Chacun est responsable de tous
Agence chargée de la cybersécurité, l’ANSSI insiste sur la responsabilité de tous, les créateurs numériques, les administrateurs de la « gestion de la cité » et des utilisateurs. La sécurité informatique doit devenir un avantage concurrentiel pour la production des entreprises françaises.
Trois idées irriguent la stratégie nationale pour la sécurité du numérique. La première idée est commune dans son expression mais prend ici une dimension particulière. Au sein d’un monde numérique en construction, chacun d’entre nous a une part de responsabilité effective dans la sécurité et la défense nationale.
“ Le comportement d’un seul peut compromettre la sécurité de beaucoup, de tous ”
Il ne s’agit pas simplement d’une sorte d’incarnation numérique de « l’esprit de défense » que chacun connaît bien et qu’il faudrait développer dans les réseaux.
Comme le montrent les traitements de nombreuses attaques informatiques, les caractéristiques propres au cyberespace font que le comportement d’un seul peut compromettre la sécurité de beaucoup, de tous.
REPÈRES
Le Premier ministre a présenté, le 16 octobre 2015, la « stratégie nationale pour la sécurité du numérique », en présence notamment de la secrétaire d’État chargée du numérique, du secrétaire général de la Défense et de la sécurité nationale, du président du Conseil national du numérique et de nombreux responsables d’entreprises.
Cette participation des plus hautes instances de l’État et d’acteurs économiques de premier plan montre que, transition numérique aidant, les questions liées à la cybersécurité, issues de la seule sphère technique, sont devenues de réels enjeux de société.
Trois communautés
Trois communautés sont identifiées. Il y a d’abord celle qui regroupe les innovateurs, les créateurs des nouveaux usages, services et produits du numérique, les chercheurs, les opérateurs de réseaux de communications électroniques, les entreprises du domaine de la cybersécurité, les équipementiers et les intégrateurs.
UN ENJEU À NOTRE PORTÉE
Les X sont nombreux parmi les bâtisseurs du numérique, dans les laboratoires ou à des postes clés d’opérateurs ou d’entreprises du domaine.
Moi-même, à la tête d’une agence en forte croissance, je constate combien est importante la compréhension par cette communauté du niveau de la menace à laquelle nous sommes confrontés. Il s’agit de construire un monde numérique durable – et il ne le sera que s’il est sûr.
C’est un enjeu à notre portée pour peu que soient prises suffisamment en amont les questions de sécurité.
Cette communauté a le devoir de proposer des produits et services dont le niveau de sécurité correspond aux besoins exprimés par la nécessaire analyse de risque qui doit accompagner tout projet numérique.
La deuxième communauté est constituée de tous ceux qui prennent les décisions concernant la « gestion de la cité » : élus, gouvernement, administrations centrales et territoriales et syndicats.
La mission de cette communauté est d’intégrer la sécurité et la défense du numérique dans leur vision politique des entités dont ils ont la charge. Il appartient, par exemple, à l’élu d’une collectivité territoriale de demander à ses services que le site internet de sa collectivité bénéficie du niveau de sécurité nécessaire, comme il lui appartient de faire voter les budgets requis.
Beaucoup parmi les polytechniciens appartiennent à cette communauté ou la servent. La complexité du gouvernement de sociétés avancées comme la nôtre fait que des questions apparaissant d’abord comme techniques sont rarement débattues au plus haut niveau.
Le décideur politique et ceux qui le conseillent doivent bien comprendre l’étroitesse des liens entre la confiance que les administrés attendent – et qui sera demain la condition de leur utilisation des services publics numériques – et la sécurité informatique.
Ce point est essentiel. Cette confiance doit être visée et financée dès la construction de projets dont la robustesse aux attaques informatiques doit être régulièrement mesurée.
La troisième communauté, la plus large, est constituée de tous les utilisateurs du numérique, des chefs d’entreprises ou des responsables d’associations, de tous les citoyens. Il leur revient d’utiliser les ressources du numérique avec la prudence nécessaire pour ne pas se mettre en danger, mettre en danger leurs proches ou leur entreprise, leurs clients ou leurs fournisseurs.
Dans les faits, chacun appartient au moins à deux communautés. Dans le cyberespace, comme l’a écrit Antoine de Saint-Exupéry : « Chacun est responsable de tous. Chacun est seul responsable. Chacun est seul responsable de tous. »
Données personnelles
La deuxième idée contenue dans la stratégie nationale pour la sécurité du numérique est encore naissante même si, intuitivement, chacun peut en comprendre les fondements. Elle a trait à la captation des données personnelles des Français.
Il revient à chaque utilisateur d’exploiter les ressources du numérique avec la prudence nécessaire pour ne pas se mettre en danger. © SYDA PRODUCTIONS / FOTOLIA
On peut l’illustrer par deux exemples. D’une part, une captation massive de ces données personnelles à des fins d’exploitation économiques par des acteurs étrangers peut entraîner un déséquilibre défavorable susceptible de mettre en danger une part de l’économie nationale voire européenne.
