Une société du tout numérique est une société plus efficace et plus vulnérable, annonciatrice de progrès comme de dangers.
La révolution de la donnée créée une vulnérabilité systémique
L’espace numérique a la particularité d’être déterritorialisé et de contenir pour chaque port un point de vulnérabilité potentielle. Il ne pourra jamais être pleinement résilient. Et nous sommes tous à un clic d’une attaque cyber, qu’il s’agisse de menaces de la vie réelle se prolongeant dans le cyberespace (plus de deux tiers des escroqueries trouvent aujourd’hui leur origine ou sont facilitées par internet) ou de l’émergence de risques nouveaux (une entreprise sur cinq déclarait en 2020 avoir subi une attaque par ransomware).
Le cabinet d’analyse Gartner Research estimait en 2020 que sur les 21 milliards, environ, d’objets connectés, très peu avaient été conçus pour résister à des attaques informatiques, alors qu’un grand nombre participent à des processus industriels ou sont intégrés dans des systèmes de gestion technique des bâtiments. Les chiffres de la délinquance dans ce domaine montrent en outre une forte tendance à la hausse. Le coût de la cybercriminalité était estimé à 6000 milliards en 2021. Et il est plausible que l’une des prochaines crises de grande ampleur sera cyber, alors que le volume des données produites devrait être multiplié par cinq d’ici 2025.
En effet, l’espace numérique comporte une dimension malveillante ou conflictuelle, qui impose une approche par les risques et une stratégie de résilience, alors que, sur le plan pratique, peu d’acteurs savent spontanément à qui s’adresser en cas de problème, hormis le haut du spectre des opérateurs à importance vitale et assimilés.
La France fonctionne donc à deux vitesses dans ce domaine devenu critique. Et nous commençons à peine à sortir, même si le pas s’est nettement accéléré, d’une forme de déni de ce risque et d’illusion technologique. Pour sa part, la jeune filière de la cybersécurité, qui doit apprendre à parler à tout le monde, s’efforce laborieusement de se structurer.
Une réponse intégrée est nécessaire
La stratégie de résilience doit contenir en elle-même des éléments liés au numérique, qui est aussi bien une partie du problème que de la solution. Par exemple, une majorité de cyberattaques réussies résulte de mauvaises pratiques sur les terminaux : une biométrie décentralisée serait par exemple un apport précieux, à travers l’ajout d’une authentification forte.
L’approche préventive doit être aussi globale, alors que les aspects liés au mode d’organisation et au facteur humain sont décisifs : la sécurité digitale doit être construite avec les individus et leurs usages.
L’enjeu est aussi de traiter trois niveaux de résilience, que l’État doit massivement investir en tant qu’enjeu régalien, à savoir le développement numérique, ses modes dégradés, et le fonctionnement hors numérique :
- Pouvoir fonctionner en mode d’interruption technologique, c’est-à-dire hors du numérique habituel ;
- Pouvoir fonctionner en mode numérique dégradé, avec des palliatifs technologiques ;
- Pouvoir s’appuyer sur un développement technologique plus sécurisant en sortant d’une posture seulement défensive afin de disposer d’outils numériques propres et innovant.
Dans ce contexte, le sens de l’Histoire est celui d’une croissance du nombre d’opérateurs critiques. Ainsi, avant la crise sanitaire, seuls 13 CHU étaient reconnus comme opérateurs d’importance vitale ; depuis lors une centaine d’établissements de santé ont été ajoutés, en première vague, comme opérateurs de services essentiels.
Une forme de souveraineté numérique constitue un objectif central
Promouvoir l’idée d’une souveraineté numérique ne signifie pas se renfermer, mais réduire notre dépendance. C’est aussi bien un sujet d’autonomie de décision sur les règles à appliquer que d’autonomie d’action sur la protection des systèmes et patrimoines, c’est-à-dire un arsenal de solutions de cybersécurité nationales, ou européennes, conforme à nos lois et notre éthique. Finalement, c’est bien à la notion d’autonomie stratégique qu’on revient.
