;
• le principe de Kerckhoffs, qui, dans une interprétation maximaliste,
pose que la sécurité d’un mécanisme ne doit pas reposer sur le secret de
son design, sans toutefois imposer que celui-ci soit public. Pour le cas
particulier des algorithmes cryptographiques, historiquement celui
traité par Auguste Kerckhoffs, il s’agit de n’avoir comme hypothèse de
sécurité obligatoire que le secret de la clé ;
• l’analyse dite « coûts/bénéfices », qui doit permettre de mettre en
balance les coûts de mise en œuvre de mécanismes et les bénéfices qui
en sont attendus. S’il n’est pas toujours possible de mener cette
réflexion de manière quantitativement précise, il semble au moins
nécessaire d’adopter une démarche qualitative ;
• l’augmentation de la résilience des systèmes protégés, en partant du
principe que ceux-ci seront de toute façon exposés à des attaques et
seront effectivement agressés.
D’autres principes, comme celui dit du « moindre privilège », qui
consiste à ne conférer à un utilisateur d’un système que les droits dont il a
réellement besoin et pas davantage, la compartimentation ou encore
l’indépendance entre contrôleur et contrôlé sont également des principes
sains et courants.

2. Décourager les attaquants

La question du découragement mérite une digression dédiée. Au niveau


étatique, elle appelle notamment une vigilance particulière quant au choix
des mots : la doctrine française réservera ainsi l’utilisation du terme
« dissuasion » aux questions nucléaires. Si en première approche, les idées
de décourager ou de dissuader un acte hostile semblent identiques, les
différences entre les deux champs, cyber et nucléaire, sont multiples.
L’arme nucléaire est parfois qualifiée « d’arme de non-emploi », les
doctrines qui l’entourent étant conçues pour que son utilisation se fasse en
ultime recours. Sa conception et son élaboration s’appuient sur des
technologies, des compétences et des matériaux rares et très coûteux, dont
l’acquisition et la maîtrise sont le fait de très peu d’entités, dans ou proche
de la sphère étatique. Son explosion est très visible, elle est facilement
détectable et attribuable. Il est très difficile, voire impossible, de s’en
protéger. Les doctrines de dissuasion nucléaire reposent, la plupart du
temps, sur une rhétorique et une crédibilité sur le long terme, ainsi que sur
la possibilité d’engager des « escalades » tout au long desquelles se
trouvent des points de rupture qui permettent, le cas échéant, des arrêts nets.
L’arme nucléaire met face à face des États, en nombre fini et mesurable. Le
champ doctrinal associé est, on le constate aisément, plutôt bien délimité et
jonché de marqueurs stratégiques assez forts.
Une fois toutes les précautions intellectuelles prises afin de ne pas
mélanger les doctrines, force est de constater que, même dans le domaine
cyber, le meilleur moyen de se défendre est encore de ne pas être
attaqué. C’est l’état qui est recherché par la mise en œuvre de démarches
de découragement, dont le principe fondamental est simple : augmenter le
coût de l’attaque pour les attaquants de façon à les décourager de la
mener.
Afin de décourager effectivement de potentiels assaillants, plusieurs
piliers sont essentiels dans la mise en œuvre de telles démarches par un
État.
Le premier pilier consiste à disposer de moyens crédibles permettant
une réponse graduée, proportionnée et maîtrisée, soit pour riposter vers
l’attaquant, soit pour jouer sur la résilience – réelle ou affichée – des entités
ciblées. Ces moyens peuvent être très variés : mécanismes de protection et
de défense cyber, capacités d’attaques numériques, moyens militaires
« cinétiques », mécanismes de sanctions économiques, procédures
diplomatiques, moyens judiciaires, etc. S’il est évident de comprendre en
quoi toute publicité faite autour de moyens de réponse orientés vers un
agresseur potentiel serait de nature à le décourager de passer à l’acte, des
éléments plus « défensifs » sont également susceptibles de remplir cette
fonction : la publication d’une stratégie nationale de cyberdéfense, la
création d’une entité gouvernementale chargée de ces questions, la mise en
place d’équipes dédiées à la cyberdéfense ou encore l’élaboration d’un
cadre réglementaire favorisant la protection des actifs numériques essentiels
sont autant de leviers permettant de montrer à de potentiels attaquants qu’il
ne sera pas simple de s’en prendre à des entités d’intérêts pour un État et
que cela appellerait sans doute une réponse significative de la part de l’État
en question.
Le deuxième pilier, particulièrement complexe, consiste à, d’une manière
ou d’une autre, faire comprendre à de potentiels agresseurs qu’il existe
une « ligne à ne pas franchir ». On peut s’interroger sur l’opportunité de
définir un ou plusieurs seuils formels, et de les rendre publics. Des
éléments de réflexion empruntés aux doctrines nucléaires sont ici utiles.
Ainsi, publier des seuils fixés présenterait des inconvénients.
Paradoxalement, ils pourraient donner de la lisibilité à de potentiels
assaillants qui, connaissant avec précision les limites à ne pas dépasser,
pourraient veiller à rester juste en dessous. Par ailleurs, selon une logique
très classique en doctrine nucléaire, l’expression de la souveraineté passe
par une triple liberté : appréciation, décision et action. Laisser du flou
autour des seuils de réponse permet ainsi de préserver le deuxième aspect,
en laissant au pouvoir souverain toute latitude dans la décision quant à la
réponse à apporter à une agression. Une illustration relativement concrète
de ces considérations se trouve par exemple dans le dispositif français de
protection des infrastructures critiques, qui repose sur le concept
« d’opérateurs d’importance vitale » (OIV), décrit dans le code de la
défense. La liste de ces opérateurs, dont nous reparlerons plus loin, n’est
pas publique : elle relève du secret de la défense nationale. Même si une
grande partie des éléments de cette liste pourrait aisément être devinée, la
rendre publique reviendrait, en quelque sorte, à publier des seuils et à
donner de la lisibilité à des attaquants potentiels.
Enfin, le troisième pilier d’une démarche de découragement consiste à
indiquer, de manière publique ou non, directe ou non, que la « ligne à
ne pas franchir » l’a été.

3. Protéger les SI

Les mécanismes de protection contre l’agression numérique sont


probablement parmi les choses les plus fondamentales à mettre en place
face au risque cyber. Nous en proposons ici une liste non exhaustive mais
relativement complète. Les détails concernant chacun des mécanismes
peuvent être trouvés dans les nombreux ouvrages spécialisés disponibles
par ailleurs. Peuvent ainsi être cités les mécanismes suivants :
• mesures de cloisonnement, qui résultent de l’association de mécanismes
de segmentation et de filtrage ;
• mécanismes de contrôle d’accès, incluant l’identification,
l’authentification et les autorisations – par exemple à travers le service
d’annuaire Active Directory de Microsoft pour les systèmes Windows ;
• mécanismes de gestion de l’administration d’un SI ;
• mesures de gestion des entrées et sorties de données et des supports
amovibles ;
• mécanismes, notamment cryptographiques, de protection des données ;
• mécanismes de sécurité des interconnexions et des « passerelles » (p. ex.
pare-feux, DMZ) ;
• mécanismes de sécurité vis-à-vis des « signaux parasites
compromettants » (SPC/TEMPEST) induits par les rayonnements
électromagnétiques ;
• mécanismes de sécurité physique : gardiennage, verrous, palissades,
grillages, capteurs environnementaux, etc.
Une partie significative de ces mesures peuvent être considérées comme
relevant de la « bonne pratique » et s’inscrivent dans une logique de
« mesures d’hygiène », permettant de parer un « tout-venant » d’attaques
génériques. D’autres permettront de parer des attaques plus sophistiquées et
plus ciblées.
De façon réaliste, tout défenseur devrait être frappé par une évidence :
s’il est déterminé et qu’il y met les moyens nécessaires, il est
extrêmement probable qu’un attaquant compétent finisse par trouver
une façon de contourner ces mesures de protection et de pénétrer le
système qu’il cible. C’est pourquoi il sera nécessaire de compléter une
base de mesures de protection par des mesures de défense et de
résilience. C’est l’approche de « pilotage par le risque », décrite
précédemment, qui devra permettre de trouver l’équilibre le plus
pertinent entre les différentes catégories de mesures à mobiliser, et
notamment entre protection, défense et résilience.

4. Détecter les attaques

a. Au niveau d’une organisation


i. De quoi parle-t-on ?
Mettre en place des mesures préventives est évidemment un aspect
essentiel pour assurer la cybersécurité d’un système. Ce n’est néanmoins
pas le seul. Une fois les éléments de protection déployés, il est également
utile de dédier des ressources à la supervision du système, avec la finalité
de détecter les incidents de sécurité qui pourraient survenir.
Pour ce faire, une capacité de supervision de sécurité s’appuie au
minimum sur des outils logiciels ou matériels et des données pour les
orienter correctement. Pour détecter des attaques « non triviales », une
analyse humaine est par ailleurs quasiment indispensable. Dans des cas où
la capacité est mise en œuvre comme un service pour l’ensemble d’une
organisation ou d’un groupe d’organisations, on peut déployer une
infrastructure plus significative et employer des ressources humaines
spécialisées pour assurer des fonctions de veille, d’analyse et
éventuellement de réponse. Le terme de « Security Operations Center »
(SOC) est souvent employé pour désigner ce type de capacité.
Les objectifs d’une capacité de supervision et de détection des incidents
de sécurité sont généralement les suivants :
• détecter au plus tôt des anomalies dans le fonctionnement d’un SI
pour alerter et permettre le déclenchement de réponses appropriées. Les
alertes soulevées par un système de supervision étant par nature
imparfaites, la phase de qualification, et éventuellement de réponse, qui
s’ensuit est absolument essentielle ;
• donner de la visibilité quant au niveau de menace cyber auquel le
système défendu fait face et au niveau de sécurité qu’il présente ;
• en cas d’incident, aider à la caractérisation, à la recherche des signes
d’une compromission et à l’orientation du dispositif de réponse ;
• nourrir les fonctions dédiées à l’anticipation de la menace d’origine
cyber portant sur le système concerné ;
•le cas échéant, surveiller et analyser le comportement d’un attaquant
qui aurait été détecté.
Si l’on s’autorise à utiliser le terme de « souveraineté » au-delà de la
sphère étatique, il semble clair que la supervision de sécurité et la détection
subséquente d’attaques cyber constituent un véritable enjeu de
souveraineté pour les États, les organisations et les citoyens. Par définition,
l’exercice de la souveraineté repose en effet sur une liberté d’appréciation,
de décision et d’action. En matière de cybersécurité, la première de ces trois
composantes, l’appréciation, repose largement sur la capacité à détecter le
fait qu’une attaque a eu lieu, a lieu, ou – encore mieux – va avoir lieu.

ii. Les dispositifs de détection : approches et positionnements


Les dispositifs de détection et de prévention d’intrusion, parfois
appelés dans le langage courant « sondes de détection », sont des
dispositifs logiciels ou matériels destinés à détecter et éventuellement à
bloquer les tentatives d’intrusion dans un système d’information. On
parle parfois d’Intrusion Detection System (IDS), et également d’Intrusion
Prevention System (IPS) pour les outils qui, outre détecter, cherchent aussi à
bloquer les attaques9.
De façon générale, ces dispositifs de détection ont plusieurs fonctions :
• générer des « évènements » manipulables à partir des données brutes
du fonctionnement d’un système ;
• filtrer, agréger, corréler et analyser ces évènements pour générer des
« alertes » quant à d’éventuelles activités malveillantes ;
• conserver des éléments utiles pour la conduite d’analyses a posteriori ;
• prévenir, réagir, voire neutraliser.
Ils peuvent rechercher la détection de « signatures » ou de
comportements anormaux.
L’approche par les signatures permet de détecter des schémas connus.
Elle nécessite un moteur de détection employant un ou plusieurs
algorithmes de détection, ainsi qu’une base de données de signatures. Son
efficacité repose notamment sur la qualité et la complétude de cette base de
données. Par définition, elle ne peut détecter que des attaques déjà connues
et s’inscrit donc dans une posture essentiellement réactive. Elle présente
toutefois l’avantage de produire et de manipuler des éléments
« actionnables », structurables et partageables, tels que les signatures et les
alertes.
L’approche fondée sur la détection de comportements anormaux peut
s’avérer un peu plus complexe à mettre en place. Dans un certain nombre
de cas, elle peut par exemple nécessiter une phase d’apprentissage dans un
environnement sain pour comprendre ce qui y est « normal ». Elle présente
l’avantage de permettre d’espérer détecter des signaux faibles, des
« nouvelles » attaques et par exemple le changement de comportement d’un
utilisateur légitime – en analysant des facteurs tels que les plages horaires
de travail, le nombre de fichiers copiés, le volume d’activité, etc. Elle peut
toutefois générer un nombre de faux positifs significatif et nécessiter des
analyses poussées pour qualifier les alertes et comprendre les causes d’une
anomalie détectée.
Enfin, on notera que ces dispositifs peuvent être positionnés à plusieurs
endroits du système à défendre.
Ils peuvent être situés sur un lien réseau – on parle parfois de
« Network-based Intrusion Detection System » (NIDS) – où ils supervisent
et analysent en temps réel le trafic qui y transite depuis et vers des
terminaux. Parmi les grands défis posés par cette approche, on citera les
problématiques de performance – pour réussir à analyser en temps réel des
débits importants de données – et également les enjeux liés au chiffrement
de bout en bout des flux, qui sont susceptibles de rendre cette méthode
inefficace.
Ils peuvent aussi être placés directement sur des systèmes terminaux –
on parle parfois de « Host-based Intrusion Detection System » (HIDS) – où
ils analysent les journaux d’évènements, contrôlent les accès, vérifient
l’intégrité des fichiers ou encore surveillent les processus. Les antivirus et
les outils dits « Endpoint Detection and Response » (EDR) sont des
exemples courants de tels dispositifs. Ils sont par nature très dépendants du
système sur lequel ils sont installés, de son système d’exploitation, de ses
applications et de ses ressources. Ils sont plus « proches » de l’utilisateur,
car le plus souvent installés sur son terminal, et peuvent offrir une réponse
efficace à la problématique de la gestion du chiffrement – puisqu’un flux
chiffré de bout en bout finit par être déchiffré sur le terminal et peut donc
être analysé – mais ne sont par exemple pas en mesure de détecter les
attaques très orientées sur le réseau telles que les attaques par DDoS (dont
les effets sont toutefois normalement très visibles assez rapidement, même
sans dispositif particulier de supervision…). Se pose par ailleurs la question
essentielle de leur innocuité : pour être efficaces, ils ont souvent besoin de
privilèges sur les systèmes sur lesquels ils sont placés, mais dès lors qu’ils
disposent de tels privilèges, potentiellement élevés, ils peuvent devenir des
cibles intéressantes pour les attaquants…

iii. Quelques enjeux stratégiques pour la détection


De façon générale, plusieurs grands enjeux jouent un rôle significatif
dans la mise en œuvre réussie d’une capacité de détection des
cyberattaques.
Un premier enjeu fondamental réside dans la capacité à paramétrer, à
calibrer et, le cas échéant, à faire apprendre un système de détection.
La notion même de cyberattaque est par essence relativement complexe à
appréhender. Les attaques peuvent prendre des formes extrêmement
diverses, et ce qui peut constituer un comportement normal et légitime sur
certains systèmes peut être considéré comme malveillant dans d’autres
contextes. Tous ces facteurs impliquent qu’un calibrage est souvent
nécessaire sur les systèmes de détection, afin de leur faire « apprendre » ce
qui pourrait être considéré comme malveillant ou non. Les activités mal
« comprises » par un système de détection sont souvent qualifiées de
« faux ». Deux types de « faux » peuvent être distingués : les « faux
positifs », qui sont des activités légitimes détectées comme potentiellement
malveillantes ; et les « faux négatifs », qui sont des activités effectivement
malveillantes, mais non détectées par le système. Tout l’enjeu du bon
calibrage du système repose sur l’élimination progressive de ces deux types
de « faux », pour détecter effectivement les activités malveillantes, le plus
possible d’entre elles, et uniquement celles-ci.
Cette phase souligne l’importance de disposer de données de qualité sur
lesquelles pourra s’appuyer le système pour fonctionner. Ces données
pourront être générées par le système lui-même. Elles pourront également
être issues d’analyses précédentes, décrire des attaques déjà connues, et être
« chargées » dans le système. On parle souvent ici, selon les contextes, de
« bases virales », « d’indicateurs de compromission » (ou « IOC » pour
« indicators of compromise ») ou plus généralement de « signatures ». Au
sein de la communauté de la cyberdéfense – notamment les éditeurs de
produits de sécurité tels que les antivirus, les équipes de cyberdéfense, les
autorités gouvernementales ou encore les entreprises de CTI – ces données
font l’objet d’échanges et de partages.
Les considérations précédentes sur le calibrage et les « faux » nous
amènent naturellement à considérer l’importante question de la
qualification des alertes remontées par le système de détection. En effet,
dans un grand nombre de cas, lorsque le système supervisé est « simple »
(p. ex. un ordinateur individuel) et lorsque les moyens et méthodes utilisés
pour mener l’attaque cyber sont identifiés (par exemple dans le cas d’un
maliciel « grand public »), le système de supervision sera potentiellement
capable d’agir de manière autonome de l’alerte à la remédiation (par la mise
en quarantaine et la suppression des fichiers infectés par exemple).
Néanmoins, dans le cas d’attaques plus sophistiquées, menées de façon
ciblée sur des systèmes complexes, il est très courant que le système de
supervision ne puisse pas faire mieux que de remonter des alertes, qui vont
nécessiter un traitement par un analyste humain pour les caractériser et
déterminer si elles sont effectivement le symptôme d’une attaque cyber
avérée. Cette phase est loin d’être anodine et anecdotique. Si de nombreux
outils techniques ont été développés au fil du temps pour aider l’être
humain dans cette tâche, ce dernier reste bien souvent essentiel au sein du
processus de supervision. Certaines alertes requièrent en effet des analyses
plus poussées, s’appuyant notamment sur l’étude de journaux
d’évènements, qui ne peuvent à ce jour pas être menées par une machine
seule.
Un autre enjeu général derrière les questions liées à la détection des
cyberattaques est celui de la perception de l’efficacité des systèmes de
supervision. En effet, nous l’avons déjà vu : si de nombreuses
cyberattaques ont des effets relativement visibles par l’utilisateur, un
nombre croissant d’entre elles sont menées de telle sorte à ce que ces effets
soient le plus discret possible. Par ailleurs, l’on ne dispose souvent pas
vraiment d’autres moyens que le système dont on cherche justement à
évaluer l’efficacité – c’est-à-dire sa capacité à détecter des incidents – pour
savoir s’il se passe quelque chose… Ne « rien voir » peut dès lors tout
autant signifier qu’il ne se passe rien, ou bien qu’il se passe quelque
chose mais qu’on n’arrive pas à détecter l’évènement.
L’accroissement des capacités de traitement et de transfert de
données ainsi que la démocratisation des technologies haut débit
constituent des défis importants pour les capacités de détection. Celles-ci
doivent en effet analyser en « temps réel » des flux de données de plus en
plus importants, et le cas échéant mettre en œuvre des mesures de réponse
(au moins alerte, voire blocage). Outre l’analyse des flux au niveau
« tactique », une certaine prise de recul permettant de détecter des signaux
faibles en amont est, au regard de la complexité et de la sophistication
croissantes des attaques, à la fois de plus en plus nécessaire et de plus en
plus compliquée. La gestion du « bruit » généré par ces signaux faibles
constitue un défi technique à part entière.
Les fonctions de détection font par ailleurs face à l’émergence de
« nouveaux » usages et types de systèmes, dont les caractéristiques ont
des implications particulières sur les capacités à détecter correctement les
comportements malveillants. Parmi eux, l’on pourra par exemple citer
l’utilisation du chiffrement de bout en bout (par ailleurs nécessaire pour
protéger la confidentialité des échanges), la mobilité, les systèmes
embarqués (qui par construction sont difficiles à mettre à jour et ont des
ressources de traitement et de stockage limitées, ne se prêtent donc pas
toujours bien à la mise en œuvre de fonctions de détection et ont de forts
besoins de « défense périmétrique ») ou encore les objets connectés. La
tendance du passage au « cloud » constitue elle aussi un défi – il est plus
difficile de « cerner » le système à défendre – autant qu’une opportunité –
en permettant de tirer profit de synergies offertes par la mutualisation des
produits et services proposés.

b. La détection en France en bref

Comme nous le verrons plus loin, les questions de cybersécurité font


l’objet d’une prise en compte au plus haut niveau de l’État français.
Cette dynamique s’est notamment traduite par la mention, dans le Livre
blanc sur la défense et la sécurité nationale10 de 2008, de la notion de
sécurité des systèmes d’information au sein d’un « domaine de
souveraineté » et d’un « premier cercle » de « capacités nécessaires au
maintien de l’autonomie stratégique et politique de la nation ».
Le livre blanc indique ainsi que « face à une menace croissante d’origine
étatique ou non étatique, la France doit se doter à court terme d’une
capacité réactive de défense de ses systèmes d’information. Seront
développés, à cette fin, nos moyens de détection précoce des attaques
informatiques en mettant sur pied un centre de détection chargé de la
surveillance permanente des réseaux sensibles et de la mise en œuvre de
mécanismes de défense adaptés ». Il prévoit la création de l’actuelle Agence
nationale de la sécurité des systèmes d’information (ANSSI) et la charge de
mettre en œuvre « une capacité centralisée de détection et de défense
face aux attaques informatiques ».
En 2013, le nouveau Livre blanc sur la défense et la sécurité nationale11
confirme ces orientations en indiquant que la « capacité de se protéger
contre les attaques informatiques, de les détecter et d’en identifier les
auteurs est devenue un des éléments de la souveraineté nationale » et
que la « capacité de produire en toute autonomie nos dispositifs de sécurité,
notamment en matière de cryptographie et de détection d’attaque, est à cet
égard une composante essentielle de la souveraineté nationale ».
Fin 2013, la loi de programmation militaire 2014-201912, en s’appuyant
sur les conclusions du livre blanc, comprend des dispositions liées au
renforcement de la cybersécurité des opérateurs d’importance vitale
(OIV). S’agissant de la détection des attaques cyber, il est prévu que
l’ANSSI mette en place un dispositif de qualification de prestataires de
détection des incidents de sécurité (PDIS). Pour réaliser les prestations
qui s’inscrivent dans ce cadre réglementaire, ceux-ci doivent s’appuyer sur
des produits de détection également qualifiés par l’ANSSI.
Enfin, en 2018, la loi de programmation militaire 2019-202413
comporte de nouvelles dispositions liées à la cybersécurité, dans la
continuité cette fois des conclusions de la Revue stratégique de
cyberdéfense publiée en février 2018. L’article 34 de la loi prévoit des
mesures spécifiquement destinées à améliorer les capacités de détection
des évènements susceptibles d’affecter la sécurité des SI de l’État, des
autorités publiques et d’opérateurs publics et privés. Nous y reviendrons
plus en détails dans le chapitre suivant.
c. Les centres de réponse aux incidents informatiques :
les CSIRT et les CERT

Le cours de l’histoire de la sécurité informatique a conduit à la


structuration de concepts capacitaires désormais largement répandus, qui
nous offriront une excellente transition entre les enjeux liés à la détection et
ceux liés à la réponse : les Computer Security Incident Response Teams
(CSIRT) et les Computer Emergency Response Teams (CERT).
Le concept de CSIRT/CERT nous amène à évoquer l’anecdote à l’origine
de son émergence, plusieurs décennies en arrière. En novembre 1988, un
logiciel de type « ver » se propage sur Internet depuis le MIT. Le créateur
du logiciel, Robert Tappan Morris, a affirmé que sa fonction initiale était
d’être une preuve de concept de la possibilité de se propager à travers un
réseau. Malheureusement, une erreur de programmation a, en plus d’être
viral, rendu le programme dangereux, en l’amenant à saturer les ressources
d’une machine infectée, jusqu’à la mettre en état de déni de service et à la
rendre de fait inutilisable.
Les impacts du « ver de Morris » restent difficiles à quantifier
précisément, mais sa propagation aurait causé, selon le Government
Accountability Office américain, des dommages chiffrés dans une fourchette
située entre 100 000 et 10 millions de dollars américains. Cette affaire fut
l’occasion d’une prise de conscience de la nécessité de disposer de
capacités organisées d’alerte et de réponse aux incidents informatiques.
La DARPA, l’agence du département de la Défense américain en charge du
développement de technologies émergentes pour des usages militaires, a
ainsi, dans la foulée de cet épisode, financé la création du premier CSIRT :
le CERT/CC, pour « Computer Emergency Response Team/Coordination
Center », hébergé à l’université de Carnegie Mellon. Si l’acronyme CSIRT
est un terme générique, l’acronyme CERT fait quant à lui l’objet d’un
dépôt de marque par l’université.
La création du CERT/CC a été la première brique de la construction
d’une véritable constellation de CSIRT et de CERT qui ont progressivement
vu le jour à travers le monde. Les CSIRT/CERT sont caractérisés par
plusieurs propriétés structurantes telles que les publics qu’ils servent et les
thématiques auxquelles ils s’intéressent. Parmi les publics servis, l’on
peut trouver des gouvernements, le grand public, un secteur d’activité
particulier, un type d’organisation particulier, un tissu local spécifique, une
liste de clients d’une entreprise donnée, etc. S’agissant des thématiques
traitées, l’on a assisté à l’émergence de CSIRT/CERT spécialisés dans
certains domaines aux caractéristiques très spécifiques tels que celui des
systèmes industriels.
En fonction de leurs finalités (publics, thématiques, etc.), les
CSIRT/CERT sont amenés à se voir confier un ensemble de missions
adaptées. Celles-ci sont néanmoins relativement similaires d’un
CSIRT/CERT à l’autre, et l’on retrouve souvent les missions classiques
suivantes :
• centralisation des demandes d’assistance suite aux incidents de
sécurité : réception des demandes, analyse des symptômes et
éventuelle corrélation des incidents ;
• traitement des alertes et réaction aux attaques informatiques :
analyse technique, échange d’informations avec d’autres CSIRT,
contribution à des études techniques spécifiques ;
• établissement et maintenance d’une base de données des
vulnérabilités ;
• prévention par diffusion d’informations sur les précautions à prendre
pour minimiser les risques d’incident ou leurs conséquences ;
• coordination éventuelle avec d’autres entités hors du domaine
d’action initial : centres de compétence, opérateurs et fournisseurs
d’accès à Internet, CSIRT nationaux et internationaux.
Un aspect essentiel du fonctionnement des CSIRT/CERT est la
constitution de réseaux et de communautés, auxquels ils prennent part et
au sein desquels ils échangent des informations et des bonnes pratiques.
De nombreux réseaux, ainsi que des méthodes de travail communes ou au
moins interopérables (p. ex. des standards de marquage de la sensibilité des
informations tels que le fameux Traffic Light Protocol (TLP)14), ont ainsi
été mis en place depuis la fin des années 1980. Nous pouvons en citer
quelques-uns incontournables :
• le réseau des CSIRT des États membres de l’Union européenne, mis
en place par la directive européenne sur la sécurité des réseaux et de
l’information, dite « NIS », dont nous reparlons dans le chapitre
consacré aux enjeux internationaux ;
• l’European Government CERT (EGC), groupe informel de CSIRT
gouvernementaux européens ;
• le Forum of Incident Response and Security Teams (FIRST),
historiquement l’un des premiers réseaux de CSIRT.
En France, il existe plusieurs dizaines de CERT. Plus d’une trentaine
d’entre eux se réunissent au sein d’un groupe informel appelé
l’InterCERT-FR. Parmi eux, le CERT-FR est le CERT national français.
Hébergé à l’ANSSI, il succède au « CERTA », le CERT de
l’Administration, dont la création avait été annoncée par le Premier ministre
Jospin en janvier 1999 pour répondre au constat de la nécessité de
« renforcer et de coordonner la lutte contre les intrusions dans les systèmes
informatiques des administrations de l’État ».

5. Réagir à une attaque

a. Au niveau d’une organisation ou d’un individu

Dans la même logique que précédemment, nous commençons par citer ici
brièvement quelques mécanismes de défense et de résilience parmi les
plus courants, laissant les lecteurs intéressés se référer à la littérature
spécialisée pour plus de détails :
• mécanismes de supervision, de détection et de réponse aux incidents (p.
ex. Intrusion Detection Systems (IDS), Security Information and Event
Management (SIEM), Endpoint Detection and Response (EDR),
antivirus) ;
• politiques de sauvegarde et d’archivage ;
• plans de continuité d’activité (PCA) et de reprise d’activité (PRA) ;
• organisations de gestion de crise.
Au niveau d’une organisation (ou dans une certaine mesure, d’un
individu), les grandes étapes de la réponse à une cyberattaque peuvent
être synthétisées comme suit :
• chercher à comprendre et à caractériser l’attaque, ses impacts
potentiels et les risques résiduels qu’elle induit ;
• chercher à contenir l’attaque, et à protéger dans la mesure du possible
les systèmes non touchés pour qu’ils ne le soient pas, et les systèmes
déjà touchés pour qu’ils ne le soient pas davantage ;
• dans la mesure du possible, faire des copies des systèmes touchés ou
susceptibles de l’avoir été ;
• désinfecter et réparer, ou repartir d’un système « vierge » en
restaurant et en reconstruisant. Il s’agit ici de retrouver des
fondamentaux sains : applications à jour, correctifs de sécurité
appliqués, données restaurées, systèmes « durcis », applications et
services inutiles désinstallés ou désactivés, mesures de sécurités
appropriées en place, etc. En particulier, il s’agira de s’assurer, le cas
échéant, qu’un attaquant qui aurait pris pied sur un système en aura été
expulsé, et que le coût de son éventuel retour sur celui-ci aura été
significativement augmenté.
Idéalement, outre ces mesures orientées vers les SI touchés ou
potentiellement visés, plusieurs activités sont à envisager, pendant ou après
l’attaque :
• chercher à capitaliser un retour d’expérience (on parle souvent de
« RETEX » ou de « REX ») de l’attaque, notamment des vulnérabilités
qu’elle a pu exploiter, pour chercher à les corriger, ou encore de
l’efficience des procédures de réponse mises en œuvre ;
• chercher à demander de l’aide, pour progresser sur la résolution
technique de l’incident ou pour obtenir, le cas échéant, une réparation
proportionnée du préjudice subi – la question du dépôt de plainte est
abordée spécifiquement plus loin ;
• envisager de communiquer à bon escient.
S’il y a encore quelques années, peu d’organisations
communiquaient publiquement sur les attaques dont elles étaient
victimes, cette situation tend à évoluer. De façon non exhaustive,
plusieurs facteurs peuvent expliquer cette direction :
• un volume toujours croissant d’attaques, et notamment d’attaques
potentiellement visibles à l’extérieur de l’organisation, telles que les
DDoS ou les rançonnages ;
• une détection et une compréhension des attaques par les victimes qui
tendent à s’améliorer ;
• de façon subséquente au point précédent, la capacité croissante des
victimes d’expliquer – et plus précisément, de maîtriser ce qu’elles
expliquent – ce qui a pu les toucher et les conséquences afférentes ;
• un cadre réglementaire qui tend à encourager, voire à obliger, les
victimes à notifier les incidents. L’article 33 du règlement général sur
la protection des données (RGPD) prévoit par exemple l’obligation,
pour une organisation traitant des données à caractère personnel, de
notifier à la CNIL les violations (i.e. perte de disponibilité, d’intégrité
ou de confidentialité, de manière accidentelle ou illicite) de ces données
dont elle pourrait être victime. L’article 34 du même règlement impose
par ailleurs, dans le cas où la violation est susceptible d’engendrer un
risque élevé pour les droits et libertés d’une personne physique, d’en
informer cette dernière ;
• un changement progressif d’approche, évoluant d’un modèle dans
lequel être victime d’une attaque est perçu comme une faiblesse
honteuse à un autre dans lequel il devient possible de trouver des
leviers de communication plus positifs (p. ex. acte de transparence,
contribution à l’organisation de la compréhension et de la prévention
d’une menace, fourniture de données quantitatives utiles).

i. Chercher de l’aide
En France, en fonction de la « catégorie » à laquelle appartient la victime,
plusieurs acteurs peuvent être sollicités. L’ANSSI tient une liste à jour
sur son site web15. Parmi les principaux acteurs susceptibles d’apporter une
aide, ou plus largement d’intervenir dans les phases de compréhension de
l’attaque, d’enquête ou de remédiation, on peut citer :
• l’ANSSI, s’agissant notamment de la sphère étatique, des OIV, des
« opérateurs de services essentiels » (OSE) et des « fournisseurs de
service numérique » (FSN)16 ;
• le dispositif d’assistance aux victimes d’actes de
cybermalveillance17, qui peut apporter des éléments de sensibilisation
aux particuliers, TPE/PME et collectivités territoriales notamment, et
les rediriger, en cas d’incident, vers des prestataires privés locaux ;
• l’Office central de la lutte contre la criminalité liée aux technologies
de l’information et de la communication (OCLCTIC), service
judiciaire de la sous-direction de lutte contre la cybercriminalité de la
direction centrale de la police judiciaire (DCPJ), compétente pour des
actes de piratage, de fraude aux moyens de paiement et d’escroqueries
sur Internet touchant les particuliers et les PME sur l’ensemble du
territoire français ;
• la Brigade d’enquête sur les fraudes aux technologies de
l’information (BEFTI) de la direction régionale de la police judiciaire
de Paris, compétente pour les investigations relatives aux actes de
piratage commis à l’encontre de particuliers et PME dans la zone de
Paris et de ses départements limitrophes ;
• le Centre de lutte contre les criminalités numériques (C3N) du
service central du renseignement criminel de la gendarmerie nationale,
service à compétence judiciaire nationale pour les atteintes aux
systèmes de traitement automatisés de données (STAD) visant les
particuliers et les organismes. Il n’a toutefois pas vocation à recevoir du
public, et agit essentiellement d’initiative ou saisi par le parquet ;
• la Direction générale de la sécurité intérieure (DGSI), cheffe de file
du renseignement intérieur, portant la mission de protection des intérêts
fondamentaux de la Nation et traitant notamment les actes de piratage
ciblant les réseaux d’État, les établissements composés de zones à
régime restrictif (ZRR) et les OIV ;
• de façon plus générale, le commissariat de police ou la gendarmerie
les plus proches, pour porter plainte.
Outre ces entités étatiques, les victimes peuvent également se faire
assister par des prestataires privés de réponse aux incidents :
• les particuliers, PME/TPE et collectivités territoriales se tourneront plus
naturellement vers l’un des prestataires locaux référencés sur la plate-
forme mise en place par le dispositif cybermalveillance.gouv.fr ;
• les organisations de plus grosse taille ou exerçant une activité critique
pour les intérêts de la Nation (notamment les OIV et les OSE) pourront
envisager de recourir à des prestataires de réponse aux incidents de
sécurité (PRIS) qualifiés par l’ANSSI, dont la liste à jour est disponible
sur le site de l’agence.
Le CERT-FR constitue également un bon point d’entrée pour consulter
des alertes de sécurité, des rapports sur des menaces et des incidents, des
avis de sécurité, des indicateurs de compromission et, plus largement, des
bulletins d’actualité relatifs à la menace d’origine cyber.

ii. Une démarche judiciaire : le dépôt de plainte


Le dépôt de plainte est une façon d’initier une procédure judiciaire
visant à identifier le responsable d’un acte de malveillance et d’obtenir,
le cas échéant, la réparation du préjudice subi par la victime.
L’identification des attaquants est un sujet particulièrement épineux.
Comme nous le reverrons plus loin, l’attribution d’une cyberattaque à un
commanditaire est une démarche sensible, complexe techniquement, et qui
peut prendre une dimension politique non moins complexe. Plus l’attaquant
est organisé, dispose de moyens importants et met en œuvre une démarche
planifiée, sophistiquée et complexe, plus l’acte d’attribution peut s’avérer
difficile, voire impossible avec certitude. Si au niveau stratégique de la
conflictualité entre États cette phase peut être parfois inextricable, il reste
possible, pour de nombreux actes de cybercriminalité relevant d’une
menace moins sophistiquée, de remonter jusqu’à des auteurs. Ceci n’est
néanmoins envisageable qu’à travers une enquête judiciaire en bonne
et due forme, ouverte après un avis aux autorités judiciaires. Le levier
judiciaire offre alors plusieurs possibilités aux investigateurs, telles que les
réquisitions judiciaires, s’avérant parfois ainsi être le seul moyen efficace
d’obtenir des informations.
Plusieurs principes essentiels guident la procédure judiciaire dont deux
en particulier : le principe du contradictoire et celui du secret de
l’enquête.
Le principe du contradictoire est énoncé dans l’article préliminaire du
code de procédure pénale : « la procédure pénale doit être équitable et
contradictoire et préserver l’équilibre des droits des parties ». Il implique la
réversibilité des investigations et des procédures ayant abouti à un
résultat. Il garantit à chaque partie le droit de prendre connaissance des
« éléments de fait, de droit et de preuve » à partir des desquels un jugement
pourrait être prononcé.
Le point précédent nous amène logiquement sur la question de la
« preuve numérique », dont aucune définition précise n’est actuellement
donnée dans le code de procédure pénale. Elle peut néanmoins être décrite
comme tout élément matériel ou immatériel (donc a priori des supports
physiques comme des contenus numériques) recueilli et analysé dans le
respect de la législation en vigueur et apportant un indice à la
juridiction chargée du jugement. Comme pour des faits non cyber, il est
donc essentiel de pouvoir assurer l’authenticité, la traçabilité et la
conservation de la preuve numérique, et plus largement de garantir la
qualité et l’intégrité de la « chaîne de la preuve ». Le caractère
immatériel, et donc volatile, des contenus numériques, est un point de
préoccupation important pour les services enquêteurs dans le cadre de
l’accès aux preuves.
Pour faire écho à la question mentionnée plus haut de la communication
autour d’une attaque cyber, il est intéressant de rappeler le principe
fondamental du secret de l’enquête18. Par défaut, le code de procédure
pénale prévoit ainsi que la procédure menée au cours d’une enquête et
d’une instruction est secrète. Seul le procureur de la République peut,
pour un certain nombre de raisons (p. ex. éviter la propagation
d’informations inexactes ou mettre fin à un trouble à l’ordre public),
décider de rendre publics des éléments objectifs tirés d’une procédure en
cours. Toute communication qui pourrait être faite autour d’une
cyberattaque judiciarisée devra donc tenir compte de ce principe essentiel.
De façon pratique, la démarche de dépôt de plainte nécessite que la
victime réunisse quelques éléments importants, et en particulier la liste des
préjudices subis (p. ex. vol ou suppression de données, manque à gagner),
l’adresse postale des machines attaquées, et les traces des dégâts engendrés
(p. ex. des journaux d’évènements ou des copies physiques de disques
durs).
De façon plus systémique, le concept de « chiffre noir » mérite d’être
abordé. Pour apporter une réponse appropriée à un phénomène de
criminalité, un État a besoin d’en connaître l’ampleur avec une
précision suffisante. Or, ce que l’on pourrait qualifier de « criminalité
réelle » est constituée de plusieurs grandes composantes : la criminalité
connue, enregistrée ou pas, d’une part ; et l’ensemble des infractions qui ne
sont pas connues, d’autre part. C’est ce second pôle qui est appelé, selon
l’expression consacrée, « chiffre noir ». Il représente l’ensemble des
infractions qui ont eu lieu mais qui n’ont pas été portées à la
connaissance du système judiciaire. Depuis de nombreuses années, les
raisons susceptibles d’expliquer l’existence de ce chiffre noir ainsi que les
façons de le réduire ont fait l’objet de préoccupations et de recherches dans
le monde de la criminologie. De façon non exhaustive, il y a par exemple :
• le fait que la victime ait ou non conscience du fait qu’elle est victime
d’un acte particulier ;
• le fait que la victime sache ou non que l’acte dont elle est victime
enfreint la loi, et que le système pénal est compétent pour le traiter ;
• le fait que le renvoi au système pénal peut être perçu comme inutile ou
peu rentable par la victime ;
• le fait que la victime puisse préférer régler l’affaire sans recourir au
système pénal ;
• le fait que la victime puisse avoir honte d’être victime ;
• le fait que la victime ait un statut ou un passif particulier (p. ex. des
démêlés avec la justice).
En essayant de transposer l’ensemble de ces problématiques dans le
domaine numérique, l’on constate rapidement que les caractéristiques
particulières de ce domaine sont souvent susceptibles d’amplifier les
facteurs qui catalysent le phénomène de chiffre noir :
• dans un certain nombre de cas, il n’est pas trivial pour les victimes de
détecter les attaques et de savoir qu’elles sont effectivement
victimes ;
• même lorsqu’elles ont conscience qu’il « se passe quelque chose », la
nature technique du sujet ne permet pas toujours à la victime de bien
comprendre les tenants et aboutissants de la situation dans laquelle
elle se trouve, et notamment les causes, impacts et potentiels
développements de l’attaque qu’elle subit ;
• quand bien même la victime a conscience d’être victime d’une
cyberattaque dont elle comprend les contours, elle n’a pas
nécessairement connaissance de la législation en vigueur en la
matière et du caractère illégal de certains actes ;
• et lorsque c’est le cas, elle peut ne pas imaginer qu’un commissariat
« physique » sera à même de recevoir une plainte sur un sujet
« virtuel » ;
• plus largement, elle peut considérer que la démarche de dépôt de
plainte peut être démesurément coûteuse au regard des bénéfices
espérés par la réparation du préjudice ;
• dans le cas d’une victime entreprise, celle-ci peut craindre des
répercussions négatives sur son image vis-à-vis de ses clients et
partenaires, si ceux-ci venaient à apprendre qu’elle a été victime d’une
cyberattaque, et donc qu’elle était potentiellement insuffisamment
protégée, ou simplement peu à l’aise avec l’outil numérique.
En tout état de cause, ce phénomène de chiffre noir est susceptible de
créer un cercle vicieux : moins les autorités seront capables d’évaluer
l’ampleur du problème, moins elles seront capables de proposer une
réponse proportionnée, et moins le problème se réglera.
Outre un effet bénéfique sur l’atténuation du chiffre noir, le dépôt de
plainte est également susceptible de fournir des avantages plus tactiques. En
effet, des démarches de dépôt de plainte menées de façon concomitante
par plusieurs victimes d’un même acte malveillant (ou d’une même série
d’actes menés par le même auteur) sont de nature à favoriser un meilleur
traitement du cas par les autorités judiciaires et les services enquêteurs,
augmentant ainsi considérablement les chances d’identifier le responsable,
de le sanctionner le cas échéant et d’obtenir réparation pour les victimes.
b. Dispositif étatique de réponse à une attaque cyber

Outre la réponse au niveau d’une organisation, il est également


intéressant d’étudier le dispositif de réponse de l’État français face à une
cyberattaque. Dans un premier temps, nous nous intéressons à la prise en
compte des questions cyber dans le dispositif interministériel français de
gestion de crise, afin de traiter les aspects liés aux causes et aux effets de
l’attaque chez les entités victimes. Nous verrons ensuite des leviers de
réponse davantage tournés vers l’agresseur qui peuvent être mobilisés
par les États.

i. La gestion interministérielle de crise en France


Pour rappel, au niveau étatique, une crise peut se définir comme un
« évènement brutal, soudain, menaçant gravement la stabilité voire
l’existence de l’État et appelant une réaction urgente et coordonnée des
autorités ».
Même si l’abus de langage est fréquent et largement toléré, il n’existe, à
proprement parler, pas de « crise cyber », mais plutôt des « crises
d’origine cyber ». Il est intéressant de noter quelques spécificités de ces
dernières :
• elles reposent sur des fondamentaux de nature technologique et
mobilisent très souvent des expertises et du langage techniques ;
• elles sont empreintes d’aspects de temporalité très particuliers :
– d’un côté, elles génèrent des effets potentiellement rapides, dont le
retentissement dans le champ des perceptions est largement catalysé
par un rythme médiatique propice à l’emballement,
– de l’autre, les fondamentaux techniques précédemment cités
imposent très souvent la conduite d’investigations et d’analyses
techniques pointues, dont on ne saurait faire l’économie pour gérer
correctement la crise mais qui s’accordent mal avec la fugacité des
effets décrite ci-dessus ;
• la question de l’attribution de l’attaque à un commanditaire joue un
rôle crucial dans la conduite des opérations de gestion de crise.
L’identification de l’agresseur peut en effet ouvrir un champ non
négligeable de leviers de réponse, impossibles à actionner autrement.
En France, la direction politico-stratégique des opérations de gestion
de crise est principalement du ressort de deux fonctions-clés :
• le président de la République, qui « assure le fonctionnement régulier
des pouvoirs publics ainsi que la continuité de l’État19 », et dispose
notamment pour cela du Conseil de défense et de sécurité nationale20 ;
• le Premier ministre, qui « dirige l’action du Gouvernement21 », donc
l’action interministérielle, et « prépare et coordonne l’action des
pouvoirs publics en cas de crise majeure22 ».
Les finalités de cette direction politico-stratégique sont notamment de
définir les objectifs de sortie de crise, les impératifs, priorités et contraintes
politiques majeurs, ainsi que les stratégies en matière de relations
internationales et de communication gouvernementale.
À cause de son intensité ou parce qu’elle touche plusieurs secteurs, les
opérations de gestion de crise peuvent nécessiter la mise en œuvre d’une
réponse globale de l’État et l’activation d’un dispositif spécifique pour
conduire cette réponse. Le Premier ministre peut ainsi activer une cellule
interministérielle de crise (CIC). Le cas échéant, il peut en confier la
conduite opérationnelle à un ministre, en fonction de l’éventuelle nature
dominante de la crise (p. ex. le ministre de l’Intérieur pour les crises
touchant à l’ordre public ou le ministre de la Santé pour les crises
sanitaires).
La CIC garantit l’information du niveau politique, propose les décisions
stratégiques, assure la conduite interministérielle, et élabore la stratégie de
communication de crise. Elle est composée des représentants des ministères
concernés ainsi que d’experts. Elle est organisée en quatre cellules :
• une cellule « Décision », pour caractériser et évaluer les propriétés de la
crise, conduire les opérations, orienter l’anticipation, préparer les
arbitrages et les décisions du Premier ministre, et donner les directives
nécessaires à la mise en œuvre de ces décisions ;
• une cellule « Situation », pour construire une appréciation et une
analyse partagées de la situation (origines, impacts matériels et
humains, etc.) et mener une anticipation à court terme ;
• une cellule « Anticipation », pour étudier les scénarios envisageables,
qui pourraient notamment compliquer la gestion de crise, les
hiérarchiser en fonction de leur vraisemblance et de leur gravité,
proposer des plans d’actions, et réfléchir à la sortie de crise ;
• une cellule « Communication », pour mener une veille sur les médias,
identifier les perceptions et attentes des acteurs et de la population, et
décliner la stratégie de communication gouvernementale, notamment
pour informer la population des mesures et recommandations utiles.
L’ensemble de cette démarche de gestion de la crise ne saurait être
déployée sereinement sans une préparation appropriée en amont. Celle-
ci repose notamment sur deux composantes essentielles : les plans et les
exercices.
Les plans, conçus et élaborés en « temps de paix », ont pour vocation
de préparer au mieux la prise de décision en temps de crise. Ils donnent
un cadre méthodologique pour appréhender de façon efficiente la situation
de crise, où la conception doit majoritairement laisser place à la décision et
à l’action. Ils définissent à l’avance des éléments d’organisation, et
notamment des responsabilités, des missions et des circuits d’information.
La responsabilité de leur élaboration est portée par le secrétariat général de
la défense et de la sécurité nationale (SGDSN). Parmi les grands plans
gouvernementaux visant à répondre aux crises majeures, l’on pourra citer
par exemple : le plan blanc, VIGIPIRATE, PIRANET, METROPIRATE,
PIRATAIR-INTRUSAIR, PIRATE-MER, « crue de la Seine », « maladie à
virus Ebola » ou encore « pandémie grippale ». Si l’un des plans,
PIRANET, est entièrement dédié à la réponse à une attaque cyber, la
grande majorité des plans comprennent également des éléments tournés
vers la protection et la défense des SI.
En matière de sécurité numérique, l’on peut s’attarder notamment sur :
• le plan VIGIPIRATE, qui est un plan de vigilance structuré en
postures, et qui contient des mesures cyber de vigilance et de
protection ;
• et le plan PIRANET, qui est lui un plan d’intervention, visant à pallier
les atteintes majeures aux SI qui pourraient impacter la continuité
d’activité de la Nation.
Si le plan VIGIPIRATE correspond, depuis plusieurs années, à une
posture permanente de vigilance, le plan PIRANET, quant à lui, a vocation
à être mobilisé uniquement en cas de crise, sur demande de la CIC par
exemple.
En matière de préparation de la crise, la rédaction des plans est nécessaire
mais non suffisante. Il est également nécessaire de prévoir des séquences
d’exercice, permettant de sensibiliser les acteurs concernés, de les
entraîner à « jouer » les dispositions prévues par le plan et à en tester la
pertinence, la faisabilité et l’efficience. Des exercices dits « majeurs »
sont ainsi organisés périodiquement par le SGDSN pour tester les modalités
de préparation et d’intervention des pouvoirs publics en cas de crise. Ils
permettent également, dans une logique de retour d’expérience, de tirer les
enseignements nécessaires à l’amélioration des dispositifs, en optimisant les
modalités existantes ou en mettant en avant des manques qui pourraient être
utilement comblés par des dispositions nouvelles.

ii. Réponse étatique à une attaque cyber


Au-delà du dispositif étatique de gestion de crise, tourné principalement
vers les victimes, une réponse davantage tournée vers l’agresseur est
également envisageable afin de l’amener à cesser son action
malveillante.
Une considération essentielle à ce stade consiste à placer l’ensemble de
cette démarche de réponse dans un cadre précis : celui du droit
international public. C’est en tout cas l’approche choisie par les autorités
françaises.
Une autre remarque fondamentale – déjà développée plus haut – mérite
d’être réitérée ici : répondre n’implique pas nécessairement de riposter.
Une distinction claire doit être faite entre les deux concepts, le second étant
l’une des façons d’instancier le premier : une riposte est une forme de
réponse ; toute réponse n’est pas nécessairement une riposte. Pour rappel, la
France a formalisé en 2018, dans la Revue stratégique de cyberdéfense, son
opposition à la légalisation de la riposte (« hack back ») par les acteurs
privés.
Sans chercher à dresser une liste exhaustive des leviers de réponse qui
pourraient être mis en œuvre par un État pour répondre à une attaque cyber
dont il serait victime, nous pouvons chercher à en faire ressortir les
contours, en nous attardant sur quelques aspects structurants :
• les types de leviers utilisables – en première approche, l’on pourrait
imaginer que la réponse à une attaque cyber serait nécessairement elle-
même de nature cyber. En réalité, le panel des options à la disposition
des États est bien plus large, et ne se limite pas à cette sphère. L’on peut
ainsi imaginer que ceux-ci mobilisent par exemple des leviers
politiques, diplomatiques, judiciaires, économiques ou encore
militaires ;
• les objectifs poursuivis par l’activation de leviers de réponse – la
mise en œuvre d’une réponse peut être motivée par différents facteurs
et chercher à atteindre des effets variés. Il peut par exemple s’agir de
faire cesser une attaque en cours, de la perturber, d’empêcher qu’elle ne
touche d’autres cibles, de mieux la caractériser pour la comprendre,
d’en attribuer la responsabilité à un commanditaire, de décourager un
attaquant de récidiver, de rassurer des parties prenantes sur la capacité
de l’État victime à gérer la situation, ou encore d’obtenir une forme de
réparation suite au préjudice subi ;
• les phases dans lesquelles les leviers sont utilisés – si l’on peut en effet
imaginer que certains leviers vont être utilisés immédiatement après
une attaque avérée et dans une temporalité relativement courte, la
réalité est susceptible d’ouvrir d’autres possibilités. En effet, en
fonction des objectifs recherchés, les moments auxquels seront activés
les leviers pourront varier ;
• les caractéristiques propres des leviers – les différents leviers
possibles disposent chacun de propriétés particulières. Il sera
intéressant, pour un État, de les avoir étudiées avec attention pour être
en mesure d’activer les leviers qui sont les plus pertinents et les plus
efficients en fonction de la situation qui se présentera. Parmi ces
propriétés particulières, l’on peut citer par exemple :
– les différents aspects de temporalité (i.e. temps de préparation, délai
d’activation, délai avant effets),
– les aspects liés aux coûts de préparation et d’utilisation,
– la réversibilité – est-il possible d’annuler les effets du levier a
posteriori ?
– la « graduabilité » – existe-t-il des degrés progressifs d’utilisation du
levier et peut-on en maîtriser l’escalade ?
– la « discriminabilité » – dans quelle mesure le levier peut-il
engendrer des dommages collatéraux et dans quelle mesure ceux-ci
peuvent-ils être maîtrisés ?
– la visibilité – dans quelle mesure l’utilisation du levier génère-t-elle
des effets visibles ? par la cible ? par d’autres États ? par des
observateurs experts ? par le grand public ?
– le caractère attribuable – dans quelle mesure la cible du levier ou
les observateurs tiers peuvent-ils attribuer l’utilisation du levier à
son commanditaire ?
– l’autonomie de déclenchement – le levier peut-il être mobilisé de
façon autonome ou nécessite-t-il une action conjointe avec d’autres
partenaires (par exemple dans des enceintes internationales
multilatérales) ?
Le passage en revue de ces facteurs démontre la nécessité, pour un État
qui souhaiterait répondre à une attaque dont il est victime, de mener une
analyse fine quant à l’opportunité d’utiliser des leviers particuliers.
Outre la décision de répondre ou non, il s’agira de trouver une combinaison
de leviers articulés au plus juste et mis en cohérence avec des objectifs
politico-stratégiques, afin de maximiser l’efficience de la réponse tout en
restant dans un certain cadre d’action – par exemple celui du droit
international public.
Pour que les processus d’analyse et de décision puissent être menés le
plus sereinement possible lors d’une attaque réelle, il sera utile que l’État
concerné ait pu mener des travaux de préparation en amont, s’agissant
des éléments de doctrine qui guideront son éventuelle réponse et également
de la planification opérationnelle de mise en œuvre de celle-ci le cas
échéant.
L’on constate ici assez immédiatement toute l’importance de la notion de
souveraineté pour mener cette démarche. Il s’agit en particulier de
préserver au maximum la liberté d’appréciation, de décision et
d’action des autorités politiques. Cette remarque emporte plusieurs
implications. La liberté d’appréciation des autorités sera d’autant plus
grande qu’elles disposeront d’informations et de renseignements fiables sur
la situation, s’agissant tant des enjeux techniques que des intentions plus
politiques de l’agresseur. Pour ménager leur liberté de décision, l’on
cherchera à mener un travail de préparation qui documente et propose des
leviers, des éléments de doctrine voire des scénarios types, mais qui laisse
toujours in fine la main aux autorités politiques. À cet égard, il semble
essentiel de trouver ou de mettre en place une gouvernance appropriée,
dotée des bons mécanismes de remontée d’information et de prise de
décision. La liberté d’action se construira en développant et en optimisant
progressivement les différents leviers.
Une dernière considération importante mérite d’être mentionnée ici : la
question de l’attribution – c’est-à-dire la démarche visant à identifier, avec
un bon niveau de certitude, le commanditaire d’une attaque. Dans le cadre
de la démarche de réponse décrite précédemment, l’on constatera
rapidement qu’avoir attribué une attaque à un commanditaire particulier
n’est pas strictement nécessaire pour mettre en œuvre quelques leviers de
réponse (p. ex. publier des détails techniques sur l’attaque subie pour
perturber son évolution en permettant à des victimes potentielles de mettre
en place des mesures de protection appropriées), mais ouvre un champ
significatif de possibilités d’utilisation de leviers qui ne peuvent pas être
actionnés sans « point d’appui ».
Une grande partie de la difficulté – et donc de la sensibilité – de la
démarche d’attribution réside dans l’atteinte du « bon niveau de
certitude » décrit plus haut. Pour certains contextes, s’agissant notamment
des actes de cybercriminalité – souvent menés par des individus isolés ou
des petits groupes, mettant en œuvre des moyens de sophistication faible à
moyenne, et ne cherchant pas de discrétion particulière – il est possible, par
le biais d’un travail minutieux d’enquête, de remonter jusqu’à des auteurs,
que l’on parviendra à appréhender, à confronter à des éléments de preuve, et
dont on pourra peut-être obtenir des aveux et une condamnation. Dans
d’autres cadres, et notamment ceux dans lesquels des États s’engagent dans
des actions offensives particulièrement sophistiquées, avec une recherche
de discrétion maximale, cette démarche d’attribution est susceptible d’être
particulièrement ardue, voire quasiment impossible. Dans ce dernier cas, il
faudra alors distinguer ce que l’on pourrait appeler trois « niveaux »
d’attribution :
• un premier niveau d’analyses techniques, et notamment de
rapprochements avec des éléments connus, par exemple de modes
opératoires. Ce premier étage repose sur des capacités techniques –
parfois particulièrement pointues, coûteuses et rares – visant à acquérir
des informations pertinentes sur la menace, puis à mener les analyses
afférentes, qui peuvent demander un temps significatif ;
• un deuxième niveau consistant à prendre la décision de désigner un
coupable. Cette responsabilité relève d’une autorité particulière,
politique ou judiciaire en fonction des situations, et s’appuie sur un
faisceau d’éléments – par exemple géopolitiques ou techniques –
apportés par différents services en charge d’analyses et
d’investigations. Cette décision, qui est la voix d’expression d’une
forme de souveraineté, s’appuie notamment, comme décrit plus haut,
sur une capacité d’appréciation alimentée par un certain nombre
d’éléments, obtenus parfois par des voies particulièrement sensibles. Ce
dernier constat a une implication immédiate : puisqu’il n’est pas trivial
de partager des éléments obtenus par des voies sensibles, il n’est pas
non plus trivial de prendre des décisions collectives d’attribution ;
• un troisième niveau enfin, qui consiste à communiquer ou pas sur
cette décision d’attribution. Cela peut être fait de manière publique,
de façon restreinte à certaines enceintes, en strict bilatéral ou ne pas
être communiqué du tout. À l’heure de l’écriture de ces lignes, si
certains États – notamment les États-Unis et les pays anglo-saxons –
n’ont pas hésité à recourir à cette possibilité, la France est toujours
restée très prudente quant à l’opportunité de communiquer
publiquement sur des décisions d’attribution.

