Mounir Mahjoubi, le secrétaire d'Etat en charge du Numérique, dévoile ce lundi une revue stratégique de cyberdéfense commandée par le Premier ministre et préparée depuis six mois. Le rapport, présenté en Conseil des ministres la semaine dernière, est une synthèse de l’état de la menace cybernétique autant qu’une feuille de route des progrès que l’Etat français doit faire en matière de cybersécurité. 20 Minutes en a discuté avec Mounir Mahjoubi.

Vous étiez en charge de la campagne numérique du candidat Emmanuel Macron quand le site d’En Marche! a subi une attaque informatique. Cet épisode a eu un impact sur votre vision de la cyberdéfense ?

Pas cette expérience uniquement, mais elle a eu un effet pédagogique. Le cas de la campagne américaine, puis de notre propre campagne, puis d’avoir vu autant de PME tomber en quelques semaines lors de l’attaque WannaCry, de voir le niveau de protection encore trop bas des entreprises aujourd’hui et le risque de pollution systémique de ce type d’attaques, nous ont convaincu de la nécessité d’un très haut niveau de cybersécurité.

La loi de programmation militaire prévoit une augmentation du nombre de soldats consacrés au cyber (1.000 supplémentaires). Est-ce dans une logique de développement d’une quatrième armée consacrée à cela ? Vous en aviez parlé durant la campagne présidentielle.

Il ne faut pas avoir de totem sur l’appellation, mais il faut qu’en nombre, ce soit bien une armée capable de se mobiliser sur ces sujets. Statutairement, faut-il créer une quatrième armée ? Je ne sais pas. L’important, ce sont les moyens humains, technologiques, d’innovation.

Pourquoi la cyberdéfense comme axe de développement ?

C’est l’une des priorités de la loi de programmation militaire, ce qu’elle n’était pas auparavant. Face à une augmentation générale du risque cyber partout dans le monde, risque qui change de forme, il nous fallait multiplier notre capacité à nous protéger et à répondre. C’est l’un des grands défis des années à venir. La confiance dans la technologie est la clé de tout le reste. Si les Français ont peur du numérique à cause d’une attaque d’ampleur, ils arrêteront de l’utiliser. La cyberdéfense est à la fois un sujet de protection souveraine (éviter les attaques contre nos équipements sensibles, militaires, d’énergie, etc.), mais aussi un moyen pour ne pas casser cette confiance, confiance aujourd’hui menacée si on ne se protège pas mieux.

Pour cela, l’Etat doit se comporter comme les meilleurs acteurs du numérique, il doit être à la pointe du pays dans ce domaine. Résumons : la menace augmente, on s’organise pour maintenir un bon niveau et on investit pour avancer. Le nouvel horizon, c’est de diffuser cette prise de conscience en matière de cybersécurité dans toute la société.

Quel est le retard de la France par rapport aux autres membres du Conseil de sécurité de l’ONU en matière de sécurité numérique ?

Sur les petites infrastructures. Pour ce qui est de la protection des éléments essentiels de l’Etat, nous avons un très bon niveau. Avec l’Agence nationale de la sécurité des systèmes d’information (Anssi), nous avons l’une des meilleures agences d’Europe, avec celles des Allemands et des Britanniques. Maintenant, regardons du côté des entreprises. Chez les plus grandes, il y a une élévation globale du niveau de sécurité. Par contre, il y a un risque important vis-à-vis de nos TPE-PME, certaines étant en retard dans la numérisation et sa sécurisation.

Quelles seront les conséquences directes pour les Français et les TPE-PME ?

Il y a plusieurs niveaux. D’abord les éléments les moins visibles mais les plus importants, qui concernent tout le monde : une augmentation du niveau de capacité humaine et technologique de ceux qui nous protègent et empêchent les attaques de très grandes ampleurs contre les éléments essentiels de l’Etat. C’est le problème des investissements militaires, quand ils fonctionnent et nous protègent bien, on ne les voit pas.

Pour ce qui est des éléments visibles, il va y avoir l’application de la directive NIS (Network and information security) et du Règlement général sur la protection des données personnelles (RGPD) à partir du mois de mai. Elles introduisent de nouvelles obligations de cybersécurité pour les acteurs économiques. Cela aura un impact massif sur leur protection. Grâce au RGPD, des dizaines de milliers d’entreprises vont pour la première fois réaliser un diagnostic de sécurité, et pouvoir se poser la question de la protection de leurs éléments les plus sensibles. C’est le principal impact systémique.

Pour maintenir notre souveraineté, il faut en outre que l’on développe une industrie de la cybersécurité. Comment développer cet écosystème numérique ? Cela va des industriels qui fabriquent les équipements aux prestataires de services de proximité, ceux qui font du conseil en cybersécurité. Il y en a une petite centaine en France aujourd’hui, ces TPE de cinq à dix personnes qui font du conseil en cybersécurité à des prix accessibles pour des PME locales. J’aimerais qu’il y en ait plutôt un millier.

Le rapport aborde le cas des objets connectés, qui peuvent être piratés. Quelles mesures sont prévues ?

Au niveau européen, nous sommes en pleine négociation autour d’une directive cybersécurité sur la question de la certification. Pour les gros systèmes à protéger, on peut envoyer des êtres humains les contrôler, pas de problème. Mais pour tout le reste, comme les objets connectés ? C’est pour cela que nous travaillons sur la responsabilisation de ceux qui éditent des logiciels d’une part, en créant des obligations de sécurité, et de ceux qui les utilisent d’autre part. La France a proposé, au sujet des objets connectés du quotidien, la création d’une obligation d’auto-certification, c'est-à-dire un système de contrôle a posteriori. Face à la multiplication de ces objets, nous devons instaurer un minimum de sécurité.

La revue avance comme recommandation d’obliger les télécommunications à coopérer. Dans quelles situations ?

En cas de procédure judiciaire, les opérateurs ont déjà une obligation de coopération. Maintenant, quand on est opérateur et que l’on maîtrise autant de tuyaux, on peut identifier des signaux qui doivent déclencher des alarmes, ce qui participe à augmenter la sécurité nationale. Un opérateur a les moyens de voir, sans regarder le contenu des communications, quand quelque chose d’anormal se produit. Exemple : s’il est en train de recevoir massivement des paquets en provenance d’un continent avec lequel d’habitude il n’y a pas autant d’échanges. C’est quelque chose que les opérateurs sont supposés surveiller, sauf qu’aujourd’hui, il n’y a aucune obligation d’appeler l’Anssi. Il faut y remédier, mais cela n’amènera pas les opérateurs à regarder le contenu des tuyaux.