D’autre part, et dans certains cas, une captation ciblée de données personnelles – par exemple celles disponibles sur les réseaux sociaux concernant directement ou indirectement tous les personnels du ministère de la Défense – et leur exploitation peuvent constituer un problème de sécurité nationale.
Si quelques cas d’exploitation de données personnelles obtenues par attaque informatique ont mis en danger les personnes concernées ou les entreprises victimes, il n’y a pas, à ce jour, de démonstration corroborant cette menace, même si on en comprend aisément les mécanismes.
Inverser la charge de la preuve
La troisième idée est issue d’une anticipation fondée sur l’observation des faits : depuis plusieurs années, les attaques informatiques sont en croissance forte en nombre et en sophistication. Plus la France avance dans sa transition numérique, plus elle augmente sa « surface d’attaque » et plus grand est le risque d’être victime d’une attaque informatique.
“ Une captation ciblée de données personnelles peut constituer un problème de sécurité nationale ”
Ce raisonnement est applicable pour tout pays. Pourtant, pour l’entreprise, pour l’administration et pour chacun d’entre nous, la sécurité est régulièrement présentée et toujours vécue comme une contrainte et un coût.
La stratégie nationale pour la sécurité du numérique propose en quelque sorte d’inverser la charge de la preuve. La sécurité informatique doit devenir un avantage concurrentiel pour les produits et services proposés par les entreprises françaises.
Dans un marché mondial concurrentiel et face à des menaces révélées quotidiennement, notamment contre la confidentialité des données ou la résilience de produits connectés, les utilisateurs se tourneront demain vers les produits et services qu’ils estimeront de confiance.
Ainsi, pensée et intégrée en amont de la conception, la sécurité numérique des produits et services proposés par les entreprises françaises sera, à performance égale, en position favorable sur les marchés internationaux.
Cinq objectifs
Toute formation initiale supérieure doit intégrer une sensibilisation à
la cybersécurité. © SKYLINE / FOTOLIA
Le 16 octobre 2015, le Premier ministre a présenté les grands axes et orientations de la stratégie nationale pour le numérique. Issue d’un travail interministériel engagé en juin 2014, cette stratégie présente cinq objectifs et propose pour chacun d’entre eux des orientations.
Il appartient désormais aux ministères, soutenus par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), de contribuer à l’atteinte de ces objectifs par des actions relevant de leurs champs de compétences.
Le premier axe de la stratégie est dans la continuité des orientations données par les Livres blancs sur la défense et la sécurité nationale de 2008 et 2013. Il vise à renforcer la protection des infrastructures critiques de la France par une croissance de la sécurité de leurs systèmes d’information.
C’est le sens du travail engagé entre l’ANSSI et les opérateurs d’importance vitale pour la mise en œuvre des dispositions législatives relatives à la sécurité des systèmes d’information contenues dans la loi de programmation militaire de décembre 2013.
Protéger la vie numérique des français
Le deuxième axe concerne plus particulièrement la protection de la vie numérique des Français. En complément du premier axe, il s’agit d’une part de promouvoir et défendre dans le cyberespace les valeurs de la République, et d’autre part d’apporter une aide aux entreprises et particuliers victimes d’actes de cybermalveillance.
Sur ce dernier point, un groupe de travail copiloté par le préfet chargé de la lutte contre les cybermenaces du ministère de l’Intérieur et l’ANSSI a permis de poser les bases de ce que sera le dispositif d’aide qui sera mis en place courant 2016.
“ Promouvoir et défendre dans le cyberespace les valeurs de la République ”
Le troisième axe aborde les enjeux des formations initiales et continues. La stratégie souligne que l’ensemble des Français doivent être sensibilisés et que toute formation initiale supérieure doit intégrer un volet sensibilisation ou formation à la cybersécurité adapté à la filière.
Le quatrième axe vise à favoriser le développement d’un écosystème favorable au développement de produits et services de sécurité performants et de confiance.
Il s’agit également de transformer la contrainte budgétaire et humaine liée à l’intégration de la sécurité informatique dans les produits et services en avantage concurrentiel pour l’entreprise et en valeur ajoutée pour le client.
Mobiliser l’Union européenne
Le cinquième axe, enfin, vise à mobiliser les États membres de l’Union européenne pour atteindre une véritable souveraineté numérique propice au développement d’acteurs européens de la cybersécurité. L’objectif est également de renforcer l’influence française dans les instances internationales.
Notre formation et nos responsabilités nous placent en première ligne pour la mise en œuvre de l’effort qui permettra à notre nation d’être résiliente à des attaques informatiques qui aujourd’hui grèvent notre compétitivité, nous appauvrissent et détruisent des emplois et demain viseront nos infrastructures critiques, au risque de pertes de vies humaines et de dommages économiques graves.