Invitée en tant que Présidente de la Commission Supérieure du Numérique et des Postes au Cybercercle, je suis intervenue sur les enjeux de sécurité numérique au cœur de notre diplomatie et des politiques des DSI dans leurs choix d'architecture. La Commission Supérieure du Numérique et des Postes contrôle l'action publique et formule des recommandations. En avril 2021, elle avait notamment publié un avis portant recommandations dans le domaine de la sécurité numérique. Quelques unes des préconisations sont à retrouver ici !
- La confiance numérique, vie privée, données personnelles et cyber malveillance
Pour renforcer la confiance numérique à plusieurs niveaux., elle avait particulièrement insisté sur la nécessité de renforcer la sécurité des produits en estimant que les pouvoirs publics nationaux et européens pourraient décliner des mécanismes d’incitations pour le développement de normes communes et des instruments règlementaires contraignants.
- La sensibilisation, les formations initiales & continues
Elle recommandait aux pouvoirs publics de développer une politique massive d’information et de sensibilisation de la population sur les risques encourus dans l’espace numérique, tant à titre privé que professionnel, et sur les mesures et dispositions permettant de s’en prémunir. En effet, la formation est la condition sine qua non de la mise en œuvre opérationnelle du plan d’accélération cyber en raison de la pénurie de compétences : 500 000 emplois déficitaires en Europe dans le numérique en général, notamment la cybersécurité, la science des données et l’intelligence artificielle, sont annoncés d’ici 2025 par la Commission européenne. Le plan d’accélération cyber propose de renforcer la formation initiale et continue aux métiers de la cybersécurité, afin de résorber les déficits de compétences dans ce domaine en établissant un diagnostic des formations et des métiers existants pour répondre à la demande et aux enjeux de la cybersécurité de manière transversale. La sécurité numérique doit être plus systématiquement intégrée dans l’ensemble des formations pour changer le paradigme de la sécurité dans l’espace numérique. La sensibilisation à ces sujets doit s’effectuer dès le collège, grâce aux stages de troisième.
- L’environnement des entreprises, les politiques industrielles, l’export et internationalisation
La CSNP recommandait au Gouvernement de développer une politique industrielle active de consolidation de la filière industrielle française des produits et services de cybersécurité afin de favoriser la création d’entreprises leaders de la cybersécurité, disposant d’une taille critique de classe mondiale et capables de développer des gammes de produits de sécurité répondant aux attentes du marché mondial. L’annonce récente, de la création d’un comité stratégique de filière sur le numérique de confiance est de bon augure. Ce comité stratégique aura pour objectif d’améliorer le dialogue entre l’État et l’écosystème, cette « enceinte commune d’échanges » sera composée d’acteurs du cloud, de l’IA, du quantique et du logiciel. Le 12 septembre, Bruno Le Maire a indiqué : « Je ne peux pas exclure que, à un moment ou à un autre, nous en venions à une norme obligatoire » en parlant de SecNumCloud. en présentant une série de mesures de soutien à la filière dans le cadre de la stratégie cloud de l’État. 2,5 millions d’euros seront destinés à accompagner les candidats à la qualification SecNumCloud. Destinée aux start-up et PME éditrices de logiciels, cette aide sera mise en œuvre par l’Anssi. Cette incitation sera accompagnée d’un effort de « clarification » : les données particulièrement sensibles visées par le référentiel seront précisées par une circulaire « dans les prochaines semaines ».
- Les territoires
Elle recommandait que la création des CSIRT (Computer Security Incident Response Team) en région se fasse en étroite concertation avec les collectivités territoriales à l’échelle régionale. Elle recommande notamment la création dans chaque région d’un campus régional de la sécurité numérique capable de fédérer localement les acteurs de la sécurité numérique, de les faire travailler en réseau, et de sensibiliser l’écosystème public et privé à ces problématiques. Ce campus hébergerait le CSIRT incubé par l’ANSSI et serait notamment un véritable relais de gouvernance régional pour l’ANSSI, au service de tous les départements d'une même région pour un maillage territorial efficace. Le plan d’accélération cyber prévoit le déploiement dans chaque région d’un CSIRT (Computer Security Incident Response Team - équipe de réponse aux incidents informatiques) incubé avec le soutien de l’ANSSI. Ces CSIRT doivent permettre de réagir plus rapidement et efficacement aux incidents cybers qui peuvent frapper les collectivités territoriales, les structures du tissu sanitaire (hôpitaux, cliniques) et les structures du tissu économique local.