Cette approche va de pair avec le constat d’une forme de déclassement numérique de l’Europe.
Aucune entreprise de l’UE ne figure dans le Top 20 des entreprises du secteur technologique par le chiffre d’affaires, alors qu’elles étaient près de la moitié dans les années 2000.
Des choix malencontreux ont pu être effectués dans le passé. Il convient désormais de ne pas se tromper dans les décisions à prendre dans un contexte de mutation technologique toujours plus rapide. Il en est ainsi de trois éléments clés :
- L’identité numérique, qui est d’abord un socle de souveraineté et de confiance ;
- L’adresse électronique nationale ;
- Le cloud, domaine où, cependant, nous n’aboutirons le plus souvent dans la pratique qu’au besoin de partenariat avec les solutions des GAFAM, en raison des besoins de services associés, ce qui correspond davantage à l’idée d’un cloud de confiance que souverain. L’objectif est louable mais insuffisant.
Quoi qu’il en soit, notre objectif de plus grande souveraineté numérique doit consister moins à avoir davantage de contrôle sur les technologies existantes (même si ce n’est pas exclu, comme pour les semi-conducteurs) que de devenir chefs de file dans des technologies d’avenir, en recherchant la création de verticales de métiers. Nous ne sommes pas condamnés à devenir une colonie numérique, et nous devons nous ménager la possibilité permanente de faire un choix.
La question nodale est celle d’un écosystème porteur. Pour y parvenir, l’un des remèdes serait de remettre au centre des processus de décisions stratégiques les ingénieurs et développeurs, plutôt que les cabinets de conseil, et de ne pas épouser les logiques qui conduisent à écarter des solutions technologiques françaises.
Nous avons trop abandonné la construction des technologies au profit de leur gestion par outsourcing, à l’inverse de ce qu’a fait Apple ou de ce que fait aujourd’hui Tesla. Le refrain du retard français n’a, à cet égard, rien d’inéluctable, si nous savons valoriser nos talents numériques.
Cette valorisation passe par plusieurs niveaux :
- L’attractivité des filières pour les jeunes, avec un effort particulier en direction des femmes, et pour les formateurs. Il est essentiel de traiter plus énergiquement la pénurie des compétences qui se creuse.
- L’accompagnement des entreprises dans leur développement au-delà des seuls apports financiers, notamment dans la capacité à passer de la culture d’ingénieur à la culture commerciale. En effet, de nombreux ingénieurs français sont à l’origine de ce qui nous est aujourd’hui vendu par les pays concurrents…Nous devons à la fois développer un tissu industriel national de confiance et créer des champions.
Nous avons les acteurs pour construire des briques essentielles en allant sur les nouveaux terrains (IA, quantique, puissance de calcul, chiffrement, robotique…). Mais nous devons aussi améliorer encore la capacité à lever des fonds.
La reconquête d’une souveraineté (relative) restera un mirage sans base industrielle et technologique nationale renforcée, conjuguée à un effet de levier européen, par mutualisation ou spécialisation.
La commande publique a pour vocation de jouer un rôle clé dans ce domaine désormais régalien. Il importe de sortir d’une forme de naïveté dans ce domaine. Elle peut favoriser les efforts importants de recherche et développement, puis de mise en production, qui sont nécessaires en la matière. De même, un Buy Digital European Act aiderait à faire de la cybersécurité la clé de voûte d’une souveraineté numérique européenne, y compris en encourageant des dispositifs d’achats mutualisés transnationaux. Le marché européen est en effet à la fois trop fragmenté et trop ouvert (taux de pénétration de 90 % dans ce domaine contre 15 % pour la Chine).
L’Union européenne doit relayer l’effort national
Ce renforcement de nos capacités nationales pourra trouver efficacement une prolongation à l’échelon européen. Nous devons effectivement assigner comme priorité stratégique à l’Union européenne, un espace numérique européen souverain depuis la périphérie jusqu’au coeur.
