Faire monter le niveau général de la population sur la cybersécurité, lancer un label pour les PME, créer un observatoire des cyberattaques… Le gouvernement présente ce jeudi 29 janvier sa nouvelle stratégie pour contrer les attaques informatiques et les tentatives d’ingérence qui touchent autant les particuliers que les structures privées et publiques.
« La cybersécurité ne doit plus être une affaire de techniciens, mais l’affaire de tous les citoyens ». Ce jeudi 29 janvier, la ministre déléguée au Numérique et à l’IA Anne Le Hénanff présente la nouvelle stratégie du gouvernement en matière de cybersécurité à Bordeaux, devant une entreprise pharmaceutique victime, comme tant d’autres, d’une cyberattaque d’envergure.
Moins d’un an après la présentation par Bruno Retailleau, alors ministre de l’Intérieur, de sa feuille de route en matière de cybersécurité, la femme politique décrit un nouveau plan national « plus global ». Il s’appliquera cette fois à toute la société, que cela soit le SGDSN (Secrétariat général de la Défense et de la Sécurité nationale qui dépend du Premier ministre), l’ANSSI, les services de l’État mais aussi les collectivités territoriales, les entreprises et même… les particuliers.
Il s’agit « d’embarquer tout le monde » pour contrecarrer « les arnaques en ligne » mais aussi « les tentatives d’ingérence qui touchent les hôpitaux et les mairies ». « La cyberrésilience de la nation passe par tout le monde, les entreprises mais aussi les citoyens », a insisté la ministre, qui était interrogée par France Inter ce matin.
À lire aussi : Cyberattaques en France : les dernières fuites de données et entreprises touchées
Formation béton et exercices grandeur nature du public et du privé
Le nouveau plan national, qui s’étendra de 2026 à 2030, consiste d’abord à « faire de la France le plus grand vivier de talents cyber d’Europe », alors que le secteur du numérique et de la cybersécurité souffre d’une pénurie de main-d’œuvre. L’accent sera mis sur l’égalité femmes-hommes, avec l’idée de « porter des messages auprès des plus jeunes, dès le plus jeune âge, à l’école et dans le secteur culturel, pour encourager les jeunes filles à investir ces métiers de la tech », détaille le cabinet d’Anne Le Hénanff en amont des annonces du jour, lors d’un brief destiné à la presse.
Il s’agira aussi de « renforcer la résilience cyber de la nation », un volet qui consiste à préparer les potentielles victimes à des scénarios de gestion de crise. Le gouvernement compte développer « des programmes de formation et des kits pour se préparer aux cyberattaques », et étendre les exercices grandeur nature, des expériences qui permettront aux entreprises et collectivités de savoir comment réagir pendant et après une cyberattaque, avec quels bons réflexes, comment assurer une continuité des services etc.
À lire aussi : 6 milliards d’identifiants et de mots de passe piratés : une base massive de données est apparue sur le dark web
L’exercice « REMPAR25», qui a eu lieu entre septembre et novembre l’année dernière, avait soumis des collectivités, des entreprises, des associations, des services de l’État à de fausses cyberattaques. Or, « ceux qui étaient préparés en amont avaient de meilleurs réflexes et savaient mieux gérer la gestion de la crise », a souligné Samy Imourra, conseiller Cybersécurité et Régulation du numérique d’Anne Le Hénanff, pendant le brief. D’autres exercices devraient avoir lieu avec davantage d’acteurs concernés dans « l’énergie, la santé », et d’autres secteurs stratégiques.
Un nouveau label pour les PME
Le nouveau plan national prévoit aussi de rehausser le niveau de cybersécurité des PME (petites et moyennes entreprises), les entreprises les plus ciblées aujourd’hui par les cyberattaques, notamment via la mise en place d’une nouvelle certification. Le futur label fixera « un certain nombre d’exigences minimales qui sont tirées de la directive européenne NIS2 en cours de transposition ». Une fois obtenu, ce dernier démontrera que telle PME respecte bien un certain nombre d’exigences de cybersécurité. La certification ne sera pas gratuite, mais elle restera « très accessible pour les entités qui ont des capacités et des moyens différents », a assuré l’ANSSI pendant le brief.
