Le gouvernement présente jeudi la nouvelle stratégie nationale de cybersécurité de la France. Cinq piliers et des mesures concrètes, pour bâtir une cyber de premier rang d'ici 2030. Mais la crainte d'un simple effet d'annonce guette.
Avec des cyberattaques qui frappent à tous les étapes et dans tous les secteurs, de La Poste au ministère de l'Intérieur, le gouvernement doit réagir. La ministre déléguée chargée de l’Intelligence artificielle et du Numérique, Anne Le Hénanff, présente jeudi matin à Pessac (Gironde) une ambitieuse stratégie de cybersécurité, structurée autour de cinq piliers. L'État veut de la sensibilisation façon sécurité routière, la création d'un observatoire national de la résilience cyber, ainsi qu'un portail unique d'information, sans oublier un volet formation, pour les plus jeunes notamment. Faisons le point.
La France veut devenir le leader européen des talents en cybersécurité
Le gouvernement veut faire de la France le plus grand vivier de talents cyber d'Europe. Cette stratégie, souhaitée par Emmanuel Macron et portée par le Premier ministre, vient d'être présentée par la ministre Anne Le Hénanff. Tous sont d'accord pour dire que tout repose sur les ressources humaines. Dans un secteur qui souffre déjà d'une pénurie criante de main-d'œuvre, la ministre déléguée pointe du doigt les stéréotypes qui éloignent encore trop de jeunes filles des métiers techniques.
Des campagnes de sensibilisation commenceront dès l'école primaire pour déconstruire ces préjugés tenaces. Et l'enjeu dépasse la simple question de l'égalité : c'est une question de compétences nationales. La France se prive actuellement d'une partie de ses talents à cause de biais qui s'installent très tôt dans les esprits. Le ministère travaille avec l'Éducation nationale pour encourager le choix de matières scientifiques dès le collège et le lycée. On constate que le discours, salvateur, se répète malgré tout depuis plusieurs années, sans réelle évolution sur le terrain. Gageons que cette fois, les pouvoirs publics y parviendront.
Le deuxième pilier défendu par l'État consiste à renforcer la résilience face aux attaques. L'exercice Rempar25, qui s'est déroulé entre septembre et novembre derniers, a permis de tirer certains enseignements. Les entités entraînées en amont ont démontré de bien meilleurs réflexes que celles qui pensaient pourtant maîtriser la gestion de crise. Ces exercices vont donc se multiplier dans tous les secteurs stratégiques, comme l'énergie, la santé, mais aussi dans les collectivités et administrations.
Un portail unique et un observatoire pour y voir plus clair
On parle souvent du mille-feuille administratif français. C'est un peu vrai aussi avec les interlocuteurs cyber, qui forment une sorte de jungle au sein de laquelle il est compliqué de se repérer. Tout cela, est-ce fini ? Qui la victime d'une cyberattaque doit-elle contacter ? L'ANSSI ? Cybermalveillance.gouv.fr, contacter son Centre régional ? Chaque organisme a son périmètre, ses spécificités. Le 17Cyber, créé en décembre 2024, a commencé à simplifier les choses en devenant le premier réflexe des victimes de cybermalveillance. Sauf que le gouvernement nous fait comprendre qu'il y a une certaine dispersion.
Le futur portail national de la cybersécurité que le gouvernement va créer ira beaucoup plus loin. Là où le 17Cyber aide uniquement les victimes d'attaques, cette nouvelle plateforme s'ouvrira à tous. Elle permettra de savoir comment se protéger en amont, où se former à la cybersécurité, quels cursus choisir dans le supérieur, quels MOOC suivre pour progresser. Le 17Cyber finira par fusionner avec ce guichet universel, pour créer un point d'entrée unique. Plutôt flou sur le sujet, le gouvernement ne précise pas si le groupement ACYMA, qui gère Cybermalveillance.gouv.fr, sera aux manettes.
Autre nouveauté, un Observatoire national va traquer toutes les cyberattaques en temps réel. Aujourd'hui, il est impossible de savoir combien d'attaques frappent vraiment la France, chaque jour. En recensant chaque intrusion, chaque vulnérabilité exploitée dans tous les secteurs (entreprises, collectivités, hôpitaux, administrations), cet observatoire offrira enfin une photographie précise et objective de la menace réelle.
Double authentification généralisée dans tous les ministères français… mais pas tout de suite
Les services de l'État ont encaissé de multiples coups ces derniers mois. La plateforme d'échange de l'État, l'HubEE, a vu des dizaines de milliers de documents sensibles être récupérés par des pirates il y a moins de deux semaines. Les ministères de l'Intérieur et des Sports également. Sans oublier La Poste, très lourdement touchée quelques jours avant Noël par des cybercriminels aux gros moyens. Vincent Strubel, directeur général de l'ANSSI qui accompagne la ministre pour cette présentation au Campus Cyber de Nouvelle-Aquitaine, sait que l'exemplarité est désormais impérative.
Quid de la double authentification, qui n'est pas franchement légion dans les administrations et ministères français ? Nous avons posé la question au ministère, qui nous explique cette dernière va se généraliser dans l'ensemble des ministères, sans plus de précisions datées, malheureusement. Couplée aux gestionnaires de mots de passe, aux mots de passe robustes et à la vigilance face aux pièces jointes ou liens suspects, elle forme un rempart de base que beaucoup négligent encore. Les systèmes de détection vont aussi monter en puissance pour repérer les menaces plus tôt, plus efficacement.
Le Centre de coordination des crises cyber, le C4, va élargir son périmètre au-delà du cercle actuel pour mobiliser tous les leviers de réponse pertinents face aux attaques. L'intelligence artificielle pose quant à elle un défi à double facette, avec la nécessité de sécuriser les systèmes IA eux-mêmes, qui se développent de manière exponentielle, et anticiper la façon dont l'IA facilite le lancement d'attaques, même pour des pirates peu compétents techniquement.
Sur le papier, le gouvernement nous vend de très belles promesses et pourrait même redonner l'espoir à toute une filière, avec son plan jusqu'en 2030. Derrière les annonces, on peut regretter l'absence de précisions sur les moyens qui seront véritablement alloués. à la cybersécurité dans l'Hexagone. Bercy dit être empêché pour le moment par l'absence de budget. La France dans toute sa splendeur.
