- 246 -
II. UN MODÈLE FRANÇAIS DE CYBERDÉFENSE
PROGRESSIVEMENT, ÉPROUVÉ ET PERFECTIBLE
CONSTRUIT
Dès lors, la cyberdéfense constitue un enjeu stratégique majeur pour
la sécurité nationale et le développement économique. Depuis les années
2000, la France a réagi de façon continue aux évolutions extrêmement
rapides qui caractérisent ce domaine.
A. LA CONSTRUCTION PROGRESSIVE D’UNE STRATÉGIE ET D’UN
MODELE ORIGINAL DE CYBERDÉFENSE
1. Le Livre Blanc sur la défense et la sécurité nationale de 2008
Il a permis de franchir une étape décisive en annonçant la création,
en 2009, de l’agence nationale de sécurité des systèmes d’information,
l’ANSSI, rattachée au SGDSN, pour traiter les attaques informatiques et
protéger les systèmes d’information de l’État et les infrastructures critiques.
La France met progressivement en place un modèle fondé sur la séparation
de ses capacités défensives et offensives et publie sa première stratégie de
cybersécurité en 2011.
Un système différent du modèle anglo-saxon
Contrairement au modèle initial anglo-saxon, et peut-être parce que la
France ne disposait pas d’un service technique autonome comme le GCHQ en
Grande-Bretagne ou la NSA aux États-Unis, le modèle français de cybersécurité
s’est construit à l’extérieur des services de renseignement.
Plus fondamentalement, ce modèle original est le résultat d’une
succession de choix politiques ambitieux issus d’une double prise de conscience :
d’une part, le numérique peut être utilisé pour mener des actions offensives contre
nos intérêts nationaux ; d’autre part, la transformation numérique de la société, de
l’économie et de l’action publique, ne pourra se faire qu’en confiance. Il s’agissait
donc de créer les conditions de la confiance avec le secteur privé par la séparation
nette entre le défensif et l’offensif, le civil et le militaire.
A l’inverse, si les modèles de fusion des capacités offensives et défensives
au sein des appareils militaires ou de renseignement rendent possible une
mutualisation des capacités techniques très précieuse, ils tendent structurellement à
privilégier l’offensif sur le défensif. Aussi, pour efficace qu’il puisse paraître, le
choix d’un modèle de concentration apparaît peu adapté à une politique de
cybersécurité globale à vocation interministérielle. De fait, la confiance des acteurs
économiques et sociaux peut également être amoindrie par la concentration des
fonctions offensives et défensives dans une même entité, en particulier au sein de la
communauté du renseignement. À ce titre, l’exemple américain est parlant.
Conscient de ces lacunes, les États-Unis font progressivement évoluer leur modèle
pour dissocier plus clairement les acteurs en charge de ces différents aspects et