Attendue au tournant depuis plusieurs mois, la revue stratégique cyberdéfense a été - comme prévu -rendue publique lundi 12 février. A noter que cette version diffère de celle remise au président de la République Emmannuel Macron. Elle est en effet expurgée de passages classés confidentiel défense. Pour le reste, cette épaisse (167 pages) étude, qui a vocation à être incluse dans la future Loi de Programmation Militaire 2018 présentée cet été à l'Assemblée Nationale, se répartit en trois axes. Un premier sur les dangers du monde cyber, les principes d'actions, de lutte et d'organisation, un deuxième sur les spécificités du modèle français de cyberdéfense et l'amélioration de la protection des activités sensibles. Et enfin un dernier sur la préservation par l'Etat de la souveraineté numérique et des moyens de régulation, comprenant notamment - et comme attendu - le renforcement des pouvoirs de l'ANSSI.
7 grands principes en matière de cyberdéfense sont mis en avant dans la Revue : accorder une priorité à la protection des SI, adopter une posture active de découragement des attaques et de rédaction coordonnée, exercer pleinement une souveraineté numérique, apporter une réponse pénale efficace à la cybercriminalité, promouvoir une culture partagée de la sécurité informatique, contribuer à une Europe du numérique confiante et sûre et agir à l'international en faveur d'une gouvernance collective et maîtrisée du cyberespace. « Il y a vrai besoin de travail d'analyse et d'éclairage sur le bilan et les constats, mais on ne peut pas s'arrêter au fait que la priorité est la protection et la défense », nous avait indiqué Guillaume Poupard, directeur général de l'ANSSI, quelques jours avant la publication de cette revue stratégique. Une crainte que la Revue semble vouloir appaiser par un suivi régulier (semestriel) de l'avancement et de la mise en oeuvre par le Secrétariat général de la défense et de la sécurité nationale (SGDN) d'une cinquantaine de recommandations prioritaites.
Vers une meilleure collaboration en cybersécurité des magistrats en Europe
Alors que certaines recommandations énoncées dans ce rapport peuvent être mises en oeuvre immédiatement, d'autres au contraire vont demander plus de temps. Parmi celles pouvant l'être tout de suite ou à court terme on trouve notamment la mise en place d'un centre de coordination des cybercrises non majeures ou encore la soumission pour avis à l'ANSSI de projets informatiques les plus importants et les plus sensibles de l'Etat dès leur phase de lancement. Tout comme l'adoption d'un schéma de classement des attaques informatiques et du soutien à l'émergence d'au moins un acteur industriel national de référence dans le domaine de l'analyse de la menace et de l'élaboration de marqueurs aptes à concurrencer les grandes entreprises américaines, russes et israéliennes du domaine. Les membres de l'association Hexatrust récemment rapprochée de Cloud Confidence seront contentes d'apprendre qu'une recommandation leur est presque destinée sur-mesure avec « Un soutien aux stratégies de croissance externe des PME dédiées à la cyberdéfense les plus performantes par la mobilisation des fonds d’investissement intéressés par le domaine de la cyberdéfense pour favoriser la création d’entreprises de taille intermédiaire (ETI) françaises dans ce secteur. »
« Le problème c'est d'être en capacité d'attribuer les cyberattaques à un pays ou à un groupe. Il faut développer une dissuasion et redonner un nouveau souffle stratégique à la cybersécurité en commençant par impliquer des administrations et des ministères qui ne l'étaient pas jusqu'à maintenant comme la Justice et l'Education », nous avait indiqué Guillaume Poupard. Si sur le premier point aucune recommandation particulière n'a été émise - du moins dans la version publique de cette Revue - des recommandations à moyen terme vont être mises en oeuvre concernant le second point soulevé par le directeur général de l'ANSSI. A savoir le développement d'un réseau de collaboration actif entre magistrats et enquêteurs en Europe et à l'international, ainsi que la maîtrise des exigences en matière de cybersécurité à l'école élémentaire, au collège et dans tous les cursus du lycée. Tout comme l'émergence de MOOCS sur la transmission des règles de cybersécurité dédiés aux enseignements en formation initiale et en formation continue conçues par le ministère de l'Education nationale avec le fort soutien de l'ANSSI.
Chiffrement, intelligence artificielle et 5G au service de la cyberdéfense
Les entreprises seront par ailleurs sans doute contentes d'apprendre qu'un mécanisme d'assurance cyber « pertinent » pour les aider à mieux estimer les risques est à l'étude. Un soutien à la mise en place d'une valorisation du risque cyber au sein des normes comptables et à leur prise en compte dans les documents comptables et financiers est également dans les tuyaux. Parmi les autres recommandations à retenir de la Revue, celles destinées à établir une politique globale de l'Etat de recours au cloud, d'encourager le développement de solutions de chiffrement pour le cloud et d'établir un cadre de confiance global afin d'orienter le marché vers des produits qualifiés SecNumCloud, poussé par l'ANSSI. Sans oublier le soutien à la R&D dans le domaine de l'IA appliquée à la cyberdéfense, le développement de techniques de chiffrement de cloisonnement logiciels et l'étude de nouveaux services basés sur les technologies 5G « pour apporter de la résilience » ou encore la protection des opérateurs de services essentiels comme annoncé par l'ANSSI au FIC 2018, après celle des OIV.