Autre annonce du jour : un observatoire de la résilience cyber de la nation sera créé, pour « suivre en temps réel le niveau de cyberrésilience de la nation ». Le futur organisme recensera toutes les cyberattaques, toutes les vulnérabilités qui ont pu frapper les divers composants de la société. Le tout « renforcera notre connaissance collective de l’état de la menace », souligne l’équipe d’Anne Le Hénanff.
À lire aussi : « Les Américains créent des univers, l’Europe vend des solutions », le patron du Campus Cyber a un plan pour la cybersécurité française
Comme pour la sécurité routière, de grandes campagnes de prévention pour le grand public vont être lancées
Les entreprises et entités publiques ne sont pas les seules concernées par ce plan : le grand public l’est aussi. Le gouvernement compte lancer « des campagnes de prévention et de sensibilisation » sur le sujet, « sur le modèle de ce qui se fait dans le domaine de la sécurité routière ». Souvent, les cyberattaques pourraient être évitées, « si les personnes étaient suffisamment sensibilisées en amont ».
L’idée est de s’adresser aux particuliers, notamment via des spots publicitaires, et de les faire monter en compétence. L’utilisation de « la double authentification, d’un gestionnaire de mots de passe, des mises à jour régulières, de la vigilance face aux liens et aux pièges qu’on vous envoie, ce sont des petites mesures concrètes qui évitent des catastrophes », souligne le cabinet d’Anne Le Hénanff.
À lire aussi : Arnaque LeBonCoin : ce faux mail de paiement peut vous coûter cher
Les particuliers comme les entreprises pourront se rendre sur un futur portail national de la cybersécurité, une plateforme unique qui offrira une porte d’entrée globale pour tous les sujets de cybersécurité (formation, cyberattaque). La future interface gérera toutes les questions de cybersécurité dans toutes leurs dimensions et absorbera à terme le 17 cyber, la plateforme actuelle qui aiguille les victimes de cyberattaque.
Renforcer la cybersécurité générale de l’État
À côté des PME et des Français, le gouvernement compte aussi renforcer les infrastructures de cybersécurité de l’État, après plusieurs cyberattaques qui ont ciblé les ministères de l’Intérieur et des Sports. Il s’agira dans chaque ministère « d’augmenter l’efficacité des capacités de détection des cyberattaques de l’État et de renforcer les lignes de protection ».
Un autre pilier de la nouvelle stratégie du gouvernement vise à entraver l’expansion de la cybermenace, notamment via l’encadrement réglementaire international, car le marché des « armes cyberoffensives » se développe sans règles minimales à l’échelle internationale, précise le cabinet d’Anne Le Hénanff.
Enfin, il s’agira de « garder la maîtrise de la sécurité de nos fondements numériques », avec un volet pour les systèmes à base d’IA qui doivent être bien cybersécurisés, et un volet sur le quantique, notamment via « la promotion de tous les efforts faits par la France en matière de cryptographie postquantique ». L’objectif sera de « financer des entreprises innovantes à travers des dispositifs dédiés, dans le cadre du Plan France 2030 ».
Reste qu’une bonne partie des mesures annoncées nécessiteront des lignes de budget sur lesquelles le gouvernement botte pour l’instant en touche, le débat sur le budget étant toujours en cours à l’Assemblée nationale. Mais le cabinet d’Anne Le Hénanff l’assure : à l’issue du débat, les montants associés aux différentes mesures, présentées ce jour, seront bien annoncés. « Tout cumulé, des investissements vont être faits », a précisé la ministre au micro de France Inter ce matin.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.