Cybersécurité

Face à l’augmentation des menaces, la réglementation est internationale, avec, dans chaque pays, l'État responsable de la cyberdéfense et garant de la cybersécurité.

L'ONU a engagé dès 2003 une réflexion sur les enjeux du numérique, dont ceux de la cybersécurité^[12]. La Commission économique pour l'Europe des Nations unies a d'ailleurs adopté le 25 juin 2020 deux nouveaux règlements complémentaires sur la cybersécurité et la mise à jour des logiciels embarqués dans les véhicules connectés autonome^[13].

Et au-delà de la réglementation, pour développer une prise de conscience générale des enjeux de la cybersécurité, le département de la Sécurité intérieure des États-Unis, en collaboration avec l'Alliance américaine pour la cybersécurité^[14] a, dès 2003, décrété le mois d'octobre comme le mois de la sensibilisation à la cybersécurité^[15]. Cet événement est maintenant décliné en Europe avec le support de l'ENISA et de la Commission européenne^[16] et dans un grand nombre de pays.

Pour les États-Unis on peut citer deux premières directives de la Maison-Blanche de 2013^[17] et de 2015^[18], ainsi que la création en février 2015 d'une nouvelle agence consacrée à la cybersécurité, la CTIIC^[19]. Le département de la Défense des États-Unis met à jour régulièrement sa cyberstratégie^[20] qui inclut notamment en 2019 l'apport de l'intelligence artificielle et le développement des compétences en cybersécurité^[21].

Les cinq priorités de l'Administration américaine dans le domaine de la cybersécurité deviennent :

1. Protéger les infrastructures critiques des États-Unis^[22] ;
2. Améliorer la capacité des États-Unis à identifier les cyberattaques et à rapporter celles-ci afin que le pays puisse y répondre rapidement et efficacement de manière coordonnée ;
3. Développer les partenariats internationaux afin de continuer à promouvoir la liberté sur Internet ;
4. Sécuriser les réseaux des différents États en définissant des objectifs clairs et mesurables, et responsabiliser les agences fédérales pour qu'elles atteignent ces objectifs ;
5. Éduquer pour façonner une main-d'œuvre avertie, sensibilisée aux enjeux de la cybersécurité.

La directive CISA^[23], qui crée de manière spécifique un cadre juridique encourageant l’échange entre le secteur privé et le gouvernement fédéral d’information concernant les cyber-menaces et les mécanismes de défense, a été promulguée en loi par Barack Obama le 18 décembre 2015. Elle restera effective jusqu'au 30 septembre 2025.

Début 2016, Barack Obama a renforcé ces initiatives par l'annonce d'un plan d'actions national en cybersécurité^[24]. Ce plan, baptisé CNAP, a pour objectif d'encore mieux protéger la vie privée et la sécurité publique, de continuer à améliorer la sécurité économique dans le domaine du numérique, de renforcer la sensibilisation et la protection de l'ensemble des parties prenantes, y compris en augmentant le niveau de sécurité informatique des agences fédérales. CNAP est associé à un budget de plus de 19 milliards de dollar US en 2017.

En février 2016, le département de la Sécurité intérieure des États-Unis a publié un référentiel complet pour l'évaluation de la maturité des organisations en cyber-résilience^[25].

La cybersécurité est aussi une des priorités du président-élu Donald Trump, qui avait rappelé en octobre 2016 vouloir mettre en place, dès sa prise de fonction le 20 janvier 2017, un comité d'experts pour renforcer les mesures et adresser les problématiques gouvernementales et privées dans ce domaine^[26]. Le 2 novembre 2017, un projet de loi, baptisé SHIELD Act, a été annoncé pour renforcer la cybersécurité dans l'État de New York^[27]. En juin 2019, en réaction à la destruction par l'Iran d'un drone américain^[28], Donald Trump lance une cyberattaque contre les systèmes de lancement de missiles et un réseau d'espionnage iraniens^[29],[30].

Le référentiel sur la cybersécurité développé par le NIST en 2013 pourrait maintenant, à la demande de plusieurs associations américaines, être étendu à l'Internet des objets^[31].

L'Agence de l'Union européenne pour la cybersécurité (ENISA) est créée en 2004, puis elle est renforcée par l'adoption du Cybersecurity Act européen^[32] le 11 juin 2019. L'ENISA contribue à la création d'une culture interétatique en cybersécurité au niveau européen.