1. ANSSI, « Guide d’hygiène informatique – Renforcer la sécurité de son système d’information en


42 mesures », 2017.
2. De l’anglais « Governance, Risk and Compliance ».
3. Le National Institute of Standards and Technology (NIST) est une agence du département du
Commerce américain. Institut de recherche scientifique et technologique, il a pour objet de
promouvoir l’économie, en développant notamment des standards.
4. OCDE, « Gestion du risque de sécurité numérique pour la prospérité économique et sociale :
Recommandation de l’OCDE et Document d’accompagnement », Éditions OCDE, 2015.
5. IFACI, « Cyber-risques : enjeux, approches et gouvernance », 2018.
6. ECIIA, FERMA, « At the Junction of Corporate Governance and Cybersecurity », 2019.
7. ANSSI, AMRAE, « Maîtrise du risque numérique – L’atout confiance », 2019.
8. ANSSI, « EBIOS Risk Manager », 2018.
9. Si l’ajout d’une fonction de blocage à un IDS ne présente pas une complexité technique majeure, il
ne permet toutefois pas, à lui seul, de construire un IPS efficient et adapté aux réalités
opérationnelles. En effet, au-delà de la capacité à bloquer certaines actions détectées comme
potentiellement malveillantes, l’enjeu d’un IPS pertinent est de réussir à trier les alertes avec
finesse afin de ne pas bloquer de « faux positifs », ce qui de facto amènerait à bloquer le
fonctionnement d’un système « pour rien ».
10. Commission chargée de l’élaboration du livre blanc sur la défense et la sécurité nationale, « Livre
blanc sur la défense et la sécurité nationale », 2008.
11. Commission chargée de l’élaboration du livre blanc sur la défense et la sécurité nationale, « Livre
blanc sur la défense et la sécurité nationale », 2013.
12. Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années
2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.
13. Loi n° 2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à
2025 et portant diverses dispositions intéressant la défense.
14. Voir https://www.first.org/tlp/
15. https://www.ssi.gouv.fr/en-cas-dincident/
16. Les OSE et FSN sont des concepts mis en place par la directive européenne dite « NIS », que
nous présenterons dans le chapitre traitant des enjeux internationaux.
17. https://www.cybermalveillance.gouv.fr/
18. Voir l’article 11 du code de procédure pénale.
19. Article 5 de la Constitution du 4 octobre 1958.
20. Article L. 1111-3 du code de la défense.
21. Article 21 de la Constitution du 4 octobre 1958.
22. Article L. 1131-1 du code de la défense.
4
Le modèle français

Introduction : la sécurité numérique,


une politique publique interministérielle
Initialement cantonné à une sphère d’experts techniques, le sujet de la
sécurité numérique est progressivement devenu, au gré de la numérisation
de la société et de l’économie, une préoccupation partagée par de
nombreux métiers et de nombreuses organisations, jusqu’au plus haut
niveau des États.
La menace d’origine cyber, élevée et croissante, pesant sur un
environnement de plus en plus numérisé, fait porter de tels risques sur nos
sociétés que les gouvernements ont été amenés à s’en saisir et à structurer
leur approche du sujet, notamment en définissant et en mettant en œuvre de
véritables politiques publiques en la matière.
En introduction de ce chapitre, il est intéressant de s’attarder sur le
concept de politique publique, peut-être peu intuitif dans un domaine
essentiellement structuré autour d’enjeux fondamentalement techniques,
mais pourtant si crucial. Il importe notamment de se détacher des affects
traditionnels que peut emporter le mot « politique ». Loin des
considérations de « politique politicienne », il s’agit bien ici d’étudier la
politique publique dans ce qu’elle a de plus essentiel, à savoir l’ensemble
des interventions d’une autorité investie de puissance publique et de
légitimité gouvernementale sur un domaine spécifique de la société ou du
territoire. Une autre façon de formuler cette idée est de parler de l’ensemble
d’actions coordonnées, réalisées par une puissance publique, dans
l’optique d’obtenir une modification ou une évolution d’une situation
donnée. Une définition plus synthétique et plus percutante est celle d’une
action de l’État qui a vocation à s’opposer au cours naturel non
socialement souhaitable des choses. Cette dernière proposition, relue à
travers le prisme des chapitres précédents, et notamment de l’état de la
menace cyber – dont la croissance est sans doute un « cours naturel non
socialement souhaitable des choses » – permet d’illustrer la pertinence
d’une prise en compte par l’État du sujet de la sécurité numérique.
Cette considération est au cœur des thèses fondatrices du présent ouvrage.
Le rôle précis de l’État a fait l’objet de nombreuses études, donnant
naissance à des paradigmes au sein desquels celui-ci est plus ou moins
important (p. ex. le pluralisme, le libéralisme, le corporatisme, l’étatisme).
Si les nuances entre ces différents concepts, bien documentées par ailleurs,
dépassent largement le périmètre de cet ouvrage, il est utile de s’appuyer
sur une idée générale grossièrement formulée ainsi : lorsque le « système »
national n’arrive pas à se réguler seul, une action de l’État est utile,
voire nécessaire.
S’agissant spécifiquement de la sécurité numérique, il est intéressant de
noter que les racines historiques du domaine se trouvent dans la
cryptologie. Utilisée en support des communications des autorités de l’État
dans les champs politiques, diplomatiques et militaires, elle permet la pleine
expression de la souveraineté nationale en protégeant les échanges les plus
sensibles. Jusqu’au milieu du XXe siècle, c’est ainsi essentiellement une
matière technique venant en « support » de l’action étatique. Au lendemain
de la Seconde Guerre mondiale, l’avènement et la démocratisation de
l’électronique, de l’informatique et des réseaux informatiques a initié un
mouvement mondial massif de numérisation des sociétés et des économies.
Progressivement, nous l’avons vu, la menace d’origine cyber a émergé.
Entre le milieu des années 1980 et le début des années 2000, les États ont
progressivement commencé à reconnaître, plus ou moins formellement,
cette menace, potentiellement « mortelle » et incontournable, comme
« stratégique ». En France, le Livre blanc sur la défense et la sécurité
nationale de 2008, sur lequel nous revenons plus loin, formalise pour la
première fois la prise en compte du sujet par les plus hautes autorités. Tout
naturellement, un tel constat appelle une action – ou plutôt un ensemble
d’actions – de l’État, avec une vision, des orientations, des capacités,
une organisation et une gouvernance.
Dès lors que l’on accepte l’idée de l’existence d’un ensemble d’actions
coordonnées de la puissance publique pour lutter contre l’insécurité
numérique, et que l’on adhère donc à l’existence d’une véritable politique
publique de sécurité numérique, il est intéressant d’en noter une propriété
assez caractéristique : elle est fondamentalement transverse. En effet, le
numérique – et notamment la sécurité du numérique – est un domaine dont
on peut détailler de nombreux volets. Il est par exemple nécessaire de
former au numérique, de veiller à l’émergence et au développement d’une
industrie du numérique, d’orienter et de soutenir des travaux de recherche
en la matière, etc. Ainsi, les politiques publiques relatives à la sécurité
numérique, et plus largement à la numérisation de la société, ont
nécessairement de nombreux volets qui correspondent à d’autres politiques
publiques : la formation, l’industrie, la recherche, l’international, etc. À
l’inverse, ces autres politiques publiques, concentrées sur des domaines
spécifiques, voient de plus en plus leurs volets numériques – et toujours par
extension de sécurité numérique – se développer. Ces constats impliquent
ainsi un enjeu majeur : réussir à coordonner efficacement les différentes
politiques publiques autour des enjeux numériques et de sécurité du
numérique.
Pour ne prendre qu’un seul exemple, évoquons les questions de
formation, qui concernent particulièrement les politiques publiques
d’éducation nationale, d’enseignement supérieur et de formation continue.
D’un côté, c’est un fait que la numérisation du secteur est croissante, ne
serait-ce que pour permettre l’enseignement à distance : le volet numérique
des politiques publiques liées à la formation se développe. Réciproquement,
il est tout aussi clair que les domaines du numérique et de la sécurité
numérique ont de gros enjeux en matière de formation des citoyens : le
volet formation des politiques publiques relatives au numérique et à la
sécurité numérique se développe également.
L’ensemble de ces considérations ont amené la France à faire un choix
relativement structurant : la politique publique de sécurité numérique est
appréhendée de manière transverse, avec une animation et une
coordination très interministérielle par défaut. Si la politique publique
relative au numérique a été portée ces dernières années par des secrétaires
d’État qui ont pu être rattachés au Premier ministre ou aux ministères
économiques et financiers de Bercy, nous allons voir dans ce chapitre que
les enjeux de sécurité numérique ont, eux, une position assez fortement
ancrée dans le giron du Premier ministre.

I. Organisation et gouvernance
1. Organisation générale
En France, le Premier ministre est responsable de la politique
publique de sécurité et de défense des systèmes d’information. Il
coordonne l’action gouvernementale en la matière. Cela consacre
organiquement le caractère interministériel de la politique publique de
sécurité numérique, qui ne dépend pas d’un ministère en particulier mais
qui est portée de façon transverse à tous les départements ministériels.
Ainsi, l’article L. 2321-1 du code de la défense dispose que « dans le
cadre de la stratégie de sécurité nationale et de la politique de défense, le
Premier ministre définit la politique et coordonne l’action gouvernementale
en matière de sécurité et de défense des systèmes d’information. Il dispose à
cette fin de l’autorité nationale de sécurité des systèmes d’information qui
assure la fonction d’autorité nationale de défense des systèmes
d’information ».
Pour rappel, le Premier ministre a la responsabilité de coordonner
l’action du gouvernement et donc des différents ministères. Il s’appuie pour
cela sur un certain nombre d’entités :
• une structure de type « cabinet », composée de conseillers, que l’on

retrouve également auprès de chaque ministre et secrétaire d’État, qui a


vocation à donner des orientations « politiques » et qui est donc
susceptible – à quelques exceptions près, comme le cabinet militaire du
Premier ministre – de voir sa composition modifiée à chaque
changement de Premier ministre, ministre ou secrétaire d’État ;
• des structures de type « administration », au sein des services du
Premier ministre, beaucoup plus pérennes dans leur composition, qui
ont vocation à faire « fonctionner » un certain nombre de
problématiques et de dossiers sur le long terme ;
• des ministères, qui reproduisent la même dichotomie que celle qui vient
d’être décrite, s’appuyant sur des cabinets et des administrations.
Parmi les administrations notables dans le giron du Premier ministre se
trouvent plusieurs secrétariats généraux. Chacun d’entre eux est chargé
d’une gamme de sujets qui ont vocation à être traités de façon
majoritairement interministérielle. Pour n’en citer que quelques-uns, nous
pouvons évoquer :
• le secrétariat général du gouvernement (SGG), chargé de coordonner
et de soutenir le travail du Gouvernement. Une de ses prérogatives les
plus emblématiques est par exemple de tenir le secrétariat du Conseil
des ministres, en préparant en amont son ordre du jour et l’instruction
des points qui y seront traités, et en se chargeant en aval d’établir et de
diffuser ses comptes rendus ;
• le secrétariat général des affaires européennes (SGAE), chargé de

coordonner la position des autorités françaises sur les questions liées à


l’Union européenne, qui peuvent concerner la plupart des ministères ;
• le secrétariat général de la mer (SGMer), en charge de la coordination

des actions de l’État vis-à-vis de la mer qui, comme les affaires


européennes, sont susceptibles d’avoir des volets très divers
(agriculture, économie, sécurité intérieure, défense, diplomatie, etc.) et
donc d’impliquer différents départements ministériels.
Le secrétariat général de la défense et de la sécurité nationale
(SGDSN) est également l’un de ces secrétariats généraux sur lesquels peut
s’appuyer le Premier ministre pour coordonner et instruire certains sujets à
fortes composantes interministérielles. Si le ministère de l’Intérieur et le
ministère des Armées ont des portefeuilles très centrés respectivement sur
les problématiques de sécurité intérieure et de défense nationale, il existe
des sujets « sécurité et défense » qui leur sont transverses – tels que la
protection de l’information classifiée de défense ou la protection des
communications gouvernementales. Il est nécessaire d’organiser des
travaux interministériels autour de ces sujets. Pour illustrer ce dernier point,
tout comme le SGG tient le secrétariat du Conseil des ministres, le SGDSN,
lui, assure la fonction de secrétaire du Conseil de défense et de sécurité
nationale, sur lequel nous reviendrons plus tard. De façon plus générale, le
SGDSN est chargé d’assister le Premier ministre dans l’exercice de ses
responsabilités en matière de défense et de sécurité nationale, et donc
notamment en matière de sécurité numérique.
Directement rattachée au SGDSN, l’Agence nationale de la sécurité des
systèmes d’information (ANSSI) vient compléter l’axe « Premier ministre
– SGDSN », pour jouer concrètement le rôle d’autorité nationale en
matière de sécurité et de défense des SI.

2. L’ANSSI

L’ANSSI est une administration étatique créée par décret en 2009. Elle
n’a pas été mise en place ex nihilo mais s’inscrit dans une longue lignée
d’entités qui remonte jusqu’à une « direction technique des chiffres »
(DTC), créée en 1943 auprès du secrétariat du Comité français de libération
nationale. En 2009, l’ANSSI est ainsi construite sur les fondements posés
par la direction centrale de la sécurité des systèmes d’information (DCSSI).
En devenant l’ANSSI, la DCSSI acquiert plusieurs propriétés statutaires
notables.
L’agence est d’une part un service à compétence nationale (SCN), qui
la positionne comme une administration de l’État ni uniquement centrale
ni uniquement déconcentrée. Ses missions portent donc sur l’ensemble du
territoire nationale.
Elle est d’autre part autorité nationale de sécurité et de défense des
systèmes d’information. Ce statut d’autorité se traduit essentiellement de
deux façons : l’ANSSI est autorité, elle est officiellement désignée comme
telle ; et doit faire autorité, en développant ses connaissances, ses
compétences et en les faisant reconnaître par l’écosystème.
En matière de positionnement, l’ANSSI, par son rattachement au
SGDSN, conserve une place au cœur de l’interministériel, en cohérence
avec la vision française qui fait de la sécurité numérique un sujet
fondamentalement transverse. L’agence joue donc de fait un rôle significatif
de coordination en la matière au niveau interministériel, et plus
largement national.
De façon assez informelle, nous pourrions décrire l’action de l’agence en
matière de sécurité comme articulée autour de deux tonalités
fondamentales. La première, très historique, présente une adhérence forte
avec des considérations de souveraineté et des questions régaliennes de
sécurité et de défense. C’est une sphère sensible, empreinte de
conflictualité stratégique entre États, qui relève souvent du classifié de
défense et de la protection des intérêts fondamentaux de la Nation. Cette
tonalité justifie pleinement le rattachement de l’ANSSI au SGDSN, dans
une ligne de force très courte vers les plus hautes autorités de l’État. On
pourrait qualifier la seconde tonalité, toute aussi importante, de plus
sociétale. Il s’agit ici d’accompagner et de permettre un mouvement général
de transformation numérique en confiance.
Les prérogatives confiées à l’ANSSI illustrent un élément très structurant
de la doctrine et de l’organisation française en matière de cybersécurité : la
séparation organique forte entre les missions de protection et de
défense d’une part, et les missions plus « offensives » d’autre part. En
effet, l’agence, concentrée sur les aspects liés à la sécurité et à la défense
des SI, ne mène pas d’actions cyber offensives, n’est ni un service de
renseignement ni un service secret, et ne mène pas d’actions
clandestines. Si une grande partie de ses agents peut être amenée à traiter
des informations sensibles voire classifiées, et que les missions de certains
d’entre eux peuvent appeler une certaine discrétion, l’appartenance d’une
personne à l’agence n’a rien de secret. Nous reviendrons plus loin sur ce
modèle et sur ces atouts.
Dans son rôle d’administration de l’État, l’ANSSI est susceptible d’avoir
des actions à différents niveaux. Elle participe activement à l’élaboration,
à la formalisation et à la mise en œuvre de la politique publique de
sécurité numérique. Elle joue également un rôle de régulateur, dans le
sens où elle a vocation à réguler le niveau de sécurité numérique de
l’écosystème. Pour cela, elle peut actionner les leviers qui sont
classiquement à la disposition des régulateurs : elle peut mener des actions
coercitives (p. ex. élaboration de réglementations contraignantes, décisions
de type « autorisations », « qualifications » ou « agréments », sanctions),
elle peut prendre une posture plus incitative (p. ex. recommandations,
conseils, assistances), et peut également prendre à son compte et réaliser
« en propre » un certain nombre d’actions qui pourraient difficilement
être laissées à la charge de l’écosystème – par exemple parce qu’elles sont
trop sensibles ou qu’elles ne peuvent pas être portées par une offre privée
économiquement viable. La coexistence de ces différentes fonctions au sein
d’une même entité est de nature à créer d’importantes synergies pour
nourrir la crédibilité et la légitimité de l’agence dans son rôle d’autorité :
une réglementation proposée par une entité qui possède des capacités
éprouvées à faire par elle-même est susceptible d’être plus pertinente et
moins « hors-sol » que si cette entité n’avait pas d’expérience
opérationnelle propre des sujets qu’elle s’affaire à réguler.
En dix ans d’existence, la croissance organique de l’agence a porté ses
effectifs d’environ 130 agents en 2009 à un peu plus de 600 début 2020.
Cette évolution significative, qui illustre la prise en compte par les autorités
françaises de la réalité et de l’acuité de la menace cyber, reste néanmoins
relativement limitée au regard de celles des autres « grandes » nations de la
cybersécurité telles que les États-Unis, la Royaume-Uni, l’Allemagne, la
Russie ou la Chine.
Début 2020, l’organigramme de l’ANSSI est structuré autour d’une
direction générale et de cinq sous-directions (« Administration »,
« Expertise », « Numérique1 », « Opérations » et « Stratégie »), qui
couvrent un large panel d’activités : opérations de cyberdéfense, recherche
scientifique et technique, développement et opération de SI sécurisés,
évaluation de produits, conseil et assistance, réglementation, gestion de
crise, communication, coordination sectorielle, action territoriale, relations
internationales, affaires publiques, stratégie, etc.
3. D’autres acteurs incontournables

Si l’ANSSI joue un rôle central dans l’écosystème étatique français de la


cybersécurité, on retrouve au sein de celui-ci plusieurs acteurs
ministériels de premier plan :
• au sein du ministère des Armées, le commandement de la cyberdéfense
(COMCYBER), la direction générale de l’armement (DGA), la
direction générale de la sécurité extérieure (DGSE), la direction du
renseignement et de la sécurité de la défense (DRSD) ;
• au sein du ministère de l’Intérieur, la direction générale de la sécurité
intérieure (DGSI), la délégation ministérielle aux industries de sécurité
et à la lutte contre les cybermenaces (DMISC), la brigade d’enquêtes
sur les fraudes aux technologies de l’information (BEFTI), l’office
central de lutte contre la criminalité liée aux technologies de
l’information et de la communication (OCLCTIC), le centre de lutte
contre les criminalités numériques (C3N) de la gendarmerie nationale ;
• la direction des affaires stratégiques, de sécurité et du désarmement du
ministère de l’Europe et des Affaires étrangères ;
• le commissariat à l’intelligence stratégique et à la sécurité économique
(CISSE), la direction générale des entreprises (DGE) ou encore la
direction générale du Trésor (DGT) à Bercy ;
• la direction des affaires criminelles et des grâces (DACG) du ministère
de la Justice.
Outre les acteurs précités, il est utile d’évoquer le dispositif d’aide aux
victimes d’actes de cybermalveillance, accessible sur
https://www.cybermalveillance.gouv.fr/, porté par le groupement d’intérêt
public ACYMA.
Dresser une liste comme celle proposée ci-dessus est un exercice
particulièrement périlleux, tant les prérogatives, domaines d’action et
caractéristiques des uns et des autres sont variés et peuvent évoluer dans le
temps. Il est ainsi particulièrement difficile d’arrêter des critères permettant
de choisir les acteurs à citer. Nous retrouverons toutefois plusieurs d’entre
eux ultérieurement dans l’ouvrage (notamment les acteurs du ministère des
Armées, lorsque nous présenterons les éléments de doctrine cyber militaire
publiés en janvier 2019). Il existe par ailleurs divers travaux, publiquement
accessibles, qui documentent cet écosystème2. Le parti de la concision a été
pris ici, mais l’auteur souhaite rendre un hommage sincère à tous les
personnels des entités qui n’auraient pas été mentionnées et qui pourtant
œuvrent au quotidien pour protéger et défendre la sécurité numérique de la
Nation.

4. Quatre chaînes opérationnelles

La Revue stratégique de cyberdéfense, sur laquelle nous reviendrons en


détails plus loin, a cherché à formaliser et à décrire certains aspects
organisationnels du modèle français de cyberdéfense. Elle a notamment fait
ressortir quatre « chaînes opérationnelles » au sein desquelles peuvent
être menées des opérations de cyberdéfense. Chacune d’entre elles est
caractérisée par un champ particulier, des autorités spécifiques et un
domaine de prédilection.
La chaîne « protection », placée sous l’autorité du Premier ministre, a
pour vocation d’assurer la sécurité numérique au niveau national, en
s’attachant particulièrement à des missions de prévention, d’anticipation et
de protection. L’animation de cette chaîne est confiée au SGDSN et la
responsabilité de la conduite des opérations au directeur général de
l’ANSSI. Par ailleurs, sur le périmètre spécifique du ministère des Armées,
cette responsabilité est déléguée, pour des raisons opérationnelles, au
COMCYBER.
La chaîne « action militaire », placée sous l’autorité du président de la
République, dans son rôle de chef des Armées, est mobilisée dans le cadre
des opérations de défense nationale, notamment sur les théâtres
d’opérations extérieures. On parle souvent de « lutte informatique
défensive » (LID), pour protéger les forces armées et leurs équipements. On
parle également – c’est une posture désormais clairement assumée par la
France – de « lutte informatique offensive » (LIO), pour évaluer les
capacités militaires adverses, pour les réduire voire les neutraliser, ou
encore pour modifier les perceptions ou la capacité d’analyse de
l’adversaire. Au sein de cette chaîne, dont l’organisation a été précisée
début 2019 par la publication d’éléments de doctrine militaire de LIO, outre
le chef de l’État qui en assume l’autorité, le ministre des Armées, le chef
d’état-major des armées (CEMA), le COMCYBER, la DGA et les services
de renseignements dépendant du ministère jouent des rôles centraux.
La chaîne « renseignement » est placée sous l’autorité du
Gouvernement, et notamment des ministres dont dépendent les services de
renseignement concernés, qui sont évidemment au cœur de la chaîne. Elle
concerne l’ensemble des actions numériques entreprises avec des finalités
de renseignement, notamment en vue d’attribuer les cyberattaques.
Enfin, la chaîne « investigation judiciaire » concerne les actions des
services de police, de gendarmerie et de justice dans un cadre judiciaire.
Les autorités concernées peuvent être le procureur de la République, le juge
des libertés et de la détention, ou encore un juge d’instruction – dans leur
rôle d’autorités judiciaires.
Ces chaînes opérationnelles sont, dans les faits, relativement
conceptuelles. À l’écriture de ces lignes, elles ne font pas l’objet d’une
formalisation forte (dans un décret par exemple), mais permettent toutefois
de donner des éléments de cadrage intéressants aux différents acteurs
concernés et à leurs actions.

5. Quelques enceintes de gouvernance


de la cyberdéfense française

Il serait fastidieux, voire impossible, de citer toutes les enceintes de


gouvernance traitant de cyberdéfense en France. Il est toutefois intéressant
d’en mentionner quelques-unes, présentes dans la Revue stratégique de
cyberdéfense et qui sont devenues des cénacles incontournables pour
structurer et animer l’action de la puissance publique française en matière
de cyberdéfense.
La plus importante d’entre elles est sans conteste le Conseil de défense
et de sécurité nationale (CDSN). Contrairement aux autres enceintes citées
ci-après, le CDSN ne traite pas uniquement des questions de cyberdéfense,
mais plus largement des enjeux relatifs à la défense nationale, à la sécurité
intérieure et aux crises extérieures les plus stratégiques pour le pays. Sa
création a été prévue par le Livre blanc de la défense et de la sécurité
nationale de 2008, en fusionnant les différentes formations préexistantes sur
le sujet (Conseil de défense, Conseil de sécurité intérieure, etc.). Existent
encore toutefois deux formations spécifiques du CDSN, qui permettent à
des compositions appropriées de traiter de sujets particuliers : le Conseil des
armements nucléaires (CAN) et le Conseil national du renseignement
(CNR).
Le CDSN est présidé par le chef de l’État et réunit autour de ce dernier
au moins le Premier ministre et les ministres en charge de la Défense et des
Armées, de l’Intérieur, des Affaires étrangères, et de l’Économie et des
Finances. En fonction des sujets abordés à une séance donnée, d’autres
ministres – comme ceux en charge de la Justice ou de la Santé – peuvent
également assister au CDSN. Sur les quelques clichés publiés des réunions
du CDSN et de ses différentes formations spéciales, on peut régulièrement
distinguer d’autres personnes ayant des responsabilités importantes en
matière de défense et de sécurité nationale : le chef d’état-major particulier
(CEMP) du président de la République, son directeur de cabinet, son
conseiller diplomatique, le secrétaire général de l’Élysée, le coordonnateur
national du renseignement et de la lutte contre le terrorisme (CNRLT), le
CEMA, le délégué général pour l’armement (DGA), les directeurs des
services de renseignement ou encore le directeur des applications militaires
du Commissariat à l’énergie atomique et aux énergies alternatives (CEA-
DAM). Apparaissent également systématiquement le secrétaire général de
la défense et de la sécurité national et son conseiller en charge du CDSN, un
officier militaire supérieur. Le SGDSN assure le secrétariat du CDSN, dont
le fonctionnement obéit à des procédures strictes et dont les échanges sont
placés sous le sceau du secret. Le SGDSN prépare ainsi l’ordre du jour, les
convocations et les dossiers des différentes réunions, sur la base des
contributions et des travaux interministériels. Également, il prépare et
diffuse le relevé de décisions qui est présenté à la signature du chef de
l’État.
Sans rentrer dans les détails de l’histoire du CDSN et des formations qui
l’ont précédé, on notera que celui-ci était particulièrement structurant et
régulier au début de la Ve République – de façon très cohérente avec la
vision gaullienne, retranscrite dans la Constitution de 1958, qui confère au
président de la République et à l’Exécutif un rôle très important en matière
de défense nationale. Le CDSN a néanmoins connu une période de moindre
activité entre les années 1990 et le milieu des années 2010, ne se réunissant
plus que trois à quatre fois par an. Le climat sécuritaire du milieu de la
décennie 2010, et en particulier le haut niveau de menace terroriste pesant
sur les intérêts français, a toutefois replacé le CDSN au cœur du dispositif
étatique de décision en matière de sécurité et de défense, avec un rythme de
plus en plus soutenu que le chef de l’État a formellement décidé, à la suite
des attentats de Nice en juillet 2016, de maintenir à une fréquence
hebdomadaire.
S’il n’est par construction pas possible d’évoquer en détails la teneur des
échanges qui se tiennent aux réunions du CDSN, il est toutefois clair que
les questions liées à la cybersécurité y sont désormais régulièrement
abordées, allant parfois jusqu’à faire l’objet de séances dédiées. Les
décisions et les orientations les plus structurantes pour la Nation en matière
de cyberdéfense sont ainsi prises par le CDSN. Cette tendance, qui s’est
confirmée suite à la publication de la Revue stratégique de cyberdéfense en
2018, démontre l’importance croissante prise par ces enjeux dans les
préoccupations des plus hautes autorités de l’État.
De façon très pragmatique, il est clair que la pertinence et l’efficacité des
mesures décidées par le CDSN reposent sur une préparation préalable
adéquate au niveau interministériel. Plusieurs enceintes permettent cela, et
notamment le Comité de direction de la cyberdéfense (dit « CODIR
cyber ») et le Comité de pilotage de la cyberdéfense (dit « COPIL
cyber »).
Le CODIR cyber est co-présidé par le CEMP, le CNRLT et le directeur
de cabinet du Premier ministre. Il prépare et instruit les décisions à proposer
au président de la République et au CDSN, et suit et instruit leur mise en
œuvre. Le COPIL cyber est, quant à lui, présidé par le cabinet du Premier
ministre (le directeur de cabinet ou le chef du cabinet militaire) et prépare
les travaux du CODIR cyber portant sur les aspects défensifs. Le secrétariat
de ces deux enceintes est assuré par le SGDSN.
Le CDSN, le CODIR cyber et le COPIL cyber forment ainsi la
colonne vertébrale de la comitologie française sur les questions de
cyberdéfense. Si leur construction leur donne une teinte très « sécurité et
défense », force est de constater que des sujets portant plus largement sur la
sécurité numérique, et son rôle de vecteur de confiance en la transformation
numérique de la société et de l’économie, y sont également régulièrement
évoqués.
Une dernière enceinte qu’il est utile de mentionner est le Centre de
coordination des crises cyber (C4). Véritable lieu de rencontre des quatre
chaînes opérationnelles présentées précédemment, le nom du C4 ne traduit
que très partiellement sa véritable nature et ses préoccupations : il est une
enceinte de gouvernance plus qu’un réel « centre » et ne se limite pas à la
seule coordination de l’action de la puissance publique face à des crises. Il
est présidé par le SGDSN, son secrétariat est assuré par l’ANSSI et il réunit
les administrations des quatre chaînes opérationnelles concernées par les
questions de cybersécurité. Le C4 est organisé en trois niveaux : un niveau
dit « stratégique » (le « C4 STRAT »), un niveau dit « technique » (le « C4
TECH ») et un niveau dit « technico-opérationnel » (le « C4 TECHOPS »).
S’il a bien vocation à servir d’enceinte de coordination interministérielle en
cas de crise d’origine cyber de « moindre ampleur » (i.e. ne nécessitant pas
forcément l’activation d’une CIC), il est également une enceinte de
préparation, où sont échangés des éléments d’analyse de la menace,
élaborées des stratégies particulières de réponse à des évènements ou à des
postures spécifiques, et instruits des sujets de nature doctrinale.

6. Atouts du modèle

Ce que l’on appelle couramment le « modèle français » est le résultat


d’un certain nombre de choix et d’orientations qui ont conduit à des
éléments de vision et d’organisation dont nous verrons dans le prochain
chapitre qu’ils ne sont pas nécessairement partagés par tous les États.
Parmi les grands marqueurs de ce modèle hexagonal, l’on retrouve une
priorité significative donnée aux questions de protection et de défense.
Celle-ci est de facto sacralisée au travers d’éléments de nature organique,
fonctionnelle ou doctrinale. L’existence d’une autorité nationale de sécurité
et de défense des SI, l’ANSSI, placée en position interministérielle au plus
proche des hautes autorités de l’État et dotée de capacités techniques,
opérationnelles et doctrinales qui comptent parmi les meilleures du pays et
d’Europe, en est une illustration. La formalisation, dans la Revue
stratégique de cyberdéfense de 2018, d’une « chaîne opérationnelle de
cyberdéfense » dédiée à la « protection » en est une autre.
À l’inverse et à titre d’exemple, des pays comme les États-Unis, la
Russie ou encore la Chine ont suivi des modèles co-localisant davantage les
questions de sécurité numérique et de renseignement au sein des mêmes
structures. Certains de ces pays ont par ailleurs affiché des postures
stratégiques relativement volontaristes sur les aspects offensifs, à l’instar
des États-Unis qui, fin 2018, mettaient publiquement en avant leur doctrine
de la « forward defense » – ou « défense de l’avant » – visant à investir de
façon préventive, notamment via des techniques de renseignement, le
« champ de l’attaquant ».
Contrairement à certaines idées reçues, l’orientation particulière du
modèle hexagonal voit ses racines remonter à la période 1942-1943.
Cette époque, véritable tournant de la Seconde Guerre mondiale, a été le
début de la reconstruction d’un véritable État français avec la création
notamment du Comité français de libération nationale (CFLN). C’est au
secrétariat du CFLN qu’a été rattachée la Direction technique des chiffres
(DTC), ancêtre de l’actuelle ANSSI.
Sans chercher à démontrer la supériorité d’un modèle sur d’autres, il
est intéressant de noter quelques atouts et avantages qui sont
consubstantiels aux choix faits par les autorités françaises pour l’appareil
étatique de cyberdéfense.
Nous développerons dans le chapitre suivant les questions relatives à la
stabilité stratégique du cyberespace. L’on peut d’ores et déjà constater que
la posture française, qui donne la priorité à la protection et à la défense, va
dans plutôt dans le sens d’un abaissement du niveau de tension et de
conflictualité dans le cyberespace. Elle est ainsi en phase avec une posture
diplomatique française qui tend à donner la priorité à la recherche du
règlement pacifique des différends et des possibilités de désescalade.
Dans une sphère plus franco-française, avoir explicitement en dehors
de la « communauté du renseignement » l’autorité nationale de sécurité
et de défense des SI, celle-ci étant susceptible d’intervenir chez des
opérateurs publics ou privés, est un choix assez structurant. Force est de
constater que les missions des services de renseignement, concourant
pourtant très directement à la protection et à l’expression de la souveraineté
nationale, sont teintées, en France, d’une certaine méfiance – voire défiance
– de la part d’une partie significative de la population. Ces missions
convoquent très vite, chez beaucoup, des éléments de perception et de
représentation assez sombres, pas toujours connotés très positivement. Il est
au passage intéressant de constater combien cette vision peut être différente
au sein des trois pays cités plus haut. En tout état de cause, la séparation
organique forte entre des entités comme l’ANSSI, qui ne portent pas de
prérogatives de renseignement, et des services spéciaux, autorisés par
exemple à mener des actions clandestines à l’étranger, est de nature à
rassurer les bénéficiaires de l’action des entités de la première catégorie.
Cet état de fait apporte une certaine transparence, contribue à augmenter la
fluidité des relations avec les « victimes » potentielles ou avérées de
cyberattaques, facilite la création de confiance entre le « patient » et son
« médecin », sans ambiguïté sur la mission de ce dernier, et permet une
large ouverture sur un panel de publics très variés, notamment à des fins
de communication et de sensibilisation.
Enfin, d’un point de vue très pragmatique et opérationnel, ce modèle
français sacralise des ressources dédiées entièrement aux missions de
protection et de défense. Il est, de façon empirique, fréquemment observé
qu’en affectant à la fois des tâches de court terme et des tâches de long
terme aux mêmes équipes, les premières prennent souvent le pas sur les
secondes. De même, au sein d’une même équipe et sans effort
supplémentaire pour sacraliser des ressources, la gestion d’une crise sera
toujours susceptible de prendre – de façon assez légitime – le pas sur les
réflexions relatives au « temps de paix ». Au chapitre précédent, lorsque
nous présentions brièvement les différentes formations de la CIC, nous
avons ainsi vu que l’une d’entre elles est entièrement dédiée à
l’anticipation. Ce choix s’inscrit pleinement dans l’état d’esprit décrit dans
ce paragraphe : dédier des ressources à des tâches que le cours naturel
des choses amènerait spontanément à déprioriser par rapport à des
enjeux plus immédiats. Outre les enjeux d’échéances, des prérogatives qui
portent sur des enjeux, des missions ou des méthodes très différentes
peuvent également avoir du mal à cohabiter de façon équilibrée au sein
d’une même entité. À titre d’exemple, Fred Kaplan a bien documenté, dans
son ouvrage Dark Territory3, la façon dont les enjeux défensifs ont pu être
en quelque sorte phagocytées par les missions offensives au sein de la NSA
américaine. Au regard de toutes ces considérations, la décision française,
très claire, de sacraliser des ressources dédiées aux missions de protection
et de défense des SI est rendue possible grâce à des choix organiques
appropriés.

II. Les documents fondateurs


Pour bien comprendre l’évolution de la vision des autorités publiques
françaises en matière de cybersécurité, il est utile de s’intéresser aux
différents documents doctrinaux de portée stratégique qui ont été rendus
publics au fil des années.
Comme dans toute démarche de rétrospective historique, une question
essentielle se pose rapidement : jusqu’où remonter ? En l’espèce, la réponse
est relativement aisée, car si la prise de conscience de l’importance des
sujets relatifs au numérique et à sa sécurité par les autorités françaises a été
progressive et ne s’est pas soudainement faite jour à la fin des années 2000,
il est un document stratégique français qui marque très clairement l’entrée
des questions de cybersécurité – ou plus exactement de « sécurité des
systèmes d’information » – dans la sphère des préoccupations des plus
hautes autorités du pays : le Livre blanc sur la défense et la sécurité
nationale de 2008. C’est donc par cette publication que nous
commencerons notre revue des principaux documents fondateurs de la
vision française en matière de cybersécurité et de cyberdéfense, pour
remonter jusqu’à nos jours.

1. 2008 : le Livre blanc sur la défense et la sécurité


nationale
Comme le décrivait Louis Gautier dans La défense de la France après la
guerre froide4 : « un livre blanc est un document de référence qui définit
pour une période donnée les objectifs d’une politique publique, le cadre
dans lequel elle s’exerce et les grands choix qu’elle appelle ». En matière de
défense nationale, puis de défense et de sécurité nationale, la Ve République
compte quatre documents de ce type.
Le premier est un « livre blanc sur la défense nationale ». Il est publié
en 1972 durant le mandat de Georges Pompidou et à l’initiative de son
Premier ministre, Michel Debré. Il s’est inscrit dans une démarche de
continuité et de formalisation de la vision gaullienne des questions de
défense nationale, en mettant un accent particulier sur la doctrine de
dissuasion nucléaire dont il jette les fondamentaux.
Le deuxième est publié en 1994 dans un contexte de cohabitation
Mitterrand-Balladur et de sortie de guerre froide. Il est un « livre blanc sur
la défense » et cherche à s’insérer dans une perspective européenne,
prépare la professionnalisation des armées, l’augmentation des opérations
extérieures et plus largement la projection des forces.
Le troisième livre blanc est un « livre blanc sur la défense et la sécurité
nationale ». En 2007, peu après son élection, le nouveau président de la
République Nicolas Sarkozy confie à Jean-Claude Mallet, ancien secrétaire
général de la défense national (titre qui, après la remise de ce livre blanc,
évoluera avec l’adjonction de la notion de « sécurité »), la présidence de la
commission chargée de son élaboration. Il sera publié l’année suivante, en
2008. L’un de ses marqueurs les plus notables est visible dans son titre : il
formalise l’existence d’un continuum entre les enjeux de sécurité nationale,
plutôt tournés vers l’intérieur du territoire, et les questions de défense
nationale, orientées vers l’extérieur de nos frontières. Il est teinté par une
posture d’articulation avec les sphères européennes et otaniennes, et met
l’accent sur la fonction d’anticipation. Y apparaît pour la première fois
dans un document officiel français de cette envergure la notion de
« sécurité des systèmes d’information ». On y lit ainsi que « la France
doit garder un domaine de souveraineté, concentré sur les capacités
nécessaires au maintien de l’autonomie stratégique et politique de la
nation : la dissuasion nucléaire, le secteur des missiles balistiques, les sous-
marins nucléaires d’attaque, la sécurité des systèmes d’information font
partie de ce premier cercle ». Sur cette question de la SSI, le livre blanc
développe : « face à une menace croissante d’origine étatique ou non
étatique, la France doit se doter à court terme d’une capacité réactive de
défense de ses systèmes d’information ». Comme nous l’avons déjà
évoqué au moment d’étudier l’approche française de la détection des
cyberattaques, c’est également ici qu’est formalisée la volonté des autorités
de développer et de mettre en œuvre une « capacité centralisée de
détection et de défense face aux attaques informatiques ».

2. 2009 : le décret de création de l’ANSSI

Les suites données à la publication de ce document fondateur sont


particulièrement intéressantes à étudier. Dans sa définition du livre blanc,
Louis Gautier nous expliquait qu’un tel document « définit les objectifs
d’une politique publique […] et les grands choix qu’elle appelle ». La mise
en œuvre de ces choix peut se matérialiser de différentes façons : des
éléments de doctrine acquis, le lancement de travaux de réflexion, la
création, la modification ou la suppression d’entités, l’affectation de
moyens financiers et humains à un projet, le lancement de travaux visant à
faire évoluer la loi, etc.
En l’occurrence, ce Livre blanc sur la défense et la sécurité nationale, en
mettant l’accent sur l’importance de la SSI, a conduit les autorités
françaises à créer, par le décret 2009-834 du 7 juillet 20095, l’Agence
nationale de la sécurité des systèmes d’information, que nous avons déjà
évoquée.
Comme nous avons pu le voir, l’ANSSI n’apparaît pas ex nihilo en
juillet 2009. Elle est créée à partir d’une entité déjà présente dans le
paysage institutionnel français, la direction centrale de la sécurité des
systèmes d’information (DCSSI), qui est à l’époque une direction du
SGDSN. En partant de cette entité et de la centaine d’agents qui l’arment,
les autorités françaises s’inscrivent dans la continuité, la confirmation et le
renforcement d’une vision et d’un modèle dont nous avons déjà décrit les
éléments structurants. L’ANSSI est désormais une direction générale
rattachée au SGDSN, au cœur de l’interministériel et au plus près des
hautes autorités, un service à compétence nationale et l’autorité
nationale de sécurité des systèmes d’information.
En 2011, ce rôle d’autorité sera étendu, par le décret n° 2011-170 du
11 février 20116, à des enjeux opérationnels, tournés vers la détection et la
réponse aux cyberattaques : l’ANSSI est désormais également autorité
nationale de défense des systèmes d’information.

3. 2011 : la première stratégie nationale de défense


et de sécurité des systèmes d’information

L’année 2011 est également marquée par la parution d’un autre document
doctrinal majeur : la première stratégie française de défense et sécurité
des systèmes d’information7.
Préparé par l’ANSSI, ce document est préfacé par le secrétaire général
de la défense et de la sécurité nationale de l’époque, Francis Delon. C’est
le premier document entièrement dédié au sujet et de ce niveau. Il fait
notamment ressortir quatre grands « objectifs » :
• « être une puissance mondiale de cyberdéfense » et « appartenir au
premier cercle très restreint des nations majeures » dans ce domaine,
« tout en conservant son autonomie stratégique » ;
• « garantir la liberté de décision de la France par la protection de
l’information de souveraineté » ;
• « renforcer la cybersécurité des infrastructures vitales nationales » ;
• « assurer la sécurité dans le cyberespace ».
Ce dernier objectif laisse déjà entrevoir les travaux, à l’époque encore
relativement discrets mais qui ont pris une importance très significative à la
fin des années 2010, portant sur la paix et la stabilité du cyberespace, et sa
régulation au niveau international.
Le document fait également état de sept « axes d’effort », construits
autour :
• de l’anticipation – en cohérence avec l’esprit du livre blanc de 2008 ;
• de questions opérationnelles de détection et de réponse aux
cyberattaques, ainsi que l’alerte et l’accompagnement des victimes ;
• du renforcement des capacités scientifiques, techniques, industrielles et
humaines ;
• de la protection des SI de l’État et des « opérateurs d’infrastructures
vitales » – intérêt qui préfigure celui qui sera porté plus tard tout
particulièrement sur les « opérateurs d’importance vitale » ;
• de l’adaptation du droit ;
• du développement des coopérations internationales ;
• des enjeux de communication et de sensibilisation – qui tiennent déjà
une place importante, largement confirmée ces dernières années.
On notera également la présence d’un glossaire en fin de document,
encore souvent cité par de nombreux auteurs en quête de définitions de
termes comme « cyberespace », « cybersécurité » ou « cyberdéfense ».
La période 2008-2011 marque ainsi un cycle important de
construction, de formalisation et de publication de la doctrine française
en matière de cybersécurité.

4. 2013 : le Livre blanc sur la défense et la sécurité


nationale

En 2012, François Hollande, récemment élu président de la République,


prend une décision similaire à celle de son prédécesseur en lançant, à son
arrivée aux responsabilités, la rédaction d’un nouveau Livre blanc sur la
défense et la sécurité nationale. Ce document, arborant le même titre que
l’édition de 2008, constitue une avancée doctrinale majeure dans la
posture française.
Dans les constats, il s’inscrit dans la continuité de l’opus de 2008, en
identifiant la menace d’origine cyber comme une menace majeure pour
la sécurité nationale, au même titre que la guerre ou le terrorisme. Il prend
acte de l’augmentation – tant en quantité qu’en sophistication – des
cyberattaques, et du risque élevé qu’elles représentent du fait à la fois de
leur forte probabilité et de leurs forts impacts potentiels. Il indique
également que la « capacité de se protéger contre les attaques
informatiques, de les détecter et d’en identifier les auteurs est devenue un
des éléments de la souveraineté nationale » et que la « capacité de produire
en toute autonomie nos dispositifs de sécurité, notamment en matière de
cryptographie et de détection d’attaque, est à cet égard une composante
essentielle de la souveraineté nationale ».
S’il fait état des finalités d’espionnage de nombre de ces attaques, le livre
blanc formalise également la préoccupation des autorités quant aux
risques de sabotage qu’elles emportent. Ce dernier constat est formalisé
dans le livre blanc à une période où quelques attaques majeures de sabotage
ont été largement documentées en sources ouvertes. Nous avons ainsi
évoqué les cas de l’Estonie en 2007, de Stuxnet en 2010 et de Shamoon en
2012 au cours du chapitre sur la menace d’origine cyber. C’est ce constat,
absolument essentiel, qui est l’origine de la prise de conscience, inscrite
dans le livre blanc, de la nécessité d’un renforcement significatif du
niveau de sécurité des SI essentiels au bon fonctionnement des
infrastructures critiques de la Nation.

