XY Magazine

Stratégie cyber-sécurité de la France

Listen Later

Stratégie cyber-sécurité de la France est bien définie. La France a élaboré et fait évoluer sa stratégie nationale en matière de cyber-sécurité face à l’amplification et à la sophistication des cyber-menaces, ainsi qu’en réponse au cadre réglementaire européen.

Stratégie cyber-sécurité de la France
  • Origine et Évolution

    • La lutte contre les cyber-menaces a été organisée en France dès 2004, puis renforcée après l’attaque informatique subie par l’Estonie en 2007.

    • La Nouvelle Stratégie Nationale de Cyber-sécurité (2024)

      • La nouvelle stratégie nationale de cyber-sécurité a été définie fin 2024 et validée en novembre 2024 par le conseil de défense et de sécurité nationale. Elle s’inscrit dans un nouveau cadre défini par l’évolution de la menace et la réglementation européenne, notamment les directives NIS 2, REC et DORA.

      Son objectif est de définir une politique publique globale qui vise à développer l’expertise, à utiliser des technologies avancées, et à renforcer le pilotage pour répondre aux agressions et consolider la protection des systèmes d’information de l’État et des entités importantes. Elle vise également à construire une “société de confiance” cyber.

      La stratégie confirme le maintien d’un comité directeur cyber, présidé par le Premier ministre, qui abordera les trois volets de la sécurité numérique pour définir les grandes orientations de l’État en cybersécurité.

      Elle instaure un comité de pilotage des politiques publiques cyber (C3PC), de nature interministérielle, sous la responsabilité du SGDSN. Ce comité est chargé d’établir la planification interministérielle pluriannuelle des ressources de l’État, sa déclinaison annuelle, et le suivi des moyens dédiés dans les ministères.

      Mise en Œuvre et Recommandations

      Bien que finalisée, cette nouvelle stratégie n’a pas encore fait l’objet d’une publication officielle ni d’une déclinaison publique sous forme de plan d’action et de financements dédiés. C’est bien là un point faible du sujet.

      Pour garantir son effectivité, elle doit être adossée à un échéancier précis des actions à mener et à une programmation pluriannuelle des ressources à mettre en œuvre dans la sphère des services de l’État.

      Elle nécessite de préciser les missions de l’ANSSI et d’accompagner la construction de l’écosystème de cyber-sécurité ainsi que la diffusion de la culture de la sécurité numérique dans l’ensemble de la société, en rationalisant son financement et les dispositifs de soutien.

      Le rôle central de l’ANSSI

      L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) joue un rôle central et déterminant dans la cyber-sécurité civile en France. Créée par décret n° 2009-834 du 7 juillet 2009, l’ANSSI est un service à compétence nationale rattaché au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), placé auprès du Premier ministre. Ce positionnement stratégique souligne le haut niveau de prise en compte de la menace et la nécessité d’un traitement multisectoriel et interministériel.

      Voici les principales missions et fonctions de l’ANSSI, ainsi que son rôle dans la stratégie cyber-sécurité :