Dans le cadre de l'Union européenne, un projet de directive sur la sécurité des réseaux et des systèmes d’information du Parlement et du Conseil Européens avait fait l'objet d'une consultation courant 2013 (référence SWD 2013-31 et 32). Il concernait des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union qui imposerait un niveau de sécurité minimum pour les technologies, les réseaux et les services numériques dans l'ensemble des États membres. Le texte a proposé également d'obliger certaines entreprises et organisations à signaler les incidents de sécurité informatique majeurs dont elles sont victimes. La stratégie de cybersécurité de l'UE définit ainsi l'approche adoptée par l'UE pour prévenir au mieux les perturbations et les attaques informatiques et y apporter une réponse. Elle passe en revue une série d'actions visant à augmenter la cyber-résilience des systèmes informatiques, à réduire la cybercriminalité et à renforcer la politique de l'UE en matière de cybersécurité et de cyberdéfense à l'échelle internationale, pour protéger le cyberespace, dans les domaines tant civil que militaire.

Le Forum international de la cybersécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité et à renforcer la lutte contre la cybercriminalité, priorité de l’Union européenne affichée dans le programme européen de Stockholm de 2010-2015.

L'organisation européenne de la cybersécurité (ECSO)^[33] a été créée en juin 2016 avec pour objectif d'aider les projets qui permettraient de développer, de promouvoir ou d'encourager les initiatives sur la cybersécurité en Europe.

En juillet 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive sur la sécurité des réseaux et des systèmes d’information connue sous l’appellation « directive NIS ». Cette directive prévoit le renforcement des capacités nationales de cybersécurité ; l’établissement d’un cadre de coopération volontaire entre États ; le renforcement par chaque État de la cybersécurité d’opérateurs dits de services essentiels (OSE) au fonctionnement de l’économie et de la société (élargissement de la notion d'opérateur d'importance vitale OIV) ; l’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne. Mai 2018 étant la date limite pour la transposition de la directive NIS au niveau national^[34]. Le règlement d'exécution de NIS a été publié au Journal officiel de l'Union européenne le 30 janvier 2018^[35].

À noter également que la composante juridique de la cybersécurité a indirectement été renforcée par l'adoption en 2016 puis l'application à partir de 2018 du Règlement général sur la protection des données.

Le 5 octobre 2019, les membres de l'Union européenne, avec le support de la Commission européenne ainsi que celui de l'Agence de l'union européenne pour la cybersécurité, publient un premier rapport sur l'évaluation des risques liés à l'arrivée des réseaux mobiles de 5^e génération (5G)^[36].

Les députés européens ont voté le 10 novembre 2022 la directive NIS 2 qui vise à harmoniser et à renforcer la cybersécurité du marché européen^[37]. Le 11 novembre 2022, le Parlement européen conjointement avec le Conseil de l'Europe fait une communication sur la nécessité de renforcer la coopération entre les États membres de l'Union européenne dans le domaine de la cybersécurité. Et ceci dans le contexte du retour de la guerre en Europe avec l'Invasion de l'Ukraine par la Russie de 2022^[38]. Le cadre juridique nécessaire au renforcement de cette coopération entre État sera fixé par le Cyber Solidarity Act qui est présenté par la Commission européenne le 18 avril 2023. Cette présentation est accompagnée par l'annonce d'un budget de 1,1 milliard d’euros, dont 666 millions apportés par la Commission, pour créer des centres opérationnels de sécurité transfrontaliers^[39].

En France, Jean-Marc Ayrault, alors Premier ministre, déclarait le 21 février 2014 : la cybersécurité « est une question d’intérêt majeur et d’intérêt national qui concerne tous les citoyens, tous les Français, et c’est pourquoi il est important que le gouvernement s’engage totalement »^[40]. Et Axelle Lemaire, secrétaire d’État au numérique, indiquait le 6 juillet 2015 : « Le Gouvernement présentera dès la rentrée prochaine une stratégie nationale globale sur la cybersécurité ». Comme ainsi prévu, Manuel Valls, alors Premier Ministre, présente le 16 octobre 2015 cette Stratégie nationale pour la sécurité du numérique^[41] qui doit s'appuyer sur la formation et la coopération internationale (proposition d'élaboration d'une feuille de route pour l'autonomie stratégique numérique de l'Europe ; participation renforcée de la France aux négociations multilatérales sur la cybersécurité au sein de l'ONU et de l'OSCE).

Cette stratégie, élaborée avec l'ensemble des ministères, fixe les objectifs à atteindre et les orientations qui en découlent afin de conforter la sécurité et la défense de nos infrastructures critiques et d’accompagner la transition numérique en définissant les leviers humains, techniques et opérationnels nécessaires à l’innovation, au développement économique et à la confiance des Français dans le numérique^[42].

