Discours à l’occasion de la présentation de la stratégie nationale de la sécurité du numérique

Monsieur le Premier ministre, Madame la secrétaire d’État, Excellences, Mesdames et Messieurs les parlementaires, Mesdames, Messieurs,

La sécurité des systèmes d’information comporte des enjeux considérables, qu’ils concernent la protection de notre vie privée, celle des activités économiques de notre pays, de ses infrastructures critiques ou encore de sa souveraineté.

Ces enjeux ont commencé à être perçus et cernés il y une vingtaine d’années, mais la prise de conscience de leur importance en dehors des cercles de spécialistes ne s’est effectuée que progressivement. Ces dernières années, différentes révélations et la chronique quotidienne des attaques informatiques dont la presse se fait désormais l’écho ont néanmoins aiguisé la perception des défis et des dangers auxquels nous sommes confrontés.

Nos comportements et nos habitudes se sont en effet transformés sous l’influence successive de l’Internet puis de la mobilité connectée. Aujourd’hui, chacun de nous perçoit à quel point il est dépendant d’une connexion fiable, combien il est tributaire de la sécurité des réseaux. Chacun mesure la puissance procurée par l’interconnexion de milliards d’individus et de données, en même temps qu’il perçoit la vulnérabilité induite par une identité numérique et par des données mal protégées. L’espionnage, la malveillance ou la simple indiscrétion informatiques se pratiquent à l’échelle de la planète, que ce soit par des moyens affichés, mais néanmoins imposés à l’utilisateur, ou par le biais de procédés plus opaques. Contrôlées par des pirates à l’insu de leur propriétaire, des millions de machines zombies hantent ainsi le monde au service de desseins criminels.

Pour nos sociétés, et plus particulièrement pour nos sociétés démocratiques, nécessairement plus exposées parce que plus ouvertes et plus transparentes, de tels défis appelaient une réaction la plus compréhensive et la plus coordonnée possible. C’est pourquoi la France a pris la décision de placer la responsabilité de la cybersécurité entre les mains du Premier ministre, à qui il revient de définir et de coordonner l’action gouvernementale en matière de sécurité et de défense des systèmes d’information. Il est aidé dans cette mission par le Secrétariat Général de la Défense et de la Sécurité Nationale, et par l’Agence Nationale de la Sécurité des Systèmes d’Information qui lui est rattachée, le premier jouant le rôle de pilote et de coordinateur de l’action publique, tandis que la seconde agit comme opérateur de sécurité.

La cybersécurité s’est ainsi imposée au sommet de l’Etat. Son introduction nous trouvait néanmoins désarmés. Nous n’avions ni devanciers, ni modèles auxquels nous référer. Tout était encore à inventer. En 2010, la décision fut donc prise de fonder une stratégie dans le domaine de la sécurité numérique. Centrée sur l’administration, celle-ci contribua à fixer le rôle et les prérogatives de l’ANSSI, ainsi qu’à renforcer les systèmes de protection informatique mis en œuvre par les grands ministères régaliens : Défense, Intérieur, Affaires Etrangères. Conçue par et pour l’Etat, cette stratégie présentait cependant d’indéniables limites. Celle du secret, qui caractérisait la plupart de ses préconisations, malgré la décision d’en livrer une version en ligne en 2011. Celle de l’entre soi administratif, qui avait présidé à sa naissance et qui l’empêchait de répondre aux besoins de notre société et de ses acteurs. Ainsi fallut-il attendre l’année 2013 et la nouvelle loi de programmation militaire pour que les missions de l’ANSSI soient étendues à la protection de nos opérateurs d’importance vitale.

Face à ces lacunes, et pour corriger les insuffisances de l’ancien modèle, une toute autre démarche semblait nécessaire. La stratégie nationale pour la sécurité du numérique qui vous est aujourd’hui présentée en est par conséquent le produit. Il s’agit d’un travail neuf, à la fois collaboratif et ouvert. Avant de vous en détailler les modalités et les principaux résultats, et parce que l’usage des mots est parfois trompeur, je voudrais néanmoins souligner que cette stratégie a été pensée comme une stratégie de prévention, de protection et de détection des attaques informatiques. Elle n’a pas vocation à servir le renseignement ou la mise en œuvre de contre-offensives numériques. A ce titre, elle s’inscrit à l’intérieur d’un choix fondamental effectué par notre pays, celui de distinguer d’une part la cyberprotection, confiée aux services informatiques des ministères, à ceux des entreprises et à l’ANSSI, et d’autre part les opérations numériques offensives, dont l’état-major des armées et les services ont la responsabilité. Du respect de cette démarcation dépend celui de nos libertés individuelles et publiques. Il était donc indispensable de la prendre en compte dans nos travaux.

Ces derniers ont été menés par quatre commissions distinctes. Pilotée par le Conseil général de l’économie, la première s’est penchée sur la sécurité des nouveaux usages, et plus particulièrement de ceux liés aux objets connectés. En transmettant fichiers, courriels, contacts, agenda, déplacements, conversations et même émotions à travers la captation des battements cardiaques, une simple montre connectée est en effet à même de déposséder son porteur de lui-même, ce qui rend indispensable une réflexion sur ces nouveaux objets.

