Une question qui n’est plus seulement rhétorique. Depuis mardi et jusqu’à jeudi, la ville de Lille accueille le Forum international de la cybersécurité (FIC). Rendez-vous incontournable des start-up ou géants du secteur comme des institutions, tous traitent à leur façon les menaces virtuelles, mais réelles, sur une échelle allant du rançonnage d’une PME à l’attaque d’un pays. Au niveau européen, si chaque État membre bosse sur la question de son côté, il n’existe en revanche pas (encore) de politique globale. Néanmoins, pour le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’avenir va dans ce sens.

Les attaques de fourgons, les espions à la James Bond, c’est (presque) terminé. Depuis quelque temps déjà, la tendance qui est à la hausse concerne les menaces informatiques, +37 % entre 2020 et 2021 selon l’ANSSI. Les motivations des « acteurs malveillants » sont principalement d’ordre financier, à des fins d’espionnage ou pour pratiquer la déstabilisation. Et la tâche de ces délinquants est largement facilitée par la « généralisation d’usages numériques mal maîtrisés », constate l’Agence pour la France, mais aussi au niveau européen.

« De réels progrès dans la prise de conscience »

Sur le territoire national, on semble plutôt bien armé côté cybersécurité. Enfin, en ce qui concerne les institutions et, généralement, les grandes entreprises. « Le véritable problème concerne les entreprises de taille intermédiaires des secteurs non sensibles auxquelles les criminels s’attaquent plus facilement pour éviter des réactions fortes des Etats », constate Guillaume Poupart, directeur général de l’ANSSI. Cela peut aussi concerner de petites collectivités, comme des mairies. « On constate néanmoins de réels progrès dans la prise de conscience de la menace de la part des victimes potentielles et l’avancée de développements industriels pour la défense et la riposte aux attaques », poursuit-il.

Une prise de conscience qui gagne aussi les instances européennes mais dont la concrétisation tarde à venir. Un règlement sur la cybersécurité des institutions de l’UE a été rédigé mais doit encore être voté. Idem pour la «directive Nis 2 » qui vise à élargir les secteurs soumis à des obligations de cybersécurité. Le patron de l’ANSSI rêve aussi d’une « solidarité européenne » autour de la cybersécurité.

« La cyberdéfense ne peut pas être un enjeu supranational »

« Il y a des réseaux entre les pays membres mais leur fonctionnement n’est pas encore bien rodé », concède Guillaume Poupart. Pourtant, sécuriser les institutions de l’UE est « techniquement possible rapidement ». Politiquement, c’est une autre histoire, le plus compliqué étant de « ménager les susceptibilités » des États membres.

Chacun, donc, à commencer par la France, souhaite garder la maîtrise de sa gestion de la sécurité. « La cyberdéfense ne peut pas être un enjeu supranational. Faire un grand tout plus efficace n’est pas possible, assure le patron de l’ANSSI. En revanche, rien n’interdit de faire des choses au niveau européen ». C’est d’ailleurs ce que font déjà, et depuis longtemps, les services de renseignement. « Il existe une véritable coopération entre les Etats européens dans le domaine du renseignement, que ce soit cyber ou traditionnel. Comme il existe une bonne collaboration entre les différents services français », assure ainsi un porte-parole de la Direction du renseignement militaire (DRM).