La revue nationale stratégique fait de la résilience cyber un objectif de tout premier ordre, au même titre que la dissuasion nucléaire. Elle constate que le niveau de sécurité dans les services publics est encore trop bas. Les nombreuses attaques chroniquées dans la presse en témoignent.

Augmenter significativement le niveau de résilience des services publics face aux menaces cyber. Voilà l’un des grands axes tracés dans la revue nationale stratégique de 2022, rendue publique le 9 novembre à l’occasion d’un discours du chef de l’État à Toulon. Ce document vise à orienter les réflexions en prévision de la future loi de programmation militaire pour 2024-2030.

Un objectif stratégique de la France

La faculté de pouvoir tenir face à des actions malveillantes dans le domaine informatique constitue d’ailleurs l’un des dix objectifs stratégiques dans le champ de la défense et de la sécurité nationales. Il figure à côté des priorités habituelles comme la dissuasion nucléaire, l’alliance transatlantique (OTAN) et l’autonomie d’appréciation et de décision.

La prise en compte du phénomène cyber n’est pas neuve. Les bases de la politique du pays en matière de cyberdéfense ont été posées officiellement en 2008, lors de la rédaction du livre blanc sur la défense et la sécurité nationale. Elle est devenue une priorité en 2012 et la doctrine a continué d’évoluer, notamment avec la « lutte informatique offensive ».

hôpital
Les hôpitaux sont des cibles régulières de certaines attaques informatiques. // Source : Martha Dominguez de Gouveia / Unsplash

La revue de 2022 poursuit sur cette lancée, mais ne peut que faire le constat d’un niveau de résilience bien trop faible dans certains services publics. Le document reconnaît que des établissements et des administrations sont « encore trop fragiles ». Pour y remédier, « cela passera nécessairement par des investissements pour consolider un socle numérique de l’État ».

Les exemples d’incident ne manquent pas — il y en a pour ainsi dire chaque semaine ou presque : l’hôpital de Corbeil-Essonnes, la mairie de Chaville, le département de Seine-et-Marne, la ville de Caen… la liste pourrait être bien plus longue. Les menaces sont variées : intrusion illicite dans un système informatique, verrouillage des données par un rançongiciel, attaque DDOS, phishing

Pour limiter la casse, l’État souhaite une meilleure résilience cyber. Celle-ci est définie comme la capacité de « prévenir ou, le cas échéant, de réduire l’impact et la durée des cyberattaques menées à l’encontre de la France, a minima pour les fonctions les plus critiques ». Face aux ransomwares, par exemple, des stratagèmes existent.

Mobiliser le privé, mobiliser le public

Le renforcement du lien avec le secteur privé est aussi mentionné pour l’avenir. « L’État ne peut agir seul sur les enjeux de cybersécurité et doit être en mesure de mobiliser l’ensemble des acteurs en cas de crise majeure », prévient le document. Cela peut inclure les grands opérateurs, mais également des sociétés plus spécialisées dans la sécurité informatique.

La résilience passe aussi par la population et, somme toute, par sa capacité à avoir une bonne hygiène informatique. « Il s’agit de mobiliser le grand public », conseille le livre blanc, car dans la chaîne de sécurité informatique, le facteur humain est assez régulièrement le maillon faible. C’est aussi dans le public qu’il existe un vivier pour former plus de spécialistes.

population
La population doit aussi être mobilisée, juge la revue nationale stratégique. // Source : Rob Curran

Tout n’est pas noir. Certes, des acteurs du numérique n’ont pas conscience de leur « rôle systémique ». Bien sûr, il faut continuer à soutenir l’ensemble des victimes d’actes de cybermalveillance. Mais, le document note aussi qu’il y a eu des « importants travaux déjà engagés », permettant de « considérablement améliorer le niveau de cybersécurité ».

Quelle suite, désormais ? Ce document aux lignes très générales va nourrir la future loi de programmation militaire, qui précisera les moyens pour satisfaire chacun de ces objectifs stratégiques. Dans ce cadre, c’est là que seront renseignés précisément les moyens et le plan de bataille pour accroître la cyber résilience de la France.