Dirigée conjointement par le ministère de l’intérieur et le secrétariat d’Etat chargé du numérique, la deuxième commission s’est attachée à la question de la confiance numérique. Ses réflexions l’ont notamment amenée à s’interroger sur la protection d’une identité numérique devenue indispensable pour nombre de démarches administratives. Consacrés pour leur part aux entreprises, les travaux de la troisième commission ont porté sur la protection de ces acteurs majeurs de notre économie, y compris celle des PME. Ils ont également envisagé la question du soutien pouvant être apporté à la filière de la cybersécurité.

Sous la direction du ministère des Affaires étrangères, la dernière commission a enfin réfléchi aux moyens de favoriser l’exportation de notre savoir-faire en matière de sécurité informatique ainsi qu’aux modalités d’une protection internationale du cyberespace.

La stratégie nationale de sécurité informatique que vous avez arbitrée et entérinée, Monsieur le Premier ministre, résulte donc d’un intense travail interministériel finalisé en mai dernier par un séminaire auxquels participèrent la secrétaire d’Etat chargé du numérique et ses services. Il était en effet essentiel que le volet de la cybersécurité soit parfaitement en phase avec le projet de loi sur le numérique et avec le rapport sur la « République numérique en acte » présenté le 18 juin dernier par le Conseil national du numérique et par son président, Benoît Thieulin. Dans cette perspective, cinq objectifs essentiels ont été retenus pour aimanter cette stratégie.

Dans la lignée des orientations du livre blanc sur la défense et la sécurité nationale de 2013, le premier a trait aux risques représentés par les attaques informatiques en matière de défense, de sécurité nationale, de recherche scientifique et de potentiel technologique. Pour contrer de telles attaques, il est indispensable de disposer des compétences et des moyens techniques nécessaires à leur détection, à leur analyse et à la conception de contre-mesures capables de garantir la confidentialité de nos données diplomatiques, militaires et économiques, ainsi que d’assurer la protection de nos infrastructures critiques, qu’ils s’agissent des opérateurs d’importance vitale répertoriés par la France ou des opérateurs essentiels à l’économie mentionnés par le projet de directive européenne relatif à la sécurité des systèmes d’information. L’impératif de préparer notre pays à l’éventualité d’une crise informatique majeure dimensionne ainsi par le haut la stratégie nationale pour le numérique.

Cette stratégie est déterminée en second lieu par l’exigence de protéger la vie numérique de nos concitoyens et de lutter contre la cybercriminalité. Une telle ambition passe par la création d’un dispositif d’assistance aux victimes d’actes de cybermalveillance, dispositif actuellement imaginé par les ministères de la justice, de l’intérieur et de l’économie épaulés par l’ANSSI, et dont la mise en œuvre interviendra en 2016. Elle implique également de renforcer la protection des données personnelles des Français, leur exploitation commerciale par des algorithmes hors de tout contrôle ne pouvant être tolérée. Il en va sur ce point du respect du droit à la vie privée, il en va également de la préservation de nos intérêts économiques et de notre souveraineté.

Ce deuxième objectif ne saurait toutefois être atteint sans le développement parallèle d’une culture nationale de la prévention. Il s’agit là du troisième enjeu de notre stratégie, ce dernier impliquant de diffuser un certain nombre de bonnes pratiques parmi nos concitoyens. C’est ce à quoi s’est récemment attelé le CIGREF à travers la réalisation d’une grande campagne de sensibilisation dont les résultats nous serons présentés au cours de cette journée. C’est également ce que visent les propositions faites pour intégrer la sécurité numérique dans toutes les formations initiales et continues du supérieur.

Les enjeux économiques de la cybersécurité dessinent le quatrième volet de cette stratégie numérique. La recherche de la sécurité informatique suppose en effet l’existence d’un tissu d’entreprises innovantes suffisamment dense pour assurer le développement de solutions techniques toujours plus performantes et plus fiables. Créé en 2013, le Comité de la Filière de l’Industrie de Sécurité est appelé à jouer sur ce plan un rôle essentiel en tant qu’intermédiaire entre le secteur privé et la puissance publique.

Le dernier objectif de cette stratégie répond enfin à l’illusion que constituerait une réflexion purement nationale. Face à une technologie sans frontière, la coopération interétatique est plus que jamais de mise. La stratégie nationale pour la sécurité numérique propose donc l’élaboration, avec les Etats-membres qui le souhaitent, d’une feuille de route européenne au service d’une prospérité numérique commune fondée sur la cybersécurité. Elle invite également à renforcer la coopération entre les Etats et les opérateurs, afin que soit réduite l’inévitable inadéquation d’un outil planétaire avec les exigences du droit et de la démocratie dont les Etats-nations restent les principaux garants.

Voici en quelques mots, Monsieur le Premier ministre, Mesdames, Messieurs, les ambitions qui déterminent notre stratégie nationale pour la sécurité du numérique. Elles sont le fruit du travail de l’ensemble des ministères, que je tiens à remercier pour leurs contributions, et de celui de l’ANSSI, dont l’action fut déterminante pour la réussite de cette entreprise interministérielle.

La mise en œuvre de cette stratégie ambitieuse repose sur l’engagement de tous : acteurs de la vie publique, entreprises ou simples citoyens. A nous tous d’en garantir le succès.

Je vous remercie.