5. 2013 : la loi de programmation militaire 2014-2019

De la même façon que les considérations soulevées par le livre blanc de


2008 ont donné lieu à des mesures en lien avec les questions de
cyberdéfense, telles que la création de l’ANSSI en 2009, les constats du
document de 2013 ont, eux aussi, été suivis d’effets significatifs dans le
domaine. Les plus marquants sont probablement ceux portés par les
mesures liées à la cybersécurité incluses dans la loi de programmation
militaire 2014-20198.
En toute généralité, une loi de programmation militaire (LPM) est un
texte législatif qui vise à établir une programmation pluriannuelle des
dépenses de l’État consacrées aux forces armées. Le livre blanc permet de
prendre acte du contexte stratégique en matière de sécurité et de défense, et
d’identifier des orientations de politique publique appropriées. La
programmation des moyens, notamment financiers et humains, permettant
de mettre en œuvre ces orientations nécessite d’être entérinée par le
Parlement dans le cadre d’un travail législatif idoine. Ainsi, une partie des
orientations proposées par le livre blanc de 2008 avaient été transcrites dans
la loi de programmation militaire pour la période 2009-20149. De même, les
orientations stratégiques du livre blanc de 2013 ont trouvé en la LPM
2014-2019 un véhicule législatif d’implémentation adéquat.
Comme son nom ne l’indique pas, une loi de programmation militaire
peut contenir des dispositions qui ne relèvent pas de la sphère stricte des
forces armées. Partant du constat du livre blanc de la nécessité de renforcer
la protection numérique des infrastructures critiques, il a ainsi été décidé
d’inclure dans la LPM subséquente des mesures significatives allant dans ce
sens, et en l’occurrence un chapitre IV, intitulé « dispositions relatives à la
protection des infrastructures vitales contre la cybermenace », regroupant
cinq articles. L’article 22 de ladite loi est l’un des plus importants. Il
prévoit notamment d’insérer plusieurs articles dans le code de la défense, et
principalement :
• l’article L. 1332-6-1, qui dispose que le Premier ministre – dans les
faits, sur proposition de l’ANSSI – fixe des mesures de sécurité qui
doivent être appliquées par les « opérateurs d’importance vitale »
(les OIV) sur les SI dits « d’importance vitale » (les SIIV) qu’ils
opèrent ;
• l’article L. 1332-6-2, qui dispose que les OIV doivent informer « sans
délai » le Premier ministre des incidents affectant les SIIV qu’ils
opèrent ;
• l’article L. 1332-6-3, qui dispose qu’à la demande du Premier ministre,
les OIV soumettent les SIIV qu’ils opèrent à des contrôles
« destinés à vérifier le niveau de sécurité et le respect des règles
prévues à l’article L. 1332-6-1 », et que ces contrôles peuvent être
effectués par l’autorité nationale de sécurité des systèmes d’information
(i.e. l’ANSSI) mais également par des prestataires de service
« qualifiés » par le Premier ministre ;
• l’article L. 1332-6-4, qui dispose que pour répondre à des « crises
majeures menaçant ou affectant la sécurité des systèmes
d’information », le Premier ministre peut décider de mesures que
les OIV doivent mettre en œuvre.
Ces quelques lignes appellent de nombreux et importants commentaires.
Il est tout d’abord utile de s’attarder sur le fait que ces dispositions
insèrent des articles dans un texte particulier : le code de la défense. Cette
considération n’est pas anodine. Elle démontre sans ambiguïté que les
autorités françaises ont souhaité placer cette démarche de politique
publique dans le cadre très régalien du domaine de la sécurité et de la
défense nationale. Elles laissent ainsi entrevoir que les problématiques en
jeu ici sont susceptibles d’avoir des impacts directs sur les intérêts les plus
fondamentaux de la Nation et qu’elles considèrent qu’elles relèvent d’une
sphère très souveraine, sur laquelle elles entendent conserver une large
liberté de décision.
Il est d’ailleurs intéressant de constater que le concept des « OIV »,
organismes concernés par cette loi, n’a pas été créé pour permettre aux
mesures cyber de la LPM 2014-2019 d’avoir des points d’application. Ces
OIV sont en fait au cœur d’un cadre juridique qui dépasse le seul cadre de
la cyberdéfense : le dispositif de sécurité des activités d’importance
vitale (SAIV). Ce dernier, conçu et piloté par le SGDSN, et en particulier
sa direction « Protection et sécurité de l’État » (PSE), a pour vocation de
permettre d’associer les OIV à la mise en œuvre de la stratégie de sécurité
française et au renforcement de la résilience de la Nation. À l’heure de
l’écriture de ces lignes, l’instruction générale interministérielle n° 6600
relative à la sécurité des activités d’importance vitale10 constitue une
référence officielle incontournable sur le sujet. Si la présentation exhaustive
du dispositif SAIV sort largement du périmètre de cet ouvrage, nous
pouvons toutefois en présenter brièvement deux des concepts les plus
importants : les secteurs d’activité d’importance vitale (SAIV) et les
opérateurs d’importance vitale (OIV).
Les SAIV sont définis par l’article R. 1332-2 du code de la défense
comme « constitués d’activités concourant à un même objectif, qui ont trait
à la production et la distribution de biens ou de services indispensables
(dès lors que ces activités sont difficilement substituables ou
remplaçables) : satisfaction des besoins essentiels pour la vie des
populations ; exercice de l’autorité de l’État ; fonctionnement de
l’économie ; maintien du potentiel de défense ; ou sécurité de la
Nation ». Les SAIV sont au nombre de douze, et peuvent être répartis en
quatre dominantes :
• humaine : alimentation, gestion de l’eau, santé ;
• régalienne : activités civiles de l’État, activités judiciaires, activités
militaires de l’État ;
• économique : énergie, finances, transports ;
• technologique : communications électroniques, industrie, espace et
recherche.
Le concept d’OIV, quant à lui, est défini par l’article R. 1332-1 du code
de la défense comme une organisation, publique ou privée, qui exerce une
activité comprise dans un SAIV et « gère ou utilise au titre de cette activité
un ou des établissements ou ouvrages, une ou des installations dont le
dommage ou l’indisponibilité ou la destruction par suite d’un acte de
malveillance, de sabotage ou de terrorisme risquerait, directement ou
indirectement : d’obérer gravement le potentiel de guerre ou
économique, la sécurité ou la capacité de survie de la Nation ; ou de
mettre gravement en cause la santé ou la vie de la population ». Début
2020, la France comptait environ 250 OIV.
Si le statut d’OIV d’un opérateur peut, pour un certain nombre d’entre
eux, être intuité11, cette information – et a fortiori la liste complète des
OIV – est classifiée Confidentiel Défense. Cette protection se justifie
notamment par des considérations de sécurité nationale : la connaissance
précise des 250 opérateurs les plus critiques pour la continuité d’un pays
serait une information de valeur pour une puissance malveillante. Ce choix
s’inscrit également dans une logique de non-divulgation de seuils que nous
avons déjà eu l’occasion d’évoquer précédemment, lorsque nous étudiions
la question du découragement et des « lignes à ne pas franchir ».
Rappelons-le : publier des seuils précis serait de nature à donner de la
lisibilité à des potentiels attaquants sur les limites exactes à ne pas dépasser,
leur permettant ainsi de rester « en dessous », et en quelque sorte de
déposséder l’autorité politique défendante d’une partie de sa liberté de
décision dans la construction de sa réponse.
La codification en droit français des concepts de SAIV et d’OIV a une
implication sémantique notable, utile pour celles et ceux qui seraient
amenés à les manipuler dans un contexte international : si la notion
« d’infrastructure critique » est relativement générique et se porte donc bien
au-delà de nos frontières, la terminologie « OIV » est, elle, purement
française.
Parmi les autres commentaires qu’appellent les dispositions de la LPM, il
est également utile de s’arrêter sur un aspect important prévu par la loi : le
recours à des produits et services dits « qualifiés » par le Premier
ministre, et donc dans les faits par l’ANSSI. Cette logique de qualification,
sur laquelle nous reviendrons plus en détails ultérieurement dans ce
chapitre, répond à un constat simple : l’autorité nationale ne peut pas « tout
faire seule » et doit pouvoir s’appuyer sur un tissu industriel de
confiance pour « passer à l’échelle » sur certaines considérations. Deux
cas d’usage sont ainsi explicitement évoqués par la loi : la détection des
cyberattaques et l’audit. L’article L. 1332-6-1 dispose ainsi que les règles de
sécurité « peuvent notamment prescrire que les opérateurs mettent en œuvre
des systèmes qualifiés de détection des événements susceptibles d’affecter
la sécurité de leurs systèmes d’information. Ces systèmes de détection sont
exploités sur le territoire national par des prestataires de service qualifiés en
matière de sécurité de systèmes d’information ». L’article L. 1332-6-3
dispose, quant à lui, que les contrôles du respect des règles de sécurité – en
pratique des audits – peuvent être réalisés « par des prestataires de service
qualifiés par [le Premier ministre] ». Au-delà du besoin de « passer à
l’échelle », ce choix de mettre en place un dispositif de qualification de
produits et de services de cybersécurité présente d’autres aspects vertueux,
et notamment celui de créer une demande pour de tels produits et
services, et donc d’encourager l’émergence d’une offre de confiance en
la matière, utile bien au-delà du seul « marché » des OIV.
Une autre remarque qui peut être formulée sur les dispositions cyber de
la LPM 2014-2019 porte sur des aspects de mise en œuvre concrète. En
effet, si la loi dispose que l’ANSSI, par délégation du Premier ministre, fixe
des règles de sécurité, il est intéressant de remarquer que ceci ne s’est, dans
les faits, pas produit de manière immédiate et unilatérale. Au contraire,
suite à la promulgation de la loi, un chantier significatif de définition de
ses modalités d’application et des mesures concrètes a été engagé. Une
partie des travaux a réuni, par secteur, les OIV concernés, les ministères
coordonnateurs, les autorités de régulation sectorielles et l’ANSSI. Ce
travail s’est étalé sur plusieurs années et a abouti notamment à la
publication de plusieurs décrets et arrêtés d’application.
Enfin, un commentaire qui peut être formulé nous projette sur la scène
internationale. En effet, même si comparaison n’est pas raison, et en
particulier lorsqu’il s’agit de l’appétence nationale pour l’acte de légiférer,
il est en effet intéressant de constater que la démarche française qui a
consisté à ancrer dans la loi des dispositions portant sur la sécurité
numérique des infrastructures critiques nationales est probablement
une première mondiale. Pour ne citer qu’un autre exemple, l’étude de
l’historique de la prise en compte des enjeux de cybersécurité par les
autorités étatsuniennes nous amènerait très probablement à conclure que
celles-ci avaient envisagé cette piste dès le milieu des années 1990, à la
suite des attentats d’Oklahoma City, mais qu’elles ne sont jamais parvenues
à légiférer au niveau fédéral sur la question. Il est clair que l’orientation
prise par la France a été source d’inspiration pour d’autres États, et a même
très probablement participé à l’émergence d’une directive européenne en la
matière, sur laquelle nous reviendrons dans le prochain chapitre.

6. 2015 : la Stratégie nationale pour la sécurité du


numérique

Après la période 2008-2011, les années 2012 et 2013 ont marqué le


début d’un nouveau cycle majeur pour la doctrine française en matière
de cybersécurité. Si le début de ce cycle a été très teinté par des
considérations très régaliennes et ancrées dans la loi et le code de la
défense, la focale s’est progressivement étendue à un domaine plus large.
En 2015, la France a publié sa Stratégie nationale pour la sécurité du
numérique. Si l’ANSSI a joué un rôle essentiel dans sa rédaction, elle est
issue d’un travail interministériel, associant des acteurs de l’écosystème
qui ont déjà pu être cités plus haut. Par ailleurs, alors que le document
stratégique de 2011 était préfacé par le SGDSN, qui n’est stricto sensu pas
une autorité politique, cette stratégie de 2015 est, elle, dévoilée par le
Premier ministre – Manuel Valls à l’époque.
Outre ces deux considérations relatives au portage des travaux et de leurs
conclusions, il est également intéressant de noter une évolution
sémantique, répercutée directement dans le titre du document : on parle
désormais de « sécurité du numérique ». Ce constat pourrait
probablement, à lui seul, faire l’objet d’un ouvrage complet. Retenons-en
simplement l’esprit : si les enjeux de cybersécurité sont toujours en position
haute dans les préoccupations de la sphère très souveraine des questions de
sécurité et de défense nationale, ce document élargit le champ d’application
de la matière au domaine plus vaste de la numérisation de la société et de
l’économie. L’étude succincte des cinq « objectifs stratégiques » mis en
avant dans le document traduit d’ailleurs bien cette tendance. Ceux-ci sont
synthétisés par des séries d’idées essentielles :
• « intérêts fondamentaux, défense et sécurité des systèmes d’information
de l’État et des infrastructures critiques, crise informatique majeure » ;
• « confiance numérique, vie privée, données personnelles,
cybermalveillance » ;
• « sensibilisation, formations initiales, formations continues » ;
• « environnement des entreprises du numérique, politique industrielle,
export et internationalisation » ;
• « Europe, souveraineté numérique, stabilité du cyberespace ».
Les lecteurs à l’aise avec la grille de lecture « en politiques publiques »,
telle que nous avons essayé de l’esquisser tout au long de ce chapitre,
auront sans doute pu voir apparaître cinq grandes gammes de politiques
publiques au fil de ces cinq « objectifs stratégiques », respectivement :
sécurité et défense nationale, transformation numérique de la société,
éducation et formation, enjeux industriels, enjeux diplomatiques et
internationaux.
L’esprit de ce document est donc, tout en conservant une attention
toute particulière sur les enjeux les plus souverains relatifs à la
cyberdéfense du pays, de formaliser l’amorce d’une ouverture vers des
sujets plus largement sociétaux. La transformation numérique touche mais
dépasse les seuls intérêts fondamentaux de la Nation, en irriguant
l’ensemble de la société et de l’économie. On sort ici de logiques polarisées
autour de postures d’États en confrontation les uns par rapport aux autres,
pour investir un champ où l’on cherche à tirer tous les bénéfices promis par
l’essor du numérique : la sécurité du numérique a vocation à créer la
confiance nécessaire pour que la transformation numérique soit un
succès.

7. 2018 : la Revue stratégique de cyberdéfense

Emmanuel Macron s’est inscrit dans la tradition initiée par ses deux
prédécesseurs en initiant, l’été suivant son arrivée à l’Élysée, une analyse
stratégique en matière de sécurité et de défense nationale.
La demande du nouveau président de la République a néanmoins un peu
différé de celles formulées par Nicolas Sarkozy en 2007 et François
Hollande en 2012. D’une part, le nom de « livre blanc » a évolué en « revue
stratégique » – sans que cela emporte des incidences majeures sur la suite
des travaux. D’autre part, le nouveau locataire de l’Élysée a demandé non
pas un mais deux exercices :
• une Revue stratégique de défense et de sécurité nationale12, confiée à la
ministre des Armées ;
• et une Revue stratégique de cyberdéfense, portée par le Premier ministre.
La Revue stratégique de défense et de sécurité nationale s’inscrit
majoritairement dans la continuité des livres blancs de 2008 et 2013, en se
concentrant sur le périmètre militaire. Son élaboration a été assurée par une
commission présidée par le député européen Arnaud Danjean et dont le rôle
de secrétaire général a été confié au directeur général des relations
internationales et de la stratégie (DGRIS) du ministère des Armées. Très
majoritairement consacrée aux enjeux de sécurité et de défense, le
numérique y est néanmoins évoqué à plusieurs reprises, notamment pour
prendre acte des progrès toujours croissants des technologies de
l’information, ainsi que des sources d’opportunités et des vulnérabilités
nouvelles qu’ils engendrent pour les forces armées. Le cyberespace y est
pleinement reconnu comme un espace de confrontation à part entière, et,
eu égard à « l’enjeu considérable que représente la menace cyber », le
document appelle « un renforcement substantiel à la fois des moyens
défensifs et offensifs de la France » en la matière. Plus précisément, cette
revue indique que les « armées doivent […] planifier et conduire les
opérations dans l’espace numérique jusqu’au niveau tactique, de façon
totalement intégrée, à la chaîne de planification et de conduite des
opérations cinétiques. En plus des opérations spécifiques au cyberespace,
les opérations dans l’espace numérique élargissent la palette des effets
traditionnels à la disposition des autorités politiques et exploitent la
numérisation croissante de nos adversaires, étatiques ou non. Cette aptitude
nécessite une ressource humaine renforcée et suffisamment agile, ainsi que
le développement permanent de solutions techniques spécifiques ».
Le document ouvre la voie à la formalisation d’une doctrine publique sur
un sujet sensible et important, à propos duquel très peu d’États avaient
jusque-là communiqué officiellement : les capacités cyber offensives. Les
autorités françaises ne s’étaient quasiment jamais exprimées publiquement
sur le sujet avant décembre 2016. Jean-Yves Le Drian, alors ministre de la
Défense en visite à la direction générale de l’armement – maîtrise de
l’information (DGA-MI) à Bruz, prononçait un discours13 dans lequel il
annonçait le rattachement, pour le mois suivant, du commandement de la
cyberdéfense (COMCYBER) au chef d’état-major des armées. Il évoquait
des missions de neutralisation de la menace et de riposte portées par la
« lutte informatique offensive », en précisant que « nos capacités cyber
offensives doivent […] nous permettre de nous introduire dans les systèmes
ou les réseaux de nos ennemis, afin d’y causer des dommages, des
interruptions de service ou des neutralisations temporaires ou définitives,
justifiées par l’ouverture d’hostilité à notre encontre ». Le ministre plaçait
ainsi un cadre d’emploi clair pour « l’arme cyber » : celui d’un moyen
supplémentaire à la disposition des forces armées pour mener leurs
opérations, s’inscrivant ainsi dans le droit international existant et
notamment le droit des conflits armés. Au passage, un élément de
doctrine important est précisé : une cyberattaque majeure peut être
considérée, par la France, comme une agression armée au sens de
l’article 51 de la Charte des Nations unies, ouvrant ainsi un droit à la
légitime défense. Malgré tout, l’ensemble de ces considérations n’avaient
été que prononcées à l’oral par le ministre, et n’avaient pas fait l’objet
d’une publication écrite.
La Revue stratégique de cyberdéfense (RSC), quant à elle, constitue le
premier exercice du genre en France. De la même gamme que les livres
blancs de 2008 et de 2013, et que la Revue stratégique de défense et de
sécurité nationale élaborée en parallèle, cette « revue cyber » constituera in
fine un document stratégique de près de 200 pages entièrement
consacré aux enjeux de cyberdéfense. Voulu par le président de la
République, ce chantier fera l’objet d’un mandat du Premier ministre confié
au secrétaire général de la défense et de la sécurité nationale. Les travaux
dureront un peu plus de sept mois, entre leur lancement en juillet 2017 et la
présentation publique du document en février 2018 par le SGDSN, en
présence du secrétaire d’État chargé du numérique. Une première phase de
travail s’est tenue en interministériel, mobilisant de nombreuses entités à
travers les différents ministères concernés par ces questions. La seconde
phase des travaux a impliqué des représentants du secteur privé, du
monde académique, des institutions européennes, d’institutions
étrangères et plus largement de la société civile.
In fine, la « revue cyber » constitue un document stratégique national
majeur en matière de sécurité numérique. Rendu très majoritairement
public, il comporte quelques éléments restés classifiés. Très large dans son
approche, il rappelle des éléments de compréhension des enjeux cyber,
dresse des constats, formalise des points de doctrine, d’orientations et de
posture de la France, formule des recommandations. Il est structuré en trois
parties :
• « les dangers du monde cyber », qui décrit l’évolution des menaces,
s’attache à expliquer certains modes opératoires classiques et prend
acte d’une « régulation internationale encore trop balbutiante » ;
• « l’État, responsable de la cyberdéfense de la nation », qui :
– présente et complète la formalisation du « modèle de cyberdéfense

français », dans son organisation et sa gouvernance,


– met l’accent sur la protection des « activités sensibles », en passant
successivement en revue la sphère étatique, les OIV, les « opérateurs
de services essentiels » (OSE)14, les collectivités territoriales et les
processus électoraux15,
– consacre une partie de la réflexion aux questions internationales,
évoquant notamment des questions de doctrine, les normes de
comportement responsable des États dans le cyberespace ou encore
la responsabilité des acteurs privés ;
• « l’État, garant de la cybersécurité de la société », qui :
– évoque la question de la souveraineté numérique, sous un angle
technologique et industriel,
– s’intéresse aux enjeux de régulation et d’économie de la
cybersécurité, balayant différents sujets tels que la régulation
sectorielle, la certification de sécurité, la politique industrielle ou
encore le marché de l’assurance cyber,
– termine le document par les enjeux liés au facteur humain, à la
question de la sensibilisation des publics de tous âges, et de la
gestion et de la valorisation des compétences en matière de sécurité
du numérique.
Très dense, cette Revue stratégique de cyberdéfense est un objet très
singulier, aux multiples facettes. Il n’est pas simple d’en dresser une
synthèse qui lui fasse réellement honneur. S’il est probablement encore trop
tôt, à l’écriture de ces lignes, pour tirer un bilan pertinent de son apport à la
pensée française de cybersécurité, il est d’ores et déjà possible de lui
reconnaître d’avoir significativement contribué à préciser et à formaliser
l’organisation et la gouvernance du modèle français que nous décrivions
plus haut.
Parmi les éléments concrets de mise en œuvre de la RSC, nous pouvons
retenir l’installation d’une comitologie – autour notamment du CODIR
cyber, du COPIL cyber et du C4 – dont les travaux ne sont pas directement
connus du grand public, mais qui a largement fédéré les acteurs
institutionnels français de la cyberdéfense autour de questions stratégiques
et doctrinales d’importance majeure.

8. 2018 : la loi de programmation militaire 2019-2025


De la même manière que la loi de programmation militaire 2014-2019
avait constitué un véhicule législatif de transposition de certaines mesures
de cybersécurité proposées par le livre blanc de 2013, la LPM 2019-
202516, promulguée en juillet 2018 jouera le même rôle pour la RSC.
Ainsi, comme nous l’avons vu dans un chapitre précédent, afin
d’améliorer les capacités de détection des cyberattaques visant des SI de
l’État, des autorités publiques et d’opérateurs publics et privés, l’article 34
de cette LPM prévoit notamment que :
• « pour les besoins de la sécurité et de la défense des systèmes
d’information, les opérateurs de communications électroniques peuvent
recourir, sur les réseaux de communications électroniques qu’ils
exploitent, après en avoir informé l’autorité nationale de sécurité des
systèmes d’information, à des dispositifs mettant en œuvre des
marqueurs techniques aux seules fins de détecter des événements
susceptibles d’affecter la sécurité des systèmes d’information de leurs
abonnés » ;
• « lorsqu’elle a connaissance d’une menace susceptible de porter atteinte
à la sécurité des systèmes d’information des autorités publiques, [des
OIV ou des OSE], l’autorité nationale de sécurité des systèmes
d’information peut mettre en œuvre [des dispositifs de supervision de
circonstance] pour la durée et dans la mesure strictement nécessaire à la
caractérisation de la menace ».
Le premier volet décrit ci-dessus permet donc, concrètement, aux
opérateurs de communications électroniques de mettre en œuvre des
dispositifs de détection d’attaques visant leurs abonnés, afin de les en
informer le cas échéant.
Le second volet est, lui, circonstanciel. Il s’applique lorsque l’ANSSI a
connaissance d’une menace grave et imminente portant sur les SI
d’une autorité publique, d’un OIV ou d’un OSE. Dès lors, pour une
durée et un périmètre limités, strictement nécessaires à la
caractérisation de la menace, il permet à l’agence de déployer un
système local de détection d’attaques sur des équipements contrôlés par
un attaquant situés chez un hébergeur ou un opérateur de communications
électroniques.
On notera par ailleurs que le législateur a souhaité mettre en œuvre un
mécanisme de contrôle pour garantir le respect du cadre juridique dans
lequel s’inscrivent ces nouvelles missions – extrêmement précieuses pour
lutter efficacement contre les cyberattaques mais qui doivent être exercées
dans des conditions précises. C’est l’Autorité de régulation des
communications électroniques et des postes (ARCEP), autorité
administrative indépendante, qui a été désignée pour jouer ce rôle.

9. 2019 : éléments de doctrine cyber du ministère


des Armées

En janvier 2019, deux documents importants sont rendus publics par la


ministre des Armées :
• une politique ministérielle de lutte informatique défensive (LID) ;
• des éléments de doctrine militaire de lutte informatique offensive
(LIO).
Le premier document s’inscrit largement dans la continuité de l’existant,
mais formalise néanmoins plusieurs points :
• il précise six missions pour la cyberdéfense – prévenir, anticiper,
protéger, détecter, réagir et attribuer – qui s’appliquent sur trois
« zones » – une zone amie, une zone neutre et une zone ennemie ;
• il définit la LID comme « l’ensemble des actions, techniques et non
techniques, conduites pour faire face à un risque, une menace ou à une
cyberattaque réelle, en vue de préserver notre liberté d’action » ;
• il annonce la mise en œuvre d’une « posture permanente cyber »
(PPC), placée sous le commandement du COMCYBER, visant à
« assurer en permanence (24 h/7 j) la défense de systèmes
informatiques du ministère [des Armées] dans le continuum paix-crise-
guerre ».
Ce document précise également l’organisation de la cyberdéfense
militaire et son insertion dans le dispositif global de cyberdéfense de l’État.
En somme :
• la cyberdéfense de l’État relève de la responsabilité du directeur
général de l’ANSSI ;
• la conduite de la cyberdéfense des SI du ministère des Armées relève de
la responsabilité du CEMA ;
• l’organisation et la conduite des opérations de LID au sein du ministère
relève du COMCYBER, « en coordination avec l’ANSSI, les services
de renseignement et éventuellement d’autres partenaires (nationaux et
internationaux) » ;
• la DGA constitue un pôle d’expertise technique de référence au sein du
ministère, notamment pour le développement et l’évaluation de
produits de cybersécurité, la prise en compte de la cybersécurité dans
les programmes d’armement et l’animation de la recherche en matière
de cybersécurité en lien avec les acteurs de l’écosystème ;
• le centre d’analyse en LID (CALID) est une entité, subordonnée au
COMCYBER, en charge de la supervision de sécurité pour l’ensemble
du ministère. Il assure la synthèse des informations issues des
différentes capacités de détection du ministère, y compris celles qu’il
possède en propre.
Le deuxième document est, par son existence même, plus novateur. C’est
le premier document officiel publié par les autorités françaises sur le
sujet spécifique de la LIO. Le titre complet du document, qui précise que
ce ne sont que « des éléments de doctrine », laisse entendre ce qui paraît
intuitif au regard de la sensibilité du sujet : une partie de cette doctrine
reste classifiée. De cette publication peuvent être retenus plusieurs points
notables :
• la description d’une finalité pour la LIO : « contribuer dans le
cyberespace à la supériorité militaire ». Plus largement, il s’agit de
remplacer, préparer ou compléter d’autres modes d’action militaire, en
exploitant les vulnérabilités des systèmes numériques de l’adversaire ;
• la formalisation de trois « objectifs opérationnels » pour la LIO dans
la conduite d’opérations militaires :
– « l’évaluation des capacités militaires adverses »,
– la « réduction voire la neutralisation de capacités adverses »,
– la « modification des perceptions ou de la capacité d’analyse de
l’adversaire » ;
• la répartition de rôles et responsabilités le long d’une chaîne de
commandement placée sous l’autorité du président de la République.
Cette chaîne correspond peu ou prou à la chaîne opérationnelle « action
militaire » décrite dans la Revue stratégique de cyberdéfense. Elle est
aux ordres du CEMA. Le COMCYBER y est responsable de « planifier
et de coordonner les opérations de LIO au profit de la manœuvre
interarmées ». La DGA est responsable de fournir aux forces les
capacités nécessaires à la conduite des opérations de LIO ;
• l’attention toute particulière apportée à la maîtrise des risques –
politiques, juridiques et militaires – liés à l’emploi de la LIO et induits
par les propriétés particulières de l’espace numérique que nous avons
détaillées au premier chapitre. Ce point implique notamment de
préserver le caractère secret des capacités et des opérations de LIO. Les
autorités peuvent néanmoins décider, de façon souveraine, d’assumer
voire de revendiquer publiquement certaines de ces dernières ;
• le nécessaire cadrage juridique de l’usage de la LIO. Malgré le secret
qui entoure les capacités et les opérations cyber offensives, la doctrine
française inscrit leur emploi dans le cadre du droit, notamment du droit
international public et du code de la défense français.
L’intérêt de ce document ne réside pas tant dans le contenu qu’il rend
public que dans le fait qu’il existe et qu’il s’inscrive dans une rhétorique
plus générale des autorités françaises. Dans le discours qui accompagnait
la publication de ces éléments de doctrine, la ministre des Armées Florence
Parly portait ainsi des messages très clairs : « aujourd’hui, la France choisit
de se doter pleinement de l’arme cyber pour ses opérations militaires. Nous
considérons l’arme cyber comme une arme opérationnelle à part entière.
C’est un choix nécessaire, en responsabilité. Nous en ferons un usage
proportionné, mais que ceux qui sont tentés de s’attaquer à nos forces
armées le sachent : nous n’aurons pas peur de l’utiliser ».
III. Réglementation nationale de
cybersécurité
1. Considérations générales sur le cadre
réglementaire français
Parmi l’ensemble des leviers permettant de mettre en œuvre une politique
publique se trouvent évidemment les mesures qui relèvent de la
réglementation. Celles-ci peuvent prendre des formes assez variées : loi,
ordonnance, décret, arrêté, circulaire, directive, instruction générale
interministérielle (IGI), instruction interministérielle (II), etc. Elles peuvent
très spécifiquement porter sur le sujet de la sécurité numérique comme être
plus génériques. Elles peuvent concerner différents enjeux de sécurité : la
confidentialité, la disponibilité, l’intégrité. Enfin, elles peuvent s’appliquer
à des périmètres divers, plus ou moins vastes : État, sphère des OIV,
commerce et administration électronique, information classifiée, etc.
Sans prétendre à l’exhaustivité, nous proposons ici de présenter quelques
textes comportant des éléments de renforcement de la sécurité numérique.
L’esprit de cette section n’est pas tant de couvrir l’ensemble de la
réglementation applicable que d’illustrer la diversité des portages et des
contenus susceptibles d’aborder cette question.
Les deux LPM qui comprennent des dispositions de sécurité numérique –
celles couvrant les périodes 2014-2019 et 2019-2025 – ayant déjà fait
l’objet de présentations détaillées au cours de ce chapitre, nous n’y
reviendrons pas ici. Nous formulons simplement deux remarques au sujet
des dispositions prévues par la LPM 2014-2019 et visant à renforcer la
cybersécurité des OIV :
• le fait qu’elles aient été inscrites dans le code de la défense nous informe
qu’elles se situent à l’articulation de deux politiques publiques : la
sécurité du numérique d’une part, et la sécurité et la défense nationale
d’autre part ;
• le cadre juridique dans lequel elles s’inscrivent, le dispositif SAIV, nous
donne un élément de compréhension clé sur « l’esprit » de ce texte,
prévu dans une perspective de continuité des activités d’importance
vitale de la Nation. Parmi les trois propriétés de sécurité « classiques »
– confidentialité, intégrité, disponibilité – c’est donc la disponibilité qui
est ici au cœur des préoccupations.
Enfin, nous nous concentrons ici sur des textes relevant du droit interne
français, à l’exclusion des textes européens, que nous évoquerons toutefois
dans le prochain chapitre, et des traités et accords commerciaux
internationaux.

2. Protection des systèmes et informations sensibles

Nous commençons par présenter deux textes fortement teintés des enjeux
de sécurité et de défense, et s’intéressant particulièrement à la propriété de
confidentialité. Ce sont tous les deux des instructions interministérielles,
c’est-à-dire des documents émis par une entité de nature interministérielle à
destination des différents ministères, notamment pour fixer des règles
communes à propos d’un sujet sur lequel elle fait autorité.
Le premier est l’instruction interministérielle relative à la protection
des systèmes d’information sensibles n° 901/SGDSN/ANSSI, dite
« II 90117 ». Ce document, produit par l’ANSSI et portant exclusivement
sur des enjeux de cybersécurité, définit les « objectifs et les règles relatifs à
la protection des systèmes d’information sensibles, notamment ceux traitant
des informations portant la mention Diffusion Restreinte » et s’adresse à
toutes « les personnes physiques ou morales intervenant dans ces
systèmes ». La notion de « système d’information sensible » est définie dès
l’article premier comme un système traitant « d’informations dont la
divulgation à des personnes non autorisées, l’altération ou l’indisponibilité
sont de nature à porter atteinte à la réalisation des objectifs des entités qui
les mettent en œuvre ». Le périmètre d’application du texte est intéressant à
étudier :
• il s’impose aux administrations de l’État qui mettent en œuvre des SI
sensibles, aux entités publiques ou privées soumises à la réglementation
relative à la protection du potentiel scientifique et technique de la
Nation, et aux entités publiques ou privées mettant en œuvre des SI
marqués Diffusion Restreinte ;
• il constitue un référentiel dont l’application est recommandée aux autres
entités publiques ou privées qui mettent en œuvre des SI sensibles.
Il existe d’autres instructions interministérielles portant également sur
des enjeux de SSI. Peuvent par exemple être citées :
• l’instruction interministérielle n° 300/SGDSN/ANSSI relative à la
protection contre les signaux parasites compromettants ;
• l’instruction interministérielle n° 910/SGDSN/ANSSI relative aux
articles contrôlés de la sécurité des systèmes d’information ;
• l’instruction interministérielle n° 920/SGDSN/DCSSI relative aux
systèmes traitant des informations classifiées de défense de niveau
Confidentiel Défense.
Ces trois textes ont tous été produits et publiés par l’ANSSI (ou la
DCSSI), dans son rôle d’autorité nationale de sécurité des systèmes
d’information.
Le second document que nous présentons dans cette sous-section est
l’instruction générale interministérielle n° 1300/SGDSN/PSE/PSD sur
la protection du secret de la défense nationale18 – plus communément
appelée « IGI treize-cent » dans les milieux autorisés. Afin de formaliser
son approbation, l’IGI 1300 fait l’objet d’un arrêté signé par le SGDSN par
délégation du Premier ministre. Ce texte, contrairement aux autres
exemples évoqués dans cette sous-section, ne porte pas exclusivement sur
des questions de cybersécurité. Il décrit les mesures qui doivent être
respectées pour protéger l’information classifiée de défense, quelle que soit
la forme sous laquelle elle se présente – papier ou numérique. Ce document
rappelle ou précise des principes fondamentaux de la gestion de
l’information classifiée en France, et notamment :
• les différents niveaux de classification utilisés en France (i.e.
Confidentiel Défense, Secret Défense et Très Secret Défense)19 ;
• la nécessité, pour accéder à une information classifiée à un niveau
donné, de cumuler deux propriétés :
– être habilité pour ce niveau ou un niveau supérieur,
– avoir « besoin d’en connaître » ;
• le caractère pénal des sanctions qui peuvent être prises en cas de non-
respect des mesures de protection de l’information classifiée20.
Si l’IGI 1300 n’est pas exclusivement dédiée à la sécurité numérique,
l’une de ses six parties, le titre V, est consacrée aux « mesures de sécurité
relatives aux systèmes d’information21 ».
En matière d’information classifiée, tant sur des supports physiques que
numériques, deux autres instructions interministérielles peuvent être
mentionnées :
• l’instruction interministérielle n° 2100/SGDN/SSD pour l’application en
France du système de sécurité de l’Organisation du traité de
l’Atlantique Nord (OTAN) ;
• et l’instruction générale interministérielle n° 2102/SGDSN/PSE/PSD sur
la protection en France des informations classifiées de l’Union
européenne (UE).
Comme nous le verrons dans le prochain chapitre, l’OTAN et l’UE sont
deux organisations internationales qui ont un système propre de
classification de l’information. Chacun des membres de ces organisations
doit ainsi prévoir une réglementation nationale afin de décrire la façon dont
seront traitées les informations classifiées de l’organisation au sein de ses
frontières.

3. Réglementation sur la cryptologie

L’évolution de la réglementation française et internationale sur la


cryptologie pourrait faire l’objet d’un chapitre à part entière, voire d’un
ouvrage dédié. Le sujet ayant déjà été largement documenté22, il ne s’agira
pas ici d’en présenter tous les détails. Néanmoins, ce sujet offre un exemple
instructif d’articulation progressive de plusieurs politiques publiques : la
défense nationale, l’économie et la numérisation de la société.
Après la Seconde Guerre mondiale, l’essor de l’électronique et de
l’informatique ont notamment permis des évolutions technologiques
majeures pour les moyens de cryptologie, via une transition progressive de
l’électromécanique vers le numérique. Dans les années 1960, certains États,
dont la France, se sont progressivement dotés d’industries nationales de
cryptologie, en s’appuyant sur la conjonction de plusieurs ingrédients :
• la volonté d’affirmer et de protéger une certaine forme de souveraineté,
s’agissant notamment des capacités relatives à la défense nationale,
comme la dissuasion nucléaire ou, pour ce qui nous intéresse ici, la
sécurité des communications ;
• l’existence d’expertises nationales reconnues dans le domaine des
mathématiques ;
• la présence d’acteurs industriels capables de s’engager dans des
logiques de programmes d’armement en lien avec les autorités
nationales.
Ainsi, en France, le programme de chiffreurs souverains Myosotis, lancé
à la fin des années 1950 pour répondre à un « concours national » visant à
faire émerger une nouvelle machine à chiffrer, est le précurseur de ce qui
deviendra une industrie nationale de cryptologie de premier plan au
niveau mondial23.
À l’époque, les autorités des pays qui avaient consenti à l’effort de se
doter d’une capacité industrielle à produire des matériels de cryptologie ont
rapidement fait le constat de la complexité des technologies mises en
œuvre pour produire ces équipements, d’une certaine rareté des ressources
nécessaires, et ainsi de la nécessité de contrôler leur production, leur
commercialisation, leur utilisation et leur exportation. Dans de
nombreux cas, ce constat a amené les autorités nationales à considérer ces
équipements comme des matériels de guerre. En France, le décret 73-364
de mars 197324 range ainsi les « moyens de cryptologie » parmi les
« matériels de guerre » et plus précisément dans la « deuxième catégorie »,
où sont listés les « matériels destinés à porter ou à utiliser au combat les
armes à feu25 ». En tant que tels, les moyens de cryptologie étaient donc
soumis à un strict régime d’interdiction – des dérogations pouvant être
accordées sur décision gouvernementale.
La numérisation de l’économie et des sociétés, qui a vu son essor dans
les années 1980 et a ajouté des enjeux commerciaux significatifs à des
préoccupations d’ordre majoritairement gouvernemental, a conduit de
nombreux États à libéraliser progressivement l’utilisation des moyens de
cryptologie. En France, un premier pas – pour le moins timide – a été fait
en ce sens en 1986. Le décret n° 86-250 de février 198626 précise en effet
les modalités de demande de dérogation pour des usages commerciaux.
Un pas plus significatif vers la libéralisation de la cryptologie est notable
dans l’article 28 de la loi n° 90-1170 du 29 décembre 1990 sur la
réglementation des télécommunications. Si jusque-là les moyens de
cryptologie étaient par défaut considérés comme des matériels de
guerre, cette situation est devenue un cas particulier (i.e. ceux
« spécialement conçus ou modifiés pour permettre ou faciliter l’utilisation
ou la mise en œuvre des armes »). Dans les faits, les autorités françaises ont
mené, entre 1990 et 1996, une politique facilitant l’accès des particuliers
aux technologies de signature mais décourageant l’utilisation de moyens de
chiffrement. L’essor d’Internet ayant largement répandu ces derniers, la
posture française évolua encore. La loi sur les télécommunications du
26 juillet 199627 tenta ainsi, en s’appuyant sur un système de séquestre de
clés cryptographiques auprès d’un tiers agréé par le Premier ministre, de
favoriser encore la libéralisation de la cryptographie.
En dehors des capacités de chiffrement militaires, qui font l’objet d’un
contrôle au titre du régime des matériels de guerre et assimilés, les
références en vigueur en matière de contrôle réglementaire de la cryptologie
se trouvent dans les articles 29 et suivants de la loi n° 2004-575 du 21 juin
2004 pour la confiance dans l’économie numérique. À ce jour, l’utilisation
d’un moyen de cryptologie est ainsi libre en France, sans démarches
particulières. La fourniture, l’importation, le transfert au sein de l’UE et
l’exportation d’un moyen de cryptologie sont en revanche soumis, sauf
exception, à déclaration ou à demande d’autorisation – en fonction de la
sensibilité des biens et des opérations envisagées. Dans ce dispositif,
l’ANSSI – comme les différentes entités qui l’ont précédée – joue un rôle
central : l’ensemble des démarches à accomplir doivent être menées auprès
d’elle.
En tout état de cause, la réglementation sur l’utilisation de la cryptologie
constitue un bon exemple de défi pour le régulateur, qui doit notamment
réussir à concilier la pratique réglementaire, et notamment sa
temporalité, avec la réalité de l’évolution des technologies et des usages.
En particulier, en sortant de la sphère militaire pour se diffuser très
largement dans la société civile, la cryptologie a vu son utilisation croître de
façon exponentielle. Le caractère dual des finalités que peuvent servir les
outils et techniques cryptologiques – en pouvant protéger aussi bien des
communications malveillantes que des données qui méritent
« légitimement » de l’être – ajoute un élément significatif de complexité,
faisant au passage écho au célèbre dilemme entre sécurité et liberté :
comment construire un cadre réglementaire protecteur des libertés
individuelles et collectives, qui contribue à endiguer les usages
malveillants, et permet voire encourage, à l’inverse, la diffusion et
l’utilisation de techniques et outils permettant aux « honnêtes citoyens » de
se protéger efficacement ?

4. Administration et commerce électronique

Un autre pan de la réglementation numérique concerne l’administration –


au sens du service public – et le commerce électronique.
Au début des années 2000, le gouvernement français s’est engagé dans
une réforme de l’État visant à simplifier les démarches des usagers, en
facilitant leur accès aux services publics. Dans une société de plus en plus
numérisée, le gouvernement s’est ainsi fixé des objectifs de modernisation
et d’amélioration de l’efficacité et de la réactivité des services proposés aux
citoyens. Il s’agit de pouvoir offrir à ces derniers des accès à de plus en plus
de services administratifs – existants ou à développer – par voie
électronique et de manière sécurisée. Dans cette perspective, la confiance
apportée aux usagers dans la sécurité des échanges constitue un enjeu
majeur, notamment au travers de la bonne protection des informations
traitées – souvent des données à caractère sensible du point de vue de
l’utilisateur. Par ailleurs, cette démarche visant l’ensemble des citoyens, des
critères d’inclusivité et d’utilisabilité des outils proposés s’ajoutent aux
préoccupations des personnes en charge de concevoir et de conduire cette
réforme.
Le support réglementaire de cette démarche est une ordonnance :
l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges
électroniques entre les usagers et les autorités administratives et entre les
autorités administratives. Comme son nom l’indique, la portée de ce texte
ne se cantonne pas à la seule sécurité numérique, il traite en toute généralité
des échanges électroniques dans la sphère de l’administration. Il prévoit
la création de plusieurs référentiels techniques pour mettre en place les
conditions d’un développement important des téléservices proposés aux
citoyens. Parmi ces référentiels, un concerne spécifiquement les enjeux de
sécurité numérique28 : le référentiel général de sécurité (RGS).
Une première version du RGS, le « RGS v1.0 », est ainsi publiée en
2010, via le décret n° 2010-11229. Une seconde version du référentiel, le
« RGS v2.0 », a été publiée par arrêté du Premier ministre le 13 juin 201430
– un autre arrêté du Premier ministre signé l’année suivante31 étendant par
ailleurs les conditions de transition entre les deux versions du RGS.
Très concrètement, le RGS propose un corpus de règles de sécurité et
de bonnes pratiques en matière de cybersécurité. Il se matérialise par un
document principal assorti d’annexes et de références. Sur le fond, il
aborde un éventail de sujets :
• la responsabilisation des autorités vis-à-vis de la sécurité des SI
qu’elles déploient pour proposer des téléservices aux citoyens et
pour échanger entre administrations. Cette question est traitée sous
l’angle méthodologique de la démarche d’homologation des SI ;
• les pratiques à mettre en œuvre lors du recours à certaines
prestations visant à apporter de la confiance dans un échange
électronique, telles que la certification et l’horodatage électronique ou
les audits de sécurité des SI.
Dans ce second point, on parle de « certification » au sens de l’émission
de « certificats électroniques », c’est-à-dire un ensemble de données,
certaines produites par des mécanismes cryptographiques, qui sert à
identifier et surtout à authentifier leur titulaire, qui peut être une personne
physique ou morale. De façon subséquente, un tel certificat peut également
être utilisé pour chiffrer des échanges auxquels prend part ce titulaire, ou
authentifier ses signatures électroniques. Le certificat est signé
électroniquement, en s’appuyant sur des procédés cryptographiques, par un
tiers de confiance. Ce tiers, que l’on appelle souvent « autorité de
certification », est une entité publique ou privée qui délivre, d’une part, des
certificats et propose, d’autre part, des moyens pour vérifier la validité de
certificats qu’elle aurait émis. Ces mécanismes sont notamment très utilisés
pour sécuriser des protocoles fondamentaux dans les échanges sur Internet
tels que le fameux HTTPS pour la navigation web. On comprend ainsi
pourquoi le RGS, qui vise à sécuriser les échanges électroniques entre les
autorités administratives et les citoyens, d’une part, et entre les autorités
administratives elles-mêmes, d’autre part, s’attarde sur ce concept essentiel
à la création de la confiance numérique.
En sus des points déjà évoqués, plusieurs remarques peuvent être
formulées quant au RGS et à son « esprit ».
Tout d’abord, le RGS présente la particularité notable de s’appliquer à
une multitude d’acteurs, de tailles et de statuts divers, en cherchant en
quelque sorte à s’adapter à chacun d’eux via la démarche d’homologation.
Outre les seuls échanges avec et au sein de l’administration française, le
RGS s’inscrit dans un contexte plus général de numérisation croissante
des échanges socio-économiques. Il pose ainsi des références techniques
et incite à la création de capacités technologiques et industrielles (en
l’occurrence, comme nous le verrons dans le point suivant : un marché de
prestataires) qui pourront être utilisées au-delà de la seule sphère
administrative.
Dans une logique analogue à celle de la LPM 2014-2019, le RGS stimule
une demande et donc une offre de prestations de service dans le
domaine de la confiance numérique. À vrai dire, le lecteur attentif aura
remarqué que la logique de qualification de prestataires de services de
cybersécurité a d’abord émergé avec le RGS – avec notamment les
prestataires de services de certification électronique (PSCE) et les
prestataires de services d’horodatage électronique (PSHE) – pour être
utilisée de nouveau dans le cadre de la LPM. Comme nous le verrons plus
loin dans ce chapitre, l’esprit de cette démarche a continué à être utilisé
pour d’autres cas d’usage.
Au-delà du niveau national, la confiance numérique a fait, quelques
années plus tard, l’objet d’une action de réglementation à l’échelon
européen, via le règlement européen dit « eIDAS32 » – nous en parlerons
dans le prochain chapitre. Très logiquement, les entités en charge de la
conception et du maintien du RGS ont également été impliquées très
directement dans l’élaboration et dans la mise en application de ce
règlement. Il est ainsi intéressant de remarquer l’articulation entre les
sphères nationale et européenne, très logique dès lors que ces dispositions
cherchent à apporter de la confiance dans des échanges numériques qui
ont vocation – c’est l’esprit du marché unique européen – à dépasser les
frontières hexagonales pour soutenir des opportunités socio-
économiques au sein de l’UE toute entière.
Pour revenir à l’idée en fil rouge de ce chapitre, l’on notera que le RGS
se situe, lui aussi, à l’articulation de plusieurs politiques publiques : le
numérique, le développement économique et la sécurité numérique.

5. La « loi Godfrain »

Une autre façon d’aborder la sécurité numérique dans la réglementation


française consiste à voir le sujet au travers d’un prisme davantage teinté
« sécurité intérieure et criminalité ». C’est ce que propose la loi dite « loi
Godfrain » relative à « la fraude informatique33 ». Souvent mentionnée
parmi les textes pionniers de la réglementation du numérique en France –
avec la fameuse loi dite « informatique et libertés » de 197834 – son apport
majeur consiste à prévoir des sanctions pénales pour les actes de
criminalité informatique. Elle s’appuie sur le concept de « système de
traitement automatisé de données » (STAD), introduit par la loi
« informatique et liberté », pour définir des sanctions en cas d’atteinte à des
STAD.
Très concrètement, elle ajoute un chapitre III intitulé « Des atteintes aux
systèmes de traitement automatisé de données » au titre II (« Des autres
atteintes aux biens ») du livre III (« Des crimes et délits contre les biens »)
du code pénal. Pour saisir l’esprit de cette réglementation, nous pouvons par
exemple reproduire ici le très caractéristique premier alinéa du premier
article de la dizaine d’articles de ce chapitre III, l’article 323-1 : « le fait
d’accéder ou de se maintenir, frauduleusement, dans tout ou partie
d’un système de traitement automatisé de données est puni de deux ans
d’emprisonnement et de 60 000 € d’amende ».
Cette loi, véritable institution réglementaire symbolisant la répression de
la cybercriminalité, a été au centre de plusieurs affaires – et parfois
controverses – très médiatisées. Sans rentrer dans leurs détails, qui
dépassent le cadre de cet ouvrage, l’on retiendra que plusieurs d’entre elles
mettent en lumière une question fondamentale : celle du difficile équilibre
à déterminer entre réelles intentions malveillantes et finalités
d’augmentation du niveau général de sécurité informatique – par
exemple en procédant à des tests d’intrusion ou en recherchant des
vulnérabilités pour qu’elles puissent être corrigées. La recherche de cet
équilibre a fait l’objet d’affaires judiciaires35, mais également de travaux
réglementaires supplémentaires. De ces derniers, nous citons quelques
exemples importants, sans prétendre à l’exhaustivité :
• la loi de 2004 pour la confiance dans l’économie numérique
(LCEN)36 introduit un nouvel article dans le chapitre créé par la loi
Godfrain, visant à sanctionner pénalement « le fait, sans motif légitime,
d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un
équipement, un instrument, un programme informatique ou toute
donnée conçus ou spécialement adaptés pour commettre une ou
plusieurs des infractions prévues par les articles 323-1 à 323-3 ». Cette
disposition particulière a engendré de nombreuses questions quant aux
possibilités de divulguer des vulnérabilités informatiques et est à
l’origine de plusieurs affaires judiciaires ;
• la directive européenne 2009/136/CE37 issue du « paquet télécom »,
transposée notamment par le décret n° 2012-43638, prévoit que
l’autorité nationale compétente doit être notifiée en cas de constat d’une
faille de sécurité sur un service de communications électroniques ;
• l’article 25 de la LPM 2014-2025 amende l’article ajouté par la LCEN,
en y ajoutant une exception explicite de « motif légitime, notamment de
recherche ou de sécurité informatique » ;
• l’article 47 de la loi pour une République numérique de 201639
complète le code de la défense par un article L. 2321-4, qui dispose que
« pour les besoins de la sécurité des systèmes d’information,
l’obligation prévue à l’article 40 du code de procédure pénale40 n’est
pas applicable à l’égard d’une personne de bonne foi qui transmet à la
seule autorité nationale de sécurité des systèmes d’information une
information sur l’existence d’une vulnérabilité concernant la sécurité
d’un système de traitement automatisé de données. L’autorité préserve
la confidentialité de l’identité de la personne à l’origine de la
transmission ainsi que des conditions dans lesquelles celle-ci a été
effectuée. L’autorité peut procéder aux opérations techniques
strictement nécessaires à la caractérisation du risque ou de la menace
mentionnés au premier alinéa du présent article aux fins d’avertir
l’hébergeur, l’opérateur ou le responsable du système d’information ».
Très concrètement, il s’agit d’inscrire dans la loi une protection
juridique pour celles et ceux que l’on appelle parfois les « lanceurs
d’alertes » ou « white hats » – en référence aux « bidouilleurs » en
sécurité informatique dont les intentions seraient uniquement
bienveillantes.
Sans prétendre à une analyse fine des détails du droit français, il est
intéressant de noter que ces différents textes sont – c’était notre remarque
d’ouverture – de natures et de portées différentes, plus ou moins dédiés aux
enjeux de sécurité numérique et souvent au croisement de politiques
publiques différentes.

IV. Aspects industriels


Au premier chapitre, nous avons vu que le cyberespace présente la
particularité d’être un espace artificiel, entièrement créé par l’être humain,
et qu’il repose sur des couches matérielle et logicielle, avec comme
fondement l’interconnexion mondiale de réseaux d’équipements
informatiques. Dès lors, il est clair que l’espace numérique ne saurait
exister sans ces équipements informatiques, et sans une action humaine
pour les produire, les déployer, les opérer, les maintenir. En partant de ce
constat, il est également clair qu’une politique publique de sécurité du
numérique doit, elle aussi, pouvoir s’appuyer sur des moyens – des produits
et services – pour prendre corps. L’objet de cette section est d’aborder
brièvement cet aspect, en se concentrant sur deux questions :
• de quels produits et services a-t-on besoin pour mettre en œuvre une
politique publique de sécurité numérique à l’échelle d’un pays ?
• comment contribuer à l’émergence d’un marché lisible et viable de
ces produits et services ?
La question générale de l’industrie de cybersécurité est extrêmement
vaste et, bien que ses contours évoluent rapidement, pourrait faire l’objet
d’un ouvrage dédié. Nous nous restreindrons ici au traitement des deux
questions proposées supra et ne nous engagerons pas dans le passionnant
mais fastidieux exercice d’analyse détaillée du marché et des différents
acteurs industriels français et européens de la cybersécurité.

1. Quels besoins technologiques et industriels ?

Une première question essentielle à évoquer est celle des besoins : que
faut-il pour assurer la cybersécurité ?
Un premier niveau de réponse pourrait résider dans la catégorisation
suivante : des technologies, des équipements et des prestations.
Est explicitement exclu du périmètre de cet ouvrage le traitement de
l’ensemble des mécanismes économiques, industriels et financiers
permettant de passer d’une technologie émergente à la production
d’équipements en série – très largement documentés par ailleurs. Nous
tentons en revanche, sans prétendre à l’exhaustivité, de proposer, pour
chacune des trois catégories évoquées ci-dessus, une liste d’éléments
importants au regard des enjeux de cybersécurité.
S’agissant des technologies au sens large, nous pourrons ainsi évoquer :
la cryptographie ; les technologies relatives aux composants et aux cartes à
puce ; les technologies propres aux terminaux (téléphones, smartphones,
objets connectés) ; les technologies permettant les transmissions sur le
réseau ; les technologies de stockage, de traitement et d’analyse des
données, notamment en grandes quantités ; les technologies permettant de
connaître, de capitaliser et d’analyser la menace ; ou encore les
technologies relatives aux plates-formes logicielles.
S’agissant des équipements, plusieurs produits classiques, logiciels ou
matériels, peuvent être cités : les équipements de transmission sur le réseau
tels que les chiffreurs traitant le protocole IP ; les équipements de contrôle
d’accès physique ; les équipements industriels (capteurs et actionneurs) ; les
produits permettant de gérer des fonctions d’identification et
d’authentification des utilisateurs ; les produits permettant de générer, de
gérer et d’utiliser des ressources cryptographiques (infrastructures de
gestion de clés cryptographiques, logiciels de chiffrement, etc.) ; les
équipements permettant la mobilité et le nomadisme (téléphones,
smartphones, tablettes, ordinateurs portables) ; les pare-feux ; ou encore les
produits de supervision et de détection des cyberattaques (sur le réseau ou
sur le poste hôte, comme vu dans le chapitre précédent).
Enfin, s’agissant des prestations et des services de cybersécurité – ou
plus largement d’informatique, sur lesquels il est utile de veiller à la bonne
prise en compte des enjeux de sécurité numérique – nous pouvons
mentionner : les différentes prestations d’audit permettant de vérifier le
niveau de sécurité ou la conformité d’un SI (architecture, revue de
configuration, revue de code source, tests d’intrusion, audit organisationnel,
test d’intrusion physique, etc.) ; les services de détection de cyberattaques ;
les prestations de réponse aux incidents et de remédiation ; les prestations
de conseil et d’assistance à maîtrise d’ouvrage ; la génération et la gestion
de certificats électroniques et d’horodatage ; l’informatique en nuage (le
« cloud ») ; l’intégration ; ou encore l’infogérance.

