Par Adrien Duchateau,
La démocratisation de l’accès à internet dès le début des années 2000 et l’hyper digitalisation de la société qui s’en est suivie a placé le cyber au rang des principaux enjeux stratégiques du XXIe siècle. Le cyber, associé à la conflictualité, implique les caractéristiques de protection et de défense proprement dites, et les caractéristiques d’agression, classiquement l’espionnage, le sabotage et la subversion. Cette activité s’exerce dans les trois couches du cyberespace : physique, logique, sémantique (Olivier Kempf).
A ce titre, le 27 avril 2007, l’Estonie a été victime d’une cyberattaque de grande envergure qui a paralysé des activités essentielles au fonctionnement du pays pendant plusieurs semaines[1]. Cet évènement a provoqué une importante prise de conscience quant à la possibilité d’utiliser le cyberespace comme une arme et comme un outil stratégique, et a révélé la nécessité d’intégrer ce domaine dans plusieurs sphères de la société, malgré son image de domaine fermé et complexe réservé aux spécialistes. De nouvelles cyberattaques de grande envergure sont effectuées en 2008 par la Russie, lors de l’invasion en Géorgie, créant pour la première fois une forme de combat hybride. Ces bouleversements technologiques et stratégiques vont pousser les grandes puissances ainsi que l’OTAN à investir dans la cybersécurité, dans la cyberdéfense et dans leur résilience face à ces menaces d’un nouveau type.
Les grandes lignes de la stratégie cyber française ont été établies dans le livre blanc de 2008 qui reconnait le cyber comme une composante à part entière de la politique de défense et de sécurité française[2]. La France se distingue alors par une double spécificité : d’une part, en faisant une distinction nette entre cyberdéfense et cyberattaque (qui sera pour un temps écartée de la stratégie française), et d’autre part avec la déconcentration de ses services cyber vis-à-vis des services de renseignement. Les services cyber sont principalement concentrés autour de l’agence nationale de la sécurité des systèmes d’information (ANSSI) et du secrétariat général de la défense et de la sécurité nationale (SGDSN). Services qui sont venus remplacer en 2009 la direction centrale de la sécurité des systèmes d’information (DCSSI), créée en 2001.
Cette évolution du comportement des Etats vis-à-vis du cyberespace s’accompagne d’une diversification des acteurs et des comportements de cet espace au cours des années 2010. La multiplication et l’organisation des groupes d’hacktivistes, de cybercorsaires et de cybercriminels a accentué l’augmentation du nombre d’attaques en très peu de temps[3]. De même, l’usage récurrent du cyberespace par les groupes terroristes pour recruter et s’organiser a entraîné un important investissement des services de renseignement dans le cyber pour lutter contre le terrorisme, surtout à la suite des attentats de 2015. L’intensification de cyberattaques[4] aujourd’hui de plus en plus sophistiquées sur des infrastructures étatiques ou privées aux systèmes d’informations de moins en moins adaptés souligne le manque de prise en compte de la cybersécurité dans notre société.
Le risque exponentiel du domaine cyber sur l’ensemble des individus et des sphères de la société oblige par conséquent l’Etat français à devoir fournir une réponse rapide et un investissement conséquent pour mettre en place une stratégie de sécurité et de défense face à une menace croissante, tant quantitativement que qualitativement.
La construction progressive d’une infrastructure de cyberdéfense
En matière de cyber, l’Etat français a défini ses priorités en mettant en place dès 2006 les opérateurs d’importance vitale (OIV) et en 2013 les opérateurs de services essentiels (OSE). Protégés par l’ANSSI, ces opérateurs regroupent les acteurs et infrastructures les plus stratégiques pour l’Etat. Les OIV comprennent les acteurs des domaines sanitaire, alimentaire, régalien, économique et technologique. Les OSE concernent les services dont l’interruption aurait un impact important sur le bon fonctionnement de la nation[5]. L’instauration de ces opérateurs et l’impérativité de leur sécurisation sont mentionnées dans tous les rapports et stratégies cyber français depuis 2008. Sous la direction de Guillaume Poupard entre 2014 et 2022, l’ANSSI fait de la sécurisation de ces opérateurs la priorité cyber principale. Cette direction a également initié une politique cyber française concrète affichant la volonté de rompre avec le manque de dialogue avec les décideurs politiques. Cette politique cyber ambitieuse a vu naître la sous-direction de la lutte contre la cybercriminalité (SDLC) de la police nationale en 2014, le centre de la réserve et de la préparation opérationnelle de cyberdéfense (CRPOC) en 2015 et le commandement de la cyber défense (COMCYBER) en 2017. La création de cette cyberdéfense donne suite au sabotage informatique de la chaîne TV5 Monde en 2015, première attaque informatique portant atteinte aux intérêts français.
