Quelles sont les lacunes de la France en matière de cybersécurité ?
La question est plutôt de voir quelles sont ses forces. En France, il n’y a pas de faiblesse. Aujourd’hui, tout le monde prend conscience que la menace s’est transformée et que notre modèle de gouvernance et de solidarité entre les pays doit être réinventé.
Avant, il y avait la cyberdéfense : pays contre pays, armée contre armée. Il y avait le cybercrime : des organisations quasi mafieuses qui attaquaient des entreprises et des individus. Et il y avait la cybersécurité, une dynamique civile de protection des entreprises et de l'État, pour chaque structure.
Là, tout a changé. Des États attaquent des entreprises, des entreprises attaquent des États, des entreprises s’attaquent entre elles, des mercenaires sont payés par des États pour attaquer des entreprises ou d’autres États. Ces évolutions nécessitent une nouvelle configuration avec nos capacités issues du militaire et du civil. Une nouvelle configuration également concernant le partage des informations et des compétences avec les autres pays. C’est tout l’objet des discussions du nouveau paquet européen sur la cybersécurité.
En France, l’Agence nationale de la sécurité des systèmes d'information (Anssi) est l’une des meilleures agences pour la protection des réseaux du public. L’une de ses nouvelles missions est la "security awareness". L’Anssi va contribuer à développer une culture de la cybersécurité chez les citoyens et les entreprises, notamment au sein des PME/TPE, qui sont les moins protégées. À l’origine, on aurait pu penser que ce type de défis concernait le privé et non pas l’Anssi. Sauf que si 10 000 PME sont atteintes par le même virus, c’est l’économie française, et donc le pays, qui est mis en danger.
Traditionnellement, elles n’étaient pas répertoriées comme des opérateurs d’importance vitale (OIV). Cette appellation était réservée aux centrales électriques, aux opérateurs de taille très importante.
Ces nouveaux types d’attaque, qui peuvent faire tomber de façon systémique un très grand nombre d’acteurs, créent un nouvel enjeu : protéger ces PME au nom de la protection de notre pays. La démarche de protéger ces TPE/PME n’aurait pas été faite physiquement. En revanche, quand il s’agit de cybersécurité, elles doivent être protégées et intégrer cette culture du numérique.
Le paquet cybersécurité repose en partie sur le partage d’informations entre les États. L’Anssi est-elle réellement prête à partager ses informations avec ses homologues européens ?
En matière de cybersécurité, il y a plusieurs couches d’informations. Certaines sont tellement stratégiques et sensibles qu’elles ressemblent à du renseignement, à du secret. Ces informations continueront à s’échanger, comme cela l’a toujours été, de façon ad hoc, dans le cadre de relations de confiance.
Le directeur général de l'Anssi est également pour un partage d'informations entre les États qui aurait des limites : "Dans l’esprit de la Commission, cela peut se transformer en du réglementaire, par exemple imposer – ce que l’on ne veut pas – la notification des incidents à l’ensemble des pays, voire à la Commission elle-même". Relire notre interview.
Viennent ensuite plusieurs couches intermédiaires, c’est là toute la nuance et la finesse. Peuvent-elles être partagées de façon plus automatique et plus rapide entre les centres européens de réponse ? Il faut être capable de le faire.
La Commission européenne a également présenté récemment des lignes directrices – non contraignantes juridiquement – sur le retrait des contenus illégaux en ligne. Si l’exécutif européen ne propose pas de législation, la France est-elle prête à le faire ?
La France a déjà commencé le travail sur le sujet, nous parlons beaucoup avec les Allemands. J’ai reçu toutes les associations expertes en France – les associations de lutte contre la haine, de lutte contre le cyber-djihadisme – et les Gafa pour discuter de tous ces sujets.
Aujourd’hui, pour ce qui est des contenus djihadistes terroristes, la situation n’est pas mauvaise. Elle est plus complexe sur le reste, notamment concernant les contenus haineux, qui sont, de façon évidente pour nous, un élément à retirer, mais qui nécessitent un questionnement pour ces plateformes. Nous ne pouvons pas dire que nous sommes satisfaits, ni que les associations le sont.
La contrefaçon et le droit d’auteur sont importants également, ils ont d’ailleurs été évoqués par Emmanuel Macron lors de son discours à la Sorbonne. Pour nous, c’est un vrai sujet.
La direction interministérielle du numérique et du système d'information et de communication de l'État (Dinsic) est présentée comme un acteur clé de la numérisation de l'État. Ses pouvoirs doivent-ils évoluer pour avoir plus de poids ?
La Dinsic va jouer le rôle d’animateur, de coach, d’organisateur de la transformation numérique de tous les ministères. Nous avons déjà démarré en réunissant tous les directeurs des systèmes d'information de l’État ensemble, autour de la Dinsic et avec moi. Nous allons continuer à nous voir régulièrement.
La Dinsic va être encore plus stratégique aujourd’hui, elle va encore plus participer à la diffusion des savoirs, à la capacité à transférer les compétences numériques au sein de l’État. Elle est au cœur de la transformation numérique de l’État, au cœur de mon travail quotidien.