2. Comment faire émerger, structurer et rendre lisible


un marché de la cybersécurité ?

Du point de vue des autorités publiques, une fois identifiés les besoins
technologiques et industriels permettant de répondre aux enjeux de
sécurité numérique, il s’agit d’évaluer différents critères (p. ex.
disponibilité d’une technologie ou d’une offre, qualité et pérennité de celle-
ci, le cas échéant viabilité économique, confiance que l’on peut lui
accorder, dépendance vis-à-vis d’autres facteurs et acteurs), et le cas
échéant de prendre des mesures pour que le système qu’elles régulent
puisse en disposer convenablement. Ces mesures peuvent être de différents
ordres et de différentes natures, sur des modes incitatifs ou plus
coercitifs.
Nous présentons dans cette sous-section une démarche globale prise
depuis plusieurs années par les autorités françaises pour faire émerger,
structurer et rendre lisible un marché de produits et de services de
cybersécurité : s’appuyer sur des référentiels d’exigence pour apposer des
« distinctions » de différentes natures.
Cette démarche s’appuie sur le constat des besoins de trois types
d’acteurs essentiels dans ce domaine : les utilisateurs, les fournisseurs, le
régulateur.
Les utilisateurs ont des besoins de différents ordres :
• des besoins d’assurance et de confiance en matière de sécurité ;
• des besoins de lisibilité et d’identification des solutions fiables, de
confiance et adaptées à leurs cas d’usage et à leurs besoins
fonctionnels ;
• des besoins relatifs aux procédures d’acquisition, notamment dans la
formulation d’exigences techniques.
S’agissant spécifiquement des besoins d’assurance, devant la complexité
et la technicité que peuvent mettre en jeu certains produits et services, une
attention toute particulière doit être ainsi portée sur la conception (pour les
produits) ; sur les fonctionnalités proposées ; sur la conformité aux
enjeux réglementaires (de façon générique ou pour certains domaines
d’utilisation particuliers) ; sur la robustesse et la pérennité (i.e. le maintien
en condition opérationnelle (MCO) et en condition de sécurité (MCS), ainsi
que la pérennité économique de la gamme d’équipements concernée, voire
de l’entreprise qui les produit).
Pour les prestations de service, les questions du personnel – qui doit être
à la fois compétent et de confiance – et de l’opération des éventuels
équipements nécessaires – qui doivent être fiables et de confiance, et être
opérés de « bonne façon » – sont des préoccupations plus que légitimes qui
peuvent, voire doivent, se faire jour chez les utilisateurs.
Or, il est clair que la vérification de tous ces points peut, dans la grande
majorité des cas, se révéler être une tâche complexe. Plus qu’une simple
évaluation, celle-ci doit idéalement être menée de façon objective,
répétable, documentée et vérifiable, pour se convaincre, en tant
qu’acheteur, qu’un produit ou une prestation de service constituera une
« brique » fiable.
Pour les fournisseurs, les enjeux sont simples : donner de la visibilité à
ses produits et à ses prestations auprès d’acheteurs potentiels ; accéder à des
marchés réglementés ; accroître sa compétitivité ; et, plus largement, fournir
des réponses satisfaisantes à l’ensemble des préoccupations présentées ci-
dessus.
Enfin, pour le régulateur, il s’agit d’encourager, voire de faire
émerger, une offre économiquement viable de nature à répondre aux
enjeux de sécurité numérique des différents acteurs concernés. Au regard
de la réflexion sur les politiques publiques qui imprègne ce chapitre, il est
utile de préciser ici que cette démarche s’inscrit prioritairement dans une
finalité de sécurité numérique : il s’agit de disposer de produits et de
services qui contribuent réellement à renforcer le niveau de
cybersécurité global. Pour cela, le régulateur peut actionner différents
leviers industriels, tels que le financement de projets, le soutien à l’export
ou encore le soutien à l’innovation. Nous choisissons de nous intéresser
particulièrement ici à une « famille » de leviers sur lesquels la France s’est
notamment appuyée et dont l’objectif est d’attester d’un certain niveau
d’assurance en matière de cybersécurité. Nous en présentons quatre plus en
détails – la certification de sécurité, la qualification, l’agrément et la
labellisation – ainsi que la marque qui fédère plusieurs d’entre eux depuis
début 2018. En tant qu’autorité nationale de sécurité des SI, l’ANSSI joue
un rôle central dans ces différentes démarches.

a. La certification de sécurité

La certification de sécurité est une reconnaissance formelle de la


robustesse d’un produit, éprouvée à travers une évaluation par un tiers
dont la compétence et les pratiques sont garanties par l’ANSSI. Elle est
établie sur la base d’un contexte d’usage et d’objectifs de sécurité définis
par un commanditaire. La certification est assortie d’un niveau
d’assurance, correspondant à la profondeur de l’analyse menée. Elle ne
constitue pas une recommandation de l’État pour une utilisation dans un
cadre déterminé.

b. La qualification

La qualification est une recommandation par l’État d’un produit ou –


et c’est notable – d’un service pour un usage donné. Assortie d’un
niveau d’assurance qui peut être « élémentaire », « standard » ou
« renforcé », elle atteste ainsi à la fois de la qualité de la solution, de la
confiance qu’a l’État envers le fournisseur et de la pertinence de la
solution au regard d’un besoin identifié par l’État. En ce sens, alors que la
certification permet d’obtenir une assurance que la sécurité d’un produit a
été éprouvée, la qualification indique également que le produit lui-même a
été approuvé. Début 2020, il existe plusieurs bases légales pour déployer
des schémas de qualification. Nous en avons vu deux au cours de ce
chapitre : le RGS et la LPM 2014-2019.
Spécificité de la qualification par rapport à la certification de sécurité, la
démarche peut s’appliquer à des prestations de services. Dans ces cas,
elle s’appuie en général sur un référentiel, dont l’élaboration est pilotée par
l’ANSSI, souvent en concertation avec la communauté de la cybersécurité
(par le biais d’appels à commentaires et d’expérimentations) ; et sur une
procédure de qualification, orchestrée par l’ANSSI.
Parmi les schémas de qualification de services existants début 2020, nous
pouvons en citer trois :
• les prestataires d’audit de sécurité des systèmes d’information
(PASSI) ;
• les prestataires de détection des incidents de sécurité (PDIS) ;
• les prestataires de réponse aux incidents de sécurité (PRIS).
Dans chacun de ces cas, la qualification délivrée porte à la fois sur
l’entreprise elle-même, sur les personnels concernés par la prestation
de service (p. ex. les auditeurs dans le cadre d’une qualification PASSI), sur
les moyens mis en œuvre (i.e. SI, locaux, etc.) et sur les principaux
processus métier mobilisés dans la prestation.

c. L’agrément

L’agrément atteste de l’aptitude d’un produit à protéger des


informations marquées Diffusion Restreinte ou classifiées – au sens de
l’II 901 et de l’IGI 1300, que nous avons rencontrées plus haut dans ce
chapitre. Cette démarche est par essence très souveraine, dans la mesure
où sa finalité est de définir les équipements qui pourront protéger
correctement des informations qui sont considérées comme particulièrement
sensibles au regard d’enjeux de sécurité et de défense nationale. Cela
explique notamment que les critères d’agrément ne sont pas publiés et sont
pour partie classifiés. En France, c’est l’ANSSI qui délivre, par délégation
du Premier ministre et dans son rôle d’autorité nationale de sécurité des SI,
les agréments des produits.
Comme nous avons commencé à le voir précédemment, outre les autres
États, l’UE et l’OTAN disposent également de schémas de classification de
l’information, assez analogues à ceux de leurs membres41. Pour protéger les
informations classifiées selon ces grilles, des schémas d’agrément
(« approval » en anglais) de produits ont été mis en place par l’UE et
l’OTAN, avec pour chacune des deux enceintes des procédures de décision
spécifiques.

d. La labellisation

La labellisation est une attestation délivrée hors des cadres


réglementaires de la certification, de la qualification ou de l’agrément. Elle
atteste la conformité à un cahier des charges mais ne fournit pas de
garanties de qualité.
Les démarches SecNumedu et SecNumedu-FC constituent des exemples
de labellisations effectuées par l’ANSSI. Il s’agit de labels destinés
respectivement aux formations initiales et continues en cybersécurité. Le
label SecNumedu par exemple s’appuie sur :
• un référentiel de labellisation, élaboré par un groupe composé de
l’ANSSI, d’acteurs industriels, d’écoles, du Pôle d’excellence cyber et
du ministère de l’Éducation nationale, de l’Enseignement supérieur et
de la Recherche ;
• un processus de labellisation géré par l’ANSSI ;
• des labels attribués pour une période de trois ans renouvelable, qui
permettent aux formations libellées de figurer au catalogue SecNumedu
maintenu et diffusé par l’ANSSI.

e. Les Visas de sécurité ANSSI

Afin d’améliorer la lisibilité de l’offre industrielle en matière de produits


et de services de cybersécurité, l’ANSSI a mis en place, début 2018, une
marque pour éclairer les administrations, les OIV et plus largement les
organisations publiques et privées dans leurs choix de solutions de sécurité.
Cette marque, baptisée « Visa de sécurité ANSSI », valorise deux des
démarches présentées ci-dessus : la certification et la qualification. Les
catalogues de produits et services ayant reçu un « Visa de sécurité ANSSI »
sont maintenus et mis à disposition sur son site web par l’ANSSI.

3. Quid de l’échelon européen et de l’international ?

Sans aller jusqu’à une analyse fine du marché de la cybersécurité en


France et dans le monde, plusieurs grands constats structurants peuvent être
formulés s’agissant des équipements de sécurité numérique :
• pour un certain nombre de produits de cybersécurité, les marchés
nationaux ne sont pas suffisants pour maintenir des offres viables
économiquement, ce qui invite les fournisseurs à chercher des
opportunités d’export ;
• vu la nature des enjeux, si certaines technologies et les équipements qui
les mettent en œuvre peuvent être exportés, certains ont vocation à
rester dans des marchés très réglementés et souverains. Pour que
l’offre reste viable économiquement, les pouvoirs publics doivent alors
consentir à des investissements significatifs et à la mise en œuvre de
véritables politiques industrielles pour servir des finalités de
sécurité numérique ;
• pour leurs usages les plus sensibles, et bien que cela ne constitue pas
une fin en soi, les États apprécient de pouvoir disposer de
fournisseurs économiquement ancrés dans le pays et capables de
produire des équipements sans dépendances non maîtrisables vis-à-
vis d’États tiers ou de fournisseurs étrangers ;
• puisqu’il est parfois impossible, surtout pour les « petits » États, de
disposer d’équipements « souverains » sur tous les segments de
marché, la capacité de cibler correctement les composants les plus
critiques, qui doivent rester sous contrôle étatique, ainsi qu’une bonne
maîtrise des processus d’intégration de ces composants de
confiance au sein de systèmes qui comportent également des
composants moins maîtrisés sont des compétences essentielles.
S’agissant des enjeux industriels relatifs aux équipements de
cybersécurité, l’ensemble de ces considérations invitent à étudier l’échelon
européen, au-delà du seul échelon national, avec beaucoup d’attention.
Ce niveau européen, qui constitue une communauté d’intérêts politiques et
économiques significative, est notamment de nature à fournir des éléments
de réponse aux préoccupations mentionnées précédemment. Ceci est
d’autant plus vrai au regard de la concurrence parfois très agressive
proposée par les géants industriels américains et chinois. Ce passage à
l’échelon européen n’est pas trivial, et la coordination entre acteurs
institutionnels et industriels ayant des visions et des intérêts parfois
concurrents est un défi de tous les instants, mais plusieurs initiatives, de
natures variées, ont contribué ces dernières années à renforcer la
dynamique industrielle européenne en matière de cybersécurité. Dans
cette section, nous pouvons citer deux exemples importants, en guise de
transition vers le chapitre suivant :
• la signature, en juillet 2016, d’un contrat de partenariat public-privé
entre la Commission européenne et l’European Cybersecurity
Organisation (ECSO), association européenne créée pour l’occasion,
visant à développer les politiques industrielle, de recherche et
d’innovation en matière de cybersécurité au niveau européen ;
• l’adoption, en juin 2019, d’un règlement européen42, proposé
initialement par la Commission européenne dans sa feuille de route en
matière de sécurité numérique publiée en septembre 2017. Ce
règlement a notamment défini un cadre européen de certification de
cybersécurité, pour harmoniser les méthodes d’évaluation et les
niveaux d’assurance de la certification, et proposer un mécanisme de
reconnaissance mutuelle pour les certificats délivrés dans les
différents États membres. L’application concrète de ce règlement
découlera de travaux de définition de schémas communs d’évaluation
et de certification qui sont en cours à l’heure de l’écriture de ces lignes.

1. Courant 2020, la sous-direction Numérique de l’ANSSI a fusionné avec le centre de transmissions


gouvernemental afin de créer un opérateur des systèmes d’information interministériels classifiés
(OSIIC).
2. Voir par exemple : Assemblée nationale, Commission de la défense nationale et des forces armées,
« Rapport d’information sur la cyberdéfense », présenté par LACHAUD B. et VALETTA-ARDISSON
A., 2018.
3. KAPLAN F., Dark Territory: The Secret History of Cyber War, Simon & Schuster, 2016.
4. GAUTIER L., La défense de la France après la guerre froide, Puf, coll. « Major », 2009.
5. Décret n° 2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale
dénommé « Agence nationale de la sécurité des systèmes d’information ».
6. Décret n° 2011-170 du 11 février 2011 modifiant le décret n° 2009-834 du 7 juillet 2009 portant
création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des
systèmes d’information ».
7. ANSSI, « Défense et sécurité des systèmes d’information – Stratégie de la France », 2011.
8. Cf. page 127, note 2.
9. Loi n° 2009-928 du 29 juillet 2009 relative à la programmation militaire pour les années 2009 à
2014 et portant diverses dispositions concernant la défense.
10. SGDSN, Instruction générale interministérielle n° 6600/SGDSN/PSE/PSN du 7 janvier 2014
relative à la sécurité des activités d’importance vitale.
11. En se rappelant par exemple qu’il s’agit d’entités qui assurent des fonctions essentielles à la
continuité de la vie du pays et en se remémorant des épisodes de crise majeure tels que celui du
COVID-19 en 2020…
12. Ministère des Armées, « Revue stratégique de défense et de sécurité nationale », 2017.
13. Déclaration de LE DRIAN J.-Y., ministre de la Défense, sur la cyberdéfense, Bruz, 12 décembre
2016.
14. Le concept d’OSE est introduit par la directive européenne sur la sécurité des réseaux et de
l’information, dite « directive NIS », sur laquelle nous reviendrons plus en détails dans le chapitre
suivant.
15. On rappellera, à toutes fins utiles, que la rédaction de cette « revue cyber » a eu lieu dans la
seconde partie de l’année 2017. Avant cela, l’année 2016 avait été marquée par une forte tension
sur les élections présidentielles étatsuniennes, théâtre de campagnes significatives de cyberattaques
et d’opérations de manipulation de l’information. Début 2017, c’est l’affaire des « MacronLeaks »
qui avait fait grand bruit, quelques heures seulement avant la fin de la campagne de l’entre-deux-
tours.
16. Cf. note page 128.
17. ANSSI, instruction interministérielle n° 901/SGDSN/ANSSI du 28 janvier 2015 relative à la
protection des systèmes d’information sensibles.
18. SGDSN, Instruction générale interministérielle n° 1300/SGDSN/PSE/PSD du 30 novembre 2011
sur la protection du secret de la défense nationale.
19. À l’écriture de ces lignes, une nouvelle version de l’IGI 1300 est en cours d’élaboration. Sa
publication, qui pourrait intervenir courant 2020, est susceptible de modifier, entre autres, les trois
niveaux de classification rappelés ici.
20. Par exemple, l’article 413-10 du code pénal dispose, dans son premier alinéa : « Est puni de sept
ans d’emprisonnement et de 100 000 euros d’amende le fait, par toute personne dépositaire, soit
par état ou profession, soit en raison d’une fonction ou d’une mission temporaire ou permanente,
d’un procédé, objet, document, information, réseau informatique, donnée informatisée ou fichier
qui a un caractère de secret de la défense nationale, soit de le détruire, détourner, soustraire ou de
le reproduire, soit d’en donner l’accès à une personne non qualifiée ou de le porter à la
connaissance du public ou d’une personne non qualifiée ».
21. De même, ceci pourrait évoluer dans une version prochaine du document.
22. Voir par exemple WARUSFEL B., « Dix ans de réglementation de la cryptologie en France : du
contrôle étatique à la liberté concédée », dans Annuaire français de relations internationales, n° 1,
2000, p. 657-661.
23. AMEIL X., VASSEUR J.-P., RUGGIU G., « Histoire de la machine Myosotis », dans Actes du
septième Colloque sur l’Histoire de l’Informatique et des Transmissions, 2004.
24. Décret n° 73-364 du 12 mars 1973 relatif à l’application du décret du 18 avril 1939 fixant le
régime des matériels de guerre, armes et munitions.
25. Article 1, section A, deuxième catégorie, alinéa 4.d) du décret n° 73-364.
26. Décret n° 86-250 du 18 février 1986 portant modification du décret n° 73-364 du 12 mars 1973
relatif à l’application du décret du 18 avril 1939 fixant le régime des matériels de guerre, armes et
munitions.
27. Loi n° 96-659 du 26 juillet 1996 de réglementation des télécommunications.
28. L’ordonnance prévoit également la création d’un référentiel général d’interopérabilité (RGI) pour
fixer un corpus de règles et de bonnes pratiques dans le domaine numérique (p. ex. des normes
techniques, des modèles de données, des exigences fonctionnelles) pour l’ensemble des
administrations françaises. Un autre référentiel viendra compléter ce panel : le référentiel général
d’accessibilité pour les administrations (RGAA), découlant lui de la loi n° 2005-102 du 11 février
2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes
handicapées.
29. Décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de
l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les
usagers et les autorités administratives et entre les autorités administratives.
30. Arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les
modalités de mise en œuvre de la procédure de validation des certificats électroniques.
31. Arrêté du 10 juin 2015 prorogeant les délais de mise en œuvre du référentiel général de sécurité.
32. Conseil de l’UE, Parlement européen, règlement (UE) n ° 910/2014 du Parlement européen et du
Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les
transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE,
J.O.U.E., L 257, 28 août 2014, p. 73-114.
33. Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique.
34. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
35. Notamment les affaires dites « Kitekoa », « Damien Bancal » et « Bluetouff ».
36. Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
37. Conseil de l’UE, Parlement européen, directive 2009/136/CE du Parlement européen et du
Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et
les droits des utilisateurs au regard des réseaux et services de communications électroniques, la
directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection
de la vie privée dans le secteur des communications électroniques et le règlement (CE)
n° 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à
l’application de la législation en matière de protection des consommateurs, J.O.U.E., L 337,
18 décembre 2009, p. 11-36.
38. Décret n° 2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire
européen des communications électroniques.
39. Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
40. Cf. page 82, note 2.
41. Pour l’UE, il existe par exemple des mentions Restreint UE/EU Restricted, Confidentiel UE/EU
Confidential, Secret UE/EU Secret et Très Secret UE/EU Top Secret.
42. Conseil de l’UE, Parlement européen, règlement (UE) 2019/881 du Parlement européen et du
Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité)
et à la certification de cybersécurité des technologies de l’information et des communications, et
abrogeant le règlement (UE) n° 526/2013, J.O.U.E., L 151, 7 juin 2019, p. 15-69.
5
Les enjeux internationaux

Introduction : pourquoi parler


d’enjeux internationaux en matière
de sécurité numérique ?
On ne saurait prétendre aborder les « questions stratégiques » liées à la
sécurité numérique sans s’intéresser de façon appuyée aux enjeux
européens et internationaux qu’elles emportent.
La nature même du cyberespace prédispose, par construction, ce milieu à
un traitement international d’une partie significative de ses enjeux. Nous
l’avons vu, le domaine cyber renvoie, depuis sa création, l’image d’un
véritable « bien commun » – dans une certaine mesure de façon analogue à
l’espace extra-atmosphérique ou à la haute mer. La régulation de ce milieu
pose largement question, tant dans l’opportunité de réguler que dans les
modalités concrètes d’une telle régulation, qui ne saurait s’opérer qu’à un
niveau international – c’est d’ailleurs le cas, comme nous l’avons vu, pour
la gouvernance technique d’Internet. Le cyberespace présente un certain
nombre de caractéristiques intrinsèques que nous avons détaillées
précédemment et qui ont souvent pour implications de réduire les distances
et les durées du « monde physique », rendant ainsi assez immédiate la
portée potentiellement internationale de toute action dans le monde
cyber.
D’un point de vue opérationnel, des exemples récents comme les
campagnes de rançongiciels du printemps 20171 nous ont montré à quel
point les crises ayant pour origine un fait cyber peuvent très vite
prendre une ampleur internationale. Pour les criminels, le cyberespace
est un formidable terrain de jeu dans lequel ils peuvent plus facilement
s’affranchir des contraintes de distances et des frontières géographiques des
États. D’un point de vue technique, les enjeux d’interopérabilité des
équipements numériques et de normalisation, des protocoles de
communication par exemple, se traitent communément dans des instances
internationales. D’un point de vue réglementaire, il est clair que si la
régulation internationale est encore, pour reprendre les termes de la Revue
stratégique de cyberdéfense, « balbutiante », le droit interne déployé dans
les États peine également parfois à suivre les nouvelles réalités proposées
par les évolutions rapides du numérique.
Les acteurs étatiques doivent depuis des années déjà composer avec la
numérisation progressive de leur environnement, mais peinent toujours à
en saisir finement les enjeux et à y apporter des réponses appropriées.
Des questions essentielles et fondamentales pour comprendre la raison
d’être même des États, comme la notion de souveraineté ou le sujet des
frontières, restent encore difficilement palpables. Enfin, nous l’avons vu
au début de cet ouvrage : l’avènement du numérique, s’il constitue une
formidable opportunité de développement pour l’humanité, crée également
un terreau fertile pour la croissance d’une conflictualité stratégique qui
oppose les États dans un espace peu voire pas régulé, où règne un fort
sentiment d’impunité.
Les acteurs privés, quant à eux, voient les règles du jeu économique
auquel ils se prêtent évoluer rapidement et parfois de façon très
significative. Pour les fournisseurs de produits numériques et de
cybersécurité, les marchés domestiques sont parfois très exigus. Dans
certains cas, ils ne permettent pas l’émergence d’une offre économiquement
viable. Dans d’autres cas, le numérique permet de s’affranchir à moindre
coût des obstacles qui se dresseraient sur le chemin des marchés export
dans des domaines plus traditionnels. Au-delà des seuls clients, c’est
l’ensemble des écosystèmes de certaines entreprises qui évoluent : clients,
fournisseurs et partenaires prennent tous part à une chaîne de valeur
dont la mondialisation est facilitée par la numérisation. Enfin, force est
de constater que certains acteurs du numérique ont cru dans des
proportions très significatives depuis le début des années 2000, amenant
certains d’entre eux à être plus riches et plus puissants que de nombreux
États, et à peser lourdement dans la balance de la géopolitique mondiale.
L’ensemble de ces constats démontre que si la sécurité numérique
comporte un large domaine d’enjeux très souverains et régaliens, qui
méritent un traitement approprié à un niveau strictement national, une
autre partie de ces enjeux, tout aussi conséquente, doit être
appréhendée à un échelon qui dépasse les frontières d’un seul pays. La
France n’échappe évidemment pas à ce constat et est présente, depuis
longtemps, sur la scène internationale de la cybersécurité. Plus
spécifiquement, vu de l’Hexagone, il est utile de noter la pertinence toute
particulière revêtue par l’échelon européen pour le traitement d’un
certain nombre d’enjeux de sécurité numérique.
Nous commencerons ce chapitre par l’étude brève des approches
adoptées par quelques grands acteurs étrangers vis-à-vis des questions de
cybersécurité, afin de mettre en perspective la présentation du modèle
français faite au chapitre précédent. Nous nous intéresserons ensuite aux
enjeux de coopération internationale, d’abord sur un plan bilatéral puis sur
un mode multilatéral. Nous passerons pour cela en revue quelques grandes
organisations internationales qui jouent, depuis la fenêtre française, un rôle
intéressant en matière de cybersécurité. Enfin, nous terminerons ce chapitre
par une introduction au sujet de la régulation internationale du cyberespace,
dans l’esprit onusien de la recherche de la paix, de la sécurité et de la
stabilité stratégique de l’espace numérique.

I. Quelques grands acteurs


Sans prétendre couvrir l’ensemble des pays que l’on pourrait ranger dans
une sorte de « premier cercle des cyberpuissances » – si tant est que l’on
parvienne à donner un sens à ce concept – nous nous attardons ici sur
quelques exemples incontournables de grandes puissances mondiales : les
États-Unis d’Amérique, la République populaire de Chine et la
Fédération de Russie. L’objet de cette section n’est certainement pas de
proposer des « fiches pays » détaillées et exhaustives de chacun d’eux, mais
simplement de faire ressortir quelques marqueurs structurants de leur
approche des questions numériques et de cybersécurité, et d’inviter les
lecteurs intéressés à consulter les passionnantes analyses plus approfondies
disponibles en sources ouvertes2.

1. Les États-Unis d’Amérique

a. Une lente prise en compte des enjeux cyber


sur les quatre dernières décennies

Pour les observateurs occidentaux, l’étude de nombreux sujets ayant trait


aux États-Unis est souvent facilitée par une littérature abondante et produite
dans une langue très couramment pratiquée en Europe. L’évolution de la
prise en compte des enjeux de cybersécurité aux États-Unis n’échappe pas à
ce constat. Largement documenté en sources ouvertes, ce sujet est par
exemple traité de façon particulièrement intéressante dans l’ouvrage « Dark
Territory: The Secret History of Cyber War » de Fred Kaplan3. En
recommandant aux lecteurs intéressés par ce sujet de se plonger dans cet
ouvrage, nous nous essayons ici à une brève synthèse de l’évolution de
l’appréhension des enjeux cyber par les autorités nord-américaines sur
les quatre dernières décennies.
Car il faut toujours trouver un commencement à une histoire, et qu’à des
fins narratives il est plus agréable que celui-ci puisse être raconté avec un
certain panache, c’est sur une anecdote au sujet du président Reagan que
s’ouvre le récit de Kaplan. C’est avec un film visionné par le locataire de la
Maison Blanche, « WarGames », que tout semble commencer en 1983.
Dans une histoire invraisemblable, un jeune adolescent américain féru
d’informatique s’introduit par inadvertance dans les SI du NORAD, le
commandement de la défense aérospatiale de l’Amérique du Nord, et,
pensant jouer à un jeu vidéo, manque de déclencher une troisième guerre
mondiale. Quelques jours après avoir vu le film, Ronald Reagan aurait
demandé à son équipe « could something like this really happen ? » et se
serait vu répondre que… oui. La légende voudrait que cette anecdote, pour
le moins percutante, marque le début de la prise en compte par la
présidence des États-Unis des problématiques liées à la sécurité
informatique. Cette attention est formalisée en 1984 par ce qui semble être
la première étape doctrinale stratégique étatsunienne sur le sujet : la
National Security Decision Directive 145 (NSDD-145) : National Policy on
Telecommunications and Automated Information Systems Security4.
Parmi les premières questions auxquelles les autorités ont cherché à
répondre, il y a eu celle de la gouvernance : à qui confier cette mission de
protection et de défense des SI de la Nation ? Cette question semble avoir
longtemps été – et semble, à certains égards, encore être – source de
nombreuses discussions et polémiques au pays de l’Oncle Sam. Le
problème central est de trouver une entité à la fois compétente, légitime et
susceptible d’inspirer confiance. La National Security Agency (NSA)
semble alors posséder toutes les compétences techniques nécessaires, mais
son statut de service de renseignement, en charge des interceptions
électromagnétiques et de l’espionnage des puissances étrangères, freine le
Congrès. Si quelques années plus tard, le Computer Security Act5 confie
finalement à la NSA la responsabilité de la cybersécurité des réseaux
militaires et classifiés, la question de charger une agence fédérale de la
sécurité numérique des opérateurs privés et du grand public restera ouverte
pendant de longues années.
En parallèle, si les aspects de protection et de défense soulèvent de
nombreuses questions, les Américains ont, dans les années 1990, en Irak, en
Haïti et dans les Balkans, des expériences convaincantes d’utilisation de
procédés dits de « guerre électronique » – consistant, sur un théâtre
d’opérations militaires, à intercepter, à exploiter et à brouiller les émissions
électromagnétiques d’un adversaire. Alors que le côté défensif peine à se
structurer, l’idée d’utiliser le vecteur cyber à des fins d’attaque fait son
chemin et rencontre ses adeptes au sein des autorités politiques et militaires
américaines.
En 1995, c’est un évènement a priori « non cyber » qui semble
significativement contribuer à la prise de conscience des dirigeants
étatsuniens des enjeux de la protection et de la défense numérique de
leurs infrastructures nationales les plus critiques. L’attentat terroriste
d’Oklahoma City, perpétré par une poignée d’individus à l’aide d’un
véhicule piégé, affiche un bilan effrayant : 168 morts, plus de 680 blessés,
plus de 80 véhicules et 300 bâtiments endommagés ou détruits, des dégâts
dont le coût total dépasse les 650 millions de dollars. Une partie de la
réponse du président Clinton sera de former la President’s Commission on
Critical Infrastructures Protection, afin d’étudier la question des
vulnérabilités des infrastructures critiques américaines et d’esquisser
une ébauche de stratégie pour les sécuriser. Le rapport de la
commission6, présidée par Robert T. Marsh, s’intéresse de façon appuyée à
une question nouvelle pour l’époque : les vulnérabilités numériques des
infrastructures critiques, qui pourraient être exploitées par des individus
motivés pour causer des dommages extrêmement graves sans pour autant
qu’ils aient besoin d’engager des ressources considérables. C’est l’époque
où l’on entendra prononcer pour la première fois l’expression, très porteuse
de sens pour le peuple américain, de « Cyber Pearl Harbor », attribuée à la
procureure générale adjointe de l’époque, Jamie Gorelick. En ayant en
mémoire le chapitre précédent, dans lequel nous présentions la façon dont
la France a, en 2013, passé une loi permettant d’imposer des mesures de
cybersécurité à des opérateurs d’infrastructures critiques, il est intéressant
de noter que, suite à cet épisode, plusieurs tentatives ont été initiées aux
États-Unis visant à légiférer sur la cybersécurité des infrastructures
critiques nationales. Même aidées, dans une certaine mesure, par un
contexte de menace cyber en croissance constante depuis le début des
années 2000, toutes ont jusqu’à présent échoué.
Si à son arrivée à la Maison Blanche en 2001, George W. Bush semble
avoir des priorités éloignées des questions numériques, la littérature
ouverte, et notamment l’ouvrage de Fred Kaplan, explique que « l’arme
cyber » aurait constitué une solution particulièrement attractive aux
yeux du président pour répondre à la problématique préoccupante du
développement du programme nucléaire iranien dans la seconde moitié
des années 2000. Après l’envoi de troupes en Afghanistan et en Irak,
l’ouverture d’un conflit armé et potentiellement significatif avec un
troisième pays musulman était une option peu envisageable pour
« POTUS7 ». Ce serait la raison principale du lancement du programme
Olympic Games, utilisant un maliciel connu plus tard sous le nom de
Stuxnet : retarder l’avancement du programme nucléaire iranien sans
s’exposer publiquement.
La fin des années 2000, le début des années 2010, et ainsi le début de
« l’ère Obama », sont marqués par de nombreuses affaires cyber de portée
internationale et fortement médiatisées : la cyberattaque massive qui a
neutralisé l’Estonie en 2007, les cyberattaques en marge du conflit
opposant la Russie et la Géorgie en 2008, la découverte de Stuxnet par le
grand public en 2010, l’affaire Shamoon en 2012, ou encore les révélations
d’Edward Snowden8 en 2013. Les répercussions de cette dernière affaire
seront longues et significatives, tant aux États-Unis qu’à l’international. Le
président Obama formera un groupe de travail spécifique pour instruire la
question de la licéité des pratiques de renseignement aux États-Unis. Le
« Five Guys Report » remis au président en décembre 2013 conduira ce
dernier à annoncer diverses mesures lors d’un discours de janvier 2014 –
sur le stockage des métadonnées téléphoniques, sur la séparation entre l’US
Cyber Command et la NSA, sur la divulgation des failles 0-day ou encore
sur le renforcement de la sécurité intérieure de la NSA. En plus de ces
considérations nationales, l’affaire soulèvera d’importants débats dans
le monde entier : questionnement sur la réforme de la gouvernance
technique de l’Internet et le rôle de l’ICANN, renforcement de la tension
dans les messages politico-diplomatiques portés par certains grands acteurs
(notamment chinois et russes), perte de confiance – assortie d’effets
économiques néfastes – vis-à-vis de l’industrie numérique américaine,
enquête parlementaire en Allemagne, prolifération d’outils cyber
malveillants issus de la « TAO Toolbox9 », etc.
De l’apport de l’administration Trump sur les questions cyber
américaines, nous retiendrons notamment un aspect doctrinal important : la
publication en 2018 d’une stratégie nationale cyber10 pour le moins
décomplexée, mettant à l’honneur la doctrine de la « forward defense »,
ou « défense de l’avant ». Assumant pleinement des capacités cyber
offensives, les autorités américaines annoncent se mettre dans une posture
très proactive vis-à-vis d’éventuelles menaces qui pourraient viser leurs
intérêts. Sans attendre la survenance d’une attaque, elles annoncent
s’autoriser à « pénétrer le champ de l’attaquant » afin d’être en mesure
d’avoir connaissance d’une potentielle attaque au plus tôt et de pouvoir
ainsi « frapper » de façon préventive pour empêcher qu’elle soit lancée.
Cette position assertive et très allante soulève de nombreuses questions
quant à sa conformité avec le droit international et les réglementations
nationales des États dans le champ desquels les États-Unis s’autoriseraient à
aller « cyber patrouiller » de façon préventive.

b. L’organisation fédérale actuelle de cybersécurité

Début 2020, les questions de cybersécurité sont régies, aux États-Unis,


par une cinquantaine de lois, près de 25 décrets et executive orders. Avec
le National Security Council à la manœuvre pour coordonner la stratégie
nationale sur le sujet, la compétence du gouvernement fédéral en matière
de cybersécurité est la protection des réseaux fédéraux, le reste relevant
des États eux-mêmes.
S’agissant d’organisation, l’on peut distinguer deux piliers principaux :
la protection des réseaux non classifiés, et celle des réseaux classifiés.
Dans le segment non classifié, le Department of Homeland Security
(DHS) joue un rôle central. Créé en 2002 en réponse aux attentats du
11 Septembre, le DHS est notamment en mesure de publier des directives
opérationnelles obligatoires pour les agences fédérales – telles que la
Binding Operational Directive 17-01 de septembre 2017 qui interdit
l’utilisation de produits de l’éditeur russe Kaspersky dans les SI fédéraux11.
Il dispose également de compétences techniques et opérationnelles
propres – il opère notamment l’US-CERT et l’ICS-CERT – lui permettant
de fournir de l’assistance à ses bénéficiaires. La Cybersecurity and
Infrastructure Security Agency (CISA), créée en 2018, lui est rattachée.
Dans ce champ non classifié, le National Institute of Standards and
Technology (NIST) est en charge des normes techniques. Celles-ci font
souvent référence bien au-delà des seules frontières étatsuniennes.
Dans le domaine de l’information classifiée, c’est la NSA que l’on
retrouve au centre du jeu. Le directeur de l’agence joue le rôle de « national
manager for national security systems12 ». Si le Pentagone, via l’US Cyber
Command, est responsable de la défense des réseaux militaires et de la
Nation, la direction de ce commandement cyber est assurée par… le
directeur de la NSA, qui cumule donc ces deux fonctions13. La NSA, l’une
des plus importantes agences de renseignement technique au monde,
constitue l’un des acteurs de la vingtaine de membres qui forment la
communauté du renseignement du pays. Dans le domaine cyber, ses
grandes missions peuvent être synthétisées selon trois axes : la protection et
la défense des réseaux qui la concernent, l’attaque et le renseignement.
Dans les faits, ses capacités colossales font d’elle un interlocuteur
incontournable sur les questions cyber.

c. Quelques éléments saillants

S’il y a bien une idée incontournable dès lors que l’on s’intéresse aux
questions numériques, c’est que l’histoire de l’informatique et d’Internet
est profondément liée à celle des États-Unis d’Amérique. Nous l’avons
vu au premier chapitre : de la création d’ARPANET à l’émergence des
géants du numérique que sont les GAFA, de nombreux jalons majeurs de
l’évolution de l’informatique, des télécommunications et de l’espace cyber
ont significativement impliqué, d’une façon ou d’une autre, des autorités
publiques, des entreprises, des organisations ou des personnes américaines.
Une deuxième idée saillante qui peut être formulée est un corollaire de la
précédente : les États-Unis sont un pays fortement numérisé, doté d’une
industrie du numérique très développée, active et puissante, sur de
nombreux segments de marché, qui détient également des capacités
étatiques, techniques et opérationnelles très importantes. D’un point de
vue physique, il est également intéressant de noter que, vu l’architecture
technique du réseau Internet, de nombreuses données transitent
concrètement par des infrastructures situées sur le sol étatsunien. Les
États-Unis peuvent s’appuyer par ailleurs sur un tissu académique et
universitaire très développé et reconnu, ainsi que sur un riche
écosystème de réflexion stratégique sur les questions liées au
cyberespace. Les think tanks de cet écosystème constituent à la fois des
réservoirs d’idées pour l’administration américaine et des leviers
d’influence susceptibles de relayer ses positions à travers le monde.
D’un point de vue doctrinal et culturel, l’on peut exhiber plusieurs
marqueurs significatifs et relativement cohérents avec ce que l’on peut
percevoir des postures « classiques » des autorités américaines et des
éléments structurants de la géopolitique étatsunienne. Pays profondément
ancré dans une culture libérale, l’on constate par exemple à quel point il
est difficile pour Washington de légiférer, ou plus largement d’imposer
des contraintes à son secteur privé, notamment sur les questions de
cybersécurité.
On lit également dans la doctrine américaine des éléments de vision et
de posture très allants, ayant régulièrement une portée largement
extraterritoriale, et avec un véritable primat à l’offensive. S’il n’y a plus
vraiment de doutes sur la question de la détention et de l’utilisation, par les
États-Unis, de capacités significatives en matière de lutte informatique
offensive, des exemples comme l’affaire Stuxnet en 2010, les révélations
d’Edward Snowden en 2013 ou, dans un champ plus doctrinal, la
publication fin 2018 d’une stratégie nationale cyber prônant explicitement
la « [cyber] défense de l’avant » ont largement confirmé cette perception.
Le projet de loi connu sous le nom d’Active Cyber Defense Certainty Act,
proposé au Congrès fin 2017, visant à légaliser la pratique du « hack
back » par des acteurs privés en réponse à des cyberattaques dont ils
seraient victimes, s’inscrit dans une vision et une interprétation pour le
moins maximalistes du concept de légitime défense et du célèbre deuxième
amendement de la constitution des États-Unis d’Amérique, qui reconnaît le
droit du peuple américain à posséder des armes afin de contribuer à « une
milice bien régulée, nécessaire à la sécurité d’un État libre ». S’il a suscité
de nombreux débats, ce projet de loi n’est, à l’écriture de ces lignes, pas
passé.
Sur le sujet plus spécifique de l’extraterritorialité du droit américain,
la publication récente du Clarifying Lawful Overseas Use of Data Act (dit
« CLOUD Act ») constitue un exemple particulièrement intéressant à
mentionner. Adopté le 6 février 2018, il autorise concrètement le
gouvernement américain à requérir l’accès à des données de contenu
localisées en dehors du territoire étatsunien. Il s’applique aux
« provider[s] of electronic communication service to the public or remote
computing service » (i.e. prestataires de services de communications
électroniques et « d’informatique à distance », donc notamment les
entreprises offrant des services de messagerie électronique et de stockage
dans le cloud). Si les entités concernées qui peuvent, sur la base de ce texte,
faire l’objet d’une demande d’accès à des données de la part des autorités
américaines doivent être soumises aux lois des États-Unis, les données sur
lesquelles portent ces mêmes demandes peuvent, elles, être physiquement
localisées en dehors du territoire étatsunien.

2. La Fédération de Russie

a. Généralités

Les éléments structurants de la vision et de la posture cyber russes


doivent être analysés à travers le prisme de plusieurs enjeux plus généraux,
et notamment :
• la protection du territoire national, des frontières et de
l’indépendance, ainsi que la prévention de l’ingérence étrangère, qui
constituent des préoccupations centrales des autorités russes en matière
de positionnement international ;
• sur un plan plus « offensif », l’attachement de Moscou à restaurer un
certain prestige russe, rayonnant à l’international, qui peut être
perçu comme un facteur d’union et de fierté nationale ;
• sur le plan géopolitique, des tensions entre la Fédération de Russie et
les pays de l’OTAN, au premier plan desquels les États-Unis,
manifestes depuis quelques années ;
• un fonctionnement relativement centralisé de l’État russe, avec un
rôle prépondérant des forces de sécurité et un poids croissant, ces
dernières années, du pouvoir politique central ;
• sur le plan diplomatique, un élément de posture récurrent posant la
notion de souveraineté des États comme fondement essentiel des
relations internationales ;
• une perception par Moscou du droit international public et, de façon plus

spécifique, des outils comme Internet comme une forme d’expression


de la domination occidentale et notamment américaine ;
• des éléments de doctrine qui reconnaissent de façon croissante
l’importance des moyens « asymétriques » et non-militaires, comme
les opérations de guerre de l’information, pour atteindre des objectifs
stratégiques14.
S’agissant plus particulièrement de capacités en lien avec les enjeux
numériques et de cybersécurité, on voit se dégager, à très grosses mailles :
• un monde universitaire et de la recherche jouissant d’une certaine
renommée, au moins historique, bénéficiant notamment d’une tradition
d’excellence dans des matières scientifiques comme les
mathématiques15 ;
• peu de géants du numérique de portée réellement internationale mais :
– tout de même un acteur de premier plan mondial en matière de
SSI, et en l’occurrence d’analyse de la menace cyber et d’édition
d’outils logiciels de sécurité : le géant Kaspersky,
– un écosystème d’acteurs nationaux de plates-formes et de services
numériques très fourni, offrant à tout un « segment russophone »
d’Internet la possibilité d’alternatives russes sérieuses. En Russie par
exemple, la popularité de plates-formes comme le moteur de
recherche Yandex ou le réseau social Vkontakte n’a rien à envier,
voire surpasse, celle de leurs concurrents américains Google et
Facebook. Cette partie russophone d’Internet et l’offre de services
qui y est disponible est communément appelée le « RuNet16 »,
– une « Silicon Valley » russe : le parc technologique de Skolkovo,
non loin de Moscou ;
• un tissu de cybercriminels et de cyberattaquants « patriotiques »
dont on peut penser qu’il est significatif.

b. Organisation et doctrine

En matière d’organisation de cybersécurité, le service fédéral de


sécurité de la Fédération de Russie, le FSB, joue un rôle central et
incontournable dans un modèle qui, comme aux États-Unis, mêle les
missions défensives et offensives. Le FSB a ainsi des prérogatives relatives
à l’expertise technique en matière de SSI, de contrôle et d’homologation, de
contre-espionnage, de renseignement d’origine électromagnétique, etc. Une
certaine forme de proximité entre le FSB (ou son prédécesseur, le KGB) et
les autorités politiques, dont une partie significative a eu l’occasion de
travailler pour le service fédéral de renseignement17, est à souligner.
En matière de doctrine, la vision générale des autorités russes sur les
questions de sécurité numérique mérite une attention particulière. Celle-ci
présente en effet la particularité – que nous retrouverons également en
Chine – d’adopter une approche consolidée des trois couches du
cyberespace au travers du concept de « sécurité de l’information ».
Ainsi, là où la doctrine française distingue assez nettement la protection et
la défense des SI et la lutte contre la manipulation de l’information, la
vision russe englobe l’ensemble dans une seule et même approche. Dans les
versions de 2000 et 2016 de la « doctrine de sécurité de l’information »
publiées par les autorités russes, l’on retrouve ainsi :
• du langage très semblable à ce qui pourrait figurer dans un document
stratégique français (p. ex. « répondre à la menace des
cyberattaques ») ;
• et une rhétorique plus inhabituelle pour un regard occidental, construite

autour du concept de « sécurité informationnelle » (p. ex. « défendre les


valeurs spirituelles et morales traditionnelles russes »).
En cohérence avec ses éléments de posture diplomatique, la Russie
cherche par ailleurs à affirmer une certaine souveraineté dans l’espace
numérique, en s’appuyant notamment sur l’infrastructure du RuNet pour
essayer de faire coïncider les frontières d’un « espace numérique russe »
avec ses frontières physiques, et de contrôler autant que possible le
trafic interne à ce réseau qui, dans les faits, transiterait très
majoritairement voire exclusivement par des infrastructures situées sur le
territoire national. En 2013, les révélations d’Edward Snowden sur les
pratiques de la NSA n’ont fait que conforter les autorités russes dans cette
approche, en leur permettant de dénoncer une certaine forme d’emprise
américaine sur Internet et de promouvoir un recours accru à des
infrastructures et à des services « nationaux ».
Cette vision s’est notamment traduite, en novembre 2019, par une loi sur
un « Internet souverain russe », actant la création d’une infrastructure
permettant d’assurer le fonctionnement de « l’Internet russe » en cas
d’impossibilité des opérateurs nationaux de se connecter aux serveurs
étrangers – notamment en cas d’attaque cyber massive qui toucherait la
Fédération. Cette volonté de marquer les limites de l’espace numérique
russe et d’y affirmer une souveraineté avait déjà fait l’objet d’une forme de
démonstration de force par Moscou, qui affirme avoir expérimenté avec
succès la déconnexion totale du RuNet du reste d’Internet. En sus de ces
dispositions, la loi de 2019 prévoit également que les fournisseurs russes
d’accès à Internet mettent en place des « moyens techniques permettant
d’opérer un contrôle centralisé du trafic », ce qui n’est pas sans susciter des
questionnements quant à la protection des libertés individuelles.
Ces mesures réglementaires s’inscrivent dans la continuité d’une
séquence législative entamée au début des années 2010, faisant
notamment suite à la « révolution de Maïdan » de 2014 en Ukraine, et ayant
conduit à des dispositions relativement contraignantes en matière de
numérique, avec notamment l’obligation pour les opérateurs de
communications électroniques de stocker le contenu des échanges de leurs
utilisateurs pendant six mois et de les mettre à la disposition des forces de
sécurité, ou encore l’obligation de localiser les données personnelles des
utilisateurs sur le territoire russe.
L’ensemble de ces considérations, ajoutées aux publications de
nombreuses entités privées de cyber threat intelligence ainsi que de
plusieurs gouvernements – notamment dans la sphère anglo-saxonne –
visant à attribuer une quantité significative d’attaques cyber – avec des
finalités et des modes opératoires variés évoquant tant espionnage, sabotage
que déstabilisation – à des attaquants liés aux autorités politiques russes,
nous amènent à conclure que l’outil numérique semble aujourd’hui se
trouver en bonne place parmi les instruments d’expression de
puissance mis en œuvre par Moscou.

