Cybersécurité : la France a-t-elle les moyens de ses ambitions ? - Par Guillaume Tissier
À défaut d’être une puissance numérique de premier plan, la France a développé depuis une décennie de réelles capacités en matière de cybersécurité, avec pour objectif d’en faire un levier stratégique au service de sa souveraineté numérique. Mais a-t-elle les moyens de ses ambitions ? Son modèle est-il pertinent pour faire face aux défis de la transformation numérique et à des cyber-risques systémiques ? Son écosystème industriel est-il en mesure de rivaliser avec ceux des pionniers que sont Israël et les États-Unis ?
Une priorité stratégique
Les rapports parlementaires du député Pierre Lasbordes en 2006[1] et du Sénateur Roger Romani en 2007[2], quelques mois après les attaques informatiques ayant visé l’Estonie, ont marqué le début d’une prise de conscience quant à l’émergence des cyber-risques et au retard français dans leur prise en compte. En 2012, c’est au tour du sénateur Jean-Marie Bockel d’enfoncer le clou et d’ériger la cyberdéfense en priorité nationale[3].
En parallèle des travaux parlementaires, cette priorité est réaffirmée par toutes les revues stratégiques. Le Livre blanc sur la défense et la sécurité nationale de 2008 débouche ainsi sur la création de l’Agence Nationale de la Sécurité des Systèmes d’information (ANSSI) et voit le cyberespace comme “un nouveau champ d’action dans lequel se déroulent déjà des opérations militaires”. Quelques années après, celui de 2013 met l’accent sur la protection des infrastructures critiques et le développement de capacités offensives. La Revue stratégique de défense et de sécurité nationale de 2017[4], puis celle de cyberdéfense de 2018[5], ne feront que rappeler ces objectifs, mais c’est véritablement cette dernière qui fixera les grandes lignes du modèle français (en particulier le principe de séparation du défensif et de l’offensif) et définira le concept de souveraineté numérique, “composante essentielle de la souveraineté nationale”.
Ces travaux ont à leur tour débouché sur la publication de plusieurs stratégies nationales. Au niveau interministériel, l’ANSSI publie en 2011 la première stratégie nationale en matière de cybersécurité[6], suivie en 2015 d’un deuxième document intitulé “Stratégie nationale pour la sécurité numérique”[7], qui consacre le rôle de la cybersécurité comme catalyseur de la croissance économique. En 2017, c’est au tour du ministère de l’Intérieur de diffuser sa “Stratégie ministérielle de lutte contre les cybermenaces”[8], tandis que le ministère de l’Europe et des Affaires étrangères émet une “Stratégie internationale de la France pour le numérique”[9] avec pour ambition de faire de la France un acteur de premier plan dans la sécurité et la stabilité internationales du cyberespace. En 2019, c’est enfin le ministère des armées qui définit une “stratégie cyber des armées”[10], suivie par la publication de plusieurs documents publics relatifs aux doctrines de lutte informatique défensive (LID)[11] et offensive (LIO)[12].