      • Autorité nationale de sécurité et de défense des systèmes d’information (SSI):
        • Elle est l’expert français de cybersécurité dans les relations internationales.
        • Elle contribue à la sécurisation des systèmes d’information des organisations internationales dont la France est partie, notamment pour la protection des informations classifiées.
        • Elle soutient les travaux relatifs à l’élaboration de la stratégie nationale de cybersécurité.
        • Elle est chargée de la transposition de la directive européenne NIS 2 en droit français.
        • Conseil et soutien:
          • Elle assure une mission de conseil et de soutien technique aux administrations, aux Opérateurs d’Importance Vitale (OIV), aux Opérateurs de Services Essentiels (OSE), et aux Fournisseurs de Services Numériques (FSN) pour la conception et la mise en œuvre de leurs systèmes d’information les plus critiques.
          • L’assistance technique est majoritairement dédiée aux services de l’État, mais aussi aux OIV/OSE et à des organismes internationaux.
          • Centre de Réponse aux Incidents de Sécurité (CERT-FR):
            • Elle est le centre de réponse aux incidents de sécurité gouvernemental et national français.
            • Le CERT-FR répond aux demandes d’assistance suite à des incidents de sécurité, traite les alertes, détecte les attaques ciblant les systèmes d’information gouvernementaux, et identifie les vulnérabilités.
            • Elle assure le suivi des incidents cyber et leur remédiation. La complexité des opérations d’endiguement et de gestion de crise est croissante.
            • Elle a accompagné l’émergence et la structuration des CSIRT (Computer Security Incident Response Team) ministériels et territoriaux, et coordonne les réponses aux incidents.
            • Contrôle et audit:
              • Elle réalise des audits pour vérifier l’effectivité et la performance de la sécurité des systèmes d’information des entités régulées (OIV, OSE, administrations).
              • La fonction de contrôle doit être plus fortement structurée et intensifiée, notamment avec l’élargissement du périmètre d’entités concernées par la directive NIS 2.
              • L’ANSSI prévoit de distinguer clairement ses missions d’accompagnement et de contrôle pour maintenir la confiance.
              • Qualification et certification de produits et services:
                • L’ANSSI met en place des procédures de qualification et de certification (CSPN, CC) pour évaluer et approuver les produits, services et prestataires de cybersécurité qui répondent à ses normes.
                • Ces qualifications sont obligatoires pour les solutions destinées aux OIV, aux autorités administratives relevant du Référentiel Général de Sécurité (RGS), et aux entités relevant du règlement eIDAS.
                • Elle labellise également des formations (label SecNumedu).
                • Formation et sensibilisation:
                  • Elle assure la formation des agents des entités régulées en cybersécurité via son Centre de Formation pour la Sécurité des Systèmes d’Information (CFSSI).
                  • Elle mène des actions de sensibilisation aux cybermenaces auprès du grand public (ex: Cybermoi/s, SecNumacadémie).
                  • Il est nécessaire d’adapter l’offre de formation aux besoins des organismes régulés et de développer l’observation et l’orientation de l’offre de formation en cybersécurité.
                  • Observation de la menace cyber:
                    • L’ANSSI centralise l’observation de la menace cyber, produisant des analyses et des synthèses (ex: panorama de la cybermenace).
                    • Il est recommandé de mettre en place à court terme un observatoire de la cybermenace au sein de l’ANSSI, centralisant les données et analyses à l’échelle nationale pour prévoir leur évolution.
                    • Contribution à la politique industrielle et à l’écosystème:
                      • L’ANSSI est un acteur clé dans la promotion des technologies de sécurité et a soutenu le développement d’une politique industrielle cyber.
                      • Elle est associée aux processus de sélection des projets financés par des stratégies comme France 2030.
                      • Elle est partenaire de plateformes comme Cybermalveillance.gouv.fr et du Campus Cyber, et il est recommandé de proposer un modèle économique pérenne pour ces entités.

                        • L’ANSSI est le pilier technique et réglementaire de la cybersécurité civile en France. Elle définit les normes, assiste les entités critiques, réagit aux incidents, forme les acteurs, et contribue à la politique industrielle, le tout sous l’autorité du SGDSN.

                        Le cas des entités régulées

                        En France, les entités régulées sont les organisations, publiques ou privées, soumises à des obligations spécifiques en matière de stratégie cyber-sécurité en raison de leur importance pour le fonctionnement de la Nation, la société, ou l’économie, et ce, face à l’évolution croissante et sophistiquée des cybermenaces. Le cadre de cette régulation a considérablement évolué, notamment sous l’impulsion du droit européen.

                        1. Origine et Évolution du Cadre Réglementaire
                        • Début de la régulation : La lutte contre les cybermenaces a été organisée en France dès 2004 et renforcée après l’attaque informatique massive subie par l’Estonie en 2007. Initialement, l’approche était axée sur la cyberdéfense, avec une focalisation sur la sécurisation des Opérateurs d’Importance Vitale (OIV), identifiés dès le Livre blanc sur la défense et la sécurité nationale de 2008 et 2013. La loi de programmation militaire de 2013 a introduit des mesures de sécurité obligatoires pour ces OIV. Les OIV sont des personnes morales publiques ou privées dont la destruction ou l’indisponibilité grave obéreraient gravement le potentiel militaire, la force économique, la sécurité ou la capacité de survie de l’État, ou mettraient en danger sa population.
                        • Extension par NIS 1 : La directive européenne “Network and Information System Security” (NIS 1) de 2016, transposée en droit français en 2018, a élargi le périmètre des entités concernées. Elle a introduit la catégorie des Opérateurs de Services Essentiels (OSE), qui produisent des services essentiels au bon fonctionnement de la société ou de l’économie, et a également concerné les Fournisseurs de Services Numériques (FSN). Le nombre d’organismes sous contrôle de NIS 1 ne dépassait pas 500.
                        • Nouvelle ère avec NIS 2 et au-delà : La directive NIS 2 (adoptée en décembre 2022 et à transposer d’ici octobre 2024), ainsi que les directives “Résilience des Entités Critiques” (REC) et “Digital Operational Resilience Act” (DORA) (pour le secteur financier), ont très significativement élargi et précisé le champ des organismes soumis à des obligations de cybersécurité.
                          • 2. Catégories d’Entités Régulées sous NIS 2