3. La République populaire de Chine


a. Généralités

Comme pour la Russie, il est possible de dégager plusieurs enjeux


structurants qui permettront d’appréhender les tenants et aboutissants de la
doctrine et de l’organisation chinoise en matière de cybersécurité :
• un élément de vision très général d’un empire qu’il faut protéger de
peuples potentiellement envahisseurs dont il est entouré et qui ancre
un besoin de défendre la souveraineté nationale et l’intégrité du
territoire au cœur de la pensée chinoise ;
• sur le plan de la manœuvre stratégique, une propension à planifier et à
penser sur le long terme ;
• une prédilection pour l’action indirecte, la manœuvre asymétrique,

la ruse et les stratagèmes. Deux références peuvent être citées pour


illustrer cet élément majeur de doctrine :
– le pionnier de la stratégie, Sun Tzu, qui invitait, dans la mesure du
possible, à chercher à « vaincre l’ennemi sans combattre18 »,
– plus récemment, la publication au début des années 2000 de « La
guerre hors limites » par les colonels Qiao et Wang19, qui explique
la nécessite de mener la guerre dans tous les champs, notamment
non-militaires, en évoquant explicitement la guerre économique et la
guerre de l’information et en posant le concept des « trois guerres »
(i.e. guerre de propagande, guerre psychologique et guerre
juridique) ;
• sur le plan interne, une préoccupation forte de maintien de la cohésion
nationale, de survie du régime et de « stabilité sociale », dans un
pays qui compte plus de 1,3 milliard d’habitants ;
• une volonté croissante de s’élever au rang de puissance régionale mais
surtout internationale ;
• une position vis-à-vis des États-Unis teintée notamment de rivalités
et de tensions économiques fortes, et plus largement une vision,
proche de celle de Moscou, du droit international et d’Internet
comme des outils de domination à la main des Occidentaux ;
• sur le plan économique, un 13e Plan quinquennal, publié en 2015 pour
la période 2016-2020, qui pose une ambition pour le pays de jouer un
rôle de premier plan au niveau mondial et qui appelle pour cela à un
saut technologique et à des efforts d’innovation importants ;
• sur le plan industriel, un tissu d’acteurs nationaux dans le domaine du
numérique, parmi lesquels des géants comme Huawei ou les
« BATX20 », qui, stimulés par les ambitions fixées par le Plan
quinquennal, ont vocation à s’imposer comme des leaders sur leurs
marchés respectifs.
Plus particulièrement, en matière de numérique et de sécurité numérique,
l’on peut noter :
• un intérêt pour les enjeux cyber au plus haut niveau de l’État,
illustré par des prises de parole sur le sujet par Xi Jinping lui-même (p.
ex. « il n’y aura pas de sécurité nationale sans cybersécurité ») ;
• un pays qui compte le plus grand nombre d’internautes au monde ;
• une doctrine relativement alignée avec celle de Moscou, qui déploie
notamment une rhétorique forte autour des enjeux de souveraineté et
d’un « cyber territoire chinois » que la Chine doit pouvoir contrôler,
et qui traite simultanément les questions de sécurité des SI et de
surveillance des contenus. Le « Grand pare-feu de Chine » – un
important dispositif de filtrage des contenus entrants et sortants du
pays21, mis en œuvre dès 1998, soit seulement quelques années après
l’arrivée d’Internet en Chine – est une illustration frappante de la
volonté de Pékin de sanctuariser les limites de son espace numérique
national, en cohérence avec ses frontières physiques ;
• de nombreuses campagnes de cyberattaques, souvent menées pour
des finalités d’espionnage, attribuées à la Chine par des gouvernements
(essentiellement de la communauté anglo-saxonne) ou par des
entreprises privées de CTI ;
• un écosystème de cybercriminalité plutôt dynamique avec, comme en
Russie, des motivations patriotiques significatives – selon la
documentation spécialisée disponible en sources ouvertes.
b. Evolutions récentes de la doctrine et de l’organisation
chinoises en matière de cybersécurité

Nous avons déjà pu le mentionner : les questions de cybersécurité font


l’objet d’une attention particulière du plus haut niveau de l’État
chinois, jusqu’à Xi Jinping lui-même, qui n’a cessé de s’accroître sur la
décennie écoulée.
En 2012, le 18e congrès du Parti communiste chinois (PCC) a consacré la
numérisation comme principal relais de croissance de l’économie du
pays, et de la Nation plus largement.
En fin d’année suivante, en 2013, le Bureau politique22 du PCC a établi
un groupe chargé de définir des stratégies nationales, des plans de
développement et des politiques en matière de cybersécurité et de
numérisation. La traduction française du nom ne semblant pas faire
consensus, nous l’appellerons ici « Central Leading Group for
Cybersecurity and Informatization » ou « Cyberspace Affairs Leading
Group » – le « Central Leading Group » étant par ailleurs devenu une
« Central Commission » en 2018. En 2014, ce Leading Group, dépendant
du Comité central du PCC et dirigé par Xi Jinping lui-même, s’est dans la
foulée de sa création adjoint un « bureau », une sorte de « bras armé » : la
Cyberspace Administration of China (CAC). Remplaçant une entité
précédemment existante dans le giron du Conseil des affaires de l’État23 et
en charge de la fonction de régulateur d’Internet pour la Chine, la CAC fait
autorité sur les questions relatives au cyberespace. Administration
relativement puissante, elle rend compte au Politburo et pèse directement
dans les décisions politico-stratégiques du pays dans son domaine de
compétences. Elle détient des capacités techniques et opérationnelles qui
couvrent des domaines proches de la cyberdéfense au sens occidental, ainsi
que des domaines davantage portés sur les questions de contrôle de
l’information. Cette séquence de 2013-2014 d’organisation de la
gouvernance chinoise en matière de cybersécurité illustre l’importance
accordée au sujet par Pékin.
En 2015, le livre blanc sur la Défense chinois positionne les questions
de sécurité numérique en bonne place en sacralisant, dans une posture dite
de « défense active » et dans une dynamique plus large de modernisation
des forces, la montée en puissance de capacités cyber.
En 2016, la première stratégie nationale de cybersécurité chinoise est
publiée. La CAC, mentionnée plus haut, en tient la plume. Parmi les idées
fortes de ce document, on retiendra plusieurs listes.
La stratégie énonce d’abord cinq « objectifs » :
• la paix – avec la volonté de prévenir la hausse des tensions dans le
cyberespace, la « course aux armements cyber » et plus généralement
les menaces pour la paix internationale ;
• la sécurité – abordant la question de la cybersécurité sous les angles
variés des équipements, des systèmes, des ressources humaines ou
encore de la sensibilisation ;
• l’ouverture – indiquant que les « standards, politiques et marchés des
technologies de l’information doivent être ouverts et transparents » ;
• la coopération – notamment entre les États, avec un appel au
perfectionnement d’une « gouvernance internationale de l’Internet » qui
soit « multilatérale, démocratique et transparente » ;
• l’ordre – appelant notamment au respect « du droit de savoir, droit de
participer, droit d’exprimer des opinions », de la « vie privée
personnelle » ou encore des « droits humains ».
Elle pose ensuite quatre « principes » :
• « le respect et la protection de la souveraineté dans le cyberespace »
– avec l’utilisation d’une rhétorique assertive sur la question de la
souveraineté (« aucune atteinte à la souveraineté dans le cyberespace ne
sera tolérée » ; « tous les pays ont le droit de formuler les lois et
réglementations en lien avec le cyberespace sur la base de leurs
circonstances nationales et de l’expérience internationalement
acquise »). La Chine affiche une position ferme, tant dans sa sphère
domestique (« tous les pays ont le droit de prévenir, freiner et punir la
dissémination en ligne d’informations dangereuses et susceptibles de
porter atteinte à la sécurité et aux intérêts nationaux ») que vis-à-vis
d’actions étrangères (« aucun État ne doit créer de cyber hégémonie,
maintenir des doubles standards24, utiliser le réseau [Internet] pour
interférer dans les affaires internes d’un autre pays, ou s’engager dans,
fermer les yeux sur, ou soutenir des activités en ligne susceptibles de
mettre en danger la sécurité nationale d’autres États ») ;
• « l’usage pacifique du cyberespace » – en cohérence avec le premier
objectif, les autorités chinoises appellent ici à une utilisation pacifique
du cyberespace dans « l’intérêt commun de l’humanité ». Là encore,
une allusion à peine voilée aux pratiques étatsuniennes est faite,
notamment par la phrase « l’argument de la sécurité nationale ne doit
pas être utilisé comme excuse pour faire usage d’un avantage
technologique afin de prendre le contrôle de réseaux et de SI d’autres
pays, de collecter et de voler les données d’autres États, de sacrifier la
sécurité d’autres pays afin que l’un d’eux atteigne une prétendue
sécurité absolue » ;
• « gouverner le cyberespace en conformité avec la loi » – affichant ici
une volonté forte de faire émerger, et surtout de faire respecter, une
régulation du cyberespace ;
• « gérer la cybersécurité et le développement comme un tout » –
expliquant que la « cybersécurité et le développement sont les deux
ailes d’un seul corps », les autorités invitent à « protéger le
développement avec de la sécurité » et à « stimuler la sécurité par le
développement ».
Elle fixe enfin neuf « tâches stratégiques » :
• « défendre la souveraineté dans le cyberespace avec détermination » ;
• « protéger la sécurité nationale avec détermination » ;
• « protéger les infrastructures informatiques critiques » ;

• « renforcer la construction d’une culture en ligne » ;


• « combattre le cyber terrorisme, les infractions à la loi et le crime » ;
• « perfectionner la gouvernance du réseau » ;
• « améliorer le niveau fondamental de cybersécurité » ;
• « élever les capacités de défense du cyberespace » ;
• « renforcer la coopération internationale ».
Ce document, dont les grands axes méritent d’être lus et analysés à la
lumière des différents éléments de contexte stratégique exposés jusqu’ici,
formalise notamment une prise de conscience significative, par les
autorités chinoises, du risque de nature cyber portant sur les
infrastructures critiques du pays.
En 2017, la publication d’une loi sur la cybersécurité, dans la continuité
de plusieurs autres textes législatifs de 2015 et 2016 sur la sécurité
nationale et le contre-terrorisme, formalise des dispositions importantes,
semblables à d’autres mesures déjà constatées dans d’autres États, mais qui
appellent une attention particulière, telles que l’obligation, pour les
entreprises présentes en Chine, de stocker leurs données sensibles et
importantes sur le territoire chinois, ou encore le droit, pour les autorités
chinoises, d’obtenir de la part de toute entité présente dans le pays toute
information pouvant avoir un impact sur la sécurité nationale.

II. La coopération internationale


1. Rappels de relations internationales
et de droit international
Nous avons déjà proposé, au premier chapitre, de brefs rappels
théoriques sur les sujets de la souveraineté des États et du droit international
public (DIP). En complément de ce qui a été déjà présenté – sur les traités
de Westphalie, les critères constitutifs des États, les implications internes et
externes du principe de souveraineté, le positionnement des États comme
« sujets primaires » du DIP ou l’existence d’une « communauté
internationale » – nous ajoutons quelques éléments de tendances
historiques.
À l’origine de cette « communauté internationale », où les États
souverains se rencontrent et s’autolimitent en se soumettant au droit
international et en tenant compte de l’existence des autres États, peut être
constatée une importante part de bilatéralisme – des relations « deux à
deux » entre États. Progressivement, notamment au cours du XIXe siècle, le
traitement et le règlement des questions internationales deviennent de
plus en plus multilatéraux – dans des enceintes, formelles ou informelles,
où interagissent simultanément plusieurs membres, selon des règles et
coutumes convenues entre eux. Ces enceintes prennent d’abord
essentiellement la forme de conférences internationales, puis
d’organisations internationales (OI) à part entière. Ces dernières sont
progressivement amenées à devenir des « sujets secondaires » du DIP. Ces
OI sont caractérisées par plusieurs propriétés : elles disposent d’un acte
constitutif (i.e. un traité conclu entre États), des États en sont membres, et
elles disposent d’une personnalité juridique distincte de celles de leurs
membres. Elles peuvent avoir des finalités variées, telles qu’assurer la
paix (par la prévention des conflits et la mise en œuvre de mécanismes
d’arbitrage et de règlement pacifique des différends), faciliter une forme de
coopération « technique » ou « opérationnelle » entre les membres, ou
encore favoriser l’intégration économique ou politique, notamment à
l’échelon régional.

2. Alliances et coopérations bilatérales

En matière de cybersécurité, un certain nombre de particularités, et en


l’occurrence de difficultés, teintent la question des alliances et des
coopérations internationales. Plusieurs ouvrages ont déjà largement
documenté la question de l’évolution des rapports de force dans le
cyberespace2526. Nous commençons cette sous-section en rappelant
quelques idées fortes en la matière et nous la terminerons en proposant une
grille de lecture d’éléments plus concrets.

a. « Alliances traditionnelles » et « alliances cyber »

De nombreux spécialistes des pratiques de renseignement expliquent que


dans leur domaine « il y a de vrais ennemis, de faux amis et tout au plus
des alliés ». Cette formulation pourrait sans mal leur être empruntée pour
décrire une caractéristique forte des relations internationales en matière
de cybersécurité. Cet état de fait peut, au moins en partie, s’expliquer par
des singularités des « alliances cyber » par rapport aux « alliances
traditionnelles ».
Alors que les secondes portent plutôt sur la mise en commun de forces
et de capacités, qui tendent à se cumuler, les premières portent très
souvent sur le partage de ce que l’on pourrait qualifier de « faiblesses ».
Parmi les sujets qui peuvent faire l’objet d’une coopération internationale
en matière de cybersécurité, l’on trouve en effet le partage d’informations
sur des vulnérabilités ou sur des attaques.
Par ailleurs, les domaines concrets qui jalonnent la question plus large de
la cybersécurité sont souvent en adhérence avec des problématiques
sensibles, régaliennes voire souveraines – la cryptologie en constitue un
excellent exemple. Dès lors, un élément de logique qui guide
l’établissement d’une coopération cyber est le suivant : « privilégier une
alliance avec un partenaire avec lequel on aura une grande confiance
pour partager, plutôt qu’un partenaire très fort ».
Un autre élément notablement remis en cause par le « caractère cyber »
d’une alliance est la nécessité d’une certaine proximité géographique. Les
« alliances traditionnelles » se constituent souvent assez naturellement entre
des parties proches géographiquement. De fait, cette proximité confère à
ces dernières beaucoup d’intérêts, de valeurs, d’aspirations et de problèmes
communs. En matière de cybersécurité, s’il peut subsister des convergences
d’intérêts permises par la proximité géographique (p. ex. l’appartenance à
une même OI régionale qui s’intéresse elle-même à des questions de
sécurité numérique et dont il faut par ailleurs assurer la cybersécurité
propre), les caractéristiques intrinsèques du cyberespace, plusieurs fois
évoquées au fil de cet ouvrage, permettent à un même agent de menace
d’avoir des cibles très éloignées géographiquement – de lui-même, et
l’une de l’autre – ce qui conduit ces cibles à se trouver naturellement un
sujet de fort intérêt en commun : se protéger et se défendre de cette menace.

b. Établir une coopération bilatérale en matière de


cybersécurité
L’établissement concret d’une relation bilatérale en matière de
cybersécurité se conçoit sur la base de plusieurs paramètres structurants.
Il y a tout d’abord les enjeux de politique étrangère et plus largement
des facteurs relatifs à l’environnement international dans lequel est
susceptible de s’inscrire la relation. Certains de ces enjeux sont plutôt
bilatéraux, ne concernant que les pays impliqués : alliance politique
bilatérale « plus large » entre les deux États (p. ex. les États-Unis et la
France), évènements d’intérêt commun (p. ex. l’organisation d’un
évènement à portée mondiale). D’autres peuvent porter davantage sur des
considérations multilatérales : l’appartenance commune à une même OI
(comme l’Union européenne dans le cas de la France) constitue par
exemple un paramètre important pouvant motiver l’établissement d’une
coopération bilatérale. Ces premiers facteurs sont, quasiment à eux seuls,
susceptibles d’amener deux États à chercher un terrain de coopération en
matière de sécurité numérique.
Rentrent également en ligne de compte de nombreux éléments propres
aux contextes nationaux des deux parties – s’agissant tant d’enjeux
purement « cyber » que de questions sortant de ce seul domaine. Sur les
questions directement liées à la sécurité numérique, parmi les paramètres
les plus courants susceptibles d’influer sur l’opportunité et la densité d’une
relation bilatérale entre deux États, on peut citer par exemple :
• la « maturité cyber » générale ou sur des sujets spécifiques ;
• la confiance mutuelle que peuvent s’accorder les deux parties, et
notamment, très concrètement, la perception par chacun des partenaires
potentiels de la menace cyber que l’autre peut représenter à son égard ;
• les visions et concepts en matière de sécurité numérique – nous avons
pris quelques exemples dans la première section de ce chapitre qui, mis
en regard du modèle français décrit précédemment, illustrent à quel
point les doctrines en matière de cybersécurité, s’agissant notamment
du sens accordé aux concepts, peuvent varier d’un pays à l’autre ;
• les organisations nationales respectives, avec notamment la
problématique assez centrale des domaines de politiques publiques
desquels relève la cybersécurité pour les États concernés.
S’agissant de ce dernier point, l’on observe par exemple que dans
beaucoup de pays, les questions de cybersécurité ont très longtemps eu
des adhérences très fortes avec les problématiques de sécurité et de
défense nationale, et notamment de renseignement. C’est clairement le
cas des pays anglo-saxons, de la Russie, de la Chine et d’un grand nombre
de pays européens. Dans les faits, le rôle d’autorité nationale en matière de
cybersécurité – quelle que soit la définition donnée par le pays en question à
ce dernier terme – a très souvent été confié à un ou des services de
renseignement. À l’inverse, certains pays, comme la France ou
l’Allemagne, ont fait très « tôt » un choix organique fort en plaçant ces
problématiques de cybersécurité en dehors de la sphère du renseignement.
L’on peut ainsi comprendre plus aisément l’impact de ces choix dans
l’établissement et le maintien de relations bilatérales en matière de sécurité
numérique : lorsqu’au sein des deux États concernés, les entités en charge
de la mission de cybersécurité sont de même « nature » (p. ex. deux
services de renseignement), appartiennent à un même domaine d’action et
ont, éventuellement, déjà l’habitude de se côtoyer et de coopérer sur
d’autres sujets, la création d’un canal visant à échanger sur des questions de
sécurité numérique est facilitée. À l’inverse, lorsque l’on place d’un côté un
service de renseignement – qui dispose de modalités très particulières de
communication avec l’extérieur – et de l’autre une entité par nature très
« ouverte » et baignant dans un écosystème portant sur des considérations
différentes, l’établissement d’un lien bilatéral peut s’avérer plus complexe.
Plus largement, cette toute dernière considération soulève un point
important : les entités impliquées dans la coopération bilatérale, de part
et d’autre. L’information de l’existence d’une coopération entre un pays A
et un pays B en matière de cybersécurité n’est en effet que très partielle, car
elle peut aussi bien faire référence à une coopération très superficielle et
d’affichage qu’à un partenariat stratégique avec un niveau de confiance
mutuelle et des travaux en commun extrêmement poussés. Il est ainsi plus
utile et intéressant de savoir quelles sont les entités de chaque État
réellement impliquées dans la coopération – qui peut par ailleurs être
« multi-canaux », avec plusieurs lignes de coopération (p. ex. entre entités
politiques, entre entités de la sphère militaire, entre entités du monde du
renseignement, etc.).
Un corollaire mis en avant par ce point des entités concernées est celui de
la publicité du partenariat. Cela va sans dire : l’existence d’une
coopération bilatérale entre deux entités, voire entre deux États, peut avoir
différents niveaux de publicité – indépendamment de la qualité et de la
profondeur de la relation elle-même. À un bout du spectre, elle peut être
totalement secrète et n’être connue que de très peu de gens. À l’autre
extrémité du champ des possibles, elle peut être publique, très visible, avec
son état et son avancement largement documentés en sources ouvertes.
Parmi les éléments relevant des contextes nationaux respectifs des deux
parties, il y a également des facteurs non cyber, relevant par exemple de
champs plus sociétaux, économiques ou culturels. En guise d’exemples, on
peut notamment évoquer : une culture commune de la régulation par la
réglementation contraignante, une vision économique très libérale, des
préoccupations fortes vis-à-vis des questions liées à la liberté d’expression,
etc.
Évidemment, outre toutes ces considérations très contextuelles, la
question des sujets d’intérêt communs pouvant donner lieu à des
coopérations fructueuses reste centrale. En fonction des opportunités et de
l’ensemble des facteurs cités précédemment, ces domaines de coopération
pourront par exemple porter sur : des échanges opérationnels sur des cas
plus ou moins précis, des échanges de bonnes pratiques, des
développements capacitaires communs, des publications (techniques ou
doctrinales) communes, des campagnes de communication synchronisées,
des choix de politiques publiques coordonnés, etc.
Pour conclure ce propos, il semble clair, en ayant en tête tous les
éléments présentés jusqu’ici, que les échanges bilatéraux en matière de
cybersécurité peuvent donner lieu à différentes « gammes » de
coopération. Sans chercher l’exhaustivité, on peut en dégager plusieurs
exemples courants :
• ce que l’on pourrait appeler des « partenariats stratégiques », où un
alignement de visions, un fort niveau de confiance entre les deux
parties et des maturités respectives comparables permettent des
échanges significatifs, sur des sujets qui emportent des enjeux
importants pour les deux partenaires ;
• des relations que l’on pourrait qualifier « d’assistance capacitaire », où
l’une des parties est plus avancée que l’autre et l’aide à monter en
compétences sur un ou plusieurs sujets. Ce type de coopération s’inscrit
souvent dans un cadre de politique étrangère qui dépasse largement les
seules questions de cybersécurité ;
• des échanges de type « dialogue stratégique », lorsque la coopération
appelle des échanges au niveau politico-stratégique, par exemple quand
les deux parties n’ont pas encore construit un niveau de confiance
significatif, potentiellement à cause de visions différentes des enjeux ;
• une gamme plus générale de coopérations « courantes », qui
impliquent des partenaires de maturités comparables et sans défiance
mutuelle significative, pour coopérer de façon pérenne ou ponctuelle
sur des sujets divers.

3. Organisations internationales

Nous l’avons vu précédemment : les organisations internationales sont


progressivement apparues dans le paysage des relations internationales,
pour réunir des États autour de finalités communes. En matière de
cybersécurité, ressortent deux grandes catégories d’enjeux pour les OI :
• leur propre cybersécurité, qui soulève d’importantes considérations
sur le rôle que doivent jouer leurs membres en la matière (p. ex.
responsables, contributeurs, bénéficiaires, subordonnés) ou encore sur
les capacités de cybersécurité dont elles doivent se doter en propre. Cet
enjeu est d’autant plus important quand l’OI concernée traite de
l’information très sensible voire classifiée ou lorsqu’elle fournit un
service essentiel pour ses membres (p. ex. le SI Schengen) ;
• et le rôle « politique » qu’elles peuvent avoir en matière de
cybersécurité, en se positionnant parfois sur des domaines qui relèvent
classiquement de domaines de souveraineté des États, comme la
protection des infrastructures critiques ou les opérations militaires.
Début 2020, d’un point de vue français, plusieurs OI présentent un intérêt
significatif en matière de sécurité numérique. Nous pouvons en retenir
quatre principales que l’on se propose d’étudier dans cette sous-section :
l’Organisation des Nations unies (ONU), l’Union européenne (UE),
l’Organisation du traité de l’Atlantique Nord (OTAN) et l’Organisation
de coopération et de développement économiques (OCDE). Pour
chacune d’entre elles, nous donnerons quelques éléments structurants
d’organisation et de doctrine, évoquerons des considérations propres à sa
cybersécurité et présenterons quelques enjeux plus politiques du domaine
de la sécurité numérique sur lesquels elles se sont positionnées.

a. L’Organisation des Nations unies (ONU)

i. Rappels sur l’OI


L’ONU est une organisation internationale d’envergure mondiale.
Créée en 1945, à la sortie de la Seconde Guerre mondiale et dans la
continuité de la Société des Nations, elle est orientée vers des finalités de
maintien de la paix et de la sécurité internationales27. Son texte
fondateur est la Charte des Nations unies (CNU)28, signée à la conférence
de San Francisco en 1945. Début 2020, elle compte 193 États membres –
parmi les 197 qu’elle reconnaît dans le monde. C’est à la fois un lieu de
rencontre pour les diplomates de tous les pays, mais également une instance
susceptible de faire émerger des décisions concrètes. Elle ne produit pas de
réglementation directement transposable en droit interne mais ses
« résolutions » peuvent être contraignantes et sont une source très
significative de légitimité, s’agissant notamment de la mobilisation et de
l’emploi de forces armées dans le cadre d’interventions de maintien ou de
rétablissement de la paix. Ses diverses décisions peuvent également donner
lieu à des travaux plus encadrants entre différents pays (p. ex. conventions,
accords, protocoles, traités internationaux).
En matière d’organisation, ce que l’on appelle le « système des Nations
unies » comprend, début 2020 :
• six organes principaux29 :
– l’Assemblée générale (AG), qui réunit tous les États, disposant
chacun d’une voix pour le vote des recommandations émises,
– le Conseil de sécurité, composé de quinze membres30, qui a la
responsabilité principale du maintien de la paix et de la sécurité
internationales au nom des membres de l’ONU, et peut pour cela
décider de sanctions internationales ou d’interventions armées,
– le Conseil économique et social,
– le Conseil de tutelle,
– la Cour internationale de justice, qui constitue l’organe judiciaire
principal des Nations unies et notamment tranche les conflits
juridiques qui lui sont soumis par les États,
– le Secrétariat, dirigé par un secrétaire général, qui assure le
fonctionnement de l’organisation (p. ex. logistique, organisation de
réunions, sécurité interne, ressources humaines, ressources
informatiques, traduction, communication) ;
• quinze agences spécialisées (p. ex. l’Organisation mondiale de la santé,
l’Union internationale des télécommunications, le Fonds monétaire
international, l’Organisation de l’aviation civile internationale) ;
• et cinq organisations apparentées (p. ex. le Secrétariat de la
convention-cadre des Nations unies sur les changements climatiques,
l’Agence internationale de l’énergie atomique, l’Organisation pour
l’interdiction des armes chimiques).
Sans rentrer dans les détails du fonctionnement onusien, il est utile de
rappeler quelques grands principes s’agissant plus spécifiquement de l’AG.
Celle-ci tient, une fois par an, une « session ordinaire » qui s’étale
généralement sur le dernier semestre de l’année. Le nombre de points à
l’ordre du jour étant relativement conséquent, l’AG peut s’appuyer sur des
organes subsidiaires, et notamment six « grandes commissions » pour
instruire des questions spécifiques, chacune étant spécialisée sur un thème
particulier. Comme nous le verrons plus loin, la Première commission,
chargée des questions de désarmement et de sécurité internationale, a
joué ces vingt dernières années un rôle important sur le sujet de la
régulation internationale du cyberespace. Chaque point placé à l’ordre du
jour d’une session ordinaire de l’AG peut donner lieu à une résolution de
cette dernière.
ii. Cybersécurité propre
S’agissant de sa cybersécurité propre, le fonctionnement de l’ONU est
très décentralisé : chaque entité est en charge de sa propre sécurité
numérique. Pour le Secrétariat des Nations unies, où siègent notamment
l’AG et le Conseil de sécurité, c’est l’Office of Information and
Communications Technology (OICT), plus largement en charge des
questions informatiques, qui porte cette mission et dispose à cette fin de
capacités dédiées. Sans chercher à les détailler davantage, notons
simplement que les considérations de sécurité numérique propres à
l’organisation, et notamment les éventuelles analyses des risques cyber qui
sont susceptibles de peser sur elle, doivent prendre en compte un facteur
structurant : l’organisation est le lieu de rencontre de la quasi-totalité des
États du monde.

iii. Portée politique en matière de sécurité numérique


La portée politique de l’action de l’ONU dans le champ de la sécurité
numérique se cristallise autour de ce qui constitue sa raison d’être
principale : maintenir la paix et la sécurité internationales. Transposée à
la question de la sécurité numérique, il s’agit pour l’organisation de
permettre la construction et le maintien d’une forme de paix, de sécurité
et de stabilité stratégique du cyberespace. À cet égard, l’article 51 de la
CNU pose un élément doctrinal essentiel, qui fait encore l’objet de
nombreux échanges et travaux portant sur sa transposition dans le monde
numérique : le droit, pour les États membres qui seraient victimes d’une
« agression armée », à la « légitime défense ».
Dès 1998, l’AG a compté à l’ordre du jour de sa session ordinaire un
point portant sur des questions relatives à la sécurité numérique31,
initiant une séquence de travail dont l’importance n’a cessé de croître au fil
des années, avec notamment, en 2004, la création d’un groupe d’experts
gouvernementaux (« Group of Governmental Experts », GGE) dédié
dans le giron de la Première commission de l’AG. Les différentes
occurrences du GGE, comptant chacune environ quatre sessions d’une
semaine, ont permis de faire émerger un premier consensus international
sur la question de l’applicabilité du droit international au cyberespace.
L’ensemble de ces considérations relatives à la paix, à la sécurité et à la
stabilité stratégique du cyberespace font l’objet d’un traitement spécifique
dans une section ultérieure de ce chapitre.

b. L’Union européenne (UE)

i. Rappels sur l’OI


L’UE est une organisation internationale d’intégration politico-
économique à un niveau régional. Créée en 1957 sous le nom de
« Communauté économique européenne » (CEE), elle a été fondée par six
États européens. Son organisation, sa composition et ses règles de
fonctionnement ont connu de nombreuses évolutions depuis sa création,
dont nous passerons les détails, largement documentés dans la littérature
spécialisée. Nous en retenons toutefois quelques éléments saillants.
Deux traités régissent l’UE et en constituent son droit dit
« primaire » : le traité sur l’Union européenne (TUE, créé par le traité de
Maastricht) et le traité sur le fonctionnement de l’Union européenne
(TFUE, créé par le traité de Rome)32. L’UE s’appuie sur un droit dit
« dérivé », qui est un ensemble d’actes pris par les institutions européennes
conformément aux traités du droit primaire. Parmi les différents types
d’actes possibles, les règlements et les directives sont des textes
contraignants pour l’ensemble des États membres de l’UE33, au nombre
de 27 début 2020.
L’Union dispose d’un large panel de compétences, regroupées en trois
grandes catégories depuis le traité de Lisbonne :
• les compétences exclusives, pour lesquelles « seule l’Union peut
légiférer et adopter des actes juridiquement contraignants, les États
membres ne pouvant le faire par eux-mêmes que s’ils sont habilités par
l’Union, ou pour mettre en œuvre les actes de l’Union34 ». Elles portent
sur l’union douanière, les règles de concurrence internes, la politique
monétaire, la politique commune de la pêche, la politique commerciale
commune et la conclusion de certains accords internationaux35 ;
• les compétences partagées, pour lesquelles « l’Union et les États
membres peuvent légiférer et adopter des actes juridiquement
contraignants dans ce domaine. Les États membres exercent leur
compétence dans la mesure où l’Union n’a pas exercé la sienne. Les
États membres exercent à nouveau leur compétence dans la mesure où
l’Union a décidé de cesser d’exercer la sienne36 ». Elles portent sur le
marché intérieur, la politique sociale, la politique régionale,
l’agriculture et la pêche, l’environnement, la protection des
consommateurs, les transports, les réseaux transeuropéens, l’énergie,
l’espace de liberté, de sécurité et de justice, la santé publique, la
recherche, le développement technique et l’espace, la coopération au
développement et l’aide humanitaire37 ;
• les compétences complémentaires (ou de coordination), pour
lesquelles l’Union peut « mener des actions pour appuyer, coordonner
ou compléter l’action des États membres, sans pour autant remplacer
leur compétence dans ces domaines38 ». Elles portent sur la santé,
l’industrie, la culture, le tourisme, l’éducation, la formation
professionnelle, la jeunesse et le sport, la protection civile et la
coopération administrative39.
Enfin, l’Union s’appuie, dans son organisation, sur un grand nombre
d’entités, appelées « institutions, organes, agences et bureaux ». Parmi
les plus importantes, nous pouvons d’ores et déjà citer quatre institutions :
• le Conseil européen, au rôle exécutif, qui réunit les chefs d’État et de
gouvernement des États membres, et définit les grandes orientations
politiques de l’Union ;
• la Commission européenne, également au rôle exécutif, composée d’un
président entouré d’un collège de commissaires (un par État membre),
et chargée de proposer et de mettre en œuvre les politiques
européennes ;
• le Conseil de l’UE, qui est une des principales enceintes de décision de
l’Union, réunissant des représentants de chaque État membre de niveau
ministériel, selon différentes formations (p. ex. affaires générales,
affaires étrangères, affaires économiques et financières, etc.). La
présidence du Conseil est assurée successivement par chacun des États
membres pour une durée de six mois. Le Conseil est assisté par un
secrétariat général, chargé notamment des questions de
fonctionnement ;
• le Parlement européen, qui rassemble les représentants élus des
citoyens européens : les députés européens.
Nous citons également le Service européen pour l’action extérieure
(SEAE), agence européenne qui, depuis le traité de Lisbonne, constitue le
service diplomatique de l’Union.

ii. Cybersécurité propre


Chaque institution, organe ou agence de l’UE est en charge de sa
propre cybersécurité. Les capacités déployées dépendent de plusieurs
facteurs, notamment de la taille de l’entité concernée et de la sensibilité des
enjeux qu’elle est amenée à traiter. Plusieurs institutions comptent
aujourd’hui des capacités techniques et opérationnelles propres
significatives.
Il existe par ailleurs des capacités centralisées, au bénéfice de
l’ensemble des institutions, organes et agences de l’UE. Nous en citons
deux en particulier :
• le CERT-EU, créé en 2012, qui est une équipe de cyberdéfense dont les
bénéficiaires potentiels sont les institutions et autres entités de l’UE. Il
est utile de noter que s’il coopère étroitement avec les CERT nationaux
et gouvernementaux des États membres, le CERT-EU n’a pas vocation
à être un « super-CERT européen » ;
• l’ENISA (European Network and Information Security Agency),
l’agence européenne pour la cybersécurité créée en 2004, qui a
vocation à conseiller les institutions et les États membres en matière de
sécurité numérique dans le contexte particulier de l’Union européenne.
Outre la publication de bonnes pratiques « générales » et utiles au plus
grand nombre, elle contribue notamment à diffuser des outils, méthodes
et recommandations pour aider à la mise en œuvre de politiques
publiques et de réglementations européennes ayant des implications en
matière de cybersécurité. Dans un champ plus opérationnel, elle
organise régulièrement l’exercice paneuropéen de gestion de crise
cyber « CyberEurope », réunissant tous les deux ans depuis 2010 des
représentants de tous les États membres, qui éprouvent ensemble des
mécanismes de coopération européens en matière de cyberdéfense et
s’entraînent à apporter une réponse collective à de telles crises.
Lorsque l’on s’intéresse à la cybersécurité propre de l’UE, il est utile
d’évoquer l’existence d’un schéma UE de classification de l’information,
analogue aux schémas nationaux de classification du secret de la défense.
L’information classifiée de l’Union européenne (ICUE) s’appuie sur quatre
niveaux – de Restreint UE/EU Restricted à Très Secret UE/EU Top Secret –
et désigne « toute information ou tout matériel identifié comme tel par la
classification de sécurité de l’Union européenne, dont la divulgation non
autorisée pourrait porter atteinte à des degrés divers aux intérêts de l’Union
européenne, ou à ceux d’un ou de plusieurs de ses États membres40 ».
L’existence d’un tel schéma implique notamment, comme en France, la
définition de règles de protection et de mécanismes d’agrément de
produits et d’homologation de systèmes susceptibles de traiter des
ICUE. Cela fait l’objet d’un travail animé par le secrétariat général du
Conseil de l’UE (SGCUE), au sein d’un comité de sécurité ainsi que d’une
sous-formation dédiée aux questions dites « d’assurance de l’information ».
Ces comités, présidés par le SGCUE, impliquent l’ensemble des États
membres pour contribuer directement à l’élaboration de ces règles. La
Commission européenne et le SEAE, vraisemblablement les deux autres
entités de l’UE les plus « utilisatrices » d’ICUE, déclinent ces règles
chacune en leur sein, via leur organisation interne de gestion de la
sécurité41.

iii. Portée politique en matière de sécurité numérique


Depuis le milieu des années 2000, et surtout sur la décennie 2010, le sujet
de la sécurité numérique a fait l’objet d’une prise en compte
progressive jusqu’à devenir une préoccupation courante du niveau
politique européen.
En filigrane des différents exemples que nous allons présenter ci-dessous
se trouve un questionnement important relatif à la base juridique de
traitement des questions de cybersécurité. Comme nous avons déjà pu le
voir, ce sujet est historiquement apparu au niveau des États comme relevant
majoritairement de la sphère très régalienne et souveraine de la sécurité et
de la défense nationale. Progressivement, la numérisation croissante de la
société et de l’économie a fait apparaître de nouveaux enjeux et des angles
complémentaires de traitement de la question, davantage sous le prisme
d’une grande transformation sociétale et économique. Si la première
approche ancrait le sujet dans le domaine réservé des États, la seconde
en revanche donne une légitimité à son traitement sur la base juridique
du « marché intérieur » qui, elle, est une compétence partagée de l’UE
– comme nous l’avons vu précédemment. Sur le plan opérationnel et de
façon très macroscopique, cette recherche d’équilibre s’est traduite
concrètement par l’émergence d’un modèle européen dans lequel des
capacités de cybersécurité apparaissent de façon décentralisée dans
chacun des États membres, et des enceintes et mécanismes de
coopération volontaire entre ces derniers sont établis.
Un premier exemple extrêmement structurant de politique publique
européenne qui donne corps à cette approche est sans doute la directive
européenne sur la sécurité des réseaux et de l’information, dit
« directive NIS42 ». Proposée initialement en 2013 par la Commission
européenne, dans la foulée de la publication d’une stratégie européenne de
cybersécurité, la directive a été finalement adoptée en juillet 2016, après
plusieurs années de négociation, par le Parlement européen, laissant une
période de près de deux ans aux États membres pour sa transposition en
droit interne. Parmi ses principales dispositions, la directive acte :
• le renforcement des capacités nationales de cybersécurité, avec
l’obligation pour chaque État membre de se doter d’une autorité
compétente en la matière43, d’une stratégie nationale de cybersécurité44
et d’un CSIRT national ou gouvernemental45 ;
• la mise en place d’un cadre formel de coopération volontaire entre les
États membres, sur deux niveaux :
– à un niveau politico-stratégique, avec la mise en place d’un
« groupe de coopération » réunissant les autorités compétentes
mentionnées précédemment, ainsi que la Commission européenne et
l’ENISA – cette dernière jouant un rôle de soutien à la coopération
entre les États membres,
– à un niveau technico-opérationnel, avec la création d’un « réseau
des CSIRT » des États membres, dont le fonctionnement est
également soutenu par l’ENISA et auquel prend part le CERT-EU ;
• le renforcement de la cybersécurité d’opérateurs dits « de services
essentiels » (OSE) pour le fonctionnement de la société et de
l’économie, avec notamment l’obligation de mise en œuvre de règles
de sécurité et de notification des incidents de sécurité majeurs à
l’autorité nationale compétente. Si la désignation des OSE et la
définition des règles de sécurité sont concrètement laissées à la main
des États membres, un document de référence46 – non contraignant –
adopté début 2018 au sein du groupe de coopération de niveau politico-
stratégique propose un jeu de règles réparties en quatre catégories :
gouvernance, protection, défense et résilience ;
• le renforcement de la cybersécurité des fournisseurs de service
numérique (FSN) – concrètement les prestataires de service de cloud
computing, de moteurs de recherche et de market places. Sans qu’ils
aient besoin d’être désignés formellement par l’autorité nationale
compétente, les FSN sont tenus d’analyser les risques portant sur leurs
SI, de prendre des mesures de sécurité en conséquence et de notifier
tout incident de sécurité à l’impact significatif à l’autorité nationale
compétente.
Cette directive NIS n’est pas sans rappeler la démarche de politique
publique mise en œuvre par les autorités françaises dans la LPM 2014-
2019, qui prévoyait le renforcement de la cybersécurité des OIV. Si les
bases juridiques des deux approches sont légèrement différentes – les
dispositions de la LPM sont inscrites dans le code de la défense tandis que
la directive NIS est positionnée sur la base légale du marché intérieur – il
ressort une cohérence d’orientations très claire entre les deux textes,
illustrant bien la prise de conscience aux niveaux national et européen de
l’importance des enjeux de sécurité numérique et de la nécessité de
déployer des politiques publiques structurantes en la matière.
Un autre exemple de politique publique européenne significative en
matière de cybersécurité est le « Cybersecurity Act ». Issu d’un « paquet »
de mesures cyber présenté par la Commission européenne en
septembre 2017, le Cybersecurity Act prend la forme d’un règlement
européen47, avec essentiellement deux volets :
• d’une part, l’adoption d’un mandat permanent et renforcé pour
l’ENISA, qui se voit notamment confier un rôle accru en matière de
soutien à la coopération entre les États membres ;
• d’autre part, la création d’un cadre européen de certification de
sécurité, pour permettre l’émergence de schémas d’évaluation et de
certification de sécurité numérique de produits, services et systèmes,
selon trois niveaux d’assurance (i.e. élémentaire, substantiel et élevé).
L’objectif de ce second volet, pour lequel l’ENISA joue également un
rôle central de soutien, est de faciliter la reconnaissance mutuelle des
certificats émis dans les différents États membres et de créer ainsi les
conditions d’un « marché unique » européen en matière de
cybersécurité.
Si la directive NIS avait en quelque sorte son « pendant français » avec la
LPM 2014-2019, nous mentionnions déjà le Cybersecurity Act dès la fin du
chapitre précédent, au moment de présenter la démarche française
d’évaluation et de certification des produits de cybersécurité. Il s’agit bien
ici, pour les deux démarches, d’encourager l’émergence de marchés
industriels, nationaux et européen, de produits et de services de
cybersécurité, afin de contribuer à un pilier important – avec les enjeux
capacitaires et réglementaires – de ce qui a pu être appelé « l’autonomie
stratégique européenne en matière de sécurité numérique » ou encore,
plus récemment, la « souveraineté numérique européenne ».
Un autre texte de politique publique européenne qui mérite d’être
mentionné ici est le règlement sur « l’identification électronique et les
services de confiance pour les transactions électroniques au sein du
marché intérieur », dit « règlement eIDAS48 ». Pendant européen d’une
autre référence nationale que nous présentions au chapitre précédent, le
RGS, le règlement eIDAS a pour ambition de renforcer la confiance
numérique dans les échanges, et notamment les transactions
commerciales, au sein du marché intérieur européen, accompagnant
ainsi la transformation numérique de la société et de l’économie au niveau
de l’UE. Le règlement a été publié en 2014 et est applicable dans les États
membres depuis juillet 2016, pour une grande partie de ses dispositions, et
depuis fin 2018 pour le reste. Il a vocation à mettre en place un cadre
d’interopérabilité sur les questions relatives à l’identification
électronique, aux services dits « de confiance » (i.e. certification
électronique, horodatage, etc.) et aux documents électroniques.
Concrètement, pour l’identification électronique, il s’agit de permettre la
reconnaissance, par l’ensemble des États membres, de moyens
d’identification électronique reconnus par un État donné – après qu’ils aient
été notifiés au niveau européen et soumis à un examen des autres États
membres qui le souhaitent, pour s’assurer de la conformité aux exigences
applicables. Pour les services de confiance, il s’agit de mettre en place un
cadre juridique d’exigences auxquelles doivent se plier les prestataires
concernés.
À la croisée des politiques publiques de sécurité numérique et de
diplomatie se trouve un autre outil européen qu’il est intéressant de
présenter ici : la « boîte à outils cyberdiplomatique » (ou « Cyber
Diplomatic Toolbox »). En juin 2017, s’inscrivant en pleine cohérence avec
des travaux onusiens que nous présenterons plus loin, les États membres, à
travers la voix du Conseil de l’UE, ont décidé d’adopter un « cadre pour
une réponse diplomatique conjointe de l’UE face aux actes de
cybermalveillance49 ». Cet élément doctrinal important consacre la
possibilité, pour l’UE, de répondre à des actes cyber illicites au regard du
droit international, tout en rappelant l’attachement de l’Union au règlement
pacifique des différends internationaux et à la recherche de la paix, de la
sécurité et de la stabilité stratégique du cyberespace.
En septembre 2017, la Commission européenne publiait également un
« plan d’action pour une réaction coordonnée aux incidents et crises
transfrontalières de cybersécurité majeurs50 ». Ce « Blueprint » (pour les
intimes) établit un cadre européen de gestion de crises majeures
d’origine cyber qui s’appuie sur trois niveaux : un niveau « politique », qui
pourra notamment utiliser la boîte à outils cyberdiplomatique évoquée
précédemment ; un niveau « opérationnel », équivalent au niveau
« stratégique » français ; et un niveau « technique », matérialisé par le
réseau des CSIRT présenté supra.
Le dernier exemple de politique publique européenne que nous
présentons ici ne relève pas stricto sensu de la sphère de la SSI mais
présente de facto de nombreuses adhérences avec les questions de
cybersécurité. Le règlement général sur la protection des données
(RGPD), entré en application en mai 2018, porte ainsi sur la protection des
données à caractère personnel des résidents de l’Union européenne. Il
s’applique à toutes les entités, publiques ou privées, établies dans l’Union
ou touchant des personnes qui y résident. Parmi les principales mesures du
règlement, peuvent être citées :
• l’obligation d’obtenir un consentement écrit, clair et explicite avant tout
traitement de données à caractère personnel ;
• l’affirmation de plusieurs droits des utilisateurs concernés (p. ex. oubli,

portabilité des données, information en cas de piratage) ;


• la mise en place de sanctions significatives en cas de non-conformité,
pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre
d’affaires mondial total de l’exercice fiscal précédent.
Si elle n’est pas le seul angle à prendre en compte, la sécurité numérique
des données à caractère personnel constitue l’un des piliers majeurs de leur
bonne protection.

c. L’Organisation du traité de l’Atlantique Nord (OTAN)

i. Rappels sur l’OI


Ce que l’on appelle « l’OTAN » désigne en fait une organisation
internationale qui présente la particularité d’être articulée en deux
niveaux, régulièrement confondus dans le langage courant :
• un système politique d’alliance, nommé « Alliance atlantique » ;
• et une organisation militaire qui est, à proprement parler,
« l’Organisation du traité de l’Atlantique Nord » ou « OTAN ».
Dans le reste du chapitre, quand cela ne sera pas source d’ambiguïté,
nous nous autoriserons le recours à l’abus de langage commun qui consiste
à utiliser le mot « OTAN » pour désigner à la fois l’alliance politique et
l’organisation militaire.
L’Alliance est fondée en 1949 par le traité de l’Atlantique Nord (TAN,
ou « traité de Washington »), qui établit le Conseil de l’Atlantique Nord
(CAN). C’est dans un contexte géopolitique de sortie de la Seconde Guerre
mondiale et de début de la guerre froide que se conçoit cette alliance
politique. Contrairement à d’autres OI dont le champ d’action s’étend sur
différents domaines, l’OTAN se concentre sur un seul d’entre eux, la
défense commune des nations alliées, et vise notamment à créer une
cohésion transatlantique pour engager le partenaire étatsunien dans la
protection du continent européen. Dans les faits, depuis la fin de la guerre
froide, l’OTAN s’investit principalement dans des opérations de gestion de
crises ou des interventions militaires sous mandat de l’ONU.
Force est de constater que l’organisation de l’Alliance, qui est composée
à la fois d’instances civiles et d’instances militaires, est loin d’être
parfaitement triviale, et mériterait à elle seule un chapitre dédié. En
renvoyant à une littérature plus spécialisée51 les lecteurs intéressés par les
détails, nous mentionnerons de façon synthétique :
• le CAN, qui constitue la plus haute autorité civile de l’Alliance et
rassemble des représentants de chacune des nations alliées. En fonction
du format dans lequel il se réunit, ceux-ci peuvent notamment être des
représentants permanents ayant un rang d’ambassadeur, des ministres
en charge des questions de défense ou encore des ministres chargés des
affaires étrangères ;
• le Comité militaire (CM), qui constitue la plus haute autorité militaire
de l’Alliance et rassemble des officiers militaires de haut rang
représentant les nations allant, dans sa formation la plus élevée, jusqu’à
l’équivalent des chefs d’état-major des armées alliées. Il conseille les
autorités politiques, contribue à l’élaboration des politiques et concepts
stratégiques et donne des orientations aux deux commandements
militaires stratégiques. Il s’appuie sur un organe exécutif : l’État-major
militaire international (EMI) ;
• le Secrétaire général (SG), plus haute autorité de l’organisation
permanente de l’Alliance. Il préside le CAN, représente l’OTAN et est
responsable de l’animation de ses travaux (i.e. consultation, décision,
exécution, etc.). Il s’appuie, pour cette dernière mission, sur un
Secrétariat international, qu’il dirige ;
• deux commandements militaires stratégiques :
– le Commandement allié Opérations (« Allied Command for
Operations », ACO)52, en charge de la planification et de
l’exécution des opérations militaires de l’Alliance,
– le Commandement allié Transformation (« Allied Command
Transformation », ACT)53, en charge des questions doctrinales et de
transformation de l’Alliance ;
• de nombreux comités et des agences.
Par ailleurs, il est utile de noter que les chefs d’État et de gouvernement
des nations alliées se réunissent de façon régulière dans un format appelé
« sommet de l’OTAN ».
D’un point de vue doctrinal, nous mettons ici l’accent sur deux articles
particuliers du TAN, qui présenteront des adhérences fortes avec des
questionnements que nous détaillerons par la suite :
• l’article 1, qui consacre la vocation structurellement défensive de
l’Alliance, par lequel les nations alliées s’engagent à « régler par des
moyens pacifiques tous différends internationaux dans lesquels elles
pourraient être impliquées, de telle manière que la paix et la sécurité
internationales, ainsi que la justice ne soient pas mises en danger, et à
s’abstenir dans leurs relations internationales de recourir à la menace ou
à l’emploi de force de toute manière incompatible avec les buts des
Nations unis » ;
• et l’article 5, qui détaille une clause d’assistance mutuelle des nations
alliées en cas d’agression armée contre l’une d’elles, en convenant
« qu’une attaque armée contre l’une ou plusieurs d’entre elles […] sera
considérée comme une attaque dirigée contre toutes les parties, et en
conséquence […] que, si une telle attaque se produit, chacune d’elles,
dans l’exercice du droit de légitime défense, individuelle ou collective,
reconnu par l’article 51 de la Charte des Nations unies, assistera la
partie ou les parties ainsi attaquées en prenant aussitôt […] telle action
qu’elle jugera nécessaire, y compris l’emploi de la force armée ».

ii. Cybersécurité propre


Ce que l’on pourrait appeler la « cybersécurité propre » de l’OTAN se
distingue en fait en deux grands domaines : la sécurité numérique de
l’organisation elle-même (parfois appelée la « NATO Enterprise »), et la
cybersécurité des opérations militaires qu’elle est susceptible de mener.
S’agissant du premier domaine, la teinte militaire de l’OTAN se perçoit
largement dans les considérations relatives à sa cybersécurité propre. Ainsi,
dès la fin des années 1950, l’organisation commencera à s’intéresser aux
questions cryptographiques, allant jusqu’à lancer un concours interallié
visant à faire émerger une machine à chiffrer électronique permettant de
protéger les communications sensibles de l’Alliance et de remplacer les
machines à chiffrer électromécaniques. Pour l’anecdote, la France, avec la
machine Myosotis que nous avons déjà évoquée, sera l’une des quatre
nations candidates à ce concours. Avec la nécessité de protéger de
l’information (parfois fortement) classifiée – issue des nations alliées ou
classifiée dans son schéma propre de classification – l’OTAN a toujours
été l’une des OI les plus matures sur les questions relatives à sa propre
sécurité numérique.
S’agissant du second domaine, le caractère militaire de l’Alliance a
également d’autres implications notables en matière de SSI : des cas
d’usage très spécifiques. Au-delà des équipements informatiques
« traditionnels », une large partie des missions de l’OTAN prenant la forme
d’interventions militaires sur des théâtres d’opération, les produits sur
lesquels est susceptible de s’appuyer l’Alliance, régulièrement déployés au
cœur de systèmes d’armes, n’existent parfois pas dans le monde civil. Par
ailleurs, la vocation de l’OTAN étant de mener des opérations en coalition
rassemblant des capacités issues de plusieurs nations différentes, la question
de l’interopérabilité des équipements et des protocoles de
communication sécurisée utilisés est souvent centrale. Enfin, une partie de
ces équipements étant appelés à être projetés directement sur des théâtres
d’opération, ceux-ci sont souvent soumis à des contraintes externes
relativement fortes, s’agissant tant de leur résistance physique pure (i.e.
chocs, température, pression, etc.) que de leur robustesse vis-à-vis d’une
éventuelle perte derrière les lignes ennemies.
D’un point de vue organique, les questions de sécurité numérique font
l’objet d’une prise en compte à différents niveaux de l’organisation, selon
des angles variés. Sans chercher à détailler ici tous les méandres de la
nébuleuse otanienne, nous pouvons toutefois mentionner quelques entités et
enceintes intéressantes :
• au sein de l’organisation elle-même, tout un système de comités, de
« panels capacitaires54 » et « d’équipes capacitaires55 », en charge
notamment de gouverner la sécurité numérique de l’Alliance et de
produire le corpus de règles afférentes ;
• une équipe de cyberdéfense dédiée, de type « CERT », le NATO
Computer Incident Response Capability (NCIRC) ;
• une agence capacitaire dédiée aux questions informatiques, et
notamment à la sécurité numérique, la NATO Communications and
Information Agency (NCIA) ;
• des agences spécifiquement dédiées à l’évaluation des produits
cryptographiques (SECAN), et à la production et à la gestion des clés
cryptographiques (DACAN) ;
• un « centre d’excellence » dédié aux questions de cyberdéfense, le
NATO Cooperative Cyber Defence Centre of Excellence (CCD COE),
concentré essentiellement sur des questions de recherche et de
formation.

iii. Portée politique en matière de sécurité numérique


Pour étudier la portée politique en matière de cyberdéfense de l’OTAN,
un exemple historique permet d’ouvrir un certain nombre de questions
structurantes : celui de la vague massive de cyberattaques subie par
l’Estonie en 2007, suite à la décision des autorités de déplacer le monument
du « Soldat de Bronze », considéré par beaucoup d’Estoniens comme un
symbole de l’occupation soviétique pendant la Seconde Guerre mondiale.
Dans le cadre de leur réponse à cet évènement, les autorités estoniennes
ont décidé d’invoquer l’article 5 du TAN, mentionné plus haut, qui prévoit
que les alliés de l’OTAN assisteront la nation victime d’une agression
armée. Plusieurs problèmes doctrinaux se posèrent immédiatement :
• une attaque cyber peut-elle être considérée comme une « agression
armée » au sens de l’article 5 du TAN ?
• le cas échéant, ouvre-t-elle un droit à la « légitime défense » tel que le
prévoit l’article 51 de la CNU ?
• en se rappelant que la démarche d’attribution d’une cyberattaque est
complexe, s’appuie sur des capacités techniques rares et souveraines, et
implique un engagement significatif du niveau politique, comment
obtenir un consensus collectif « suffisant » quant aux entités et aux
personnes à qui attribuer l’attaque ?
• comment décider collectivement de la réponse concrète – pouvant
potentiellement aller jusqu’à l’usage de la force armée – à donner à
l’attaque (i.e. qui viser et avec quoi) ?
• dans le cas où une réponse de type « cyber » serait décidée, reposant
par nature sur des capacités rares et très souveraines, comment
l’actionner concrètement ?
• doit-il y avoir une capacité de réponse cyber propre à l’OTAN ?
Si très peu de ces questions ont trouvé des éléments de réponse dans le
temps chaud de la crise de 2007, elles ont néanmoins donné lieu à
d’importantes avancées doctrinales au fil des années. Nous en mentionnons
plusieurs ici, parmi les plus importantes :
• l’affaire de 2007 a accéléré la mise en place du CCD COE à Tallinn,
qui a rapidement pris l’initiative de lancer un groupe de travail pour
réfléchir à la question de l’applicabilité du droit des conflits armés
au cyberespace. Cette démarche a abouti à la publication, en 2013, de
la première version du « Manuel de Tallinn56 », et d’une seconde
version en 201757. Même s’il est non contraignant et ne saurait être
considéré comme l’expression d’un consensus de l’ensemble de la
communauté internationale, ce texte s’est imposé comme une référence
sur la question des aspects juridiques de la dimension cyber des conflits
militaires ;
• en juillet 2014, un pas doctrinal important a été franchi avec la
conclusion, en sortie du sommet de Newport, de l’applicabilité de
l’article 5 du TAN aux attaques cyber – sans toutefois plus de
précisions quant à des modalités concrètes de mise en œuvre ;
• en juillet 2016, lors du sommet de Varsovie, les Alliés ont :
– reconnu le cyberespace comme domaine d’opérations militaires à
part entière, comme la terre, la mer ou le ciel,
– signé le « Cyber Defence Pledge », dans lequel ils s’engagent à
renforcer leurs capacités nationales de cyberdéfense.

d. L’Organisation de coopération et de développement


économiques (OCDE)

i. Rappels sur l’OI


L’OCDE a succédé notamment à l’Organisation européenne de
coopération économique (OECE), créée après la Seconde Guerre mondiale
pour suivre la mise en œuvre du plan Marshall. Début 2020, elle compte 36
États membres, majoritairement issus de l’UE et de ce que l’on pourrait
appeler très improprement les « pays occidentaux du Nord ».
L’OCDE est particulièrement influente par le biais des études,
analyses, statistiques et recommandations qu’elle produit, sur les
questions de politiques publiques en matière de développement
économique. De fait, l’OCDE constitue un forum d’échange entre États,
où ceux-ci peuvent partager leurs expériences et consolider des visions
communes.
L’organisation de l’OCDE est moins complexe que celles de l’UE ou de
l’OTAN. Elle s’articule principalement autour :
• du Conseil de l’OCDE, organe décisionnel réunissant des représentants
politiques des États membres ayant rang d’ambassadeur pour décider
des grandes orientations à donner à l’organisation ;
• de comités, groupes d’experts et groupes de travail composés de
représentants des différents pays membres ;
• et d’un secrétariat, chargé de faire fonctionner l’organisation et
d’accompagner ses travaux. Dirigé par un secrétaire général, il est
composé de directions et de départements thématiques. Il compte
également plusieurs « organes particuliers » et « entités particulières »,
pour traiter de sujets spécifiques.

ii. Cybersécurité propre


Bien qu’elle fasse l’objet d’une prise de conscience croissante de la part
des autorités dirigeantes de l’organisation, la question de la cybersécurité
propre de l’OCDE montre moins de particularités que pour l’UE ou
l’OTAN. Nous nous contenterons donc ici de mentionner l’existence d’une
équipe dédiée à la question au sein du secrétariat.

iii. Portée politique en matière de sécurité numérique


L’OCDE porte depuis longtemps un intérêt particulier aux questions
numériques, prises sous l’angle de la croissance et du développement
économique. Sur la question plus spécifique de la sécurité numérique,
l’OCDE a publié plusieurs documents de type « guidelines » qui ont fait
référence, et notamment récemment :
• dès 1997, sur la cryptographie58 – promouvant son utilisation, dans un
contexte de développement du commerce électronique et de
libéralisation progressive des moyens de cryptologie par les
gouvernements ;
• en 2002, sur la sécurité des systèmes et réseaux d’information59 –
posant notamment neuf « principes » structurants (i.e. sensibilisation,
responsabilité, réaction, éthique, démocratie, évaluation des risques,
conception et mise en œuvre de la sécurité, gestion de la sécurité,
réévaluation) ;
• en 2015, sur la gestion du risque numérique60 – invitant à appréhender
le risque numérique « comme une problématique non pas technique,
mais économique » et à l’inscrire « dans le processus global de gestion
du risque et de prise de décision d’une organisation » ;
• en 2019, sur la sécurité numérique des activités critiques61 –
s’inscrivant en pleine cohérence avec des politiques publiques
françaises ou européennes comme la LPM 2014-2019 ou la directive
NIS.
L’OCDE a par ailleurs un groupe de travail dédié aux questions de
sécurité numérique : le « Working Party on Security in the Digital
Economy » (SDE).
En 2018, l’OCDE a lancé son « Global Forum on Digital Security for
Prosperity », un forum d’échange sur les questions de sécurité numérique
entre représentants de gouvernements, d’entreprises privées, du secteur
académique et de la société civile. La première édition du Global Forum
s’est tenue en décembre 2018 à Paris, permettant de donner des premières
suites à l’Appel de Paris lancé le mois précédent par le président de la
République française, sur lequel nous reviendrons plus loin dans ce
chapitre. Parmi les thèmes abordés lors de la première édition, nous
pouvons citer le renforcement de la sécurité des produits numériques,
l’amélioration des processus de gestion et de divulgation responsable des
vulnérabilités informatiques ou encore les capacités de réponse aux
incidents des acteurs privés.