La prise en compte d’un nouveau levier de puissance dans l’espace géopolitique
Le livre blanc sur la défense et la sécurité nationale de 2013 élève la cyberdéfense au rang de priorité stratégique et affirme le principe d’une doctrine nationale de réponse aux agressions informatiques en incluant deux volets complémentaires[6] au livre blanc de 2008. Ces nouveaux objectifs visent à adopter une posture robuste et résiliente de protection des systèmes d’information de l’Etat, des OIV et des industries stratégiques et à développer une capacité de réponse gouvernementale ajustée face à des agressions de nature et d’ampleur variées. Pour ce faire, la stratégie cyber n’est plus réduite à des moyens relevant exclusivement du digital mais peut aussi faire appel à des moyens diplomatiques, juridiques, policiers et en cas de menaces pour les intérêts nationaux, à des moyens relevant du ministère des Armées. Ces nouveaux moyens participent à l’amélioration de la résilience cyber française face au développement des capacités cyber d’Etats alliés (Etats-Unis, Royaume-Uni), concurrents (Israël, Japon)[7] ou potentiellement hostiles (Russie, Chine)[8].
La nécessité d’un investissement conséquent pour rattraper le retard pris
De nouveaux objectifs, rejoignant ceux fixés depuis 2008, et de nouveaux financements sont mis à disposition des institutions cyber dès 2018 pour combler le sous-investissement dans le domaine du cyber en France. La conjoncture économique dès 2008 et l’impératif de redressement des finances ont mené les ressources attribuées au domaine cyber, et plus généralement au domaine de la défense, à rester limitées jusqu’en 2015, freinant l’ambition des agences nationales telle que l’ANSSI. La volonté de modernisation de l’armée et les moyens investis dans la lutte antiterroriste suite aux attentats absorbent de nouveau les ressources originellement destinées au cyber. Ce « sous-investissement » est ainsi particulièrement marqué sur la période 2009-2015[9], suivie par un réinvestissement progressif entre 2015 et 2019 et un investissement conséquent pour la période 2019-2025[10] (1,6 milliard d’euros pour le cyber sur cette période[11]). L’objectif est ici de rattraper le retard français dans la course au « cyber armement » face au Royaume-Uni (1,9 Milliard £ investis sur 2016-2021[12]), aux Etats-Unis (au moins 10,9 Milliards US$ en 2022[13]) ou encore à la Russie ou à la Chine.
Le cyber désormais au centre des préoccupations stratégiques françaises
Avec la loi de planification 2019-2023, le cyber est au centre des préoccupations sécuritaires et des enjeux majeurs de la défense française. Domaine qui, avec celui du renseignement vise à créer le plus d’emploi d’ici 2025 (au moins 1500 postes). La loi de programmation militaire 2019-2025 vise effectivement un rééquilibrage des ressources humaines, trop longtemps limitées à cause d’un manque de moyens et d’investissement de la part des décideurs politiques. Cette politique d’embauche doit s’accompagner d’une formation urgente d’un personnel qualifié, d’une modernisation des systèmes d’armes et d’un renforcement de la préparation opérationnelle des forces.
L’objectif « France 2030 », qui établit les grands axes de la politique cyber française pour 2030, priorise également l’innovation, jusque-là insuffisante et marquée tant par la quasi-absence d’innovations « de rupture », due à une très faible prise de risque d’investissement dans le domaine de l’innovation, que par la fuite des cerveaux vers les USA, due à une trop faible attractivité franco-européenne. Avec cet investissement dans son innovation, la France vise une indépendance totale de ses capacités cyber dont la finalité serait l’affirmation d’une souveraineté digitale française[14] (indépendance vis-à-vis des systèmes d’informations américain et, plus généralement, occidentaux).
Le plan “France 2030” vise aussi à développer la résilience cyber au niveau local, surtout au sein des infrastructures sensibles comme l’hôpital civil de Corbeil-Essonnes, victime le 20 août 2022 d’une cyberattaque[15] (ici un ransomware ou rançongiciel, principale menace des entreprises et institutions françaises en 2022).
Enfin c’est l’approche militaire française du COMCYBER qui constitue l’une des dernières évolutions dans la stratégie cyber française. Celle-ci admet depuis 2019 qu’elle ne se limite plus à sa position défensive « active en profondeur »[16] mais accepte de mener des actions de Lutte Informatique Offensive (LIO)[17] à des fins militaires. Cette nouvelle approche, toujours dans le respect du droit international, lui permet d’avoir une défense toujours plus efficace, en étudiant désormais les méthodes d’attaques, un rôle dissuasif vis-à-vis d’agresseurs potentiels et une plus grande capacité d’adaptation dans un espace qui parait inévitablement voué à devenir un domaine de lutte.
La revue stratégique du 02 avril 2021[18] faisait alors une recommandation quant à la conduite à tenir face à l’évolution fulgurante du phénomène cyber ; « Nos forces devront également conserver une capacité à opérer dans un environnement technologique à la fois numérisé et dégradé [face au] risque de cyberattaques paralysantes ou trompeuses […]. Elles opèreront dans un environnement numérique et informationnel présentant de plus en plus de risques et d’opportunités, dans lequel il faudra être capable de mettre en œuvre des postures défensives comme offensives ». Déjà présent dans deux des trois menaces persistantes soulignées par la RSDSN en 2017, le cyber est toujours l’un des vecteurs du terrorisme djihadiste et est aujourd’hui un enjeu majeur dans le retour de la compétition stratégique entre les puissances.