Plan cybersécurité : la France se prépare à la guerre numérique
Face à la multiplication des cyberattaques, le Gouvernement a dévoilé la nouvelle stratégie nationale de cybersécurité de la France, qui met l'accent sur la formation, la sensibilisation et le renforcement. Reste la question du budget…
Alors que les attaques informatiques deviennent plus fréquentes, sophistiquées et coûteuses, affectant aussi bien les institutions publiques que les acteurs privés importants et les particuliers, l'État français se voit dans l'obligation de réagir. Ce jeudi 29 janvier, par le biais de la ministre déléguée au Numérique et à l'IA Anne Le Hénanff, le Gouvernement a ainsi dévoilé sa nouvelle stratégie nationale de cybersécurité pour la période 2026-2030, comme le rapporte Le Figaro.
Une urgence alors que les cyberattaques s'intensifient, portées par le développement de l'IA, et que les risques d'ingérence étrangère se font de plus en plus pressants dans le contexte géopolitique explosif actuel, notamment à l'approche d'élections. Au programme : former les jeunes à la cybersécurité, lancer un label pour les PME, créer un observatoire des cyberattaques ainsi qu'un portail unique d'information, et sensibiliser davantage la population. Alors, vrai plan d'action ou simple effet d'annonce ?
Plan cybersécurité : renforcer les talents et la résilience de la nation
Le plan de cybersécurité du Gouvernement s'articule autour de cinq piliers. En premier lieu, il s'agit de développer des compétences et des formations spécialisées afin de "faire de la France le plus grand vivier de talents cyber d'Europe", pour reprendre les mots de la ministre, capable de soutenir la croissance et la défense numérique du pays. Un objectif bien ambitieux, alors que le secteur du numérique et de la cybersécurité souffre d'une pénurie de main-d'œuvre. Aussi, l'Etat compte s'attaquer aux stéréotypes qui écartent d'emblée les jeunes filles des métiers techniques, ce qui prive d'office la France d'une partie de ses talents. Des campagnes de sensibilisation commenceront dès l'école primaire pour tenter de déconstruire ces préjugés et les orienter vers des filières plus techniques et scientifiques – un discours qui tend à se répéter ces dernières années sans s'accompagner de réels changements.
Deuxièmement, le Gouvernement entend "renforcer la résilience cyber de la nation" afin de préparer les potentielles victimes à des scénarios de gestion de crise. Cela passera par "des programmes de formation et des kits pour se préparer aux cyberattaques", ainsi que la mise en place d'exercices de gestion de crise à l'échelle nationale. Ces exercices impliquent un grand nombre de partenaires publics et privés et visent à tester la préparation des acteurs clés du pays en cas d'attaques d'ampleur. Par exemple, l'exercice Rempar25, qui s'est déroulé entre septembre et novembre derniers, a permis de démontrer que les entités entraînées en amont ont eu de bien meilleurs réflexes que celles qui pensaient maîtriser la gestion de crise.
Plan cybersécurité : donner les bons réflexes aux particuliers
Le Gouvernement compte aussi lancer "des campagnes de prévention et de sensibilisation sur le modèle de ce qui se fait dans le domaine de la sécurité routière". En effet, les cyberattaques pourraient tout à fait être évitées la plupart du temps si les personnes étaient suffisamment sensibilisées en amont. L'idée est de s'adresser aux particuliers, notamment via des spots publicitaires, afin de leur faire adopter les bons comportements numériques, comme la double authentification, l'adoption d'un gestionnaire de mots de passe, réaliser régulièrement des mises à jour ou encore faire attention aux messages et aux liens que l'on reçoit.
En parallèle, le Gouvernement souhaite créer un portail d'information et d'assistance centralisé, qui regroupera et simplifiera l'accès aux services de prévention, de formation, de conseils et d'aide en cas d'incident, afin de mieux orienter tant les victimes que les entreprises vers les dispositifs adaptés. En effet, lorsque l'on est victime d'une cyberattaque ou d'une tentative d'arnaque, bonne chance pour savoir vers quelle plateforme ou organisation se tourner ! L'ANSSI ? Cybermalveillance.gouv.fr ? THESEE ? Pharos Le nouveau portail, qui prévoit à terme d'absorber 17Cyber – la plateforme qui oriente actuellement les victimes –, devrait simplifier tout cela.
Plan cybersécurité : fortifier les ministères et les PME
Un Observatoire national va également voir le jour afin de répertorier toutes les cyberattaques et les vulnérabilités en temps réel, et ainsi avoir une vision d'ensemble claire de l'état de la menace cybersécurité en France.
De plus, un label de confiance sera mis en place pour les PME (petites et moyennes entreprises), qui sont particulièrement ciblées par les cyberattaques. Il fixera "un certain nombre d'exigences minimales qui sont tirées de la directive européenne NIS2 en cours de transposition" et démontrera, une fois obtenu, que la PME respecte bien un certain nombre d'exigences de cybersécurité. La certification ne sera pas gratuite, mais devrait rester accessible.
Enfin, l'État va lui aussi devoir renforcer ses infrastructures, sous l'égide de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), après plusieurs cyberattaques qui ont ciblé les ministères de l'Intérieur et des Sports. Bercy dit avoir "l'ambition que les ministères soient irréprochables". Il insiste aussi sur l'importance de garder la maîtrise de la sécurité des fondements numériques (IA et quantique) et de soutenir la sécurité du cyberespace en Europe et à l'international avec une coopération accrue avec l'UE et l'ONU.
On peut incontestablement saluer toute cette bonne volonté, mais de nombreuses interrogations demeurent, notamment en ce qui concerne le coût et le financement de toutes ces mesures, sans parler de l'absence de calendrier clair. Car, compte tenu du contexte budgétaire actuel, Bercy n'a donné aucun montant. Or, on peut craindre que sans budget dédié et sans allocation immédiate de ressources humaines et techniques, le plan risque de rester plus ambitieux sur le papier qu'effectif dans la réalité.