III. Paix, sécurité et stabilité stratégique


du cyberespace
1. Régulation internationale du cyberespace :
de quoi parle-t-on ?
Comme nous l’avons vu au premier chapitre, la construction du
cyberespace tel que nous le connaissons aujourd’hui a été largement nourrie
par deux idéaux – les courants libéraux et libertaires – qui ont pu donner du
numérique l’image d’un espace qui est et restera vierge de toute forme
de régulation d’origine étatique.
Un peu plus de cinquante ans après la création d’Internet, le constat
d’une augmentation croissante de la menace cyber, consubstantielle à
l’essor de la numérisation de la société et de l’économie, ne fait pas débat.
Il y a fort à parier que sans régulation externe, l’ensemble du système
aura tendance à diverger. Plus qu’un lieu d’opportunités, le
cyberespace deviendrait ainsi un lieu de non-droit ou, pour reprendre
l’expression utilisée par Barack Obama en décembre 2014 alors qu’il
s’exprimait sur la cyberattaque qui avait frappé Sony Pictures
Entertainment quelques jours auparavant : « a sort of a Wild West ».
Comme il peut être lu dans la contribution des autorités françaises de
juin 2019 à des travaux onusiens62 que nous présenterons plus en détails ci-
après : « ce cyberespace ouvert, sûr, stable, accessible et pacifique,
porteur d’opportunités économiques, politiques et sociales promu par
la France au cours des trois dernières décennies est aujourd’hui
menacé par de nouvelles pratiques destructrices qui se développent ».
Nous proposions au chapitre précédent de définir une « politique
publique » comme « un ensemble d’actions coordonnées, réalisées par une
puissance publique, pour s’opposer à un cours naturel des choses non
socialement souhaitable ». Il est dès lors permis de s’interroger : à l’échelle
internationale, une telle action de la part des États est-elle souhaitable
pour enrayer et réduire le niveau de menace cyber qui pèse sur eux, sur
les sociétés, sur les économies et sur les citoyens ? Le cas échéant,
quelle(s) forme(s) doit prendre cette régulation ?
Par ailleurs, l’écosystème numérique a favorisé l’émergence d’acteurs
privés d’importance significative, tant par leur puissance financière que
par le caractère dit « systémique » des produits et services qu’ils délivrent.
Dès lors, si les relations internationales étaient à l’origine une affaire
d’États, force est de constater que cette donne est ici remise en cause et
qu’il est probable qu’une régulation pertinente du cyberespace ne
saurait être le fruit de travaux uniquement interétatiques.
La question centrale de cette section pourrait ainsi être reformulée : est-il
possible, en s’inspirant de l’esprit de la Charte des Nations unies,
« d’assurer la sécurité numérique de tous par tous » ? Peut-on
atteindre et maintenir un état de « cyberpaix » ? Comment assurer la
stabilité du système stratégique que constitue l’espace numérique ?
Nous étudierons dans cette section trois grandes séquences de travaux
internationaux de régulation ayant vocation à contribuer à ce dessein : la
« séquence onusienne », la convention de Budapest et l’arrangement de
Wassenaar. Nous terminerons ce chapitre par une brève présentation des
perspectives de travail sur le sujet, à l’heure de la finalisation de cet
ouvrage, début 2020.

2. La séquence onusienne : droit international et


cyberespace

a. Faut-il un « traité du cyberespace » ?

Une intuition très naturelle, dès lors que l’on cherche à réguler « quelque
chose » au niveau international, est de s’interroger sur l’opportunité
d’élaborer et de conclure un traité international. Le traité est en effet
une forme de production normative qui constitue – avec la coutume – l’une
des principales sources du droit international public. Il exprime un accord
conclu entre plusieurs parties ayant la qualité de sujets du droit international
(i.e. des États ou des OI). Ces parties, par la signature et la ratification d’un
traité, se voient créer des droits et des obligations.
L’élaboration d’un traité est toutefois soumise à une condition nécessaire
importante : une forme de consensus sur l’objet du traité. Un traité doit
en effet être le produit de ce consensus – l’inverse est plus compliqué.
C’est là que le bât blesse. Nous l’avons vu tout au long de ce chapitre et
du précédent : les concepts de la sécurité numérique ont des contours
flous, a fortiori d’une région du monde à l’autre. Nous avons notamment
déjà pu voir à quel point l’expression « information security » pouvait
donner lieu à des interprétations très différentes dans la culture
« occidentale » et dans l’approche sino-russe – la première se focalisant
sur des enjeux de sécurité « matérielle et logique » alors que la seconde y
inclut très largement les questions de contrôle des contenus.
La proposition de « Code de conduite international pour la sécurité de
l’information63 », faite à l’ONU en 2011 par la Chine, la Russie,
l’Ouzbékistan et le Tadjikistan, fournit une bonne illustration de ces
divergences de visions. L’extrait suivant en constitue notamment un
exemple très représentatif : « Tout État adhérant volontairement au Code
s’engage […] à coopérer dans la lutte contre les activités criminelles et
terroristes utilisant les technologies de l’information et de la
communication, y compris les réseaux, et à enrayer la diffusion
d’informations incitant au terrorisme, au sécessionnisme, à l’extrémisme ou
sapant la stabilité politique, économique et sociale des autres pays, de
même que leurs structures spirituelles et culturelles ».
Comme nous allons le voir, plutôt que de créer un nouveau texte
normatif contraignant, la piste qui a été explorée à l’ONU s’est
concentrée sur la question de l’applicabilité du droit international
existant au cyberespace.

b. Le traitement du sujet à l’ONU

L’ancrage du sujet de la régulation du cyberespace dans un cadre


intergouvernemental a été initié par les Russes, dès la fin des années 1990.
En 1998, c’est ainsi un projet de résolution porté par la Fédération de
Russie et intitulé « Les progrès de la téléinformatique dans le contexte
de la sécurité internationale64 » qui va lancer la machine onusienne, en
inscrivant pour la première fois ce point à l’ordre du jour de la session
ordinaire de l’AG des Nations unies. Si les préoccupations invoquées à
l’époque (i.e. « le fait que la technologie téléinformatique peut être utilisée
à des fins incompatibles avec le maintien de la stabilité et de la sécurité
internationales ») font déjà écho à des constats très contemporains, la façon
de traiter la question est plus floue. Cependant, le projet de résolution ouvre
déjà une piste importante : la question de « l’utilité d’élaborer des régimes
de droit international relatifs à la sécurité des systèmes télématiques ».
Par la suite, et ce jusqu’en 2016 inclus, la représentation russe
présentera tous les ans un projet de résolution visant à poursuivre cette
séquence de travail. Si le sujet ne semble au départ ne pas susciter
beaucoup d’intérêt, l’attention qui lui sera accordée n’ira que croissant au
fil du temps. Chaque année, l’articulation des travaux suit un schéma
similaire : commentaires des États sur les travaux précédents ; projet de
résolution porté par les Russes (qui, au fur et à mesure, sont parvenus à
réunir un large groupe d’États dans leur sillage) ; examen du projet et
rapport de la Première commission de l’AG ; étude du rapport de la
Première commission durant la session ordinaire de l’AG pour, le cas
échéant, parvenir à une résolution de l’Assemblée.
Cette séquence de travail s’appuie par ailleurs sur un « groupe d’experts
gouvernementaux » (« Group of Governmental Experts », GGE) dédié.
Celui-ci sera mis en place à plusieurs reprises pour instruire le sujet plus en
détails et rendre un rapport, transmis in fine à l’AG par le secrétaire général
des Nations unies. Dans les faits, le GGE est un groupe restreint d’une
quinzaine – un peu plus sur la fin de la séquence – d’États membres,
« désignés sur la base d’une répartition géographique équitable ». Chacun
d’entre eux se réunit sur une période s’étalant sur environ un an, en
tenant plusieurs sessions d’une semaine chacune. Entre 2004 et 2017, cinq
GGE seront ainsi formés. Les cinq membres permanents du Conseil de
sécurité – et donc la France – en sont membres de droit.

c. Les travaux du GGE

Très concrètement, les travaux du GGE vont très rapidement se


concentrer sur l’étude du droit international, et en particulier son
applicabilité au cyberespace, ainsi que sur la définition de « normes de
comportement responsable des États » et de « mesures visant à
instaurer la confiance ».
Tout au long des travaux, le groupe rencontrera de nombreux points
d’achoppement, tels que :
• l’interprétation de la notion de souveraineté ;
• la problématique centrale de l’attribution des cyberattaques ;
• la transposition dans le monde numérique de la notion de légitime
défense et des mesures associées, et plus largement du « jus ad
bellum », le droit « de faire la guerre » en recourant à la force armée ;
• la prise en compte du droit international humanitaire (DIH), le « jus
in bello » ou « droit dans la guerre », qui régit l’usage de la force une
fois que les hostilités ont commencé. Les principes de distinction et de
proportionnalité, fondamentaux dans le DIH, sont par exemple
particulièrement compliqués à respecter dans le monde numérique, où il
est difficile de distinguer les infrastructures utilisées par les belligérants
et de maîtriser avec précision les effets collatéraux des attaques.

i. 2004-2005 : un premier GGE non conclusif


Évoqué dès la résolution de l’AG de 200165, le premier GGE se réunira
trois fois, entre juillet 2004 et juillet 2005, mais « compte tenu de la
complexité des questions examinées, il n’a pas pu parvenir à un
consensus au sujet d’un rapport final66 ». Malgré la réticence des États-
Unis, qui voteront contre plusieurs années de suite, le groupe est reconduit
dans la foulée de la présentation de son « non-rapport » à la session
ordinaire de 2005.

ii. 2009-2010 : un deuxième GGE et un premier rapport


Un nouveau GGE tiendra quatre sessions entre novembre 2009 et
juillet 2010 et aboutira à un premier rapport67, étudié à la session
ordinaire de l’AG fin 2010. Ce texte relativement court – à peine plus de
trois pages – s’attachera :
• à présenter une perception consolidée de l’état des « menaces, risques
et vulnérabilités » ;
• à mettre en avant le besoin de coopération internationale autour du
sujet – s’agissant notamment du renforcement des capacités des pays en
développement ;
• et à proposer quelques (cinq) recommandations pour la suite, ouvrant
notamment la voie à la définition, par un GGE ultérieur, de « normes
de comportement » et de « mesures de confiance ».

iii. 2012-2013 : un troisième GGE à l’origine d’une avancée majeure


Un troisième GGE, se réunissant trois fois entre août 2012 et juin 2013,
sera en mesure de produire un rapport68, s’inscrivant dans la continuité des
recommandations du précédent, et aboutira notamment à une conclusion
majeure : « le droit international et, en particulier, la Charte des
Nations unies sont applicables et essentiels au maintien de la paix et de
la stabilité ainsi qu’à la promotion d’un environnement informatique
ouvert, sûr, pacifique et accessible ». Cette considération, qui peut
sembler anodine, est très structurante : elle donne notamment un cadre
juridique aux réponses que les États peuvent donner à des
cyberattaques majeures qui les frapperaient.
Un travail significatif reste néanmoins à accomplir pour analyser et
documenter les implications de cette conclusion. Ce fut par exemple l’objet
de l’étude « Cyberattaques – Prévention-réactions : rôle des États et des
acteurs privés », publiée par Karine Bannelier et Théodore Christakis69
dans le cadre de la conférence « Construire la paix et la sécurité
internationales de la société numérique », organisée à Paris en avril 2017.
En partant du principe que le droit international public s’applique au
comportement des États dans le cyberespace, les auteurs proposent une
lecture juridique des actions que ces derniers peuvent mener pour répondre
à une cyberattaque. Ainsi, schématiquement :
• en cas de cyberattaque n’engendrant pas de violation du DIP par un
autre État, les États peuvent mobiliser :
– des « mécanismes de coopération internationale et de règlement
pacifique des différends » – en bilatéral ou en recourant à des
instances multilatérales compétentes,
– des « mesures de rétorsion », inamicales mais licites, relevant par
exemple des domaines diplomatique ou économique,
– des « mécanismes exceptionnels d’autoprotection », qui sont des
mesures illicites utilisées pour répondre aux situations
exceptionnelles de « force majeure », de « détresse » ou « d’état de
nécessité » ;
• pour répondre à une cyberattaque constituant une violation du DIP par
un autre État (donc attribuée formellement, même sans preuves), les
États peuvent recourir :
– à des « contre-mesures pacifiques », qui contreviennent au droit
international tout en restant en dessous du seuil de l’utilisation de la
force armée et en respectant un certain nombre de principes
(proportionnalité, sommation, notification, etc.),
– ou, dans le cas extrême où l’attaque serait qualifiée « d’agression
armée », à la « légitime défense » par la force.
En tout état de cause, si ces considérations donnent un cadre juridique, le
choix des modalités concrètes de réponse à une attaque reste une
décision souveraine, soumise à l’appréciation des autorités politiques, qui
doivent rester libres d’apprécier, de décider et d’agir.

iv. 2014-2015 : le quatrième GGE, à l’origine d’un socle


d’engagements volontaires de bonne conduite
Le GGE suivant, réuni quatre fois entre juillet 2014 et juin 2015,
prolongera encore les réflexions de ses prédécesseurs. En effet, si la
conclusion du troisième GGE quant à l’applicabilité du droit international
est essentielle, elle ne se « transpose » pas immédiatement en des règles
juridiquement contraignantes. C’est ce qui conduit le groupe de 2014 à
approfondir, dans son rapport rendu en juillet 201570, la question d’un socle
d’engagements volontaires de bonne conduite par les États, reposant
d’une part sur des « normes, règles, et principes de comportement
responsable des États » et d’autre part sur des « mesures de confiance ».
Parmi les onze premières normes de comportement responsable
proposées par le groupe, susceptibles d’être complétées ultérieurement,
nous citons ici plusieurs exemples notables :
• (f. et k.) les États s’engagent à ne pas attaquer les infrastructures
critiques d’autres États en temps de paix71 ;
• (g.) les États s’engagent à prendre les mesures nécessaires –

capacitaires et réglementaires – pour protéger leurs infrastructures


critiques des risques cyber. En France, cette norme fait largement
écho aux mesures prévues par l’article 22 de la LPM 2014-2019 et aux
dispositions de la directive NIS, encore en cours de négociation lors de
la publication de ce rapport ;
• (i.) les États s’engagent à prendre des mesures pour garantir l’intégrité
de la supply chain et pour prévenir la prolifération des techniques et
outils malveillants ;
• (j.) les États s’engagent à encourager le signalement responsable des
vulnérabilités informatiques.
Parmi les normes proposées par le GGE, plusieurs s’appuient sur un
principe qui mérite que l’on y prête ici une attention particulière : le
principe dit de « diligence requise » (ou « due diligence »). Celui-ci peut
être résumé de façon prosaïque par l’expression : « qui n’empêche pêche ».
Plus concrètement, il consacre le fait qu’un État ne peut sciemment
laisser son territoire être utilisé à des fins contraires aux droits d’autres
États. Il découle d’un célèbre arrêt rendu par la Cour internationale de
Justice le 9 avril 1949, dans l’affaire dite « du détroit de Corfou72 ». Celle-
ci fait suite à une plainte déposée par le Royaume-Uni contre l’Albanie
concernant une série d’incidents survenus en 1946 dans le détroit. En
particulier, une quarantaine de marins britanniques trouveront la mort après
que leurs navires eurent sauté sur des mines positionnées dans les eaux
territoriales albanaises. Le reproche fait à l’Albanie, qui sera l’objet de la
jurisprudence qui nous intéresse ici, est d’avoir laissé les navires
britanniques naviguer dans ces eaux alors qu’elle avait connaissance de la
présence de mines, et d’avoir ainsi laissé son territoire (en l’occurrence ses
eaux territoriales) être utilisé à des fins contraires aux droits du Royaume-
Uni.
En matière de cybersécurité, le principe de due diligence présente un
intérêt remarquable : il permet de contourner le problème de l’incertitude
qui flotte autour de l’attribution des cyberattaques, en réintroduisant
une certaine forme de territorialité pour se raccrocher à un droit interne, et
en établissant ainsi une « chaîne de responsabilité ». Pour résumer :
lorsqu’un État A est victime d’une cyberattaque visant ses infrastructures
critiques, des considérations techniques lui permettent déterminer que celle-
ci provient d’infrastructures localisées sur le territoire d’un État B, mais il
lui reste très difficile de déterminer avec certitude que c’est l’État B qui a
commandité l’attaque. Le principe de due diligence invite alors l’État A,
sans chercher à attribuer l’attaque, à contacter l’État B pour lui demander de
prendre les mesures nécessaires permettant de faire cesser ladite attaque. On
notera au passage que l’État B n’a ici qu’une obligation de moyens.
Cette approche, si elle présente l’intérêt significatif de contourner la
problématique de l’attribution, suscite toutefois des interrogations de la part
d’un certain nombre États quant à sa mise en œuvre concrète : pour les
pays dont les dispositifs de cyberdéfense sont peu développés, il n’est
évidemment pas simple de faire cesser une attaque pour répondre à de telles
demandes ; pour des pays au fort taux de pénétration du numérique comme
les États-Unis ou la Chine, par lesquels transitent de fait une grande partie
des communications mondiales, cette obligation pourrait vite devenir
accaparante.
En plus des normes de comportement responsable, le rapport du GGE
présente une dizaine de « mesures de confiance », afin « d’accroître la
coopération et de réduire le risque de conflit ». Parmi ces mesures, l’on
trouve :
• le recensement de « points de contact appropriés aux niveaux
décisionnel et technique pour parer aux graves incidents
informatiques » et maîtriser une éventuelle escalade en cas de crise ;
• la conception de « mécanismes et procédures de concertation
bilatérale, régionale, sous-régionale et multilatérale » ;
• des mesures visant à favoriser « la transparence à l’échelle bilatérale,
sous-régionale, régionale et multilatérale », par exemple via la
présentation de stratégies, de doctrines, de terminologies,
d’organisations et de réglementations nationales, ou plus largement
d’informations techniques et de bonnes pratiques.
Ces mesures de confiance auront vocation à être déclinées au niveau
régional, avec l’aide d’acteurs comme l’Organisation pour la sécurité et la
coopération en Europe (OSCE) pour la zone occidentale.

v. 2016-2017 : un coup d’arrêt aux négociations


La cinquième itération du GGE mettra malheureusement un terme à la
bonne lancée sur laquelle se trouvait le groupe. Après avoir atteint un
consensus sur le principe de l’applicabilité du droit international au
cyberespace, le GGE ne réussira en effet pas à s’accorder sur des modalités
concrètes de son application – des divergences se faisant notamment jour
autour de l’article 51 de la CNU (i.e. le droit à la légitime défense) et du
DIH. Le groupe ne parvenant pas à produire un rapport consensuel, la
longue séquence de travail onusienne connaîtra ici un premier grand
coup d’arrêt. Toutefois, nous verrons plus loin que les travaux ont été
relancés en 2018, sous diverses formes.

3. La convention de Budapest : coopération


internationale et cybercriminalité

La cybercriminalité peut être définie comme l’ensemble des


infractions pénales liées aux technologies numériques, ainsi que celles
dont la commission est facilitée ou liée à l’utilisation de ces
technologies.
La convention sur la cybercriminalité, aussi connue sous le nom de
« convention de Budapest73 », a été adoptée en 2001 à l’initiative du
Conseil de l’Europe74. Ratifiée par plus de 60 pays, dont la France75, la
convention de Budapest est le premier traité international – et seul outil
contraignant – portant sur la question de la cybercriminalité. Comme
énoncé dans son préambule, son principal objectif est de permettre à ses
membres de mener « une politique pénale commune destinée à protéger la
société de la criminalité dans le cyberespace, notamment par l’adoption
d’une législation appropriée et par l’amélioration de la coopération
internationale ».
Elle concerne l’ensemble des crimes informatiques ou utilisant l’outil
informatique, y compris la pédopornographie, l’atteinte aux droits
d’auteurs et les discours haineux. Elle est notamment complétée par le
protocole relatif à l’incrimination d’actes de nature raciste et xénophobe
commis par le biais de systèmes informatiques.
Contenant un ensemble de dispositions de droit pénal et de procédure
pénale, la convention sert de guide à l’élaboration d’une législation
nationale en matière de cybercriminalité, et offre une base juridique pour
établir les différentes infractions concernées.
Elle propose également un cadre pour la coopération internationale
contre la cybercriminalité, notamment via l’harmonisation de certaines
lois nationales, l’amélioration des techniques d’enquête et l’augmentation
de la coopération opérationnelle entre les parties – grâce par exemple à la
mise en place d’un réseau disponible en permanence pour accélérer les
procédures d’assistance entre les parties.

4. L’arrangement de Wassenaar : contrôle des


exportations et sécurité numérique

L’arrangement de Wassenaar sur le contrôle des exportations d’armes


conventionnelles et de biens et technologies à double usage, dit
« arrangement de Wassenaar », est un cadre international permettant à
ses parties prenantes (plus d’une quarantaine d’États) de coordonner
leurs politiques nationales en matière de contrôle des exportations
d’armes et de biens à double usage (BDU). Il a ainsi vocation à contribuer
à la sécurité et à la stabilité régionales, notamment en prévenant les
« accumulations déstabilisantes d’armements » et en particulier leur
acquisition par des terroristes.
Pour cela, les États participant à l’arrangement se coordonnent en
maintenant une liste de biens contrôlés76 (i.e. BDU et matériels de guerre)
et en échangeant informations et bonnes pratiques.
Initialement, le périmètre couvert par l’arrangement en matière d’outils et
de technologies de cybersécurité correspond à l’usage historique en France,
déjà évoqué dans le chapitre précédent : les moyens de cryptologie.
En 2012, dans la perspective de renforcer la lutte contre la prolifération
d’outils cyber malveillants, la France et le Royaume-Uni ont soutenu
l’inscription de plusieurs outils et techniques couramment utilisés pour
mener des cyberattaques sur la liste des BDU devant faire l’objet d’un
contrôle à l’exportation. C’est ainsi qu’ont été créées, en 2013, deux
nouvelles entrées dans la liste des BDU : « intrusion software77 » et « IP
network communications surveillance systems78 ».
Dans la pratique, le contrôle des outils et techniques utilisés pour
mener des cyberattaques est particulièrement compliqué. Il est, d’une
part, difficile de faire rentrer dans le périmètre du contrôle des éléments
intangibles et pourtant critiques comme les vulnérabilités 0-day ou les
charges utiles des maliciels. D’autre part, de nombreux outils utilisés
couramment à des fins de recherche et de sécurité tombent mécaniquement,
du fait de leur caractère profondément dual, dans le giron du contrôle.
Ces considérations ont engendré de nombreuses discussions dans
l’enceinte de Wassenaar, amenant à différentes révisions au fil des années
pour adapter les contrôles à la réalité des usages et inscrire certains outils
sur la liste, en fonction de la gravité des effets qu’ils sont susceptibles de
permettre. Nous retenons en particulier :
• fin 2017, l’ajout d’un certain nombre d’exceptions, pour faciliter la
recherche, la réponse aux incidents ou encore le partage de
vulnérabilités informatiques dans une finalité de les corriger ;
• en 2019, l’ajout des outils d’investigations numériques à la liste des
BDU79, et des outils logiciels utilisés pour mener des opérations cyber
offensives dans un cadre militaire à la liste des matériels de guerre80.

5. Perspectives actuelles et futures

Si au début des années 2000, la question de la stabilité du cyberespace


restait confinée à des cénacles relativement confidentiels, force est de
constater que beaucoup de chemin a été parcouru durant les deux décennies
qui se sont écoulées depuis. Début 2020, les perspectives de travail sur ce
thème sont denses. Nous proposons, pour terminer ce chapitre, un rapide
tour d’horizon des acteurs, sujets et enceintes concernés.

a. Acteurs : au-delà des États, une implication croissante


du secteur privé

Bien que la régulation internationale soit historiquement perçue comme


un sujet d’États et d’organisations internationales, en leur qualité de sujets
du droit international, le numérique a largement bousculé cet état de fait.
Au sein du secteur privé, certains acteurs sont devenus
incontournables. Parfois plus « riches » que certains États, les services que
certaines plates-formes proposent sont susceptibles d’influer
significativement sur les processus démocratiques des nations les plus
puissantes du monde. De ce nouveau domaine d’affrontement qu’est le
cyberespace, les produits qu’ils conçoivent, construisent et vendent peuvent
constituer tantôt les éléments d’architecture les plus fondamentaux, tantôt
les « armes » utilisées pour le déstabiliser. Les logiciels et produits
commercialisés par certains d’entre eux sont massivement utilisés sur
l’ensemble de la planète, si bien que l’on qualifie leur portée de
« systémique ». Ils s’accaparent parfois, ou certains voudraient leur donner,
des fonctions traditionnellement réservées aux États : battre monnaie (cf. les
monnaies électroniques), user de la « violence légitime » (cf. le sujet du
« hack back »), désigner l’adversaire (cf. l’attribution de cyberattaques par
des entreprises privées de cyber threat intelligence).
Pour toutes ces raisons, les prochaines étapes de la régulation
internationale du cyberespace impliqueront nécessairement le secteur
privé, et plus largement la société civile, le monde académique et la
communauté technique de la cybersécurité.

b. Sujets : continuer à construire le cadre juridique et à


renforcer la coopération internationale

Les travaux des vingt dernières années, notamment au sein de l’ONU, ont
commencé à défricher la voie de ceux qui devront être menés durant les dix
ou vingt prochaines.
L’un des grands domaines de réflexions à approfondir est probablement
celui des outils juridiques contribuant à la recherche et à la
préservation de la paix et de la sécurité au niveau international. Le
GGE a conclu que le droit international public s’applique au cyberespace,
mais il reste probablement à faire, en étudiant notamment les modalités
concrètes de l’application de ce droit et de ses différents composants et
principes (p. ex. le droit international humanitaire ou le principe de due
diligence) à l’espace numérique.
Un second grand pan de travail réside probablement dans le
renforcement de la coopération entre les États. Les normes de
comportement responsable et les mesures de création et de renforcement de
la confiance doivent probablement encore être approfondies, éprouvées,
améliorées… et appliquées ! Dans le giron de la coopération entre États, le
renforcement de la sécurité numérique de chacun d’eux, d’un point de vue
capacitaire et réglementaire, est sans doute un angle que la communauté
internationale cherchera à investir davantage, s’agissant notamment des
pays les moins équipés.

c. Des enceintes multilatérales variées

La question du « et après ? » était sur toutes les lèvres en 2017, au


moment où toutes et tous constataient avec déception l’arrêt des
négociations dans le cycle des GGE. Il s’agissait alors de trouver comment
relancer la machine de la régulation internationale du cyberespace,
s’agissant tant des sujets que des enceintes permettant de les traiter au
mieux.
Début 2020, en plus des nombreux échanges bilatéraux, formels ou
informels, sur le sujet, plusieurs cénacles semblent s’être emparés de ces
questions, avec un fil rouge : l’approfondissement, l’opérationnalisation
et la mise en œuvre des concepts qui ont émergé au gré des travaux
précédents.
À l’ONU, près de vingt ans après le lancement de la séquence de travail
sur la question des « progrès de la téléinformatique dans le contexte de la
sécurité internationale », l’année 2017 a vu pour la première fois un ordre
du jour de la session ordinaire de l’AG sans la mention de ce point. L’année
suivante, ce sont deux projets de résolution qui furent mis sur la table :
l’un par la représentation russe, l’autre par la représentation étatsunienne.
La proposition russe81, intitulée « progrès de l’informatique et des
télécommunications et sécurité internationale », plaide pour une relance
des travaux dans un format élargi : un « groupe de travail à composition
non limitée » (ou « open-ended working group », OEWG). La proposition
américaine82, intitulée « favoriser le comportement responsable des États
dans le cyberespace dans le contexte de la sécurité internationale », invite à
relancer des travaux dans un format identique à celui des précédents
GGE. Les deux propositions ayant été validées par l’AG, ce sont donc
désormais deux différentes voies de négociation qui s’ouvrent à l’ONU :
le format OEWG proposé par les Russes et le format GGE soutenu par
les Américains.
De façon plus large, l’année 2018 a également été marquée par « l’Appel
de Paris pour la confiance et la sécurité dans le cyberespace83 », lancé
par le président Macron en novembre pendant le Forum sur la gouvernance
de l’Internet. Déclaration de haut niveau en faveur de l’élaboration de
principes communs de sécurisation du cyberespace, l’Appel de Paris
s’inscrit dans la continuité des travaux onusiens, en cherchant à s’ouvrir à
des communautés non étatiques. Outre des États, la liste des « soutiens » de
cet initiative – tenue à jour et publiée par le ministère de l’Europe et des
Affaires étrangères sur son site web – comporte ainsi des acteurs du secteur
privé, des organisations internationales et plus largement des représentants
de la société civile. Témoignant du rôle actif que veut jouer la France dans
la promotion « d’un cyberespace sûr, stable et ouvert », ce texte vise à
rappeler et à promouvoir quelques principes fondamentaux de la
régulation du cyberespace, tels que l’applicabilité du droit international
à cet espace, la nécessité d’un comportement responsable des États, le
monopole étatique de la violence légitime ou la reconnaissance de
responsabilités spécifiques des acteurs privés. Les soutiens de l’Appel de
Paris s’engagent ainsi, notamment, à protéger l’accessibilité et l’intégrité
d’Internet, à coopérer afin de prévenir les interférences aux processus
électoraux, à prévenir la prolifération des programmes et techniques cyber
malveillants, à accroître la sécurité des produits et services numériques ainsi
que la « cyber-hygiène » de tous, à prendre des mesures contre le cyber-
mercenariat et les actions offensives des acteurs non étatiques, ou encore à
travailler ensemble pour renforcer les normes internationales pertinentes.
L’Appel de Paris a immédiatement trouvé une caisse de résonance
internationale à l’OCDE, avec la tenue, à peine un mois après le discours
du président de la République française, du premier « Global Forum on
Digital Security for Prosperity ». Cette première édition du forum a réuni
des intervenants du secteur public, du secteur privé, de la société civile et de
la communauté technique autour de différentes tables rondes portant
notamment sur la gouvernance du risque au sein des organisations, sur la
confiance entre les différents maillons de la chaîne de sécurité, sur
l’encadrement de la « cyberdéfense active » opérée par les acteurs privés
(i.e. le « hack back »), sur l’intégration de la sécurité dès la conception des
produits (« security by design »), sur la sécurité tout au long du cycle de vie
des produits ou encore sur la divulgation proactive et coordonnée des
vulnérabilités informatiques.
Pour clore ce chapitre en mentionnant ici quelques autres enceintes
intéressantes, nous évoquons :
• le giron de la convention de Budapest, que le cours de l’Histoire invite
désormais à « universaliser » ;
• les travaux à Wassenaar, où les réflexions autour de la liste de travail
commune sont amenées à se poursuivre, pour s’adapter du mieux
possible à la réalité de la complexité et de l’intangibilité de la « chose
cyber » ;
• l’OSCE, et les autres OI régionales, toujours à l’œuvre pour promouvoir
la mise en œuvre des mesures de confiance définies dans le processus
onusien ;
• le G7, où le groupe Ise-Shima, dédié aux questions cyber, a notamment
permis d’aboutir à la déclaration dite « de Lucca » concernant les
normes de comportement responsable ;
• et le G20, où pourraient être abordées les questions de la concurrence
dans l’économie numérique, des nouveaux modes de régulation ou
encore de la gouvernance de la sécurité numérique.

1. WannaCry et NotPetya.
2. Pour les lecteurs intéressés par les dispositifs et stratégies de cybersécurité des pays européens, le
site web de l’agence européenne pour la cybersécurité, l’ENISA, constitue probablement un point
de départ pertinent.
3. Cf. note page 162.
4. États-Unis d’Amérique, The White House, « National Security Decision Directive 145 (NSDD-
145): National Policy on Telecommunications and Automated Information Systems Security »,
17 septembre 1984.
5. États-Unis d’Amérique, « Computer Security Act », H.R. 145, 8 janvier 1988.
6. États-Unis d’Amérique, President’s Commission on Critical Infrastructure Protection, « Critical
Foundations – Protecting America’s Infrastructures », 13 octobre 1997.
7. Acronyme désignant le président des États-Unis : « President of the United States ».
8. Sur ce sujet, voir par exemple MICHAUD Q., L’affaire Edward Snowden, Economica, coll.
« Cyberstratégie », 2014.
9. Du nom de l’équipe « Tailored Access Operations » de la NSA, en charge des opérations cyber
offensives.
10. États-Unis d’Amérique, The White House, « National Cyber Strategy of the United States of
America », septembre 2018.
11. États-Unis d’Amérique, DHS, « Binding Operational Directive BOD-17-01: Removal of
Kaspersky-branded Products », 13 septembre 2017.
12. Dans les faits, les « national security systems » (NSS) correspondent aux réseaux fédéraux
classifiés.
13. Malgré l’annonce faite par Barack Obama début 2014 de séparer les deux fonctions, celles-ci sont
toujours, début 2020, confiées à la même personne.
14. Sur ce sujet, voir la « doctrine Guérassimov », du nom du chef de l’état-major général des forces
armées russes – rôle équivalent à celui du CEMA français.
15. En 2020 et avec neuf lauréats, la Russie (entendue au sens large comme la Fédération de Russie
actuelle et l’URSS) occupe la troisième place au classement des pays comptant le plus de titulaires
de la médaille Fields – l’une des plus prestigieuses récompenses dans le domaine des
mathématiques. Les première et deuxième places sont occupées respectivement par les États-Unis
(treize lauréats) et la France (douze lauréats).
16. LIMONIER K., Ru.net – Géopolitique du cyberespace russophone, L’inventaire, coll. « Les Carnets
de l’Observatoire », 2018.
17. Le président Poutine a par exemple lui-même été directeur du FSB.
18. SUN T., L’art de la guerre, Flammarion, 2008.
19. QIAO L., WANG X., La guerre hors limites, Rivages poche, 2006.
20. Baidu, Alibaba, Tencent, Xiaomi.
21. De nombreux sujets et sites web susceptibles, selon Pékin, d’aller à l’encontre de « l’ordre
social » sont inaccessibles aux internautes chinois, par exemple les contenus relatifs à Taïwan, aux
évènements de la place Tiananmen, au Dalaï-Lama ou au Tibet ; ou encore des sites web comme
Google, Wikipedia, Twitter, YouTube ou Facebook.
22. Aussi appelée « Politburo », cette entité, composée d’une vingtaine de membres, occupant tous
par ailleurs des fonctions importantes au sein de différentes institutions, est au cœur de la direction
du PCC, en proposant des orientations politiques et des nominations pour des postes-clés. Ses sept
membres les plus importants forment le Comité permanent du Politburo. Le Politburo est élu par le
Comité central du PCC.
23. Le Conseil des affaires de l’État est une autorité administrative chinoise correspondant au
gouvernement central du pays.
24. Cet élément précis des « doubles standards » fait probablement à une position régulièrement
exprimée par les Chinois et les Russes vis-à-vis du droit international, qui ferait l’objet, selon eux,
d’une interprétation ambiguë par la communauté occidentale – États-Unis en tête.
25. HUYGHE F.-B., KEMPF O., MAZZUCCHI N., Gagner les cyberconflits, Economica, coll.
« Cyberstratégie », 2015.
26. VENTRE D., Cyberattaque et cyberdéfense, Hermes Science Publications, coll. « Cyberconflits et
cybercriminalité », 2011.
27. Voir l’article 1 de la Charte des Nations unies.
28. Charte des Nations unies, San Francisco, 26 juin 1945.
29. Voir l’article 7 de la Charte des Nations unies.
30. Dont cinq permanents (i.e. Chine, États-Unis, France, Royaume-Uni, Russie), qui disposent d’un
droit de veto, et dix élus pour des mandats de deux ans.
31. En 1998, c’est le point 63 portant sur « les progrès de la téléinformatique dans le contexte de la
sécurité internationale ». Voir Assemblée générale des Nations unies, 53e session, 79e séance
plénière, A/53/PV.79, 4 décembre 1998.
32. Union européenne, version consolidée du traité sur le fonctionnement de l’Union européenne,
J.O.U.E., C 326, 26 octobre 2012, p. 47-390.
33. Les règlements sont applicables directement sur l’ensemble du territoire de l’Union. Les
directives, quant à elles, imposent des résultats à atteindre mais laissent aux autorités nationales la
compétence de la transposition en droit interne.
34. Cf. article 2 alinéa 1 du TFUE.
35. Cf. article 3 du TFUE.
36. Cf. article 2 alinéa 2 du TFUE.
37. Cf. article 4 du TFUE.
38. Cf. article 2 alinéa 5 du TFUE.
39. Cf. article 6 du TFUE.
40. Conseil de l’UE, décision 2013/488/UE du Conseil du 23 septembre 2013 concernant les règles
de sécurité aux fins de la protection des informations classifiées de l’Union européenne, J.O.U.E.,
L 274, 15 octobre 2013, p. 1-50, article 2, alinéa 1.
41. Ibid., quatrième considérant.
42. Conseil de l’UE, Parlement européen, directive (UE) 2016/1148 du Parlement européen et du
Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de
sécurité des réseaux et des systèmes d’information dans l’Union, J.O.U.E., L 194, 19 juillet 2016,
p. 1-30.
43. En France, c’est l’ANSSI qui a été désignée pour jouer ce rôle.
44. Au moment de l’adoption de la directive, la Stratégie nationale pour la sécurité du numérique
française avait été publiée moins d’un an auparavant, en 2015.
45. En France, le CERT-FR remplit cette fonction.
46. NIS Cooperation Group, « Reference document on security measures for Operators of Essential
Services », CG Publication 01/2018, février 2018.
47. Conseil de l’UE, Parlement européen, règlement (UE) 2019/881 du Parlement européen et du
Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité)
et à la certification de cybersécurité des technologies de l’information et des communications, et
abrogeant le règlement (UE) n° 526/2013, J.O.U.E., L 151, 7 juin 2019, p. 15-69.
48. Conseil de l’UE, Parlement européen, règlement (UE) n ° 910/2014 du Parlement européen et du
Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les
transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE,
J.O.U.E., L 257, 28 août 2014, p. 73-114.
49. Conseil de l’UE, « Projet de conclusions du Conseil relatives à un cadre pour une réponse
diplomatique conjointe de l’UE face aux actes de cybermalveillance (“boîte à outils
cyberdiplomatique”) – Adoption », 9916/17, 7 juin 2017.
50. Commission européenne, recommandation (UE) 2017/1584 de la Commission du 13 septembre
2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs, J.O.U.E., L 239,
19 septembre 2017, p. 36-58.
51. Voir par exemple KEMPF O., L’OTAN au XXIe siècle – La transformation d’un héritage, Éditions
du Rocher, 2014.
52. ACO est dirigé par le Commandant suprême des Forces alliées en Europe (SACEUR) et dispose
d’un état-major, le Grand Quartier général des puissances alliées en Europe (SHAPE).
53. ACT est dirigé par le Commandant suprême allié Transformation (SACT).
54. Les Capability Panels (CaP).
55. Les Capability Teams (CaT).
56. CCD COE, « Tallinn Manual on the International Law Applicable to Cyber Warfare »,
Cambridge University Press, 2013.
57. CCD COE, « Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations »,
Cambridge University Press, 2017.
58. OCDE, « Recommandation du Conseil relative aux lignes directrices régissant la politique de
cryptographie », 27 mars 1997.
59. OCDE, « Lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux
d’information – Vers une culture de la sécurité », 2002.
60. OCDE, « Gestion du risque de sécurité numérique pour la prospérité économique et sociale :
Recommandation de l’OCDE et Document d’accompagnement », Éditions OCDE, 2015.
61. OCDE, « Recommandations du Conseil sur la sécurité numérique des activités critiques »,
11 décembre 2019.
62. Assemblée générale des Nations unies, « Progrès de l’informatique et des télécommunications et
sécurité internationale – Rapport du Secrétaire général », A/74/120, 24 juin 2019.
63. Assemblée générale des Nations unies, « Lettre datée du 12 septembre 2011, adressée au
Secrétaire général par les Représentants permanents de la Chine, de la Fédération de Russie, de
l’Ouzbékistan et du Tadjikistan », A/66/359, 14 septembre 2011.
64. Assemblée générale des Nations unies, « Fédération de Russie : projet de résolution – Les
progrès de la téléinformatique dans le contexte de la sécurité internationale », A/C.1/53/L.17,
23 octobre 1998.
65. Assemblée générale des Nations unies, Résolution 56/19 de l’Assemblée générale, « Les progrès
de la téléinformatique dans le contexte de la sécurité internationale », A/RES/56/19, 7 janvier
2002.
66. Assemblée générale des Nations unies, « Groupe d’experts gouvernementaux chargé d’examiner
les progrès de la téléinformatique dans le contexte de la sécurité internationale – Rapport du
Secrétaire général », A/60/202, 5 août 2005.
67. Assemblée générale des Nations unies, « Groupe d’experts gouvernementaux chargé d’examiner
les progrès de la téléinformatique dans le contexte de la sécurité internationale – Note du
Secrétaire général », A/65/201, 30 juillet 2010.
68. Assemblée générale des Nations unies, « Groupe d’experts gouvernementaux chargé d’examiner
les progrès de la téléinformatique dans le contexte de la sécurité internationale – Note du
Secrétaire général », A/68/98, 24 juin 2013.
69. BANNELIER K., CHRISTAKIS T., « Cyberattaques – Prévention-réactions : rôle des États et des
acteurs privés », dans Les Cahiers de la Revue Défense Nationale, 2017.
70. Assemblée générale des Nations unies, « Groupe d’experts gouvernementaux chargé d’examiner
les progrès de l’informatique et des télécommunications dans le contexte de la sécurité
internationale – Note du Secrétaire général », A/70/174, 22 juillet 2015.
71. On rappelle ici, à toutes fins utiles, que le rapport du GGE est finalisé à peine plus de cinq ans
après la découverte, par le grand public, de l’affaire Stuxnet.
72. Affaire du Détroit de Corfou, arrêt du 9 avril 1949, C.I.J. Recueil 1949, p. 4.
73. Conseil de l’Europe, convention sur la cybercriminalité, Budapest, 23 novembre 2001.
74. Pour rappel, le Conseil de l’Europe est une organisation internationale distincte de l’Union
européenne, et ne doit être pas être confondue avec le Conseil européen ou le Conseil de l’UE, qui
sont, eux, deux institutions de l’UE.
75. Loi n° 2005-493 du 19 mai 2005 autorisant l’approbation de la convention sur la cybercriminalité
et du protocole additionnel à cette convention relatif à l’incrimination d’actes de nature raciste et
xénophobe commis par le biais de systèmes informatiques.
76. Disponible sur : https://www.wassenaar.org/
77. Catégorie 4.D.4.
78. Catégorie 5.A.1.j.
79. Catégorie 5.A.4.b.
80. Catégorie MD21.b.5.
81. Assemblée générale des Nations unies, « Algérie, Angola, Azerbaïdjan, Bélarus, Bolivie (État
plurinational de), Burundi, Cambodge, Chine, Cuba, Érythrée, Fédération de Russie, Kazakhstan,
Madagascar, Malawi, Namibie, Népal, Nicaragua, Ouzbékistan, Pakistan, République arabe
syrienne, République démocratique du Congo, République démocratique populaire lao,
République islamique d’Iran, République populaire démocratique de Corée, Samoa, Sierra Leone,
Suriname, Tadjikistan, Turkménistan, Venezuela (République bolivarienne du) et Zimbabwe :
projet de résolution révisé – Progrès de l’informatique et des télécommunications et sécurité
internationale », A/C.1/73/L.27/Rev.1, 25 octobre 2018.
82. Assemblée générale des Nations unies, « Allemagne, Australie, Autriche, Belgique, Bulgarie,
Canada, Croatie, Chypre, Danemark, Espagne, Estonie, États-Unis d’Amérique, Finlande,
France, Géorgie, Grèce, Hongrie, Irlande, Israël, Italie, Japon, Lettonie, Lituanie, Luxembourg,
Malawi, Malte, Pays-Bas, Pologne, Portugal, Roumanie, Royaume-Uni de Grande-Bretagne et
d’Irlande du Nord, Slovaquie, Slovénie, Suède, Ukraine, Tchéquie : projet de résolution –
Favoriser le comportement responsable des États dans le cyberespace dans le contexte de la
sécurité internationale », A/C.1/73/L.37, 18 octobre 2018.
83. https://pariscall.international/fr/
6
Une brève histoire
de la sécurité numérique
en France

Introduction : « celui qui ne sait pas d’où il


vient ne peut savoir où il va »
La cybersécurité est un enjeu résolument moderne et dans l’air du temps.
Elle est néanmoins le fruit d’une construction historique qui prend ses
racines dans un passé relativement lointain, dont les détails sont peu
connus du grand public, voire même des experts du secteur.
Des œuvres comme le film « Imitation Game » du réalisateur Morten
Tyldum, ou l’ouvrage « Dark Territory: The Secret History of Cyber War »
de Fred Kaplan ont largement contribué à documenter et à populariser des
versions de l’histoire de la sécurité numérique passionnantes et très
enrichissantes… mais très centrées sur le monde anglo-saxon. Si l’histoire
française de la sécurité numérique est peut-être beaucoup moins présente
dans la représentation collective, elle n’en est pas moins riche !
Outre la forme de divertissement qu’elle propose, l’exploration des
aspects historiques de la cybersécurité française est particulièrement
utile à celles et ceux qui souhaiteraient comprendre finement les enjeux
stratégiques auxquels est confronté le domaine aujourd’hui et ceux qui
s’annoncent pour le futur.
Il est intéressant de noter dès à présent que cette étude ne peut se faire
sans déborder sur des sujets connexes – et tout aussi passionnants – tels
que l’histoire de la France et de son contexte géopolitique, l’évolution de
l’appareil politico-militaire français à travers les âges, l’histoire du
renseignement, de l’imprimerie, des postes, des transmissions, des
télécommunications ou de l’informatique plus largement.
Par ailleurs, l’on remarquera très rapidement que la base historique de la
sécurité numérique actuelle réside dans la volonté de préserver la
confidentialité de certains messages (ou à l’inverse d’en percer le
secret). Ce constat nous amènera ainsi à nous intéresser plus
spécifiquement à l’histoire de la cryptologie, une discipline passionnante
qui désigne, étymologiquement, la « science du secret ». Elle regroupe la
cryptographie, qui cherche à protéger les messages – en les « chiffrant » et
en les « déchiffrant » – et la cryptanalyse qui, au contraire, s’attelle à
retrouver un message intelligible à partir d’un message chiffré – en le
« décryptant » sans posséder la clé de déchiffrement.
Ce chapitre vient clore notre ouvrage en s’intéressant ainsi à l’histoire de
la sécurité de l’information en France, depuis une période correspondant
à l’invention de l’imprimerie jusqu’à nos jours. Il ne saurait prétendre à la
parfaite exhaustivité – la nature même du domaine de la sécurité numérique
ayant très largement évolué à travers les âges. Il adopte à dessein un point
de vue francocentré – ce qui expliquera par exemple que des mécanismes
pourtant ancestraux et fondateurs comme le chiffrement de César n’y seront
pas mentionnés.

I. Cadrage de l’exercice : jusqu’à quand


remonter ?
Avant de nous lancer dans la rétrospective promise, il est utile de nous
attarder quelques instants sur une question fondamentale que nous nous
posions déjà au moment de présenter les « documents fondateurs » de la
pensée stratégique française en matière de sécurité numérique : comment
fixer un point de départ à notre étude ?
Une réponse très immédiate consisterait simplement à essayer de
« remonter le plus loin possible » et d’y planter notre drapeau. Nous
pouvons néanmoins proposer une argumentation un peu plus élaborée qui,
par chance, nous conduit à retrouver le drapeau planté précédemment…
En analysant la signification profonde des expressions « sécurité
numérique » et « sécurité informatique », nous sommes ramenés vers une
même problématique : assurer la sécurité, et notamment la
confidentialité, d’une information encodée sous forme de nombres – des
0 et des 1. Même sans cet encodage particulier, la protection du secret est
un problème tout à fait ancestral. Dans les faits, à peu près tout le monde a
à peu près toujours eu besoin de protéger des secrets, mais il est des
secrets, particulièrement sensibles, qui ont encouragé l’être humain à
concevoir et à développer des techniques et des moyens de plus en plus
sophistiqués : les secrets d’État – de nature politique, stratégique,
diplomatique ou portant sur les affaires personnelles d’un personnage d’État
particulièrement important. C’est donc du côté d’une sphère très
régalienne, au cœur de la souveraineté étatique, que nous allons orienter
nos recherches.
En cherchant à fixer une borne de début pour une étude sur l’histoire de
la sécurité numérique en France, nous parvenons donc à une seconde
question, essentielle : à partir de quand peut-on parler d’un État
français ?
En laissant le plaisir du travail historique et des débats passionnés qui
l’accompagnent aux historiens, nous remarquons, pour les besoins de
l’étude qui est la nôtre, que la fenêtre temporelle située entre les XIIIe et
XVe siècles a été le théâtre de la création et de la consolidation
progressive de plusieurs fonctions fondamentales et essentielles de
l’État français : Archives nationales, Trésor public, Parlement, Cour
des Comptes, monnaie unique, impôt permanent, armée permanente ou
encore poste royale.
En 1194, le roi Philippe II, dit « Auguste », perd la bataille de Fréteval
face à Richard Cœur de Lion. Au cours de sa fuite, le roi perd le trésor, les
sceaux et les chartes qu’il gardait avec lui. Cet épisode fâcheux sera à
l’origine de la décision structurante de conserver ses archives et ses
documents juridiques dans un dépôt permanent à Paris. Philippe Auguste
est ainsi à l’origine des Archives nationales, du Trésor public et de la
fonction de garde des Sceaux. À partir de 1204, Philippe Auguste se fait
par ailleurs appeler officiellement « roi de France », plutôt que « roi des
Francs ».
Louis IX, « Saint Louis », est roi de France entre 1226 et 1270. En 1254,
il structure sa cour en sections spécialisées : un conseil pour les affaires
politiques ; la curia in parlamento, qui pose les fondements du Parlement ;
et une curia in compotis, qui jette les bases de la future Cour des Comptes.
En 1262, il mène une réforme qui instaure une monnaie unique dans le
Royaume, un écu en or.
Le règne de Charles VII, entre 1422 et 1461, est marqué de plusieurs
points notables. Entre 1429 et 1431, Jeanne d’Arc deviendra l’un des
symboles de la naissance d’un sentiment national français. En 1439, les
États généraux décident de lever une armée permanente financée par un
impôt royal prélevé tous les ans : la taille. En 1453, la victoire française à
la bataille de Castillon marque la fin de la guerre de Cent Ans, scellant par
la même occasion le retrait des Anglais et permettant au Royaume de
France de se consolider.
Durant le règne de Louis XI, entre 1461 et 1483, c’est la poste royale qui
voit le jour, avec l’édit de Luxiès, aux alentours de 1464. Elle est à son
service et à celui de son gouvernement. Les relais de poste et les
chevaucheurs du Roi ne servent qu’à acheminer le courrier du Roi, et ne
desservent que les théâtres d’opérations militaires.
En parallèle, les origines de l’imprimerie, sans conteste l’une des
ruptures les plus importantes de notre ère, sont attribuées à Gutenberg, dans
les années 1450. En permettant de commencer à diffuser largement les
informations, l’imprimerie a aussi – dans une certaine mesure – fait naître le
besoin de les protéger efficacement.
C’est un peu après cette période, vers la fin du XVIe siècle, que nous
commencerons notre aventure rétrospective.
Une partie significative de ce chapitre a pu être rédigée grâce aux
précieux travaux de l’Association des réservistes du chiffre et de la sécurité
de l’information (ARCSI), et en particulier une série d’articles
passionnants publiés dans les années 1970 par le général Ribadeau-
Dumas1. L’auteur souhaite ici adresser ses plus chaleureux remerciements
à l’association et à ses membres.

