Livre blanc de la sécurité intérieure
services collectifs (énergie, bâtiment, transports) et d’objets individuels
connectés (téléphonie, audiovisuel, véhicules) génère une augmentation
de la surface potentielle d’attaque. La sécurité numérique doit dès lors se
penser pour chacun de ces services.
Enfin, le numérique peut présenter des risques pour les services vitaux
de la nation (activités régaliennes, OIV, OSE). Dans ce domaine, l’espace
numérique voit voler en éclat la notion de frontières et de barrières
physiques, conduisant à une contraction et à une interpénétration des
concepts de défense, de sécurité nationale, voire de sécurité quotidienne.
L’État régulateur est mis au défi de s’adapter par l’apparition de ces
nouvelles technologies et des risques associés. En effet, le développement
des technologies décentralisées (« distribuées ») vient par exemple
interroger la mise en place d’un mécanisme institutionnel régulateur d’une
information non centralisée propice à des dérives criminelles. En outre,
l’État est, parfois explicitement, remis en question sur ses compétences
historiques par des acteurs privés du numérique (par exemple par des
projets de monnaie virtuelle).
Cette remise en question intervient alors même que les agressions
numériques se diversifient (ex : rançongiciels, « botnets ») et se
professionnalisent (« Crime as a service »). L’impact sur le tissu économique
français est important puisque plus d’une PME sur cinq est victime d’une
cyberattaque, 60 % d’entre elles déposant le bilan à l’issue. Dans l’ensemble,
le préjudice peut revêtir une dimension morale ou générer des profits
importants (la campagne du rançongiciel Not Petya se chiffre en centaines
de millions d’euros).
De l’outil de puissance étatique à une délinquance de proximité 3.0, les
usages frauduleux des réseaux servent un spectre d’intérêts multiples,
visant par conséquent un large spectre de victimes, directement (vol d’une
technologie chez un opérateur stratégique via un sous-traitant, atteinte à
la production d’une entreprise, escroquerie d’un particulier, harcèlement
d’un élève, identité usurpée, trafics « ubérisés ») ou de manière collective
(ingérence dans un processus électoral, service indisponible aux usagers en
raison d’une attaque informatique, infox).
A ce stade, les politiques publiques se concentrent en premier lieu sur les
opérateurs stratégiques et le monde de l’entreprise, négligeant la dimension
individuelle du risque numérique. Cette vision fragilise l’ensemble de
l’édifice et impose d’urgence le développement d’une véritable conscience
nationale de sécurité numérique, que le réseau du ministère de l’Intérieur
doit pouvoir porter dans les territoires en étroite relation avec l’ANSSI.
Des dépendances préjudiciables
La numérisation de la société crée des liens pérennes d’interdépendance
entre le cyberespace et le territoire physique (hébergement des données
dans le « nuage », infrastructures critiques de type câbles sous-marins
et nœud réseaux, etc.), qui imposent une maîtrise technologique pour
prévenir les risques, ou encore gérer les crises physiques (tempête
95