dimanche 18 octobre 2015

Que penser de la "Stratégie nationale pour la sécurité du numérique" ?

Ainsi donc, la stratégie de la France pour sa "sécurité numérique" a été présentée par le Premier ministre, Manuel Valls, vendredi 16 octobre 2016 à la maison de la Chimie à Paris. Initialement prévue pour l'été, il est probable que d'ultimes arbitrages aient décalé d'environ trois mois son annonce qui devait suivre la présentation de la "stratégie numérique du Gouvernement" du 18 juin 2015 [1]. La #StratSecNum (ou SN2) est le fruit d'un long et, on l'imagine, complexe travail de concertation interministériel. Que contient cette nouvelle stratégie, quelles en sont les qualités mais aussi les faiblesses ?

Avant d'entrer dans le détail et proposer cette première analyse, il est utile de rappeler que la France dispose déjà d'une stratégie nationale de cybersécurité depuis 2011 [2]. Il est donc notable de vérifier qu'il aura fallu quatre années pour qu'elle soit (profondément) mise à jour et que le glissement sémantique, qui n'est pas neutre, soit opéré (cybersécurité --> sécurité numérique). Quatre années à l'échelle numérique, c'est un changement d'ère : Stuxnet, Snowden et la French Tech sont passés par là. Il n'est pas abusif de considérer qu'en matière de cyberattaques et de contre-mesures, c'est comme si l'on était passé du Moyen-Âge (2010) aux prémices de la Première guerre mondiale (2015) eu égard à sa composante industrielle : innovations et utilisation croissante, dans un champ d'affrontements dual [3], de ces innovations (sous-marins, chars, avions, mitrailleuses, artillerie rapide, etc.).

Commençons par une première comparaison entre les deux stratégies : celle de 2011 et la nouvelle de 2015. 24 pages d'un côté, 40 pages de l'autre, l'infobésité ne concerne pas seulement les données mais aussi ce document dont il est légitime de se demander si le terme "stratégie" est opportun ? En réalité, et à la différence de 2011, ce document est plus de portée générale, peu doctrinal, qu'une véritable stratégie. Là où quatre objectifs clairs et au niveau de l'ambition ("être une puissance mondiale de cyberdéfense"), déclinés en sept axes d'effort, apparaissaient en 2011, la version 2015 donne l'impression d'une auberge espagnole où il a fallu faire plaisir à (presque) tout le monde [4]. Si apparaissent bien cinq objectifs, chacun d'entre eux pourrait être lui-même redécoupé et faire l'objet d'un axe, pour certains de niveau stratégique. C'est le cas, par exemple, de la "crise informatique majeure", de la "politique industrielle", de la "souveraineté numérique" ou de la "stabilité du cyberespace". Mais peut-être est-ce aussi la rançon d'une volonté implicite de conserver de la souplesse et d'adapter régulièrement la stratégie ?

Il est ensuite notable de vérifier que le versant militaire (et le renseignement) est singulièrement absent comme pour confirmer le constat précédent : il est difficile de qualifier ce document de stratégie et le ministère de la Défense possède sa propre partition qui n'entre pas dans le champ de la sécurité numérique mais d'autre chose. Mais alors quoi ? Pourtant, le Premier ministre précise bien dans l'introduction que cette "stratégie" est "l'affaire de tous". Il y aurait donc une cohérence effective à atteindre en matière de République numérique puisque la "transition numérique" est un enjeu national. Bref, il y a là un mystère où si l'on assiste à l'émergence d'une "quatrième armée cyber" [5], celle-ci est également bien muette hormis lorsqu'est évoquée la "poursuite de la mise en place d'une réserve de cyberdéfense à vocation opérationnelle destinée à faire face à une crise informatique majeure" (page 17). S'il est bien compréhensible que la chose militaire en rapport avec le cyberespace reste discrète, c'est aussi le bon moment de rappeler au législateur que des garde-fous [6], à imaginer sinon à renforcer, doivent conduire la "démocratie en actes" [7].

A la rubrique "interrogations", relevons l'emploi pédant (page 9) du terme "synallagmatiques" [8] du plus mauvais aloi pour un document qui se veut de portée universelle ou, du moins, nationale c'est à dire compréhensible par l'ensemble de sa population. Etonnant également la transcription d'ANSSI en "autorité nationale de la sécurité des systèmes d'information" (pages 14, 17 et 22) au lieu de l'officiel "agence nationale de la sécurité des systèmes d'information". Ce glissement sémantique, volontaire ou non, indiquerait-il une évolution prochaine du statut de l'ANSSI qui est déjà, de par son décret de 2009, "autorité nationale" en matière de défense et de protection des systèmes d'information ?

Au rayon des nouveautés, plusieurs avancées substantielles sont à saluer :
- pages 21/22 : la mise en œuvre d'un "dispositif d'assistance aux victimes d'acte de 'cybermalveillance'" en 2016 "[qui] devra proposer aux victimes des solutions techniques s'appuyant sur des acteurs de proximité et faciliter les démarches administratives, notamment afin de favoriser le dépôt de plainte" [9] ;
- page 23 : une signalétique relative à la protection des données à caractère personnel ;
- page 23 : une labellisation des "solutions de sécurisation des terminaux personnels" associée à une signalétique informant les utilisateurs sur les "éventuelles transmissions d'informations à un tiers" ;
- page 23 : "des solutions accessibles et adaptées destinées à sécuriser [...] petites et moyennes entreprises" ;
- pages 33/34 : l'anticipation des usages ;
- page 34 : l'introduction d'un "facteur de bonification" lorsque la soumission à un appel d'offres public, un appel à projets publics ou l'accès à des fonds publics sera accompagnée d'une analyse de risque cybersécurité ;
- page 39 : la volonté de jouer "un rôle actif dans la promotion d'un cyberespace sûr, stable et ouvert" et la confirmation que la France considère bien le numérique comme un "bien d'intérêt public" [10].