II. Les temps anciens : de l’invention


de l’imprimerie à la fin du XIXe siècle
À la fin du XVIe siècle, le diplomate français Blaise de Vigenère (1523-
1596) profite de sa retraite pour s’intéresser à la cryptographie. Il décrit un
chiffrement qui prendra son nom et fera de lui l’un des pères fondateurs de
la cryptographie française. Il publie ainsi en 1586 un Traicté des chiffres ou
secretes manières d’escrire.
À la même époque, le mathématicien François Viète (1540-1603) est
l’une des toutes premières personnes à occuper une fonction de
« déchiffreur » pour le Roi de France. En l’occurrence, il en servira deux :
Henri III et Henri IV. C’est à la fin des années 1580 que les premières
mentions officielles de cette fonction semble apparaître.
Sous le règne de Louis XIII (1610-1643), le très influent cardinal
Richelieu remarquera Antoine Rossignol (1600-1682). À l’âge de 26 ans,
ce dernier s’illustre en décryptant une lettre interceptée sur un messager
sortant de la ville de Réalmont, tenue par les huguenots et assiégée par
l’armée du Roi. Le message ainsi décrypté permettra à l’armée du Roi de
reprendre la ville dès le lendemain. Travaillant par la suite pendant plus de
cinquante ans au service de Louis XIII puis de Louis XIV, il concevra avec
son fils, Bonaventure, deux modes de chiffrement pour le compte du Roi :
le « Petit Chiffre » et le « Grand Chiffre ». Ce dernier, qui servira
notamment à rendre inintelligibles des messages faisant référence au
célèbre « Homme au masque de fer », résistera à la cryptanalyse jusqu’au
XIXe siècle, lorsque le cryptologue Étienne Bazeries s’y attaquera avec
succès.
Le règne de Louis XIV (1643-1715) verra la signature des traités de
Westphalie, en 1648, qui mettront un terme à la guerre de Trente Ans,
institueront un nouvel équilibre politique et religieux au niveau
international et jetteront les bases de la vision moderne du droit
international et de la souveraineté des États. La nécessaire protection de
cette souveraineté contribuera significativement à développer les pratiques
de renseignement des souverains. Parmi les proches du Roi-Soleil, Colbert
puis Louvois seront ainsi à l’origine du fameux « Cabinet noir », qui
interceptait et recopiait les correspondances personnelles jugées sensibles,
mettant par ailleurs en avant les rapports étroits entre services postaux et
renseignement.
Sous Louis XV (1715-1774), la mise en place du « Secret du Roy »
consolidera un réseau clandestin de renseignement structuré, mobilisant une
trentaine d’agents, faisant ainsi passer la France dans l’ère du
renseignement moderne. Les noms du cardinal Fleury, du prince de Conti,
du comte de Broglie et de Jean-Pierre Tercier marqueront l’histoire du
service, dont l’objectif initial était le soutien au mouvement polonais pro-
français. Dirigé par Charles-François de Broglie entre 1752 et 1774, le
Secret du Roy deviendra une organisation permanente et structurée,
chiffrant et déchiffrant les messages du Roi, d’une part, et lui transmettant
des messages interceptés et décryptés, d’autre part.
Louis XVI (1774-1792), manifestement moins adepte des pratiques de
renseignement, exigera la dissolution du service à son arrivée au pouvoir.
En pratique, le Secret du Roy poursuivra ses activités jusqu’à la mort de de
Broglie en 1781.
Le XIXe siècle – entre 1790 et 1870 – constitue une période de déclin
pour le chiffre français : on évite la poste, on lui préfère la valise
diplomatique. En particulier, si Napoléon Ier met en œuvre un système de
renseignement complexe, le chiffre français de l’époque ne laisse
manifestement pas un souvenir mémorable.
III. L’ère contemporaine « pré-électronique »
1. De 1870 à la Première Guerre mondiale
Au début des années 1870, après la défaite française face aux Prussiens,
le renversement de l’Empire et le début de la IIIe République, les autorités
françaises repartent de loin sur les problématiques sécuritaires : il
n’existe notamment plus de concept de défense nationale consistant, il n’y a
pas d’organisme de coordination et de synthèse politico-militaire. Si le chef
de l’État dispose de la force armée, il n’a en pratique pas de place dans le
système décisionnel et la responsabilité de la protection de la Nation est
portée par le gouvernement, et essentiellement les ministères de la Guerre,
de la Marine et des Colonies.
En 1871, l’État-Major général des Armées s’appuie sur quatre bureaux,
dont le fameux « 2e bureau », chargé du renseignement.
En 1889, une « commission du chiffre » est créée au ministère de la
Guerre, avec pour mission d’élaborer des codes et systèmes de chiffrement.
Elle collaborera avec les services du ministère de l’Intérieur et du ministère
des Affaires étrangères. En 1894, cette commission deviendra permanente.
Entre 1900 et 1914, le capitaine François Cartier en assurera le secrétariat.
Parmi les illustres membres de la commission, nous pouvons citer le
général Penel, président en 1900, ou le général Berthaut, président
entre 1902 et 1912.
C’est à cette époque que l’on assiste au développement des
communications télégraphiques et à l’émergence de la cryptologie
civile. En 1903, l’installation d’une antenne radio au sommet de la tour
Eiffel offre de belles possibilités d’émission… et donc de réception, et par
conséquent d’interception. En parallèle, l’introduction du télégraphe dans
les armées attire l’attention sur les questions liées au chiffre.
Fin 1906 se tient la première réunion du Conseil supérieur de la
défense nationale, ancêtre de l’actuel Conseil de défense et de sécurité
nationale. Il est présidé par le chef de l’État (à l’époque Armand Fallières –
Georges Clemenceau est alors président du Conseil) et permet de récréer
une instance de coordination politico-stratégique sur les questions de
défense.
En janvier 1909 est créée une « commission interministérielle du
chiffre », chargée de promouvoir et de développer la collaboration des
services du chiffre (de la Guerre, de la Marine, de la Sûreté générale à
l’Intérieur, des Postes, des Affaires étrangères et des Colonies). Peu de
traces concrètes de cette commission sont parvenues jusqu’à nous mais il
semblerait qu’elle se soit réunie entre 1912 et 1922.
Début 1912, Alexandre Millerand devient ministre de la Guerre. Auprès
de lui est affecté le capitaine Marcel Givierge, un polytechnicien artilleur
et polyglotte sorti quelques années plus tôt de l’École supérieure de Guerre.
Sa maîtrise des langues – et notamment du russe – avait amené Givierge,
quelques années auparavant à découvrir la cryptologie, par l’intermédiaire
de Jacques Haverna. Alors chef du « service photographique » à la Sûreté
générale, le service de renseignement intérieur, Haverna avait décrypté des
télégrammes chiffrés russes mais personne ne pouvait en comprendre le
contenu. C’est le début de l’intérêt de Givierge pour la cryptologie, qui ne
cessera plus, l’amenant notamment à publier plusieurs ouvrages qui feront
référence sur le sujet – dont un dont nous reparlerons plus particulièrement
plus loin. C’est également le début d’une collaboration très fructueuse entre
l’Intérieur et la Guerre sur le sujet – portée par la bonne entente entre
Haverna et Givierge.
Convaincu de l’intérêt du chiffre, Givierge persuadera le ministre
Millerand de créer une section permanente du chiffre au ministère de la
Guerre, à compter de septembre 1912. Dans les faits, la section ne
comprend que trois personnes : Cartier, le chef ; Givierge, son adjoint ; et
un officier d’administration. En lien avec ses homologues du Quai d’Orsay
et de l’Intérieur, elle aura pour missions : le chiffrement et le déchiffrement
des messages du ministère ; la conception, la réalisation, la diffusion et la
comptabilité des moyens de chiffrement ; et les études de cryptologie et de
décryptement.

2. La Première Guerre mondiale


1er août 1914 : la mobilisation générale est déclarée en France, à l’aube
du premier conflit mondial. Un « Grand Quartier général » (GQG) est
créé dans la foulée, avec à sa tête le général Joffre, pour assurer le
commandement de l’ensemble du corps de bataille français. Le Conseil
supérieur de la défense nationale, qui s’était réuni à onze reprises
entre 1906 et 1914, s’interrompt, alors qu’il aurait pu – et dû – jouer un rôle
central dans la gestion française du conflit.
La nature même du GQG commandera la nécessité de le doter d’une
capacité de chiffre : c’est le chef d’escadron Marcel Givierge qui sera
affecté à ce rôle dès la mobilisation. Il y sera l’année suivante remplacé par
son adjoint, le capitaine Soudart, pour partir prendre un commandement. En
parallèle, le chef de bataillon François Cartier est à la tête de la section
chiffre du ministère de la Guerre, secondé par l’officier Olivari. La
section chiffre du GQG et la section chiffre du ministère de la Guerre
semblent constituer les deux pôles majeurs du chiffre français durant la
Première Guerre mondiale. Celui-ci, s’il est techniquement prêt à servir
dans la Grande Guerre, rencontre un certain nombre de difficultés. L’une
des grandes problématiques que rencontreront Givierge et Cartier sera celle
des ressources, et notamment la difficulté de disposer d’officiers formés
et affectés au chiffre dans les différents groupes d’armées et états-
majors. En tout état de cause, il ne semble pas faux de dire que le chiffre
est alors l’apanage d’un nombre très réduit d’individus, souvent
passionnés par le sujet. Une question se pose par ailleurs de façon
récurrente à cette époque : celle du positionnement de la fonction chiffre,
notamment par rapport à la fonction renseignement (dans les faits, le
chiffre semble souvent rattaché aux « 2es bureaux » – ce sera le cas de la
section chiffre du GQG, celle du ministère de la Guerre restant visiblement
rattachée au cabinet du ministre), aux transmissions et au courrier.
Au début de la guerre, la section chiffre du ministère est très occupée par
le chiffrement et le déchiffrement des télégrammes et a peu de temps pour
décrypter les messages allemands interceptés. Fin 1914, les cryptologues
français s’attaquent néanmoins avec succès à un chiffre allemand, le
code « Ubchi ». Alors qu’ils parviennent à décrypter rapidement le code au
fur et à mesure des changements de clés, une indiscrétion amène le journal
Le Matin à publier des informations sur les capacités françaises de
décryptement, ce qui conduira les Allemands à cesser progressivement
d’utiliser ce chiffre. Il sera remplacé par d’autres méthodes, comme l’ABC
(entre novembre 1914 et janvier 1915) puis l’ABCD (jusqu’en mars 1915).
Il semblerait par ailleurs que la section joue un rôle significatif – mais trop
peu documenté en sources ouvertes – dans l’anticipation de la bataille de
la Marne.
Le 21 janvier 1915, le capitaine Georges Painvain, polytechnicien,
ingénieur du corps des Mines et professeur en géologie et paléontologie,
fait parvenir un mémoire à la section du chiffre, expliquant comment casser
rapidement le code ABC. Painvain est alors officier d’ordonnance au sein
de la 6e armée du général Maunoury basée à Villers-Cotterêts. En pleine
guerre des tranchées, l’ennui de Painvain va conduire le brillant officier à se
nouer d’amitié avec l’officier chiffre de la 6e armée, le capitaine Paulier, qui
éveillera en lui une passion pour le chiffre. Le mémoire envoyé par
Painvain amènera Cartier à rendre visite au général Maunoury, le 27 janvier
suivant, pour en savoir plus sur l’auteur du mystérieux document. Sur
pression de Millerand lui-même, le général acceptera de laisser partir
Painvain au « cabinet noir », où il s’illustra rapidement parmi les
meilleurs cryptologues de sa génération.
À partir du 5 mars 1918, les Allemands, ayant pris conscience de la
capacité française à percer leurs différents codes, mettront en place un
nouveau chiffre : l’ADFGX (dont le nom officiel allemand était
« GEDEFU 18 ») significativement plus robuste que les précédents. Ceci
intervient dans un contexte difficile pour les Français, quelques semaines
avant le début des manœuvres allemandes de « l’offensive du printemps »
(à partir du 21 mars). Après plusieurs semaines d’efforts, Painvain
parvient début avril à reconstituer le système et les clés.
Dernière ligne droite dans la bataille du chiffre : le 1er juin, les
Allemands complexifient le système ADFGX, qui devient ADFGVX.
Ceci intervient de nouveau à un moment difficile pour les Français. Au
terme de 26 heures de travail, Painvain parviendra, le 2 juin 1918, à
trouver la clé du message intercepté la veille. Le message provient de
l’équivalent allemand du GQG et est destiné aux avant-postes situés dans la
région de Remaugies, près de Compiègne. Ce texte, depuis connu sous le
nom de « Radiogramme de la Victoire », commande aux unités sur place :
« Hâtez l’approvisionnement en munitions, le faire même de jour tant qu’on
n’est pas vu ».
L’information, couplée à la radiogoniométrie, permet aux autorités
françaises d’anticiper l’offensive allemande prévue sur Compiègne le
9 juin, et au général Mangin de mener une contre-offensive décisive à
Méry. L’échec de la manœuvre ferme définitivement la voie de Paris aux
Allemands. Cette séquence restera secrète jusqu’en 1962, date à laquelle
le général Desfemmes en fera publiquement état lors d’une conférence à
l’École spéciale militaire de Coëtquidan2.

3. Conclusions intermédiaires

À ce stade, à la fin de la Première Guerre mondiale, un certain nombre de


constats peuvent être dressés.
Tout d’abord, il est clair que la protection de la confidentialité de
l’information constitue le cœur des préoccupations. À cet égard, la
cryptologie (i.e. cryptographie et cryptanalyse) est un levier quasiment
incontournable de puissance – pour les dirigeants et plus largement les
États : bien maîtrisée, elle assure le secret de ses communications,
procure l’initiative, renseigne sur les desseins ennemis.
On relève par ailleurs que les questions de protection de l’information
et « d’attaque » (i.e. interception, décryptement, et parfois même
l’exploitation du renseignement ainsi obtenu) sont très entremêlées et
gérées par des entités qui combinent les deux missions.
Sur le plan technologique, l’imprimerie et la dactylographie vont
progressivement permettre d’avoir de plus en plus de messages à
s’échanger, et la télégraphie (notamment sans fil) de se les transmettre de
plus en plus vite et loin.
S’agissant des « utilisateurs », le chiffre s’est d’abord propagé « vers le
bas » : d’abord l’apanage des rois et des décideurs, il a progressivement
percolé dans le cœur de l’État – les hautes sphères décisionnelles et les
ministères les plus régaliens – avec des entités structurées et permanentes
chargées de le diriger et de l’exploiter.
Enfin, le sujet est toujours très « technique » : il mobilise
essentiellement des mathématiciens, ingénieurs, scientifiques, techniciens,
opérateurs. S’il est utile, voire décisif, pour le politique et les décideurs
militaires, il est seulement un moyen en support de leur information et de
leurs décisions.

4. L’entre-deux-guerres

La fin de la Première Guerre mondiale est l’occasion de tirer un certain


nombre de leçons. En mars 1919, une étude du 2e bureau du GQG portant
sur « l’organisation du 2e bureau » s’interrogera notamment sur
l’organisation du chiffre en France, en lui reconnaissant deux grandes
fonctions : le chiffrement et le déchiffrement des messages d’une part, en
lien avec les services de courrier ; et le décryptement et l’exploitation
d’autre part. Cette étude, qui ne semble pas avoir donné lieu à des
restructurations significatives, mettra en avant l’importance du
décryptement pour le renseignement ; l’ampleur des besoins en ressources
(et notamment en ressources humaines bien formées) ; la question de la
séparation entre le chiffrement et le déchiffrement d’une part, et le
décryptement d’autre part ; ainsi que la distinction entre direction et
exécution du chiffre.
Plus largement, au niveau politico-stratégique, le Conseil supérieur de
la défense nationale (CSDN) est réactivé en mars 1920 afin de tirer les
enseignements du conflit qui vient de s’écouler. Prenant acte d’un manque
d’anticipation et de préparation du dispositif français, les autorités décident,
en novembre 1921 de créer un secrétariat général – pour la première fois
permanent – du Conseil supérieur de la défense nationale (SG-CSDN).
Marcel Givierge était parti de la section chiffre du GQG en 1915 pour
prendre un commandement. Il est de retour en 1921 pour prendre la suite du
colonel Cartier à la tête de la section chiffre du ministère de la Guerre – qui
quittera le cabinet du ministre pour rejoindre l’état-major des armées
(EMA) – et y restera jusqu’en 1927.
Dans les années 1920, le CSDN perdra progressivement de son influence,
à mesure de ses élargissements successifs. Le SG-CSDN devient, en
février 1929, le Secrétariat général de la défense nationale (SGDN) et est
rattaché au sous-secrétariat d’État à la présidence du Conseil. Le chef de
bataillon Charles de Gaulle y sera affecté entre 1931 et 1936. Cette
expérience, qui l’amènera notamment à assurer le secrétariat du CSDN,
lui permettra sans aucun doute de faire significativement mûrir sa vision des
questions politico-militaires, prenant conscience de la place occupée par le
politique dans le domaine de la défense nationale.
Les années 1930 sont le théâtre d’une révolution importante :
l’automatisation du chiffre par des machines mécaniques et
électromécaniques. La fameuse machine Enigma apparaît en Allemagne
au milieu des années 1920, avec plusieurs versions commerciales et
d’autres adoptées par les différents corps de l’armée allemande. Elle n’est
toutefois pas seule sur le marché des machines à chiffrer : l’industriel
suédois Boris Hagelin fera ainsi fortune en vendant ses machines B-211, C-
35, C-36 ou encore C-37 à différentes armées, dont l’armée française.
La Pologne, indépendante depuis 1918, se sent menacée par ses voisins
allemands et soviétiques. Prenant conscience de l’importance du chiffre
dans les conflits, l’état-major de l’armée polonaise crée, en 1929, un cours
secret de cryptographie pour les étudiants en mathématiques de
l’université de Poznan (on apprendra plus tard qu’il s’appuyait sur un livre
de cryptographie publié par Marcel Givierge en 1925 !). Trois étudiants se
font remarquer et intègrent le Biuro Szyfrów, le bureau du chiffre du
renseignement militaire dirigé par Gwido Langer, créé en 1931 par fusion
du bureau de renseignement transmissions et du bureau de cryptographie de
l’état-major. Marian Rejewski, Jerzy Rózycki et Henryk Zygalski
s’affaireront ainsi entre 1931 et 1939 à essayer de « casser Enigma ».
En France, fin 1930, le capitaine Gustave Bertrand devient chef de la
section D (interception et décryptement) du 2e bureau, le service de
renseignement de l’armée. Fin 1931, un employé au bureau du chiffre du
ministère de la Reichswehr (l’armée allemande), Hans-Thilo Schmidt,
entre en contact avec le service de renseignement français. Il lui fournira de
précieuses informations jusqu’à son arrestation, en 1943. Fin 1932,
Bertrand fournira aux Polonais des copies de documents allemands obtenus
via Schmidt (aussi appelé « HE », « Asché » ou « Source D »), notamment
des manuels de la machine Enigma et des pages de clés cryptographiques.
Jusqu’à 1938, les Polonais du Biuro Szyfrów mettront au point plusieurs
techniques visant à cryptanalyser les messages chiffrés par Enigma.
Zygalski concevra les « feuilles de Zygalski », des jeux de feuilles
perforées pour chacune des six séquences initiales possibles d’insertion des
trois rotors d’Enigma. En fonction des données d’entrée recueillies, les
feuilles sont superposées et déplacées selon une séquence précise, limitant
progressivement le nombre de perforations visibles. N’avoir plus qu’un trou
visible procure ainsi assez de paramètres pour calculer la clé utilisée.
Rejewski, quant à lui, ouvre la voie fin 1938 à une nouvelle rupture
importante : l’automatisation mécanique de la cryptanalyse. Pour cela, il
termine de mettre au point une « bombe cryptologique » : un appareil
électromécanique conçu pour casser Enigma, en appliquant un test sur
toutes les combinaisons de rotors possibles, successivement, faisant ainsi
apparaître un nombre limité de possibilités.
En 1939, dans un contexte de tension croissante et afin de les
sauvegarder de l’invasion allemande imminente, les Polonais transmettent
l’ensemble de leurs travaux aux Français et aux Britanniques. En
particulier, en juillet 1939, lors d’une conférence tripartite entre Français,
Polonais et Britanniques, les Polonais apportent une copie de la machine
Enigma pour chacun des deux autres partenaires. Ils n’avaient jusque-là pas
informé leurs homologues des avancées significatives dans leurs travaux.
Ces derniers, encore méconnus du grand public à ce jour, joueront un
rôle capital dans les années suivantes.

5. La Seconde Guerre mondiale

Septembre 1939 : l’invasion de la Pologne par l’Allemagne provoque


l’entrée en guerre du Royaume-Uni et de la France, amorçant ainsi le
second conflit mondial. Entre septembre 1939 et mai 1940 se déroule la
« drôle de guerre ». Toutefois, si le conflit se tient alors sans combats
majeurs sur le champ de bataille, la lutte du chiffre, elle, bat son plein.
Les questions de chiffre sont alors essentiellement organisées autour de
trois pôles : la section chiffre de l’EMA, le GQG et le « PC Bruno ». À
la mobilisation, un certain commandant Jean Joubert des Ouches prend la
direction de la section chiffre du GQG. Nous le retrouverons un peu plus
tard…
Le commandant Bertrand prend, en octobre 1939, le commandement du
PC Bruno, basé au château de Vignolles. Cellule dédiée au décryptement
et rattaché au Service de renseignement (SR) militaire, le PC Bruno
réunit des cryptologues français mais également les Polonais du Biuro
Szyfrów – fermé au moment de l’invasion allemande – et des Espagnols
travaillant sur les codes italiens et franquistes. Il coopérera avec le
Government Code and Cypher School (GC&CS) britannique, fraîchement
installé à Bletchley Park. En janvier 1940, les Polonais du PC Bruno
réussissent la première cryptanalyse de messages Enigma en temps de
guerre, à l’aide des feuilles de Zygalski.
Le 10 mai 1940, l’offensive allemande sur les Pays-Bas, la Belgique, le
Luxembourg et la France signe la fin de la drôle de guerre. Paris est
occupée le 14 juin, le gouvernement de Pétain signe l’armistice avec
l’Allemagne le 22 juin. La France est scindée en deux : une zone sous
occupation allemande et une zone libre, au sud. Elle se voit interdire
d’organiser des services spéciaux. Le SGDN sera dissout fin juillet. Le
gouvernement de Pétain s’établit à Vichy. Le général de Gaulle, pour sa
part, a rejoint Londres, et lance son célèbre appel le 18 juin.
Durant la séquence de mai-juin 1940, la « cote » du chiffre descend :
l’afflux des messages provoque erreurs, retards, et fatigue ; le chiffre n’est
pas présent aux postes de commandement avancés ; les messages décryptés
sont souvent obsolètes.
Le PC Bruno est fermé en juin, puis transféré au PC Cadix, en zone
libre. Formellement, Bertrand reste un officier loyal au régime de Vichy,
mais une partie de ses activités n’est pas connue du gouvernement
pétainiste.
En parallèle, Louis Rivet, chef du SR depuis 1936, prononce fin
juin 1940 le serment de Bon-Encontre, qui jette les bases d’une
organisation clandestine des services spéciaux de l’armée d’armistice. Placé
sous l’autorité de Rivet, le bureau des menées antinationales (BMA),
admis par la convention d’armistice et censé assurer la protection de
l’armée, permettra de couvrir les actions clandestines d’autres structures : le
SR Guerre (futur « réseau Kléber ») du lieutenant-colonel André
Perruche ; le service de contre-espionnage offensif du capitaine Paul
Paillole, sous la couverture de l’entreprise des « travaux ruraux » (TR) ;
le SR Air du colonel Georges Ronin.
À Londres, de Gaulle crée début juillet 1940 un service de
renseignement, le « deuxième bureau », au sein de l’état-major de la
France libre, dont il confie la direction à André « Passy » Dewavrin. Le
deuxième bureau deviendra le « SR » en avril 1941 puis le « bureau
central de renseignement et d’action militaire » (BCRAM) en
janvier 1942. En septembre 1942, le BCRAM devient simplement le
BCRA.
À partir de 1941, les Britanniques donnent un nom officiel aux travaux
secrets menés à Bletchley Park : c’est le programme « Ultra ». Depuis le
début de la guerre, le GC&CS s’y est pleinement saisi de la problématique
de la guerre du chiffre, affectant des moyens considérables à cette tâche. À
Bletchley Park, à l’image de la démarche polonaise du début des années
1930, les Britanniques recrutent de brillants mathématiciens, dont le célèbre
Alan Turing.
S’attelant à poursuivre et à améliorer les travaux initiaux des Polonais,
les Britanniques reproduiront notamment les feuilles de Zygalski, mettront
en service leur propre « bombe » et travailleront à la conception du premier
calculateur électronique utilisant sur le système binaire – le Colossus. En
coopération avec le PC Bruno, les Britanniques réussiront à décrypter de
nombreux messages allemands. On estime le ratio de répartition des
découvertes de clés journalières à 80 % au GC&CS et 20 % au PC Bruno,
ce qui illustre l’importance donnée par le gouvernement britannique de
l’époque à la guerre du chiffre, dont les détails resteront secrets encore de
nombreuses années après la fin du conflit.
En octobre 1942, la défaite allemande à El-Alamein dans le désert de
Libye marque un tournant de la guerre. Le 8 novembre 1942, les Alliés
débarquent en Afrique du Nord (opération « Torch ») et prennent Alger.
L’amiral Darlan prend la tête du Haut-commissariat de France en Afrique.
Louis Rivet est nommé à la tête de la nouvellement créée direction des
services de renseignement et de la sécurité militaire (DSR/SM). En
France, le PC Cadix est évacué le 9 novembre et les Allemands occupent
la zone libre le 11 novembre.
L’occupation partielle puis totale de la France entre 1940 et 1942 a
soulevé de nombreux problèmes de sécurité et des difficultés de
coordination entre les différents services. Dès la libération de l’Algérie, la
coopération et la coordination des services revient à l’ordre du jour.
Fin 1942, le général Henri Giraud prend la suite de l’amiral Darlan,
assassiné. Il est rejoint par Jean Joubert des Ouches pour élaborer une
direction technique des chiffres, séparée des services de renseignement :
le chiffre français se réorganise.
La suite de l’histoire se joue sur fond de rivalité entre Giraud et de
Gaulle, qui arrivera à Alger en mai 1943. La vision des deux généraux est
relativement différente : Giraud est un pur militaire et ne veut pas faire de
politique ; de Gaulle, fort de son expérience au SGDN, a une conception de
l’État dans laquelle le militaire est subordonné au politique. Fortement
incités à s’entendre par leurs alliés lors de la conférence d’Anfa en
janvier 1943, les deux hommes créeront le Comité français de libération
nationale (CFLN) le 3 juin 1943. De Gaulle et Giraud y sont co-présidents
et sont entourés de commissaires (équivalents à des ministres).
Le 3 août 1943, un décret du CFLN crée une « direction technique des
chiffres » (DTC) et un « service unique du chiffre », rattachés au
secrétariat du CFLN, qui assure le chiffrement et déchiffrement des
messages pour tous les commissariats. Cette structure – ancêtre de
l’ANSSI actuelle – a également pour mission d’évaluer les procédés de
chiffrement utilisés par les autorités françaises et de leur fournir des clés
de chiffrement.
Cette organisation officialise une séparation entre les aspects défensifs
et offensifs de la cryptologie, toujours en vigueur aujourd’hui – les
premiers étant confiés à la DTC et les seconds relevant des services de
renseignement. Le colonel Joubert des Ouches est nommé directeur
technique des chiffres.
Durant les mois suivants, de Gaulle va progressivement prendre la tête,
seul, du CFLN, cantonnant Giraud aux seules opérations militaires. Un
dernier chantier de taille dans l’organisation de l’appareil français à Alger
reste à mener : la fusion des services de renseignement gaullistes et
giraudistes. La direction générale des services spéciaux (DGSS) est créée
en novembre 1943, par la fusion du BCRA gaulliste et de la DSR/SM de
Rivet. C’est Jacques Soustelle, ancien chef du BCRA et commissaire à
l’Information du Comité national de Londres, qui en prend la tête.
Fin 1943, le CFLN est organisé : de Gaulle est à sa tête ; un Conseil de
défense nationale (CDN) est institué, avec un secrétariat ; une direction
technique des chiffres est opérationnelle, confiée à Joubert des Ouches et
chargée uniquement de cryptologie « défensive » ; un service de
renseignement unifié, la DGSS, est en charge des actions « offensives »
(i.e. interception et décryptement).
À Bletchley Park, le premier calculateur électronique fondé sur le
système binaire, le Colossus Mark I, est opérationnel.
En 1944, le CFLN devient le Gouvernement provisoire de la
République française (GPRF). Le service du chiffre s’organise en juin
pour comprendre trois sections (affaires étrangères, colonies et intérieur).
La DTC se scinde en deux en octobre, une fraction restant à Alger et l’autre
regagnant Paris. À Paris, la DTC est rattachée à l’état-major de la défense
nationale (EMDN) – alors dirigé par le général Juin – qui est la structure
ayant succédé au secrétariat du CDN. Toutes choses égales par ailleurs,
cette organisation n’est pas sans rappeler la subordination actuelle de
l’ANSSI (descendante de la DTC) au SGDSN (descendant de l’EMDN).
Fin 1945, la DGSS, renommée entre-temps « DGER », devient le
SDECE. Passy en est le directeur… et un certain Gustave Bertrand son
adjoint. Bertrand est également à la tête du service technique de recherche
(STR) au sein du SDECE.
Après la guerre, la DTC exerce deux missions : la coordination et le
contrôle, au niveau interministériel et technique. Son directeur préside
notamment une commission interministérielle des chiffres, qui réunit
l’EMGDN (successeur de l’EMDN), les chefs des services du chiffre des
ministères des Affaires étrangères, de l’Intérieur, de la Guerre, de la Marine,
de l’Air, des Colonies, de la Présidence du Gouvernement et de la DGER.
Elle fonctionnera ainsi quelques années avant d’être supprimée en 1947,
semble-t-il pour des raisons administratives et budgétaires. À ce moment-là,
la coordination interministérielle est alors assurée par l’EMGDN.
À la sortie de la Seconde Guerre mondiale, nous retenons les quelques
idées suivantes :
• le chiffre est toujours un important levier de puissance. Le maîtriser
garantit l’initiative et procure des avantages décisifs sur l’adversaire,
dans une logique de confrontation. Les moyens significatifs alloués à ce
sujet par les Britanniques à Bletchley Park démontrent toute
l’importance accordé au domaine par les autorités d’outre-Manche ;
• sur le plan technique, on assiste à des avancées très significatives,
motivées par le contexte de guerre : l’apport des mathématiques dans
la cryptanalyse, la mécanisation et l’automatisation du décryptement ou
encore l’apparition de l’électronique ;
• si le sujet de la maîtrise du chiffre démontre son caractère décisif, il
reste un domaine relativement confidentiel et l’apanage d’un
nombre restreint de personnes ;
• l’histoire de la cryptanalyse d’Enigma nous fournit un exemple
consistant et intéressant de coopération internationale en matière de
sécurité de l’information, avec toutes les difficultés liées à la
nécessaire confiance mutuelle qu’elle implique, encore de nos jours ;
• l’exemple de la cryptanalyse d’Enigma nous fournit également de
précieux enseignements sur les différences entre les visions françaises
et britanniques de la valorisation de ce domaine et de ces travaux :
80 % des décryptements des messages Enigma l’ont été par Bletchley
Park ; on parle de 10 000 personnes affectées au projet « Ultra » au
sens large (probablement moins d’une centaine aux PC Bruno et
Cadix) ; un imaginaire collectif aujourd’hui largement mis en avant par
les Britanniques (cf. « Imitation Game », le musée de Bletchley Park,
etc.) ; et un peuple français qui à l’heure actuelle, pour sa grande
majorité, ignore le rôle joué par ses aïeuls du domaine du chiffre dans
le second conflit mondial ;
• s’agissant de l’organisation, la sortie de la Seconde Guerre mondiale

dotera la France d’une organisation du chiffre, séparée en deux


piliers distincts (i.e. « défense » pour le chiffrement et le
déchiffrement, et « attaque » pour l’interception, le décryptement et le
renseignement), qui est toujours en vigueur à l’heure actuelle. On
rappellera que chez de nombreuses grandes puissances, ces sujets sont
encore souvent confiés aux mêmes structures – c’est le cas par exemple
aux États-Unis (NSA) et au Royaume-Uni (GCHQ/NCSC) ;
• enfin, la création de la DTC auprès du secrétariat du CFLN illustre une
autre propriété de l’organisation française toujours en vigueur
aujourd’hui : la nécessité de coordonner le sujet au niveau
interministériel et de le placer au plus proche des hautes autorités
et des enceintes de décisions politico-stratégiques.

IV. La deuxième partie du XXe siècle


et la numérisation
1. Les années 1950 et 1960
À la fin de la Seconde Guerre mondiale, la France est dotée d’une
organisation du chiffre qui posera les bases de la future organisation
nationale de la cyberdéfense :
• une séparation organique entre missions défensives et offensives ;
• et, pour la défense, une coordination au niveau interministériel, avec
la direction technique des chiffres (DTC) rattachée à l’état-major de la
défense nationale (EMDN).
En 1947, il semblerait cependant que la DTC soit dissoute. Les
modalités et raisons de cette opération sont peu claires mais il est possible
qu’elles soient liées à des considérations administratives et budgétaires.
Sans qu’un lien formel ne puisse à ce stade être établi, il est intéressant de
« plonger » cette question dans le contexte politique de l’époque, post-
libération, de réflexion sur le statut des fonctionnaires et des agents publics,
qui sera formalisé par une loi parue en 1946. La coordination
interministérielle du chiffre semble, à ce moment-là, assurée par la section
transmissions de l’EMGDN (successeur de l’EMDN).
En 1951, un décret du 4 janvier porte création d’une « commission
interministérielle des chiffres » (CIC) et du « service technique central
du Chiffre » (STC-CH), tous deux dans le giron du secrétariat général du
Gouvernement (SGG).
La commission a pour mission de coordonner et de contrôler les
activités des services du chiffre. Elle est présidée par le SGG et réunit les
représentants des principaux ministères concernés. Elle s’appuiera sur les
travaux de deux sous-commissions : une pour la cryptologie et une pour les
affaires générales.
Le STC-CH, lui, assure les « travaux communs » et le secrétariat de la
CIC. Son chef présidera la sous-commission « Cryptologie ». C’est au
départ une structure très légère, de coordination, dotée seulement d’un chef
et de deux adjoints. Dans les documents officiels établis au moment de sa
création, trois noms sont cités : l’ambassadeur Philippe Grousset, chef du
service du chiffre du ministère des Affaires étrangères, qui sera
ultérieurement (à compter de novembre 1952) ambassadeur à Cuba ; le
lieutenant puis capitaine de gendarmerie André Muller ; et le commandant
Gerbaux, alors chef des transmissions gouvernementales au SGPDN
(successeur de l’EMDN). En réalité, il semblerait que les nominations
effectives des uns et des autres n’aient pas eu lieu immédiatement, et que
seul le capitaine André Muller ait concrètement été affecté, comme chargé
de mission à la Présidence du Conseil (SGG). André Muller jouera un
rôle central pour le chiffre français jusqu’à la fin de sa carrière, en
1976.
Les années 1950 marquent le début de la guerre froide. Ce climat
géopolitique particulier, et plusieurs évènements plus spécifiques, auront
des conséquences immédiates sur le chiffre français. La crise de Suez, en
1956, est à ce titre particulièrement intéressante. Elle servira de révélateur
pour les autorités françaises qui, comprenant qu’elles doivent se donner
les moyens des ambitions internationales de la France, accentueront les
efforts portés sur certains programmes liés aux enjeux de souveraineté. On
peut citer évidemment le programme de dissuasion nucléaire mais
également, et c’est moins connu, la filière française du chiffre, et
notamment son volet industriel.
En effet, à l’issue de la guerre, constat est fait que les moyens de
chiffrement en place sont désormais inadaptés, notamment vis-à-vis des
besoins modernes de communication et de l’essor des
télétransmissions : dans les faits, des machines à chiffrer telles que la C-36
d’Hagelin, conçue au début des années 1930, sont toujours en service. Les
télécommunications relèvent du monopole des PTT, qui ne semblent pas
toujours avoir conscience des enjeux liés à la confidentialité des
communications. Il faut noter, par ailleurs, que si de gros progrès ont été
réalisés durant la Seconde Guerre mondiale dans le domaine du
décryptement (notamment à Bletchley Park, dont les travaux sont qui plus
est restés secrets longtemps après la fin du conflit), le monde du
chiffrement et du déchiffrement n’avait pas bénéficié du même essor.
C’est dans ce contexte qu’en 1957, sous l’impulsion notamment d’André
Muller, un plan de modernisation des équipements de chiffrement est
approuvé par la CIC. Il est alors décidé de lancer des travaux de conception
d’une nouvelle machine à chiffrer, sous la forme d’un « concours
national ». Chacune des trois armées y présente un projet :
• « Myosotis » pour l’Armée de terre, avec la CSF (qui deviendra plus
tard Thomson-CSF puis Thales) ;
• « Ulysse » pour la Marine, avec la SEA ;
• et « Violette » pour l’Armée de l’air, avec la SAGEM (qui donnera plus
tard naissance au groupe Safran).
Cette séquence s’inscrit par ailleurs dans le cadre plus large de l’Alliance
atlantique. L’intervention franco-britannique de 1956 a en effet également
mis en évidence l’inadéquation des moyens de chiffrement au niveau
otanien. Au début des années 1960, l’OTAN décidera ainsi du lancement
d’un concours, similaire à celui lancé en France, afin de faire émerger, à
l’horizon 1963, une nouvelle machine à chiffrer pour remplacer les
matériels en place depuis plusieurs années. Quatre nations y participeront :
les États-Unis (avec le KW-7), le Royaume-Uni (avec l’ALVIS),
l’Allemagne (avec l’ELCROTEL) et… la France.
C’est le projet Myosotis qui est retenu au niveau français, et qui est
soumis au concours de l’OTAN. La machine Myosotis est la première
machine à chiffrer entièrement électronique, à base de transistors
(inventés à la fin des années 1940) au germanium. Elle est le résultat d’une
coopération entre la CSF (industriel), la délégation ministérielle pour
l’armement (qui deviendra la DGA), le STC-CH et la sous-commission
cryptologie de la CIC.
Si elle ne remporte pas le concours de l’OTAN (c’est l’ALVIS britannique
qui est choisi en 1963), la machine Myosotis recevra tout de même un
agrément du comité militaire pour traiter de l’information classifiée de
l’OTAN « à tous les niveaux ». Considérée par certains comme la
« meilleure machine cryptographique de son époque », elle permet à la
France de se placer dans le premier cercle des « puissances
cryptographiques » au niveau mondial.
Cet épisode aura pour vertus de doter la France :
• d’une industrie nationale du chiffre de premier rang, toujours
existante aujourd’hui ;
• et d’une doctrine, notamment pour la conception et l’évaluation de
produits cryptographiques.
En parallèle de la séquence Myosotis, les besoins grandissants en experts
compétents en cryptographie conduisent les autorités à créer, en 1957, le
centre d’études cryptographiques supérieures (CECS), chargé de
« former les spécialistes en cryptographie dont la France a besoin ». En
1962, le CECS est rattaché au STC-CH.
Dernier point important à signaler sur cette période : le lancement en
1966, par le président de Gaulle, du plan Calcul. La prise de contrôle, en
1964, de l’entreprise française Bull par l’américain General Electric
conduit la première dans une situation où elle se trouve incapable d’investir
dans les besoins de ses gros clients comme la Marine nationale ou EDF. Le
Gouvernement lance alors le plan Calcul, avec l’objectif de développer une
industrie informatique nationale, dans la perspective de bâtir une
industrie européenne. Cela entraînera notamment la création de l’IRIA
(devenu depuis l’INRIA) et de la Compagnie internationale pour
l’informatique (CII), qui in fine fusionnera avec Honeywell-Bull.
De cette séquence, on retiendra un certain nombre de points relativement
structurants :
• la plongée franche dans l’ère de l’électronique, à la suite des périodes
du « papier-crayon », de la mécanisation et de l’électromécanisation ;
• l’émergence du besoin d’évaluer les questions relatives aux
rayonnements compromettants (le « TEMPEST »), au-delà des
problématiques purement cryptographiques ;
• l’arrivée de problématiques de politique industrielle dans le domaine
du chiffre : entre le début des années 1930 et le début des années 1950,
quelques industriels (comme Hagelin) produisaient des machines à
chiffrer et les vendaient aux armées. On voit ici apparaître une
démarche d’origine politique : pour se donner les moyens de ses
ambitions internationales et assurer correctement sa souveraineté, la
France décide de faire produire des équipements de chiffrement (que
l’on appellera souvent « souverains ») par un industriel. Cela suppose
notamment de mettre en place une coopération efficace entre
pouvoirs publics et industriels, de réfléchir à une logique de
financement, d’intégrer des logiques de marché et d’envisager des
problématiques d’export ;
• le rôle intéressant de l’OTAN, dont la nature militaire l’amènera à être
la première organisation internationale à se saisir franchement des
problématiques de chiffre puis de sécurité informatique. Dans la
séquence, l’OTAN aura joué un rôle de stimulateur, de créateur
d’émulation, et permettra également de fournir un marché export à une
filière industrielle du chiffre pointue… mais coûteuse ;
• l’émergence de problématiques de contrôle à l’exportation. Le coût de
conception et de production des nouvelles machines à chiffrer
électroniques conduit les industriels à rechercher des marchés au-delà
des seuls marchés domestiques. Or, il est indéniable que ces
équipements sont basés sur des technologies sensibles, dont la maîtrise
et l’implémentation mettent en œuvre des savoir-faire rares. C’est à
cette époque que les premières questions relatives à l’exportation des
produits cryptographiques semblent se poser. Elles amèneront
notamment les autorités françaises à considérer les équipements
cryptographiques comme des « matériels de guerre », avec toutes les
mesures de contrôle à l’exportation subséquentes, évoquées dans un
chapitre précédent.
2. Les années 1970

Après les premiers travaux sur la commutation de paquets et les réseaux


informatiques, le programme ARPANET voit le jour aux États-Unis à
partir de 1966. Son premier lien est établi fin 1969. Cœur technique du futur
Internet, son but initial est de faciliter les télécommunications entre
chercheurs. Parmi les principes fondateurs d’ARPANET, la connectivité, la
distribution et la déconcentration prennent largement le pas sur les
questions de sécurité, malgré des avertissements comme celui lancé dès
1967 par Willis Ware sur les dangers potentiels de la mise en réseau des
équipements informatiques.
En France, l’essor d’ARPANET crée un engouement pour la notion de
réseau informatique. En 1971, Louis Pouzin réunit une petite équipe pour
conduire le projet Cyclades, destiné à créer un réseau global de
télécommunication à commutation de paquets. Abandonnés en 1978, les
travaux menés par Pouzin inspireront néanmoins ceux portant sur le
développement d’Internet – avec l’invention notamment en 1973 du
datagramme.
Plus spécifiquement, dans le domaine du chiffre français, André
Cattieuw, arrivé au STC-CH en 1962, succède en 1976 au général André
Muller à la tête du service. L’année suivante, par le décret du 8 mars 1977,
le STC-CH deviendra le service central des chiffres et de la sécurité des
télécommunications (SCCST), toujours sous autorité du SGG. Est créée
par ailleurs la commission interministérielle des chiffres et de la sécurité
des télécommunications (CICST).
Ce changement de nom traduit la prise en compte d’une réalité qui s’était
installée progressivement : l’interpénétration du chiffre et des
transmissions. Passant successivement du « crayon-papier » aux matériels
mécaniques et électromécaniques puis électroniques, les moyens de
chiffrement avaient fait des progrès considérables durant les décennies
précédentes. Cette évolution a amené progressivement les domaines du
chiffre et des télécommunications à se rapprocher. Les autorités de
l’époque prennent acte de leur interdépendance croissante et irréversible
qui, au-delà d’une simple évolution des moyens mis en œuvre, appelait
également une révision significative des doctrines d’emploi et de sécurité
du chiffre.
Le SCCST se voit confier un panel de missions de plus en plus large :
• coordination interministérielle (et notamment le secrétariat de la
CICST et de sa sous-commission « Cryptologie », qui se réunissait
alors mensuellement) ;
• exploitation (et notamment la fabrication de clés cryptographiques pour
les départements civils et militaires) ;
• études et recherches cryptologiques et techniques ;
• formation des personnels (via le CECS) ;

• contrôle du commerce et de l’exportation des matériels de


chiffrement ;
• relations internationales en matière de chiffre.
Le service, basé 57 boulevard des Invalides à Paris, compte alors entre 40
et 50 agents, issus du SGG, des armées et du ministère de la Coopération.

3. Les années 1980 et 1990

En décembre 1980, une décision du Premier ministre, Raymond Barre,


met en place une enceinte de coordination de haut niveau, le directoire de
cryptologie, pour « permettre au Gouvernement dans le domaine du chiffre
et de la sécurité des communications de se saisir de problèmes essentiels ».
Malgré toutes ces évolutions, le service rencontre beaucoup de difficultés
pour recruter son personnel. Le SGG demande alors un audit, effectué par le
vice-amiral d’escadre Bernard Klotz. L’audit confirme la prise en compte
des nouvelles tendances que sont « l’essor de l’informatique et de la
téléinformatique, le développement des télécommunications
numériques et l’apparition de services nouveaux comme le Minitel, la
télévision à péage ou la carte à puce3 ».
Des constats importants sont également faits quant à la cryptographie :
• longtemps cantonnée essentiellement aux domaines militaires et
diplomatiques, la cryptographie se répand progressivement dans la
société civile (carte à puce, télévision à péage, échanges bancaires,
etc.) ;
• les technologies de l’époque permettent de réaliser des moyens de
chiffrement à la fois puissants et bon marché ;
• la cryptographie, alors qu’elle avait longtemps été considérée comme
une discipline autonome, est désormais une composante d’une
discipline plus large, la sécurité informatique, que l’on ne tardera
plus à appeler « sécurité des systèmes d’information » (SSI).
Ainsi, en mars 1986, plusieurs textes réglementaires sont publiés pour
créer :
• le directoire de la sécurité des systèmes d’information (DSSI) ;
• la délégation interministérielle pour la sécurité des systèmes
d’information (DISSI) ;
•le service central de la sécurité des systèmes d’information (SCSSI) ;
• la commission interministérielle de la sécurité des systèmes
d’information (CISSI) ;
• et le centre d’études supérieures de la SSI (CESSSI).
Dans les faits, la plupart de ces structures succèdent à des entités déjà
existantes (le SCCST devient le SCSSI ; le CICST devient le CISSI ; le
CECS devient le CESSSI).
Le directoire de la SSI est placé auprès du Premier ministre et présidé
par le SGG. Il est chargé de proposer la politique à suivre pour la SSI et
d’en contrôler l’application. Il réunit deux fois par an des représentants des
ministres chargés des Finances, des Relations extérieures, de la Défense, de
l’Intérieur, de l’Industrie, de la Recherche et de la Technologie, et des PTT.
Prennent également part au DSSI : le chef de l’état-major particulier du
président de la République, le chef du cabinet militaire du Premier ministre,
le SGDN, le DISSI (qui en assure le secrétariat) et le chef du SCSSI.
La délégation interministérielle pour la SSI, seule entité vraiment
nouvelle, est rattachée d’un point de vue administratif et budgétaire au
SGG. Elle assure le secrétariat du DSSI et la présidence de la CISSI, et
dispose de la SCSSI. Elle propose les mesures SSI « que l’intérêt national
rendrait souhaitables » et coordonne l’activité des compétences françaises
en SSI – essentiellement au sein de la Défense, des PTT et de la SCSSI.
Elle s’intéresse aux domaines de la sécurité des communications, de la
cryptologie, de la protection contre les rayonnements compromettants et de
la sécurité logique. C’est une structure légère, composée d’un délégué et de
deux adjoints (l’un proposé par le ministère de la Défense, l’autre par celui
des PTT). Le vice-amiral d’escadre Klotz devient le premier DISSI à
compter de mars 1986. L’ingénieur général des télécoms Jacques Vincent-
Carrefour lui succédera, de 1987 à 1996. Le colonel André Cattieuw,
jusque-là chef du SCCST, devient l’un des adjoints du DISSI – jusqu’en
1993.
Le SCSSI succède au SCCST. Cette nouvelle appellation s’inscrit dans la
continuité du précédent changement de nom du service : il s’agit de
traduire la prise en compte de tous les aspects de la SSI. Le SCSSI
évalue le niveau de protection des SI de l’État, participe aux activités de
recherche, coordonne les études et développements dans le domaine de la
SSI, contrôle les exportations des matériels de chiffrement, entretient des
relations internationales dans le domaine de la SSI, etc. Le CESSSI lui est
par ailleurs rattaché. Le premier chef du SCSSI est l’ingénieur de
l’armement Pierre Mary.
Les dix années qui suivront seront le théâtre d’un certain nombre de
péripéties administratives et logistiques :
• en 1987, à la suite d’un audit demandé par le Premier ministre, la DISSI

et le SCSSI sont rattachés au SGDN. La SCSSI est par ailleurs répartie


géographiquement entre le boulevard des Invalides et le fort du
Kremlin-Bicêtre ;
• en 1990, le SCSSI se regroupe dans un bâtiment construit dans
l’enceinte du fort d’Issy-les-Moulineaux ;
• en 1993, la DISSI et le SCSSI sont de retour dans le giron du SGG ;
• en 1996, la DISSI est dissoute (dans le cadre de la réforme de l’État et
de l’allègement de ses structures), ses compétences sont transférées au
SGDN, ses moyens répartis entre le SGDN et le SCSSI. Le SGDN
préside le DSSI à la place du SGG et devient l’autorité chargée, au
niveau interministériel, de mettre en œuvre la politique du
Gouvernement en matière de SSI. Le SCSSI, quant à lui, est sous
double tutelle du SGDN (pour l’emploi) et du SGG (pour la gestion). Il
compte à ce stade environ 80 agents (ses homologues britanniques et
allemands en comptent alors respectivement 370 et 335).
Sur cette période, les chefs successifs du SCSSI sont l’ingénieur de
l’armement Michel Dages (1989-1995) et le général Jean-Louis Desvignes
(1995-2000).
Aux alentours de 1990, le SCSSI voit une évolution importante de ses
missions : alors que les préoccupations initiales du service étaient
essentiellement d’ordre gouvernemental, les aspects dits
« commerciaux » prennent de plus en plus d’importance. Ceci se traduit
notamment dans la loi de décembre 1990 sur la réglementation des
télécommunications, qui engagea un mouvement progressif de
libéralisation de la cryptologie en France.
En parallèle, en 1997, le gouvernement du Premier ministre Lionel
Jospin lance le programme d’action gouvernementale pour la société de
l’information (PAGSI). Dans son discours à l’université d’été de la
communication à Hourtin en 1997, le Premier ministre prend ainsi acte de
« la généralisation de l’usage des technologies et des réseaux
d’information », de « l’évolution technologique de plus en plus rapide, qui
s’accompagne d’un développement exponentiel du marché » et de « la
mondialisation des flux d’information4 ».
Deux ans plus tard, dans la continuité des travaux du comité
interministériel pour la société de l’information de janvier 1999, Lionel
Jospin prononcera, en août 1999, toujours à Hourtin, un discours fondateur
pour la sécurité numérique française5. De nombreuses décisions
structurantes sont ainsi prises durant cette période :
• la décision de libéraliser l’utilisation des produits de cryptologie
(sous réserve du maintien des contrôles à l’exportation), en relevant
notamment la limite au-delà de laquelle les clés cryptographiques
devaient être déposées en séquestre de 40 à 128 bits ;
• la transposition de la directive européenne de 1995 relative à la
protection des données à caractère personnel ;
• la prise en compte de la valeur probante des documents numériques
signés électroniquement ;
• la création d’une capacité de cyberdéfense pour le compte de
l’administration, le CERTA, qui sera rattaché au SCSSI, lui-même
rattaché pleinement, courant 1999, au SGDN ;
• l’accroissement des moyens techniques et humains affectés à la SSI,
et notamment le renforcement du SCSSI.