Enfin, la mise en place d’un dispositif susceptible d’assister sur tout le territoire les victimes d’actes de cybermalveillance (particuliers, collectivités territoriales et entreprises de toute taille), annoncée en 2015, a été confirmée début 2017 par l'ANSSI (Agence nationale de la sécurité des systèmes d'information)^[43]. Le 3 mars 2017 est constitué le Groupement d’Intérêt Public « Action contre la Cybermalveillance » (GIP ACYMA)^[44]. Il réunit les acteurs publics et privés de la cybersécurité : représentants de l’État, utilisateurs (associations de consommateurs, de victimes, clubs d’utilisateurs et organisations professionnelles), prestataires et sociétés de services (syndicats et fédérations professionnelles). Il assiste les victimes d'actes de cybermalveillance grâce à la plateforme Cybermalveillance.gouv.fr, ouverte au public le 17 octobre 2017 ; il informe et sensibilise sur la sécurité numérique ; il observe et anticipe le risque numérique.

Toujours en France, l’article 15 de la Loi de programmation militaire pour 2014-2019 (votée en décembre 2013) détaille les obligations que le Premier ministre peut imposer aux opérateurs d'importance vitale (OIV) en matière de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d'information sur les attaques qu'ils peuvent subir et de soumission à des contrôles. Il prévoit également les sanctions pénales applicables en cas de non-respect de ces obligations (Il y a environ 200 OIV dont 120 dans le secteur privé et 80 dans le secteur public). Le fait que ces obligations soient traitées dans la Loi de programmation militaire montre simplement que la défense et la sécurité nationale doivent être traitées globalement et de manière cohérente. L'article 22 de cette Loi impose aux OIV la mise en place d’équipements de détection d’attaques informatiques et leur exploitation par des prestataires qualifiés par l’ANSSI ou par d'autres services de l'État désignés par le Premier ministre.

La cybersécurité est d'ailleurs aussi un des 12 domaines du plan Vigipirate qui concerne directement l'ANSSI, les OIV et leurs sous-traitants, ainsi que les Administrations. Les collectivités territoriales, les Opérateurs non-OIV sont simplement incités à mettre en œuvre le plan Vigipirate. Des objectifs permanents de sécurité communs à tous sont donc également considérés comme des conditions du succès de la mise en œuvre du plan Vigipirate^[45].

Parmi les différentes associations actives en France dans le domaine de la cybersécurité, l'on peut notamment citer l'Alliance pour la Confiance Numérique (ACN^[46]) ou encore Tech in France (éditeurs de logiciels) ainsi qu'Hexatrust^[47], association regroupant des PME d'édition et d'intégration informatiques. Ces trois associations sont membres de la FIEEC qui assure la liaison de leurs travaux respectifs.

Un label « France Cybersecurity »^[48], a été créé pour sensibiliser les utilisateurs, attester de la qualité et des fonctionnalités des produits et services labellisés, promouvoir en France et à l'international les solutions de cybersécurité françaises, accroître leur visibilité et leur usage pour élever le niveau de protection des utilisateurs.

Le Conseil général de l'économie, de l'industrie, de l'énergie et des technologies publie en janvier 2018 un rapport consacré à la cyber-résilience pour notamment renforcer la gouvernance interministérielle et mesurer le niveau de maturité des organisations dans ce domaine complémentaire et de plus en plus indispensable à la cybersécurité^[49].

Le décret d'application de la loi de transposition de la directive européenne baptisée NIS est publié au Journal officiel le 25 mai 2018^[50]. Une nouvelle étape d'application de cette directive est franchie avec l’identification d’une première vague d’OSE le 9 novembre 2018^[51]. Constatant l'augmentation des attaques au rançongiciel, une centaine d’hôpitaux est ajoutée à la liste des OSE en 2021^[52].

Le 18 février 2021, le Président de la République française, Emmanuel Macron, à la suite de l'étude d'opportunité qu'il avait demandée courant 2019, confirme la création d'un cybercampus à La Défense, consacré aux enjeux du numérique, donc notamment à la cybersécurité, et qui réunira en un même lieu des grandes entreprises et des PME pour favoriser les échanges dans ces domaines^[53]. Le Campus Cyber a été inauguré le 15 février 2022^[54].

À noter que l'ANSSI publie chaque année un panorama de la cybermenace, avec un objectif de sensibilisation à la menace pesant sur la sécurité des systèmes d'information et d'illustration de l'importance de l'application des mesures de sécurité^[55].

