Ce n’est pas à Paris qu'Anne Le Hénanff a choisi pour passer en revue le plan de la France en matière de cybersécurité pour les années à venir. C’est en effet depuis le Campus Cyber Nouvelle Aquitaine (Bordeaux) que la ministre déléguée chargée de l’intelligence artificielle et du numérique a choisi de présenter la stratégie cybersécurité nationale 2026-2030. Il faut dire que depuis quelques mois, les attaques et campagnes de déstabilisation se sont multipliées dans le pays, affectant aussi bien les grandes entreprises (Auchan, Boulanger, Bouygues Telecom, Free, Orange...) ou plus petites (LDLC, Libération...), que les services publics (France Travail, La Poste, réseau des missions locales...) ou encore les ministères et collectivités locales (Intérieur, Sports, département des Hauts-de-Seine aéroport et école de commerce de Pau...).

Un accent mis sur la formation et la cyber-résilience

Pour répondre aux enjeux cybersécurité des cinq prochaines années, Anne Le Hénanff appuie la stratégie de la France sur cinq piliers : formations et recrutements, cyber-résilience, entrainement, maitrise des fondements numériques et des innovations, coopération à l’échelle européenne et internationale. En termes de formations et de recrutements, l’objectif est de faire de la France un grand vivier de talents cybersécurité en rendant la filière plus attractive et en incitant les femmes à se tourner davantage dans ce domaine. Pour améliorer la cyber-résilience des entreprises, des ministères, collectivités locales... la ministre met en avant la nécessité d’accroitre les exercices en matière de gestion de crise. Partant du constat que les attaques se sont multipliées et qu’elles sont facilitées par des moyens de plus en plus conséquents mobilisés par les acteurs malveillants (individus, Etats...), la nécessité de développer le marché de la cybersécurité offensive est aussi mis en avant. Une évolution de doctrine par ailleurs déjà partagée par l’agence nationale de la sécurité des systèmes d’information (Anssi).

L’émergence de l'IA et du quantique amène à se poser la question de la sécurisation des systèmes et s’assurer qu’ils soient bien protégés dans un contexte où l’IA facilite également grandement la tâches des pirates pour lancer et réussir des attaques. La cryptographie post-quantique fait aussi partie du champ développé par la France pour mieux cerner l’évolution et la portée des cyber-menaces à venir. Dans ce cadre, l'Anssi a fixé un calendrier pour la mise en place de solutions de chiffrement post-quantique. Enfin, l’ambition portée par la ministre est de renforcer à l’échelle européenne et internationale (dans le cadre de l’ONU en particulier) les actions des Etats pour accroitre leurs capacités en cybersécurité.

Le 17Cyber fusionné dans un portail national

Au-delà des grandes lignes de ce plan stratégique, quelques annonces ont par ailleurs été faites. Parmi elles on retiendra le lancement d’une grande campagne de prévention et de sensibilisation (à l’image de ce qui existe pour la sécurité routière) pour adopter les bons réflexes en cas de cyberattaques. Un portail national constituant un point d’entrée pour s’informer sur les sujets cybersécurité sera aussi mis en place, qui prévoit à terme d’absorber le service 17Cyber déjà en vigueur. Par ailleurs, un label de confiance sera aussi mis en place pour les PME afin de déterminer des exigences minimales de sécurité pour évaluer leur niveau de maturité en matière de cybersécurité. Côté formation, des programmes de formations sont prévus et destinés à mieux préparer les entreprises et services de l’Etat aux cyberattaques et un Observatoire de la résilience cyber de la nation sera créé. Objectif : apporter une évaluation globale pour observer toutes les vulnérabilités existantes et en faire la synthèse pour déterminer l’état de la menace cybersécurité en France. Il est aussi question de renforcer les infrastructures cybersécurité de l’Etat avec un plan, mené sous l’égide de l’Anssi, avec l’ambition de rendre les infrastructures des ministères irréprochables et robustes.

Si les grandes volontés sont sur la table, des interrogations concernant ce vaste plan stratégique cybersécurité demeurent. Comme le budget qui lui est consacré, actuellement inconnu, mais on devrait en savoir plus lorsque celui de l’Etat sera définitivement adopté. De même, certaines annonces comme le portail d’information national et l’absorption du 17Cyber amènent à se demander le rôle que tiendra à l’avenir le GIP Acyma qui porte jusqu’à présent ces sujets au travers de Cybermalveillance.gouv.fr. Absorption ou dissolution : nous en saurons plus dans les prochains mois.