4. Des années 2000 à nos jours

Outre le fameux « bug de l’an 2000 », l’entrée dans les années 2000 se
fait sur fond d’attaques massives par DDoS envers des géants (ou futurs
géants) américains du commerce électronique tels que Yahoo!, Amazon et
eBay, illustrant bien la dépendance de pans entiers de l’économie sur la
disponibilité du réseau Internet. Alors que la problématique de la sécurité
informatique était initialement portée sur la sécurité des messages échangés,
on assiste petit à petit à l’essor des « cyberattaques » massives et visibles,
avec des effets significatifs sur les systèmes.
En France, en juillet 2001 est créée la direction centrale de la sécurité
des systèmes d’information (DCSSI), à la suite du SCSSI. Rattachée au
SGDN, basée à l’Hôtel national des Invalides, et dotée alors d’environ 80
personnes, elle assure plusieurs grandes fonctions :
• une fonction de stratégie et de régulation, en contribuant à la définition
de la politique gouvernementale en matière de SSI ; en évaluant,
certifiant et agréant les produits de sécurité ; en gérant les autorisations
d’exportation ; en assurant les relations internationales en matière de
SSI ; en analysant l’environnement technologique et industriel dans le
domaine ;
• une fonction opérationnelle, en évaluant les vulnérabilités et les
menaces ; en développant les capacités à les contrer et à les prévenir ;
en assurant un rôle d’appui et de conseil au profit de l’administration ;
• une fonction d’expertise, en développant l’expertise scientifique et
technique dans le domaine de la SSI, pour l’administration et les
services publics.
Son premier directeur est l’ingénieur des télécommunications Henri
Serres, ancien directeur technique de la DGSE. C’est l’ingénieur des
télécommunications Patrick Pailloux qui prendra sa suite en octobre 2005.
En 2008, le Livre blanc sur la défense et la sécurité nationale place la
SSI dans le « premier cercle » d’un « domaine de souveraineté, concentré
sur les capacités nécessaires au maintien de l’autonomie stratégique et
politique de la nation ». L’année suivante, en juillet 2009, l’Agence
nationale de la sécurité des systèmes d’information (ANSSI) est créée.
Toujours rattachée au SGDSN, elle succède à la DCSSI, en acquérant les
statuts :
• de service à compétence nationale, qui reconnaît son caractère

opérationnel et lui permet de s’adresser notamment aux administrations


centrales et déconcentrées sur l’ensemble du territoire national ;
• et d’autorité nationale de sécurité des SI, qui lui permet de continuer à
exercer les missions confiées à la DCSSI mais avec une compétence
propre donnée au directeur général de l’agence, qui peut signer des
décisions par délégation du Premier ministre. En 2011, ce rôle
d’autorité sera élargi à celui d’autorité de sécurité et de défense des SI.
L’agence intervient également officiellement dans la protection des
infrastructures critiques de la Nation. Ce sera l’objet d’importants travaux
qui prendront corps notamment dans le Livre blanc sur la défense et la
sécurité nationale de 2013, puis dans les dispositions de la loi de
programmation militaire 2014-2019, promulguée la même année.
En 2009, Patrick Pailloux devient le premier directeur général de
l’ANSSI, rôle qu’il tiendra jusqu’en 2014. C’est Guillaume Poupard, un
ingénieur de l’armement, qui prendra sa suite et est encore à la tête de
l’agence à l’écriture de ces lignes.

5. Conclusions finales du chapitre

Sur la séquence très riche allant des années 1970 au début des années
2010 peuvent être observées de nombreuses évolutions structurantes quant à
la sécurité numérique française et mondiale :
• l’interpénétration progressive et irréversible du chiffre et des
transmissions ;
• l’apparition et le développement fulgurant de la mise en réseau de
l’informatique, avec la création d’ARPANET puis l’essor d’Internet ;
• le développement des télécommunications et des technologies
numériques ;
• l’arrivée du numérique et des enjeux de sécurité numérique dans la
société civile et l’économie, au-delà des sphères souveraines et
militaires ;
• l’apparition des concepts de « SSI » puis de « cybersécurité » et de
« cyberdéfense » – les deux derniers faisant écho à la recrudescence
des cyberattaques ;
• la prise en compte de la sécurité numérique comme un enjeu
stratégique pour les États, non seulement au cœur de leurs stratégies
de puissance mais également désormais partie intégrante de la
conflictualité mondiale.

1. RIBADEAU-DUMAS L., « Essai d’historique du chiffre de l’Armée de terre », dans Bulletin de


l’Association des réservistes du Chiffre, n° 2 à 5, 1974-1977.
2. DESFEMMES A., « Réflexions sur la guerre électronique », dans Revue de l’Armée, n° 24, 1962.
3. Inventée en 1974 par le français Roland Moreno.
4. Déclaration de JOSPIN L., Premier ministre, sur les enjeux de l’entrée de la France dans la société
de l’information, et sur le programme d’action pour le multimédia du gouvernement, notamment à
l’école et pour l’amélioration des relations entre l’administration et le citoyen, Hourtin, 25 août
1997.
5. Déclaration de JOSPIN L., Premier ministre, sur la mise en œuvre et les orientations de
développement du Programme d’action gouvernementale pour la société de l’information
(PAGSI), Hourtin, 26 août 1999.
Remerciements

L’auteur souhaite adresser des remerciements chaleureux et rendre un


hommage sincère à toutes celles et tous ceux qui ont permis, de près de ou
de loin, la conception, l’élaboration et la publication de cet ouvrage.
Parmi eux, il y a sa famille, ses amis et ses collègues. Ce sont également
ses étudiants (à Lille, à Nancy, à Paris ou ailleurs), ses enseignants, ses
mentors, ses tuteurs, ses managers et ses chefs.
Parmi eux, il y a également ceux qui œuvrent au quotidien pour la
continuité et la prospérité de la Nation, en particulier pour sa sécurité et sa
défense – dans l’espace numérique et dans les différents milieux. Ils servent
à l’ANSSI, évidemment, mais également dans toutes les entités de la sphère
de la sécurité et de la défense nationale, dont une partie sont citées dans cet
ouvrage. L’auteur tient à rendre un hommage sincère et appuyé à ces gens
de très grande valeur. Dans un monde où les tensions, les menaces, les
inégalités et l’individualisme croissent de manière inquiétante, ils sont
l’État qui protège et qui défend. Ils sont parfois dans le feu de l’action, en
première ligne, visibles et célébrés. Beaucoup d’entre eux ne connaissent
également que trop bien toute l’abnégation dont ils doivent faire preuve
pour répondre à la nécessité d’œuvrer dans l’ombre, au service des intérêts
du plus grand nombre. Que toutes et tous soient ici chaleureusement
remerciés pour leur action et leur dévouement.
Par ailleurs, pour leur support, leur bienveillance et leurs efforts de
relecture attentive, contribuant ainsi pleinement à la naissance, à la
rédaction et à la cohérence de cet ouvrage, l’auteur, qui conserve toute la
responsabilité des éventuelles erreurs et inexactitudes résiduelles, souhaite
tout particulièrement remercier : Frédéric Babin, Marc-Antoine Brillant,
Fabien Caparros, Guillaume C., Jean-Baptiste Demaison, Guillaume
Denglos, Adrien Gevaudan, Mathilde Latour, Vincent Loriot, Alexandre
Magloire, Benjamin Morin, Vivien Mura, Léonard Rolland, Romain
Santini, Jean S., Anne Tricaud, et Yves Verhoeven.
Enfin, l’auteur souhaite conclure avec une pensée affectueuse pour sa
mère, son père et son épouse qui, au fil des années, lui ont appris à
rechercher et à chérir le Bien, le Vrai et le Beau. Pour tout ce qu’il a de
positif, cet ouvrage est aussi le leur.
Glossaire
des acronymes et sigles

ACO Allied Command for Operations

ACT Allied Command for Transformation

AG Assemblée générale

AMRAE Association pour le management des risques et des assurances de l’entreprise

ANSSI Agence nationale de la sécurité des systèmes d’information

ARCEP Autorité de régulation des communications électroniques et des Postes

ARCSI Association des réservistes du chiffre et de la sécurité de l’information

ATT&CK Adversarial Tactics, Techniques and Common Knowledge

BATX Baidu, Alibaba, Tencent, Xiaomi

BCRA Bureau central de renseignement et d’action

BCRAM Bureau central de renseignement et d’action militaire

BDU Bien à double usage

BEFTI Brigade d’enquête sur les fraudes aux technologies de l’information

BMA Bureau des menées antinationales


C2 Command and control

C3N Centre de lutte contre les criminalités numériques

C4 Centre de coordination des crises cyber

CAC Cyberspace Administration of China

CALID Centre d’analyse en lutte informatique défensive

CAN Conseil de l’Atlantique Nord


ou Conseil des armements nucléaires

CaP Capability Panel

CAPS Centre d’analyse, de prévision et de stratégie

CaT Capability Team

CCD Cooperative Cyber Defence Centre of Excellence


COE

CDN Conseil de défense nationale

CDSN Conseil de défense et de sécurité nationale

CEA- Direction des applications militaires du commissariat à l’énergie atomique et


DAM aux énergies alternatives

CECS Centre d’études cryptographiques supérieures

CEE Communauté économique européenne

CEMA Chef d’état-major des armées

CEMP Chef d’état-major particulier

CERN Conseil européen pour la recherche nucléaire

CERT Computer Emergency Response Team

CERT/CC Computer Emergency Response Team/Coordination Center

CERTA CERT de l’Administration

CESSSI Centre d’études supérieures de la sécurité des systèmes d’information


CFLN Comité français de libération nationale

CGE Conseil général de l’économie

CIA Central Intelligence Agency

CIC Cellule interministérielle de crise


ou Commission interministérielle des chiffres

CICST Commission interministérielle des chiffres et de la sécurité


des télécommunications

CII Compagnie internationale pour l’informatique

CISA Cybersecurity and Infrastructure Security Agency

CISSE Commissariat à l’intelligence stratégique et à la sécurité économique

CISSI Commission interministérielle de la sécurité des systèmes d’information

CM Comité militaire

CNIL Commission nationale de l’informatique et des libertés

CNR Conseil national du renseignement

CNRLT Coordonnateur national du renseignement et de la lutte


contre le terrorisme

CNRS Centre national de la recherche scientifique

CNU Charte des Nations unies

COBIT Control Objectives for Information and related Technology

CRÉDOC Centre de recherche pour l’étude et l’observation des conditions de vie

CSDN Conseil supérieur de la défense national

CSF Compagnie générale de la télégraphie sans fil

CSIRT Computer Security Incident Response Team

CTG Centre de transmissions gouvernemental

CTI Cyber Threat Intelligence


DACAN Military Committee Distribution and Accounting Agency

DACG Direction des affaires criminelles et des grâces

DARPA Defense Advanced Research Projects Agency

DCPJ Direction centrale de la police judiciaire

DCSSI Direction centrale de la sécurité des systèmes d’information

DDoS Distributed Denial of Service

DGA Direction générale de l’armement

DGA-MI Direction générale de l’armement – maîtrise de l’information

DGE Direction générale des entreprises

DGER Direction générale des études et recherches

DGRIS Direction générale des relations internationales et de la stratégie

DGSE Direction générale de la sécurité extérieure

DGSI Direction générale de la sécurité intérieure

DGSS Direction générale des services spéciaux

DGT Direction générale du Trésor

DHS Department of Homeland Security

DIH Droit international humanitaire

DIP Droit international public

DISSI Délégation interministérielle pour la sécurité de systèmes d’information

DMISC Délégation ministérielle aux industries de sécurité et à la lutte contre les


cybermenaces

DMZ Demilitarized Zone

DNS Domain Name System

DoS Denial of Service


DRSD Direction du renseignement et de la sécurité de la défense

DSR/SM Direction des services de renseignement et de la sécurité militaire

DSSI Directoire de la sécurité des systèmes d’information

DTC Direction technique des chiffres

ECIIA European Confederation of Institutes of Internal Auditing

ECSO European Cybersecurity Organisation

EDR Endpoint Detection and Response

EFF Electronic Frontier Foundation

EGC European Government CERT

eIDAS Electronic Identification Authentication and Trust Services

EMA État-major des armées

EMDN État-major de la défense nationale

EMGDN État-major général de la défense nationale

EMI État-major militaire international

ENISA European Network and Information Security Agency

FBI Federal Bureau of Investigation

FERMA Federation of European Risk Management Associations

FIPS Federal Information Processing Standards

FIRST Forum of Incident Response and Security Teams

FSB Federalnaïa sloujba bezopasnosti Rossiyskoï Federatsii

FSN Fournisseur de service numérique

G7 Groupe des sept

G20 Groupe des vingt


GAFA Google, Apple, Facebook, Amazon

GC&CS Government Code and Cypher School

GCHQ Government Communications Headquarters

GGE Group of Governmental Experts

GPRF Gouvernement provisoire de la République française

GQG Grand Quartier général

GRC Governance, Risk and Compliance

HIDS Host-based Intrusion Detection System

HTML Hypertext Markup Language

HTTP Hypertext Transfer Protocol

HTTPS Hypertext Transfer Protocol Secure

IA Intelligence artificielle

IAB Internet Architecture Board

ICANN Internet Corporation for Assigned Names and Numbers

ICUE Information classifiée de l’Union européenne

IDS Intrusion Detection System

IEC International Electrotechnical Commission

IETF Internet Engineering Task Force

IFACI Institut français de l’audit et du contrôle interne

IGF Internet Governance Forum

IGI Instruction générale interministérielle

IHEDN Institut des hautes études de Défense nationale

II Instruction interministérielle
INRIA Institut national de recherche en informatique et en automatique

IOC Indicators of Compromise

IP Internet Protocol

IPS Intrusion Prevention System

IRIA Institut de recherche en informatique et en automatique

IRSEM Institut de recherche stratégique de l’École militaire

ISA International Society of Automation

ISACA Information Systems Audit and Control Association

ISO International Organization for Standardization

ISOC Internet Society

ITIL Information Technology Infrastructure Library

KGB Komitet gossoudarstvennoï bezopasnosti

LCEN Loi pour la confiance dans l’économie numérique

LID Lutte informatique défensive

LIO Lutte informatique offensive

LPM Loi de programmation militaire

MBR Master Boot Record

MCO Maintien en condition opérationnelle

MCS Maintien en condition de sécurité

MIT Massachusetts Institute of Technology

NCIA NATO Communications and Information Agency

NCIRC NATO Computer Incident Response Capability

NCSC National Cyber Security Centre


NIDS Network-based Intrusion Detection System

NIS Network and Information Security

NIST National Institute of Standards and Technology

NORAD North American Aerospace Defense Command

NSA National Security Agency

NSDD National Security Decision Directive

NSS National Security Systems

OCDE Organisation de coopération et de développement économiques

OCLCTIC Office central de lutte contre la criminalité liée aux technologies


de l’information et de la communication

OECE Organisation européenne de coopération économique

OEWG Open-ended working group

OI Organisation internationale

OICT Office of Information and Communications Technology

OIV Opérateur d’importance vitale

ONU Organisation des Nations unies

OPM Office of Personnel Management

OPSEC Operational Security

OSCE Organisation pour la sécurité et la coopération en Europe

OSE Opérateur de services essentiels

OSIIC Opérateur des systèmes d’information interministériels classifiés

OTAN Organisation du traité de l’Atlantique Nord

PAGSI Programme d’action gouvernementale pour la société de l’information

PASSI Prestataire d’audit de sécurité des systèmes d’information


PCA Plan de continuité d’activité

PCC Parti communiste chinois

PCI DSS Payment Card Industry Data Security Standard

PDIS Prestataire de détection des incidents de sécurité

PME Petite ou moyenne entreprise

POTUS President of the United States

PPC Posture permanente cyber

PRA Plan de reprise d’activité

PRIS Prestataire de réponse aux incidents de sécurité

PSCE Prestataire de services de certification électronique

PSE Protection et sécurité de l’État

PSHE Prestataire de services d’horodatage électronique

PTT Postes, télégraphes et téléphones

RETEX Retour d’expérience

RGAA Référentiel général d’accessibilité pour les administrations

RGI Référentiel général d’interopérabilité

RGPD Règlement général sur la protection des données

RGS Référentiel général de sécurité

RIR Regional Internet Registry

RSC Revue stratégique de cyberdéfense

SACEUR Supreme Allied Commander Europe

SACT Supreme Allied Commander Transformation

SAGEM Société d’applications générales d’électricité et de mécanique


SAIV Sécurité des activités d’importance vitale
ou Secteur d’activité d’importance vitale

SCCST Service central des chiffres et de la sécurité des télécommunications

SCN Service à compétence nationale

SCSSI Service central de la sécurité des systèmes d’information

SDECE Service de documentation extérieure et de contre-espionnage

SEA Société d’électronique et d’automatisme

SEAE Service européen pour l’action extérieure

SECAN Military Committee Communication and Information Systems Security and


Evaluation Agency

SG Secrétaire général

SG- Secrétariat général du Conseil supérieur de la défense national


CSDN

SGAE Secrétariat général des affaires européennes

SGCUE Secrétariat général du Conseil de l’Union européenne

SGDN Secrétariat général de la défense nationale

SGDSN Secrétariat général de la défense et de la sécurité nationale

SGG Secrétariat général du gouvernement

SGMer Secrétariat général de la mer

SGPDN Secrétariat général permanent de la défense nationale

SHAPE Supreme Headquarters Allied Powers Europe

SI Système d’information

SIEM Security Information and Event Management

SIIV Système d’information d’importance vitale

SMB Server Message Block


SMSI Système de management de la sécurité de l’information

SOC Security Operations Center

SPC Signaux parasites compromettants

SPDE Security and Privacy in the Digital Economy

SPE Sony Pictures Entertainment

SR Service de renseignement

SSI Sécurité des systèmes d’information

STAD Système de traitement automatisé de données

STC-CH Service technique central du chiffre

STR Service technique de recherche

SWIFT Society for Worldwide Interbank Financial Telecommunication

TAN Traité de l’Atlantique Nord

TAO Tailored Access Operations

TCP/IP Transmission Control Protocol/Internet Protocol

TFUE Traité sur le fonctionnement de l’Union européenne

TLP Traffic Light Protocol

TPE Très petite entreprise

TR Travaux ruraux

TTP Tactics, Techniques and Procedures

TUE Traité sur l’Union européenne

UE Union européenne

VEP Vulnerability Equity Process

ZRR Zone à régime restrictif


Références

Sont listées ici les différentes ressources mentionnées tout au long de


l’ouvrage, ainsi que d’autres travaux auxquels les lecteurs souhaitant
approfondir certains points – qu’il s’agisse de sécurité numérique ou
d’autres thèmes connexes – pourront utilement se référer.

I. Livres
1. Sur la sécurité numérique ou fortement connexes
• ANDERSON R., « Security Engineering », John Wiley & Sons,
2e édition, 2008.
• BELLANGER P., La souveraineté numérique, Stock, 2014.
• BONNEMAISON A., DOSSÉ S., Attention : Cyber ! Vers le combat
cyber-électronique, Economica, coll. « Cyberstratégie », 2014.
• BOYER B., Cyberstratégie, l’art de la guerre numérique, Nuvis, coll.
« La Pensée stratégique », 2012.
• BOYER B., Cybertactique : conduire la guerre numérique, Nuvis,
coll. « Cyberespace et cyberdéfense », 2014.
• DOSSÉ S., KEMPF O., MALIS C., Le cyberespace – Nouveau domaine
de la pensée stratégique, Economica, coll. « Cyberstratégie »,
2013.
• GHERNAOUTI S., Cybersécurité – Analyser les risques, mettre en
œuvre les solutions, Dunod, coll. « InfoSup », 6e édition, 2019.
• HARREL Y., La cyberstratégie russe, Nuvis, coll. « Cyberespace et
cyberdéfense », 2013.
• HUYGHE F.-B., KEMPF O., MAZZUCCHI N., Gagner les cyberconflits,
Economica, coll. « Cyberstratégie », 2015.
• ITEANU O., Quand le digital défie l’État de droit, Eyrolles, 2016.
• KAPLAN F., « Dark Territory: The Secret History of Cyber War »,
Simon & Schuster, 2016.
• KEMPF O., Introduction à la cyberstratégie, Economica, coll.
« Cyberstratégie », 2012.
• MICHAUD Q., L’affaire Edward Snowden, Economica, coll.
« Cyberstratégie », 2014.
• MITNICK K., SIMON W., « The Art of Deception – Controlling the
Human Element of Security », John Wiley & Sons, 2003.
• TAILLAT S., CATTARUZZA A., DANET D., La cyberdéfense – Politique
de l’espace numérique, Armand Colin, 2018.
• VENTRE D., Cyberattaque et cyberdéfense, Hermes Science
Publications, coll. « Cyberconflits et cybercriminalité », 2011.

2. Pour lire l’histoire de la sécurité numérique

• BAINVILLE J., Histoire de France, ST2, coll. « Texto », 2007.


• BERTRAND C. et al., Guerres secrètes, musée de l’Armée et Somogy
éditions d’Art, 2016.
• DE LASTOURS S., La France gagne la guerre des codes secrets
1914-1918, Tallandier, coll. « Documents d’histoire », 1998.
• DELHEZ J.-C., La France espionne le monde (1914-1919),
Economica, coll. « Campagnes & stratégies », 2014.
• JACKSON J., De Gaulle, Seuil, 2019.
• KAUFFER R., Histoire mondiale des services secrets, Perrin, 2015.
• LAURENT S.-Y., Le secret de l’État. Surveiller, protéger, informer.
XVIIe-XXe siècle, Archives nationales et Nouveau monde éditions,
2015.
• LEHNING H., La bible des codes secrets, Flammarion, 2019.
• RIVET L., Carnets du chef des services secrets 1936-1944,
Nouveau monde éditions, coll. « Grand jeu », présenté par
FORCADE O. et LAURENT S.-Y., 2010.
• TURING D., Enigma – Ou comment les Alliés ont réussi à casser le
code nazi, Nouveau monde éditions, 2019.

3. Sur d’autres sujets

• BATTISTELLA D., Théorie des relations internationales, Presses de


Sciences Po, 5e édition, 2015.
• BEAUFRE A., Introduction à la stratégie, Fayard/Pluriel, 2012.
• BERNAYS E., Propaganda, Zones, 2007.
• BOURGEOIS M., Droit de la donnée – Principes théoriques et
approche pratique, LexisNexis, 2017.
• CITTON Y., L’économie de l’attention – Nouvel horizon du
capitalisme ?, La Découverte, 2014.
• COLIN N., VERDIER H., L’âge de la multitude – Entreprendre et
gouverner après la révolution numérique, Armand Colin, 2015.
• COUTAU-BÉGARIE H., Bréviaire stratégique, Argos, 2013.
• DESPORTES V., Décider dans l’incertitude, Economica, 2007.
• DESPORTES V., Entrer en stratégie, Robert Laffont, 2019.
• GAUTIER L., La défense de la France après la guerre froide, Puf,
coll. « Major », 2009.
• HARARI Y. N., « Sapiens : Une brève histoire de l’humanité », Albin
Michel, 2015.
• KASTOUÉVA-JEAN T., La Russie de Poutine en 100 questions,
Tallandier, 2018.
• KEMPF O., L’OTAN au XXIe siècle – La transformation d’un héritage,
Éditions du Rocher, 2014.
• LIMONIER K., Ru.net – Géopolitique du cyberespace russophone,
L’inventaire, coll. « Les Carnets de l’Observatoire », 2018.
• NIQUET V., La puissance chinoise en 100 questions, Tallandier,
2017.
• QIAO L., WANG X., La guerre hors limites, Rivages poche, 2006.
• ROCHE N., Pourquoi la dissuasion, Puf, 2017.
• ROUSSET B., SILBERZAHN P., Stratégie modèle mental, Diateino,
2019.
• SUN T., L’art de la guerre, Flammarion, 2008.
• TAWIL E., Relations internationales, Vuibert, 6e édition, 2017.
• TERTRAIS B., La France et la dissuasion nucléaire : concept,
moyens, avenir, La Documentation française, 2017.
• THOENIG J.-C., Dictionnaire des politiques publiques, Presses de
Sciences Po, 4e édition, 2014.
• WEBER M., Le savant et le politique, 10/18, 1996.

II. Textes officiels


1. Textes réglementaires français
a. Arrêtés

• Arrêté du 13 juin 2014 portant approbation du référentiel général


de sécurité et précisant les modalités de mise en œuvre de la
procédure de validation des certificats électroniques.
• Arrêté du 10 juin 2015 prorogeant les délais de mise en œuvre du
référentiel général de sécurité.

b. Constitution
• Constitution du 4 octobre 1958.

c. Décrets

• Décret n° 73-364 du 12 mars 1973 relatif à l’application du décret


du 18 avril 1939 fixant le régime des matériels de guerre, armes et
munitions.
• Décret n° 86-250 du 18 février 1986 portant modification du décret
n° 73-364 du 12 mars 1973 relatif à l’application du décret du
18 avril 1939 fixant le régime des matériels de guerre, armes et
munitions.
• Décret n° 97-464 du 9 mai 1997 relatif à la création et à
l’organisation des services à compétence nationale.
• Décret n° 2009-834 du 7 juillet 2009 portant création d’un service à
compétence nationale dénommé « Agence nationale de la sécurité
des systèmes d’information ».
• Décret n° 2010-112 du 2 février 2010 pris pour l’application des
articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre
2005 relative aux échanges électroniques entre les usagers et les
autorités administratives et entre les autorités administratives.
• Décret n° 2011-170 du 11 février 2011 modifiant le décret n° 2009-
834 du 7 juillet 2009 portant création d’un service à compétence
nationale dénommé « Agence nationale de la sécurité des
systèmes d’information ».
• Décret n° 2012-436 du 30 mars 2012 portant transposition du
nouveau cadre réglementaire européen des communications
électroniques.
• Décret n° 2015-510 du 7 mai 2015 portant charte de la
déconcentration.

d. Instructions interministérielles
• ANSSI, instruction interministérielle n° 300/SGDSN/ANSSI du
23 juin 2014 relative à la protection contre les signaux parasites
compromettants.
• ANSSI, instruction interministérielle n° 901/SGDSN/ANSSI du
28 janvier 2015 relative à la protection des systèmes d’information
sensibles.
• ANSSI, instruction interministérielle n° 910/SGDSN/ANSSI du
22 octobre 2013 relative aux articles contrôlés de la sécurité des
systèmes d’information.
• DCSSI, instruction interministérielle n° 920/SGDSN/DCSSI du
12 janvier 2005 relative aux systèmes traitant des informations
classifiées de défense de niveau Confidentiel Défense.
• SGDSN, Instruction générale interministérielle
n° 1300/SGDSN/PSE/PSD du 30 novembre 2011 sur la protection
du secret de la défense nationale.
• SGDSN, instruction interministérielle n° 2100/SGDN/SSD du
1er décembre 1975 pour l’application en France du système de
sécurité de l’Organisation du traité de l’Atlantique Nord (OTAN).
• SGDSN, instruction générale interministérielle
n° 2102/SGDSN/PSE/PSD du 12 juillet 2013 sur la protection en
France des informations classifiées de l’Union européenne (UE).
• SGDSN, Instruction générale interministérielle
n° 6600/SGDSN/PSE/PSN du 7 janvier 2014 relative à la sécurité
des activités d’importance vitale.

e. Lois

• Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers


et aux libertés.
• Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique.
• Loi n° 90-1170 du 29 décembre 1990 sur la réglementation des
télécommunications.
• Loi n° 96-659 du 26 juillet 1996 de réglementation des
télécommunications.
• Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie
numérique.
• Loi n° 2005-493 du 19 mai 2005 autorisant l’approbation de la
convention sur la cybercriminalité et du protocole additionnel à
cette convention relatif à l’incrimination d’actes de nature raciste et
xénophobe commis par le biais de systèmes informatiques.
• Loi n° 2009-928 du 29 juillet 2009 relative à la programmation
militaire pour les années 2009 à 2014 et portant diverses
dispositions concernant la défense.
• Loi n° 2013-1168 du 18 décembre 2013 relative à la
programmation militaire pour les années 2014 à 2019 et portant
diverses dispositions concernant la défense et la sécurité
nationale.
• Loi n° 2016-1321 du 7 octobre 2016 pour une République
numérique.
• Loi n° 2018-607 du 13 juillet 2018 relative à la programmation
militaire pour les années 2019 à 2025 et portant diverses
dispositions intéressant la défense.

f. Ordonnance

• Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux


échanges électroniques entre les usagers et les autorités
administratives et entre les autorités administratives.

2. Textes réglementaires internationaux

a. Divers

• Convention de Montevideo sur les droits et les devoirs des États,


Montevideo, 26 décembre 1933.
• Charte des Nations unies, San Francisco, 26 juin 1945.
• Affaire du Détroit de Corfou, arrêt du 9 avril 1949, C.I.J. Recueil
1949, p. 4.
• Conseil de l’Europe, convention sur la cybercriminalité, Budapest,
23 novembre 2001.

b. États-Unis d’Amérique

• États-Unis d’Amérique, « Computer Security Act », H.R. 145,


8 janvier 1988.
• États-Unis d’Amérique, « Clarifying Lawful Overseas Use of Data
Act », H.R. 4943, 23 mars 2018.
• États-Unis d’Amérique, The White House, « National Security
Decision Directive 145 (NSDD-145) : National Policy on
Telecommunications and Automated Information Systems
Security », 17 septembre 1984.
• États-Unis d’Amérique, The White House, « National Cyber
Strategy of the United States of America », septembre 2018.
• États-Unis d’Amérique, DHS, « Binding Operational Directive BOD-
17-01: Removal of Kaspersky-branded Products », 13 septembre
2017.

c. Organisation des Nations unies

• Assemblée générale des Nations unies, « Fédération de Russie :


projet de résolution – Les progrès de la téléinformatique dans le
contexte de la sécurité internationale », A/C.1/53/L.17, 23 octobre
1998.
• Assemblée générale des Nations unies, 53e session, 79e séance
plénière, A/53/PV.79, 4 décembre 1998.
• Assemblée générale des Nations unies, Résolution 56/19 de
l’Assemblée générale, « Les progrès de la téléinformatique dans le
contexte de la sécurité internationale », A/RES/56/19, 7 janvier
2002.
• Assemblée générale des Nations unies, « Groupe d’experts
gouvernementaux chargé d’examiner les progrès de la
téléinformatique dans le contexte de la sécurité internationale –
Rapport du Secrétaire général », A/60/202, 5 août 2005.
• Assemblée générale des Nations unies, « Groupe d’experts
gouvernementaux chargé d’examiner les progrès de la
téléinformatique dans le contexte de la sécurité internationale –
Note du Secrétaire général », A/65/201, 30 juillet 2010.
• Assemblée générale des Nations unies, « Lettre datée du
12 septembre 2011, adressée au Secrétaire général par les
Représentants permanents de la Chine, de la Fédération de
Russie, de l’Ouzbékistan et du Tadjikistan », A/66/359,
14 septembre 2011.
• Assemblée générale des Nations unies, « Groupe d’experts
gouvernementaux chargé d’examiner les progrès de la
téléinformatique dans le contexte de la sécurité internationale –
Note du Secrétaire général », A/68/98, 24 juin 2013.
• Assemblée générale des Nations unies, « Groupe d’experts
gouvernementaux chargé d’examiner les progrès de l’informatique
et des télécommunications dans le contexte de la sécurité
internationale – Note du Secrétaire général », A/70/174, 22 juillet
2015.
• Assemblée générale des Nations unies, « Allemagne, Australie,
Autriche, Belgique, Bulgarie, Canada, Croatie, Chypre, Danemark,
Espagne, Estonie, États-Unis d’Amérique, Finlande, France,
Géorgie, Grèce, Hongrie, Irlande, Israël, Italie, Japon, Lettonie,
Lituanie, Luxembourg, Malawi, Malte, Pays-Bas, Pologne,
Portugal, Roumanie, Royaume-Uni de Grande-Bretagne et
d’Irlande du Nord, Slovaquie, Slovénie, Suède, Ukraine, Tchéquie :
projet de résolution – Favoriser le comportement responsable des
États dans le cyberespace dans le contexte de la sécurité
internationale », A/C.1/73/L.37, 18 octobre 2018.
• Assemblée générale des Nations unies, « Algérie, Angola,
Azerbaïdjan, Bélarus, Bolivie (État plurinational de), Burundi,
Cambodge, Chine, Cuba, Érythrée, Fédération de Russie,
Kazakhstan, Madagascar, Malawi, Namibie, Népal, Nicaragua,
Ouzbékistan, Pakistan, République arabe syrienne, République
démocratique du Congo, République démocratique populaire lao,
République islamique d’Iran, République populaire démocratique
de Corée, Samoa, Sierra Leone, Suriname, Tadjikistan,
Turkménistan, Venezuela (République bolivarienne du) et
Zimbabwe : projet de résolution révisé – Progrès de l’informatique
et des télécommunications et sécurité internationale »,
A/C.1/73/L.27/Rev.1, 25 octobre 2018.
• Assemblée générale des Nations unies, « Progrès de l’informatique
et des télécommunications et sécurité internationale – Rapport du
Secrétaire général », A/74/120, 24 juin 2019.

d. Union européenne

• Commission européenne, recommandation (UE) 2017/1584 de la


Commission du 13 septembre 2017 sur la réaction coordonnée
aux incidents et crises de cybersécurité majeurs, J.O.U.E., L 239,
19 septembre 2017, p. 36-58.
• Conseil de l’UE, Parlement européen, directive 2009/136/CE du
Parlement européen et du Conseil du 25 novembre 2009 modifiant
la directive 2002/22/CE concernant le service universel et les
droits des utilisateurs au regard des réseaux et services de
communications électroniques, la directive 2002/58/CE concernant
le traitement des données à caractère personnel et la protection
de la vie privée dans le secteur des communications électroniques
et le règlement (CE) n° 2006/2004 relatif à la coopération entre les
autorités nationales chargées de veiller à l’application de la
législation en matière de protection des consommateurs, J.O.U.E.,
L 337, 18 décembre 2009, p. 11-36.
• Conseil de l’UE, décision 2013/488/UE du Conseil du
23 septembre 2013 concernant les règles de sécurité aux fins de
la protection des informations classifiées de l’Union européenne,
J.O.U.E., L 274, 15 octobre 2013, p. 1-50.
• Conseil de l’UE, Parlement européen, règlement (UE) n ° 910/2014
du Parlement européen et du Conseil du 23 juillet 2014 sur
l’identification électronique et les services de confiance pour les
transactions électroniques au sein du marché intérieur et
abrogeant la directive 1999/93/CE, J.O.U.E., L 257, 28 août 2014,
p. 73-114.
• Conseil de l’UE, Parlement européen, règlement (UE) 2016/679 du
Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/46/CE, J.O.U.E., L 119,
4 mai 2016, p. 1-88.
• Conseil de l’UE, Parlement européen, directive (UE) 2016/1148 du
Parlement européen et du Conseil du 6 juillet 2016 concernant des
mesures destinées à assurer un niveau élevé commun de sécurité
des réseaux et des systèmes d’information dans l’Union, J.O.U.E.,
L 194, 19 juillet 2016, p. 1-30.
• Conseil de l’UE, « Projet de conclusions du Conseil relatives à un
cadre pour une réponse diplomatique conjointe de l’UE face aux
actes de cybermalveillance (“boîte à outils cyberdiplomatique”) –
Adoption », 9916/17, 7 juin 2017.
• Conseil de l’UE, Parlement européen, règlement (UE) 2019/881 du
Parlement européen et du Conseil du 17 avril 2019 relatif à
l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à
la certification de cybersécurité des technologies de l’information
et des communications, et abrogeant le règlement (UE)
n° 526/2013, J.O.U.E., L 151, 7 juin 2019, p. 15-69.
• NIS Cooperation Group, « Reference document on security
measures for Operators of Essential Services », CG Publication
01/2018, février 2018.
• Union européenne, version consolidée du traité sur le
fonctionnement de l’Union européenne, J.O.U.E., C 326,
26 octobre 2012, p. 47-390.

3. Textes doctrinaux et rapports divers

a. France

• ANSSI, « Défense et sécurité des systèmes d’information –


Stratégie de la France », 2011.
• ANSSI, « Guide d’hygiène informatique – Renforcer la sécurité de
son système d’information en 42 mesures », 2017.
• ANSSI, « EBIOS Risk Manager », 2018.
• ANSSI, AMRAE, « Maîtrise du risque numérique – L’atout
confiance », 2019.
• Assemblée nationale, Commission de la défense nationale et des
forces armées, « Rapport d’information sur la cyberdéfense »,
présenté par LACHAUD B. et VALETTA-ARDISSON A., 2018.
• Commission du Livre blanc sur la défense et la sécurité nationale,
« Livre blanc sur la défense et la sécurité nationale », 2008.
• Commission du Livre blanc sur la défense et la sécurité nationale,
« Livre blanc sur la défense et la sécurité nationale », 2013.
• JEANGÈNE VILMER J.-B., ESCORCIA A., GUILLAUME M., HERRERA J.,
« Les Manipulations de l’information : un défi pour nos
démocraties », rapport du CAPS du ministère de l’Europe et des
Affaires étrangères et de l’IRSEM du ministère des Armées, 2018.
• Déclaration de LE DRIAN J.-Y., ministre de la Défense, sur la
cyberdéfense, Bruz, 12 décembre 2016.
• Ministère des Armées, « Revue stratégique de défense et de
sécurité nationale », 2017.
• Ministère des Armées, « Éléments publics de doctrine militaire de
lutte informatique offensive », 2019.
• Ministère des Armées, « Politique ministérielle de lutte informatique
défensive », 2019.
• Déclaration de JOSPIN L., Premier ministre, sur les enjeux de
l’entrée de la France dans la société de l’information, et sur le
programme d’action pour le multimédia du gouvernement,
notamment à l’école et pour l’amélioration des relations entre
l’administration et le citoyen, Hourtin, 25 août 1997.
• Déclaration de JOSPIN L., Premier ministre, sur la mise en œuvre et
les orientations de développement du Programme d’action
gouvernementale pour la société de l’information (PAGSI), Hourtin,
26 août 1999.
• Premier ministre, « Stratégie nationale pour la sécurité du
numérique », 2015.
• Sénat, BOCKEL J.-M. (rapporteur), « La cyberdéfense : un enjeu
mondial, une priorité nationale », rapport fait au nom de la
commission des affaires étrangères, de la défense et des forces
armées, 2012.
• Sénat, LONGUET G. (rapporteur), « Le devoir de souveraineté
numérique », rapport fait au nom de la commission d’enquête du
Sénat sur la souveraineté numérique, 2019.
• SGDSN, « La sécurité des activités d’importance vitale », 2016.
• SGDSN, « Le SGDSN – 110 ans au service de la défense et de la
sécurité de la France », IHEDN, 2016.
• SGDSN, Revue stratégique de cyberdéfense, 2018.

b. International

• CCD COE, « Tallinn Manual on the International Law Applicable to


Cyber Warfare », Cambridge University Press, 2013.
• CCD COE, « Tallinn Manual 2.0 on the International Law
Applicable to Cyber Operations », Cambridge University Press,
2017.
• États-Unis d’Amérique, President’s Commission on Critical
Infrastructure Protection, « Critical Foundations – Protecting
America’s Infrastructures », 13 octobre 1997.
• OCDE, « Recommandation du Conseil relative aux lignes
directrices régissant la politique de cryptographie », 27 mars 1997.
• OCDE, « Lignes directrices de l’OCDE régissant la sécurité des
systèmes et réseaux d’information – Vers une culture de la
sécurité », 2002.
• OCDE, « Gestion du risque de sécurité numérique pour la
prospérité économique et sociale : Recommandation de l’OCDE et
Document d’accompagnement », Éditions OCDE, 2015.
• OCDE, « Recommandations du Conseil sur la sécurité numérique
des activités critiques », 11 décembre 2019.

III. Articles, publications et références web


1. France
• Annales des Mines (Les), Répondre à la menace cyber, coordonné
par BERBAIN C., série « Enjeux numériques », n° 8,
décembre 2019.
• ANSSI, « Rapport d’activité 2015 – Une année charnière pour la
concrétisation des actions engagées », septembre 2016.
• ANSSI, « Rapport d’activité 2016 – La sécurité, condition sine qua
non d’une transition numérique réussies », juin 2017.
• ANSSI, « Rapport d’activité 2017 – L’année 2017, un tournant pour
la sécurité numérique en France », avril 2018.
• ANSSI, « Rapport annuel 2018 – Construisons ensemble la
confiance numérique de demain », avril 2019.
• AMEIL X., VASSEUR J.-P., RUGGIU G., « Histoire de la machine
Myosotis », dans Actes du septième Colloque sur l’Histoire de
l’Informatique et des Transmissions, 2004.
• ARBOIT G., « L’émergence d’une cryptographie militaire en
France », dans Les Notes Historiques du CF2R, n° 15, juillet 2018.
• BANNELIER K., CHRISTAKIS T., « Cyberattaques – Prévention-
réactions : rôle des États et des acteurs privés », dans Les
Cahiers de la Revue Défense nationale, 2017.
• CRÉDOC, « Baromètre du numérique 2018 », pour le CGE,
l’ARCEP et l’Agence du numérique, 2018.
• DESFEMMES A., « Réflexions sur la guerre électronique », dans
Revue de l’Armée, n° 24, 1962.
• FREYSSINET E., « La preuve numérique – Un défi pour l’enquête
criminelle du XXIe siècle », dans Les Cahiers du numérique, vol. 4,
n° 3, 2003, p. 205-217.
• GÉRY A., « Que peut le droit international contre les
cyberarmes ? », dans INA Global, 2016.
• IFACI, « Cyber-risques : enjeux, approches et gouvernance »,
2018.
• Institut Montaigne, « Cybermenace : avis de tempête », 2018.
• MEDRALA J., « L’Enigma polonaise en Résistance à Uzès – 1940-
1942 », conférence du 12 avril 2008 dans les locaux de la Société
historique et littéraire polonaise à Paris.
• Ministère de la Défense, délégation aux affaires stratégiques,
« Capacités de lutte informatique russes : état des lieux », dans
Observatoire du Monde Cybernétique – Trimestriel, mars 2014.
• Ministère de la Défense, direction générale des relations
internationales et de la stratégie, « Le RuNet, construction
politique ou réalité technique ? », dans Observatoire du Monde
Cybernétique – Lettre mensuelle, n° 69, décembre 2017.
• RIBADEAU-DUMAS L., « Essai d’historique du chiffre de l’Armée de
terre », dans Bulletin de l’Association des réservistes du Chiffre,
n° 2 à 5, 1974-1977.
• VELGHE P., « Lire la Chine – Internet des Objets, surveillance et
gestion sociale en RPC », dans Perspectives chinoises – Droit et
justice en Chine : tensions, mutations et débats, 2019.
• WARUSFEL B., « Dix ans de réglementation de la cryptologie en
France : du contrôle étatique à la liberté concédée », dans
Annuaire français de relations internationales, n° 1, 2000, p. 657-
661.
• WARUSFEL B., « La cryptologie au cœur de la cybersécurité : enjeux
et choix », dans Revue de la gendarmerie nationale, n° 254, 2015,
p. 107-114.
• YUEN S., « Devenir une cyber-puissance – Le renforcement de la
politique de cybersécurité chinoise et ses conséquences », dans
Perspectives chinoises – Nouvelles représentations de l’ouvrier
chinois, 2015.

2. International

• BARLOW J. P., « Déclaration d’indépendance du cyberespace », sur


eff.org [en ligne], publié le 8 février 1996.
• ECIIA, FERMA, « At the Junction of Corporate Governance and
Cybersecurity », 2019.
• HARRIS T., « How Technology is Hijacking Your Mind – from a
Magician and Google Design Ethicist », sur medium.com [en
ligne], publié le 18 mai 2016.
• O’REILLY T., « What Is Web 2.0 – Design Patterns and Business
Models for the Next Generation of Software », sur tim.oreilly.com
[en ligne], publié le 30 septembre 2005.
• WARE W., « Security and Privacy in Computer Systems », dans
« International Workshop on Managing Requirements
Knowledge », Atlantic City, 1967, p. 279-282.
• World Economic Forum, « Cyber Resilience: Playbook for Public-
Private Collaboration », 2018.
• WU T., « Network Neutrality, Broadband Discrimination », dans
« Journal of Telecommunications and High Technology Law »,
vol. 2, 2003, p. 141.
Table des matières

Préface

Avant-propos
Chapitre 1. L’espace numérique

Introduction : un nouveau domaine d’opportunités… et de menaces

I. Réseaux informatiques, Internet, cyberespace


1. Quelques rappels fondamentaux
2. Brève histoire d’Internet
3. Gouvernance technique d’Internet
4. Le « deep » et le « dark »

II. Topologie du cyberespace


1. Couches, frontières, centres de gravité, pentes
2. Acteurs en présence
3. Caractéristiques et propriétés

III. Les données numériques


1. De quoi parle-t-on ?
2. Quelques représentations en cycles de vie
3. Enjeux de valeur et de sensibilité
4. Aparté sur l’intelligence artificielle
IV. Ce qu’il se passe dans le numérique
1. Plusieurs grands aspects d’une transformation globale
2. Cognition : accès à la connaissance, apprentissage, esprit critique
3. Relations sociales
4. Enjeux économiques
5. Enjeux sociétaux de régulation
6. Une source croissante de conflictualité stratégique

V. Enjeux de souveraineté
1. De la souveraineté classique à la souveraineté numérique
2. Acception classique du concept de souveraineté
3. Souveraineté numérique ?

Chapitre 2. La menace d’origine cyber


Introduction : une menace élevée, croissante et protéiforme

I. Comprendre la menace cyber


1. Les sources de menace : les attaquants
2. Les motivations et finalités des attaquants
3. Les cibles : des entités, des systèmes, des données
4. Les vulnérabilités
a. Des vulnérabilités de différentes natures
b. Le cycle de vie d’une vulnérabilité technique
c. Les vulnérabilités « 0-day »
d. Économie générale de la recherche de vulnérabilités
e. Responsabilités des éditeurs et des utilisateurs
f. Enjeux de politique publique
5. Les modes opératoires, outils et infrastructures

II. Tendances générales associées à la menace d’origine cyber

III. Quelques exemples récents d’attaques informatiques


1. Estonie (2007)
2. Olympic Games et Stuxnet (2010)
3. Shamoon (2012)
4. Sony Pictures Entertainment (2014)
5. Office of Personnel Management (2014-2015)
6. TV5 Monde (2015)
7. Ashley Madison (2015)
8. SWIFT (2015-2016)
9. The Shadow Brokers (2016-2017)
10. Mirai (2016)
11. Vault 7 (2017)
12. WannaCry (2017)

Chapitre 3. La cybersécurité
Introduction : la difficile quête d’un état optimal de cybersécurité

I. Le risque cyber : un risque stratégique qu’il faut « gouverner »


1. Remarques préliminaires
2. La nécessaire complémentarité entre les approches « par la conformité » et l’analyse des risques
3. Un risque stratégique et systémique : une préoccupation pour les dirigeants
4. Le besoin d’une gouvernance holistique
5. Une attention particulière sur la conformité
6. Des textes de référence issus de différentes sphères

II. Un processus itératif pour animer la gouvernance du risque cyber


1. Une méthode en fil rouge : EBIOS Risk Manager
2. Délimiter le périmètre, comprendre le contexte
3. Identifier et évaluer des risques et des scénarios
4. Décider, en pleine conscience, d’une façon de traiter les risques

III. La réduction des risques grâce aux mesures de protection, de défense et de


résilience
1. Généralités
a. Types et fonctions
b. Principes
2. Décourager les attaquants
3. Protéger les SI
4. Détecter les attaques
a. Au niveau d’une organisation
b. La détection en France en bref
c. Les centres de réponse aux incidents informatiques : les CSIRT et les CERT
5. Réagir à une attaque
a. Au niveau d’une organisation ou d’un individu
b. Dispositif étatique de réponse à une attaque cyber

Chapitre 4. Le modèle français


Introduction : la sécurité numérique, une politique publique interministérielle

I. Organisation et gouvernance
1. Organisation générale
2. L’ANSSI
3. D’autres acteurs incontournables
4. Quatre chaînes opérationnelles
5. Quelques enceintes de gouvernance de la cyberdéfense française
6. Atouts du modèle

II. Les documents fondateurs


1. 2008 : le Livre blanc sur la défense et la sécurité nationale
2. 2009 : le décret de création de l’ANSSI
3. 2011 : la première stratégie nationale de défense et de sécurité des systèmes d’information
4. 2013 : le Livre blanc sur la défense et la sécurité nationale
5. 2013 : la loi de programmation militaire 2014-2019
6. 2015 : la Stratégie nationale pour la sécurité du numérique
7. 2018 : la Revue stratégique de cyberdéfense
8. 2018 : la loi de programmation militaire 2019-2025
9. 2019 : éléments de doctrine cyber du ministère des Armées

III. Réglementation nationale de cybersécurité


1. Considérations générales sur le cadre réglementaire français
2. Protection des systèmes et informations sensibles
3. Réglementation sur la cryptologie
4. Administration et commerce électronique
5. La « loi Godfrain »

IV. Aspects industriels


1. Quels besoins technologiques et industriels ?
2. Comment faire émerger, structurer et rendre lisible un marché de la cybersécurité ?
a. La certification de sécurité
b. La qualification
c. L’agrément
d. La labellisation
e. Les Visas de sécurité ANSSI
3. Quid de l’échelon européen et de l’international ?

Chapitre 5. Les enjeux internationaux


Introduction : pourquoi parler d’enjeux internationaux en matière de sécurité
numérique ?

I. Quelques grands acteurs


1. Les États-Unis d’Amérique
a. Une lente prise en compte des enjeux cyber sur les quatre dernières décennies
b. L’organisation fédérale actuelle de cybersécurité
c. Quelques éléments saillants
2. La Fédération de Russie
a. Généralités
b. Organisation et doctrine
3. La République populaire de Chine
a. Généralités
b. Evolutions récentes de la doctrine et de l’organisation chinoises en matière de cybersécurité

II. La coopération internationale


1. Rappels de relations internationales et de droit international
2. Alliances et coopérations bilatérales
a. « Alliances traditionnelles » et « alliances cyber »
b. Établir une coopération bilatérale en matière de cybersécurité
3. Organisations internationales
a. L’Organisation des Nations unies (ONU)
b. L’Union européenne (UE)
c. L’Organisation du traité de l’Atlantique Nord (OTAN)
d. L’Organisation de coopération et de développement économiques (OCDE)

III. Paix, sécurité et stabilité stratégique du cyberespace


1. Régulation internationale du cyberespace : de quoi parle-t-on ?
2. La séquence onusienne : droit international et cyberespace
a. Faut-il un « traité du cyberespace » ?
b. Le traitement du sujet à l’ONU
c. Les travaux du GGE
3. La convention de Budapest : coopération internationale et cybercriminalité
4. L’arrangement de Wassenaar : contrôle des exportations et sécurité numérique
5. Perspectives actuelles et futures
a. Acteurs : au-delà des États, une implication croissante du secteur privé
b. Sujets : continuer à construire le cadre juridique et à renforcer la coopération internationale
c. Des enceintes multilatérales variées

Chapitre 6. Une brève histoire de la sécurité numérique


en France
Introduction : « celui qui ne sait pas d’où il vient ne peut savoir où il va »

I. Cadrage de l’exercice : jusqu’à quand remonter ?

II. Les temps anciens : de l’invention de l’imprimerie à la fin du XIXe siècle

III. L’ère contemporaine « pré-électronique »


1. De 1870 à la Première Guerre mondiale
2. La Première Guerre mondiale
3. Conclusions intermédiaires
4. L’entre-deux-guerres
5. La Seconde Guerre mondiale
IV. La deuxième partie du XXe siècle et la numérisation
1. Les années 1950 et 1960
2. Les années 1970
3. Les années 1980 et 1990
4. Des années 2000 à nos jours
5. Conclusions finales du chapitre

Remerciements

Glossaire des acronymes et sigles

Références
I. Livres
1. Sur la sécurité numérique ou fortement connexes
2. Pour lire l’histoire de la sécurité numérique
3. Sur d’autres sujets

II. Textes officiels


1. Textes réglementaires français
a. Arrêtés
b. Constitution
c. Décrets
d. Instructions interministérielles
e. Lois
f. Ordonnance
2. Textes réglementaires internationaux
a. Divers
b. États-Unis d’Amérique
c. Organisation des Nations unies
d. Union européenne
3. Textes doctrinaux et rapports divers
a. France
b. International

III. Articles, publications et références web


1. France
2. International

Vous aimerez peut-être aussi