Le 1^er novembre 2016, le Royaume-Uni publie son plan stratégique 2016-2021 sur la cybersécurité. Ce plan s'articule autour de trois objectifs :

• défendre le Royaume-Uni contre les menaces et y répondre efficacement en s'assurant que les entreprises privées et le secteur public ont bien le bon niveau de connaissance et la capacité d'assurer leur propre protection ;
• dissuader les possibles attaquants en allant de la détection de leurs attaques jusqu'à leur poursuite pénale ;
• développer un secteur d'activité autour de la cybersécurité étayé par un effort spécifique en recherche et développement.

Ces trois objectifs étant aussi soutenus par un renforcement de la coopération internationale. Ce plan stratégique fait l'objet d'un effort d'investissement annoncé de 1,9 milliard de livres sterling^[56]. Sa mise en œuvre s'appuie notamment sur l'organisme gouvernemental National Cyber Security Centre (en) créé en octobre 2016.

L'évaluation des mesures gouvernementales publiée en décembre 2016 au Royaume-Uni^[57] confirme que le Règlement général sur la protection des données est un levier pour améliorer la gestion des risques dans le domaine de la cybersécurité.

Le 10 juin 2013, le Conseil Stratégique en Sécurité Informatique du Japon a adopté une première version de Plan stratégique en Cybersécurité^[58] ayant pour objectifs de créer un cyberespace dynamique et résilient et de faire du Japon un leader dans ce domaine à partir de quatre principes de base :

1. Maintenir un accès libre à l’information ;
2. Adresser les nouveaux risques informatiques ;
3. Répondre aux cybermenaces à partir d’une analyse de risque ;
4. Coopérer avec les parties prenantes conformément à une compréhension commune des enjeux de responsabilité sociale.

Ce Plan stratégique distingue six catégories de parties prenantes ayant chacune leur propre domaine de responsabilité :

• l’État ;
• les opérateurs d’infrastructures critiques ;
• les grandes entreprises et universités ;
• les petites et moyennes entreprises ;
• les utilisateurs individuels ;
• les acteurs du monde informatique^[59].

Le Cyberespace devenant alors un cinquième domaine stratégique en matière de défense nationale avec la terre, la mer, l’air et l’espace.

Dès cette époque, le Japon prévoyait de donner plus de responsabilités à son Centre National de Sécurité de l’Information (NISC) pour que cet organisme puisse coordonner toutes les actions opérationnelles d’intérêt national en cybersécurité. Ce qui a été fait depuis avec la seconde version de Plan stratégique en Cybersécurité publié en septembre 2015^[60]. Dans ce contexte, le NISC a d’ailleurs été rebaptisé Center National de préparation contre les incidents et de la stratégie en Cybersécurité^[61]. Cette seconde version du Plan stratégique en Cybersécurité anticipe notamment la problématique de l’utilisation massive de l’Internet des Objets dans la perspective des Jeux olympiques d'été de 2020 à Tokyo. Le gouvernement japonais entend coopérer dans le domaine de la cybersécurité au sein de la région Asie-Pacifique, avec l’Amérique du Nord dans le cadre des accords Japon – USA et plus généralement avec chaque pays partageant les mêmes valeurs que le Japon.

Le 7 novembre 2016, le Congrès National du Peuple chinois^[62] a adopté sa première loi fondamentale sur la Cybersécurité. Le projet de loi avait été l'objet d'une consultation publique en deux étapes, en juillet 2015 puis en juillet 2016^[63]. Cette loi sur la Cybersécurité est entré en vigueur le 1^er juin 2017. Elle formalise la notion de souveraineté nationale dans le Cyberespace et introduit des définitions proches de celles données en France pour les opérateurs d'importance vitale et leurs infrastructures critiques.

D'une manière générale, la loi sur la Cybersécurité a pour but de maintenir la sécurité des réseaux informatiques, de sauvegarder la sécurité nationale et les intérêts publics, de protéger les droits des citoyens (et les données à caractère personnel), des sociétés et autres organisations intervenant en Chine ainsi que de promouvoir un développement sain des technologies de l'information dans les secteurs économiques et sociaux.

Cette loi sur la Cybersécurité donne un cadre juridique à la définition des niveaux de sécurisation offerts par les réseaux informatiques et leurs composants, qu'il reste encore à préciser. Concernant la géolocalisation des données en Chine, l'effort a été porté dans un premier temps sur les opérateurs d'importance vitale qui doivent notamment éviter les fuites de données^[64]. Puis, indirectement (puisqu'ils utilisent les réseaux d'opérateurs de télécommunications chinois) sur les opérateurs Cloud qui doivent encourager le stockage des données de leurs utilisateurs chinois en Chine^[65]. Enfin, cette même loi encourage la définition de standards de sécurité informatique plus rigoureux que les standards actuellement reconnus.

