Le premier ministre Manuel Valls à Paris, le 16 octobre 2015. BERTRAND GUAY / AFP

Après sa stratégie numérique, en juin, et dans la lignée du livre blanc sur la défense de 2013, le premier ministre Manuel Valls a présenté, vendredi 16 octobre, la stratégie du gouvernement en matière de cybersécurité.

Lire aussi Le gouvernement présente sa stratégie numérique pour la France

Dans un document d’une trentaine de pages, porté par le Secrétariat général de la défense nationale, dont dépend l’ANSSI, l’Agence nationale de sécurité des systèmes d’information, une structure créée en 2009 pour protéger les réseaux informatiques de l’Etat, le gouvernement trace les grandes lignes des mesures qu’il entend prendre pour assurer la sécurité informatique du pays.

Accroissement des capacités des attaquants

L’exécutif y fait le constat, désormais bien connu, de l’« accroissement des capacités des attaquants et de la prolifération des techniques d’attaques » et évoque le chiffre d’une « centaine d’attaques d’importance depuis 2011 » contre de grandes entreprises ou des composantes de l’Etat.

Pour Guillaume Poupard, le patron de l’ANSSI, des attaques d’une gravité similaire à celle qui a touché TV5 Monde, au printemps, surviennent « tous les quinze jours ». L’attaque très médiatique contre la chaîne de télévision fait en réalité figure d’exception tant la plupart des attaques contre l’Etat ou des entreprises stratégiques demeurent en fait inconnues du public, les victimes rechignant à évoquer publiquement leurs déboires informatiques lorsqu’elles parviennent même à détecter les intrusions. En conséquence, le nombre d’attaques reste difficile à estimer.

Des actions orientées vers les PME et les particuliers

Dans ce document, le gouvernement ne fait aucune annonce fracassante. L’idée est davantage d’établir un plan de route, voire une doctrine, pour les prochaines années. « La France est en ordre de bataille mais il faut une vraie coordination, une coopération entre les acteurs. Il faut mettre tout le monde sous pression » précise un haut fonctionnaire qui a participé à l’élaboration de ce document.

Le gouvernement entend davantage orienter son action vers les petites entreprises et les particuliers en mettant en place un dispositif « pour porter assistance aux victimes d’actes de malveillance », par exemple sous la forme d’un portail Internet. Cette intervention porterait moins sur l’identification et la poursuite des responsables, déjà l’apanage de la police et de la justice, que sur des moyens pour se remettre d’une cyberattaque.

Le rôle de l’Etat devrait cependant se circonscrire à un rôle de conseil et de la labellisation de professionnels de confiance. A ce titre, le rôle de veille de l’ANSSI en direction des entreprises et des particuliers sera renforcé.

Le gouvernement veut aussi diffuser au maximum les grands principes de la sécurité informatique dans la société. Au programme, la diffusion de contenus de sensibilisation à destination du grand public et l’ajout de notions de cybersécurité dans tous les cursus secondaires. Tous les « postes à responsabilité de la fonction publique » seront aussi familiarisés au B.A.-BA de la sécurité informatique.

A partir de 2016, les projets de loi comporteront dans leur étude d’impact un volet consacré au numérique et à la cybersécurité. Pour mieux mesurer les conséquences de la criminalité en ligne, l’Observatoire national de la délinquance et des réponses pénales se verra chargé de publier des statistiques à ce sujet. Le gouvernement veut aussi intensifier le soutien aux travaux de recherche sur des domaines de la sécurité informatique qu’un « groupe d’experts », qui sera créé, jugera essentiel aux intérêts du pays.

Effort de propagande

Le gouvernement, citant des « opinions diffusées […] sur les plateformes numériques et notamment les réseaux sociaux […] qui vont à l’encontre des intérêts fondamentaux de la France [et qui] relèvent d’une atteinte à la défense nationale », veut aussi accentuer son effort de propagande, comme il a l’a fait récemment sur la plateforme stop-djihadisme.gouv.fr Sans pour autant préciser quelles sont ces « opinions » dangereuses pour l’Etat.

Dans la lignée d’un premier plan initié à l’époque par le ministre du redressement productif, Arnaud Montebourg, la filière industrielle sera également chouchoutée par le gouvernement, qui y voit, en plus d’un intérêt pour la protection du pays, une opportunité économique.

Sans annoncer de dispositif spécifique, le gouvernement veut « soutenir à l’export » les entreprises du secteur, notamment en accentuant l’effort d’évaluation et de labellisation par l’ANSSI, des solutions offertes par les entreprises françaises ou en privilégiant, dans les commandes publiques, les « services et les produits de qualité ».

La question du chiffrement

Même s’il ne figure pas directement dans la stratégie présentée par le gouvernement, l’épineux débat sur les moyens de protection des données des internautes s’est invité dans le discours du premier ministre Manuel Valls. Ce dernier a réaffirmé que « [son] gouvernement restait favorable à ce que les entreprises disposent de tous les moyens de cryptologie légale », sans pour autant éclaircir la question des moyens automatiques de protection des données proposés par certains fournisseurs grand public comme Apple et Google, parfois accusés de compliquer certaines enquêtes.

Lire aussi Chiffrement des téléphones : le procureur de Paris rejoint la lutte contre Apple et Google

Devant la presse, Guillaume Poupard, de l’ANSSI, a rappelé sa position :

« Le chiffrement est un outil indispensable à la sécurité. La question de l’autorisation du chiffrement s’est posée il y a 20 ans et on est arrivé à la conclusion que de telles démarches allaient freiner le développement du numérique et déranger les 99,9 % de gens honnêtes. »

Et le directeur de l’ANSSI de rappeler la signature, par les grands fournisseurs d’accès à Internet français, d’une charte pour sécuriser l’acheminement des courriels, qu’il voit comme un exemple « de la protection des communications sans nuire à la capacité d’interception légale. Cela fait partie d’un compromis technique difficile à trouver, mais possible, entre sécurité et sûreté ».

Cette mesure technique permet de sécuriser les courriels lorsqu’ils transitent entre les serveurs des grands fournisseurs de courriels français, qui restent accessibles aux forces de l’ordre en cas de besoin.

Enfin, le gouvernement veut faire de l’Europe « le territoire numérique le plus respectueux des droits fondamentaux et individuels ». Le gouvernement aura l’occasion de s’en assurer : la loi sur le renseignement qu’il a fait adopter récemment et qui comporte plusieurs volets portant sur la surveillance numérique, fait l’objet d’une double attaque devant la Cour européenne des droits de l’homme.

Lire aussi La loi renseignement attaquée par des journalistes devant la Cour européenne