Il doit s’agir également d’un espace régulé : il appartient aux États de construire un nouveau cadre de protection pour cet espace, une Europe de la donnée dont l’influence sera favorisée par le fait qu’elle est l’un des deux plus gros producteurs au monde de données (avec la Chine). Et en son sein, la France et l’Allemagne pèsent plus du tiers.
La question des normes et de la standardisation mérite une forte appropriation. A cet égard, le Cybersecurity Act de 2019, qui confie à l’agence ENISA (agence européenne pour la cybersécurité) la mission de définir un cadre européen de certification de cybersécurité, constitue un pas important, de même, sur le plan national, que l’initiative gouvernementale (par circulaire de juillet 2021) de qualifier des solutions SecNumCloud par l’ANSSI.
Un espace numérique souverain constituerait donc pour l’Union européenne un avantage concurrentiel et un vecteur de puissance inédits, qu’il est indispensable de valoriser. Le Conseil, dans ses conclusions de mars 2021, a fixé comme objectif clé de parvenir à une autonomie stratégique. C’est aussi le sens de la « boussole numérique » dévoilée en mars 2021 par la Commission européenne, qui vise « davantage d’autonomie numérique en 2030 ». Le programme de 7,6 milliards d’euros dont s’est dotée l’Union européenne pour une Europe numérique a vocation à soutenir ce dessein.
La structuration de la stratégie de résilience peut être approfondie
Les enjeux de résilience véhiculés par l’explosion du numérique doivent nous conduire à régénérer le concept de défense territoriale et civile. Nous devons en effet, à cet égard et plus largement face aux menaces hybrides, nous préparer à des guerres qui ne soient pas que « militaires ».
Sur le plan national, un secrétariat général de la résilience numérique pourrait être considéré, sur le modèle, mutatis mutandis, du secrétariat général à la mer. En effet, la résilience numérique, et les menaces en matière de cyber qui lui sont associées, ne se superpose pas au seul domaine de la défense et de la sécurité, que couvre le SGDSN. Il existe des volets essentiels liés aux politiques éducatives, d’emploi et de formation, industrielles et d’innovation, pour ne citer que ces exemples.
L’ANSSI, qui est une agence d’exécution, serait le service opérationnel de ce secrétariat général, ce qui favorisera une stratégie transversale concrète, plutôt qu’une politique en silo. Dans ce schéma, les armées conserveraient le volet offensif du cyber et la cyberdéfense, le ministère de l’intérieur se concentrant sur le volet des signalements et enquêtes. Ce secrétariat général serait ainsi polarisé sur les défis de la résilience dans leurs différents aspects, y compris informationnels (reprise des compétences de Viginum).
Sur le plan local, une stratégie territoriale en déclinaison d’une doctrine nationale serait mise en place, avec un comité de pilotage sous l’égide du préfet de département, réunissant les principaux acteurs publics et privés. Chaque préfet de département devrait également disposer dans son cabinet d’une cellule projetée de l’ANSSI, qui serait complétée au niveau de chaque préfecture de région (ou de zone) par un véritable service déconcentré.
Le projet le plus important des prochaines années sera, en toute hypothèse, de construire un monde numérique que nous maîtrisons, dans lequel nous avons envie de vivre, et qui fait du numérique une force avant d’être une vulnérabilité.
Le défaitisme n’est pas de mise face à l’importance vitale de l’enjeu, et alors que nous disposons d’atouts et d’acteurs nombreux. Le désenclavement mental est devenu une exigence, face à un défi considérable de sécurité, d’indépendance et même de civilisation. L’effort doit porter sur la sécurité par conception, l’architecture sécurisée et la sécurité d’usage, dans un double but : notre liberté d’action en tant que citoyen (numérique) et en tant que Nation (numérique).
Ziad Khoury
Préfet