Le 17 août 2021, les autorités cubaines promulguent une première loi sur la cybersécurité. Comme la plupart des lois en la matière, la loi cubaine vise d'abord à gérer les incidents de cybersécurité par la prévention, la détection et de promptes réponses aux attaques en provenance du Cyberespace. Mais, à la suite des manifestations du 11 juillet 2021, cette loi cubaine encadre aussi l'usage des réseaux sociaux^[66]. Ce qui entraine une polémique relayée dans la presse internationale autour de la pénalisation de la « subversion sociale » qui peut « troubler l’ordre public » et « promouvoir l’indiscipline »^[67].

• Christian Aghroum, Les mots pour comprendre la cybersécurité : Et profiter sereinement d'Internet, Lignes de Repères Editions, 1^er octobre 2010, 217 p. (ISBN 978-2-915752-64-9)
• Nicolas Arpagian, La Cybersécurité, Paris, PUF, coll. « Que sais-je ? », 26 août 2015, 127 p. (ISBN 978-2-13-065219-9)
• Aymeric Bonnemaison et Stéphane Dossé, Attention : Cyber ! : Vers le combat cyber-électronique, Economica, 2 janvier 2014, 224 p. (ISBN 978-2717866667)
• Bertrand Boyer, Cyberstratégie, l'art de la guerre numérique, Nuvis, 1^er juillet 2012, 238 p. (ISBN 978-2363670137)
• Bertrand Boyer, Cybertactique : conduire la guerre numérique, Nuvis, 1^er janvier 2014, 280 p. (ISBN 978-2363670601)
• Stéphane Dossé, Olivier Kempf et Christian Malis, Le cyberespace - Nouveau domaine de la pensée stratégique, Economica, 5 juin 2013, 192 p. (ISBN 978-2717865684)
• Yannick Fourastier et Ludovic Pietre-Cambacedes, Cybersecurite des installations industrielles : défendre ses systèmes numériques, Toulouse, Éditions Cépaduès, 24 juin 2015, 528 p. (ISBN 978-2-36493-168-8)
• François-Bernard Huyghe, Olivier Kempf et Nicolas Mazzucchi, Gagner les cyberconflits, Economica, 4 septembre 2015, 176 p. (ISBN 978-2717868104)
• Olivier Kempf, Introduction à la cyberstratégie, Economica, 13 février 2015, 235 p. (ISBN 978-2717867695)
• Hugo Loiseau, Daniel Ventre, Hartmut Aden (Eds.), Cybersecurity in Humanities and Social Sciences: A Research Methods Approach, Wiley-ISTE, novembre 2020, 234pages, Print (ISBN 9781786305398) |Online (ISBN 9781119777588) |DOI 10.1002/9781119777588
• Myriam Quéméner et Jean-Paul Pinte, Cybersécurité des acteurs économiques : Risques, réponses stratégiques et juridiques, Paris, Hermes Science Publications, coll. « Cyberconflits et cybercriminalité », 13 décembre 2012, 239 p. (ISBN 978-2-7462-3915-9)
• Yann Salamon, Cybersécurité et cyberdéfense : enjeux stratégiques, Éditions Ellipses, 6 octobre 2020, 336 p. (ISBN 978-2-34004-241-4)
• Stéphane Taillat, Amaël Cattaruzza et Didier Danet, La Cyberdéfense - Politique de l'espace numérique: Politique de l'espace numérique, Armand Colin, 4 juillet 2018, 256 p. (ISBN 978-2200621292)
• Daniel Ventre, Cyberattaque et cyberdéfense, Lavoisier, 4 août 2011, 312 p. (ISBN 978-2746232044)
• Daniel Ventre, Intelligence artificielle, cybersécurité et cyberdéfense, ISTE, Londres, Septembre 2020, 246 p. (ISBN 9781784056797)
• Hugo Loiseau, Daniel Ventre, La cybersécurité en sciences humaines et sociales. Méthodologies de recherche, ISTE, Londres, Mars 2021, 202 p. (ISBN 9781784057572)

• Cyberdéfense
• Règlement sur les services numériques (règlement européen)
• Sécurité des systèmes d'information
• Sécurité du cloud
• Sécurité des infrastructures du cloud

• Ressource relative à l'audiovisuel :
  • France 24
• Agence Nationale de la Sécurité des Systèmes d'Information
• Site gouvernemental officiel français de cybermalveillance

• Portail de la sécurité de l’information
• Portail de la sécurité des systèmes d'information
• Portail de l’informatique
• Portail des logiciels
• Portail des télécommunications