Dissertation : La France peut-elle assurer seule la maîtrise de son cyberespace ?

Les titres et les indications entre crochets ne doivent pas figurer sur la copie.

Introduction

[Accroche] D’abord perçu comme un espace de liberté, le cyberespace est vu progressivement par les États comme un terrain vulnérable. [Présentation du sujet] Se met dès lors en place progressivement la nécessité d’organiser sa défense et sa sécurité. [Problématique] Comment une puissance moyenne comme la France peut-elle imposer une gouvernance sur un espace aussi vaste que le cyberespace ? [Annonce du plan] La France s’affirme comme cyberpuissance [I], mais elle ne peut assumer seule toute la cybersécurité [II], ce qui fait qu’elle doit s’inscrire dans une puissance de coopération [III].

I. La France, une cyberpuissance

1. Le cyberespace, un terrain nouveau à défendre

Nouvel espace potentiel de conflits, le cyberespace est reconnu par la France comme un espace à défendre, et la cyberdéfense a été érigée au rang de priorité par le Livre blanc sur la Défense et la Sécurité nationale de 2013.

La France a pris conscience de la nécessité d’organiser sa sécurité et le contrôle de son cyberespace, notamment après les cyberattaques contre l’Estonie de 2007 et la Géorgie en 2008, qui ont montré la vulnérabilité des États face aux cyberpirates. Cela pose la question nouvelle de la cyberpuissance d’un État, notamment pour une puissance moyenne comme la France.

2. Les dispositifs de défense du cyberespace français

La France organise sa défense par le commandement de cyberdéfense (2017) du ministère des Armées qui protège les réseaux nationaux et intègre le combat numérique, en collaboration avec le ministère de l’Intérieur qui lutte contre la cybercriminalité. Elle construit sa résilience grâce à l’Agence nationale de sécurité des systèmes d’information (ANSSI), chargée de la prévention et de la réaction face aux attaques visant les institutions sensibles.

La France construit progressivement un cyberarsenal. En 2019 l’armée révèle sa doctrine militaire de lutte informatique offensive (LIO). La loi de programmation militaire 2019-2025 prévoit un investissement de 1,6 milliard d’euros et le recrutement de 4 000 cybercombattants d’ici 2025.

[Transition] La prise de conscience de la nécessité de construire une cyberdéfense s’accompagne également d’un constat des faiblesses du pays en matière de cybersécurité.

II. Les faiblesses de la cybersécurité française

1. Des attaques trop nombreuses et difficiles à imputer

Le nombre élevé d’attaques ainsi que la relative nouveauté de ce terrain montrent les limites de la sécurisation du cyberespace. L’ouverture et l’interopérabilité du cyberespace rendent le contrôle de ce territoire très difficile.

L’obstacle le plus complexe est la difficulté d’imputabilité : les commanditaires d’une cyberattaque se cachent souvent derrière des hackers qui servent d’intermédiaires (ou proxies) ; la France doit donc se protéger d’ennemis invisibles ou difficiles à détecter, que ce soit d’autres États, comme dans le cas d’espionnage d’un satellite militaire par la Russie en 2017, ou de cyberpirates indépendants.

Les attaques peuvent être d’origine diverse, interne ou externe, et de nature variée – sabotage, paralysie, vol, espionnage, etc. En France, par exemple, la plupart des opérations de cyberespionnage sont le fait d’entreprises nationales concurrentes, mais les plus graves sont d’origine étrangère.

2. Une trop forte dépendance technologique

La France est dépendante des équipements étrangers (américains et chinois) et des plateformes états-uniennes. La maîtrise des données est pourtant un facteur fondamental de la croissance du futur. Cela fragilise le pays face à l’espionnage et au vol de la propriété intellectuelle : en avril 2015, une cyberattaque a été menée contre la chaîne de télévision francophone TV5 Monde, qui donnait fréquemment la parole à l’opposition russe. Cette attaque a conduit à un black-out total de la chaîne pendant vingt-quatre heures. L’opération a été assez rapidement attribuée officieusement au groupe de hackers russes APT28, lié au GRU.

L’affaire Snowden en 2013 a révélé à la France les pratiques américaines de collecte massive d’informations par l’espionnage électronique des dirigeants français et par le biais d’une interception systématique des communications mondiales. Cela a montré les problèmes de la dépendance vis-à-vis de l’hégémonie états-unienne et provoqué une montée des revendications de souveraineté nationale, notamment concernant la protection des données stratégiques.

[Transition] Afin de parer aux faiblesses d’une cyberdéfense souveraine insuffisante, la France a besoin de s’inscrire dans une logique de coopération internationale.

III. Une nécessaire coopération

1. Une action concertée avec ses partenaires européens

Dans un souci d’efficacité et de puissance, la France milite pour davantage de coordination dans l’Union européenne en matière de cyberdéfense.

Pour sécuriser les réseaux face aux agressions extérieures, elle défend le concept d’autonomie stratégique numérique de l’Union européenne, afin de favoriser un déploiement de technologies et de services de cybersécurité fiables et indépendants.

2. Dans le prolongement de ses alliances traditionnelles

En tant qu’alliée militaire des États-Unis, la France formalise sa doctrine en coordination avec l’OTAN. À ce titre, elle a été à l’initiative de l’Engagement pour la cyberdéfense (Cyber Defence Pledge) de 2016 qui reconnaît notamment qu’en cas de cyberattaque la solidarité des 30 États membres peut être déclenchée. Le cyberespace est désormais reconnu comme un terrain d’intervention de l’OTAN à l’instar des domaines terrestre, aérien et maritime.

Le principe d’extraterritorialité imposé par les États-Unis fragilise cependant cette alliance. La France n’est pas à même de se défendre seule : elle fait dès lors appel plutôt à la capacité normative et réglementaire de l’UE pour définir et assurer les normes de sa défense.

3. Pour mettre en place un cadre de sécurité collective

La France a pour objectif prioritaire de développer une cyberdiplomatie pour définir un cadre de sécurité collective stable. C’est l’objet de l’appel de Paris de 2018, visant à définir un cadre commun de gouvernance en matière de sécurité du cyberespace.

Mais cette initiative n’a pour l’instant pas rencontré le succès escompté. Les principales cyberpuissances (États-Unis, Chine et Russie) n’ont pas signé l’appel, ce qui nuit à l’efficacité d’une telle initiative. Les GAFAM, en revanche, suivent la France dans ce projet.

Conclusion

[Réponse à la problématique] La France s’organise progressivement pour assurer la maîtrise de son cyberespace, surtout depuis cette dernière décennie, où elle a mesuré les dangers que représentent les cybermenaces. [Ouverture] La question de la crédibilité de cette cyberpuissance dépendra essentiellement des moyens, financiers autant que technologiques, attribués aux dispositifs de sécurité et de la capacité du pays à s’inscrire dans des alliances efficaces.