De cette première analyse qu'il conviendra d'affiner et d'approfondir, il est possible de conclure de cette stratégie nationale pour la sécurité du numérique :
- qu'elle s'inscrit dans la démarche nationale de "transition numérique" et marque la volonté des responsables politiques et la cohérence du dispositif d'ensemble ;
- qu'elle représente une avancée significative en matière d'appui aux petites et moyennes entreprises ;
- qu'elle surgit au bon moment et respire globalement le pragmatisme et le retour d'expériences de l'Etat et particulièrement de l'ANSSI ;
- qu'elle possède un cadre commun fort, construit et validé par l'ensemble des administrations qui devront s'en emparer pour le décliner chacune à leur niveau dans les prochains mois ;
- qu'elle utilise une charte graphique moderne et une communication parfaitement orchestrée ;
- qu'elle encourage timidement l'incitation, sans doute à amplifier à l'ensemble du secteur numérique, via le "facteur de bonification" décrit précédemment.

En revanche, on peut s'interroger sinon déplorer :
- du point de vue du stratégiste, il est difficile de considérer ce document comme une stratégie, le côté "fourre-tout" et l'absence des mesures pratiques et - surtout - des moyens en affaiblissent l'ambition initiale ;
- l'absence flagrante de l'évocation voire de l'articulation avec l'autre acteur national majeur du cyber, le ministère de la Défense ;
- la volonté de puissance [11] édulcorée voire absente par rapport à la version de 2011 ;
- la vision prescriptive sinon colbertiste de l’État qui, pour certains responsables politiques, ne "pourrait pas tout" mais intervient (voire légifère [12]) pourtant partout ;
- en relation avec le point précédent, l'absence d'évocation d'échanges avec les citoyens, les associations et les représentants de la société (numérique) civile sauf s'il faut voir dans la création d'un "groupe d'experts pour la confiance numérique" (page 14)  un énième comité Théodule où la moyenne d'âge frôlera celle de la retraite et où se retrouveront les habituels experts plein de (dangereuses) certitudes et, parfois, de suffisance ;
- l'absence d'anticipation et de qualification des risques ("connaissance et anticipation") que l'on pourrait mettre en regard de l'anticipation des usages (pages 33/34) ;
- une certaine rigidité d'ensemble alors que l'approche fondamentale du numérique devrait reposer sur l'agilité et l'adaptation permanente.



[3] civil/économique et militaire. Ne pas cependant se méprendre sur le sens de cette comparaison : il ne s'agit pas ici d'introduire une hypothétique "cyberguerre" qui serait alors un raccourci sinon une simplification inappropriée des "conflictualités dans le cyberespace" que j'évoque régulièrement
[4] rappel de l'introduction : c'est un document interministériel
[7] pour faire écho à "la République numérique en actes" en page 1
[8] Wikipédia : "En droit, un contrat synallagmatique (du grec synallagma, littéralement mise en relation, échange mutuel) est une convention par laquelle les parties s'obligent réciproquement l'une envers l'autre (article 1102 du Code civil français, articles 82 et suivants du Code des Obligations suisse). On parle aussi de contrat bilatéral."
[9] si l'organisation et les moyens ne sont pas (encore) décrits, voyons-y un hommage au "Penser global, agir local"
[10] Se référer pour cette remarque aux nombreux débats (de spécialistes) qui ont eu lieu en France ces dernières années à propos des "Global commons"
[11] ne plus se réclamer de vouloir être une "puissance mondiale de cyberdéfense" entérine soit la réalité du paysage international cyber (USA cyberpuissance suivies de la Russie et de la Chine) soit un objectif considéré comme atteint (?)
[12] il n'aura pas échappé à certains observateurs que le directeur général de l'ANSSI a précisé lors de la présentation de cette "stratégie" qu'on ne "s'interdirait pas de légiférer à nouveau si cela se révélait nécessaire"

2 commentaires:

Anonyme a dit…

Il conviendra effectivement d'affiner l'analyse... Ainsi, il aurait suffit de lire le décret de création de l'ANSSI pour voir qu'elle est "autorité nationale de la sécurité des systèmes d'information" depuis 2009... Et que la stratégie qu'ils ont publié en 2011 s'appelait "défense et sécurité des systèmes d'information" pour 4 ans plus tard "sécurité du numérique". Le stratégiste doit voir qu'il y a une évolution et que la stratégie, ce n'est plus seulement une affaire de militaire.

Anonyme a dit…

Il faudra aussi penser à renforcer l'apprentissage du code chez les plus jeunes et à améliorer les recrutements (et les salaires, cf. emplois sur Londres) de nos ingénieurs "sécurité". Il n'y a pas que l'école 42 !!!