                          La directive NIS 2 (voir article précédent sur le site) modifie profondément le paysage de la régulation, en augmentant le nombre d’entités concernées d’environ 500 à 15 000 entités. Ces entités s’identifient désormais elles-mêmes. Les entités concernées par NIS 2 répondent à trois critères cumulatifs :

                          1. Une activité fournie ou exercée au sein de l’Union Européenne.
                          2. Le secteur d’activité : la directive liste 18 secteurs, dont 11 “hautement critiques” (énergie, transport, banques, santé, infrastructures numériques, administration publique, etc.) et 7 “autres secteurs critiques” (services postaux, gestion des déchets, fabrication, recherche, etc.).
                          3. Leur taille : moyennes ou grandes entreprises, selon des seuils d’employés et de chiffre d’affaires.

                            4. La directive NIS 2 distingue deux catégories principales, avec des niveaux d’exigence modulés:

                            • Entités Essentielles (EE) : Les grandes entreprises des secteurs “hautement critiques”, ainsi que les infrastructures numériques et les administrations publiques (centrales et régionales), quelle que soit leur taille.
                            • Entités Importantes (EI) : Les moyennes entreprises des secteurs “hautement critiques”, ainsi que les moyennes et grandes entreprises des “autres secteurs critiques”.

                              • La France a pris la décision d’inclure les collectivités territoriales dans ces nouvelles exigences, compte tenu de la multiplication des attaques les affectant et de leur faible sécurisation.

                              Cela inclut notamment les régions, départements, métropoles, communautés urbaines, communautés d’agglomération, et les communes de plus de 30 000 habitants en tant qu’EE, et les communautés de communes en tant qu’EI. Notez qu’a cette date le texte n’est pas encore transposé en droit français.

                              3. Obligations pour les Entités Régulées

                              Les entités régulées sont soumises à un ensemble d’obligations visant à renforcer leur cyber-résilience:

                              • Mesures de gestion des risques : Elles doivent mettre en œuvre des mesures de gestion des risques en matière de cybersécurité.
                              • Interlocuteur privilégié : Elles doivent désigner un interlocuteur privilégié de l’ANSSI.
                              • Cartographie des systèmes d’information : Elles doivent définir et tenir à jour la liste de leurs systèmes d’information essentiels (SIE) ou d’importance vitale (SIIV), en tenant compte des services fournis par leurs prestataires. Sous NIS 2, les obligations s’appliquent par défaut à l’ensemble des systèmes d’information de l’entité.
                              • Notification d’incidents : Elles ont l’obligation de notifier directement l’ANSSI des incidents affectant leurs systèmes d’information.
                              • Règles de sécurité : Elles doivent se conformer aux règles de sécurité édictées par le Premier ministre (SGDSN / ANSSI), couvrant des thématiques telles que la gouvernance, la gestion des risques, la gestion des systèmes d’information, la gestion des incidents, et la protection des systèmes d’information.
                              • Audits et contrôles : Elles sont tenues de se soumettre à des contrôles réguliers pour évaluer leur niveau de sécurité, effectués par l’ANSSI ou des prestataires d’audit qualifiés par l’ANSSI (PASSI). La fonction de contrôle de l’ANSSI doit changer de dimension pour répondre à l’élargissement du périmètre d’entités assujetties.
                              • Produits et services qualifiés : Les OIV (et dans une moindre mesure, d’autres entités) doivent recourir à des produits et services qualifiés par l’ANSSI, qui atteste de leur robustesse et compétence. En utilisant des services SAAS SECNUMCLOUD par exemple.
                              • Systèmes de détection : Seuls les OIV ont l’obligation de déployer des systèmes de détection qualifiés par l’ANSSI (sondes), permettant une vision précise des menaces.

                                • La France a bien intégré la cyber-menace dans sa stratégie cyber-sécurité.

                                Cette politique a un cout. Actuellement beaucoup d’entités concernées par la mise en Œuvre de NIS2 n’auront pas le moyens immédiats de sécuriser correctement leurs systèmes.

                                Sources :

                                La réponse de l’État aux cybermenaces sur les systèmes d’information civils, Cour des comptes

                                The post Stratégie cyber-sécurité de la France first appeared on XY Magazine.
                                ...more
                                View all episodesView all episodes
                                Download on the App Store
                                XY MagazineBy Régis BAUDOUIN