Alors que nous entrons dans la «quatrième révolution industrielle», dans l’ère de la transformation numérique, dans un nouvel «IA-monde» et dans la «seconde révolution quantique», la sécurité nationale et internationale doit s’adapter. Elle doit le faire en anticipant ce monde futur, en évitant les surprises et les menaces tant nouvelles qu’anciennes, tout en saisissant les immenses possibilités offertes par ce qui n’est rien moins qu’un changement de paradigme (Pour les labels, respectivement, Klaus Schwab, World Economic Forum, Helene Lavoix, The Future Artificial Intelligence – Powered World series, The Red (Team) Analysis Society, Jonathan P. Dowling, Gerard J. Milburn, “Quantum Technology: The Second Quantum Revolution”, 13 Jun 2002, arXiv:quant-ph/0206091v1).
Access English version
La stratégie relative au cyber-espace et à la cyber-sécurité varie selon les pays – et les acteurs. Elle est gérée de différentes manières par différents types d’agences. Après avoir présenté brièvement les principaux acteurs étatiques français, britanniques et américains de la cyber-sécurité, nous nous concentrerons sur la perspective française et l’ANSSI, ses objectifs et sa récente initiative de réflexion, Agora 41.
La France, le Royaume-Uni et les États-Unis – bref aperçu
En France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), créée le 7 juillet 2009, s’occupe de la sécurité du monde digital. Elle est l’autorité nationale pour toutes les questions liées à la défense et à la sécurité des systèmes d’information et, de ce fait, conduit la Stratégie nationale de sécurité numérique française (2015). Néanmoins, d’autres dimensions du cyber-espace restent sous l’autorité d’autres parties de l’État, notamment le ministère de l’Intérieur et le ministère de la Défense, qui prévoit un budget de 1,6 milliard d’euros pour 2019-2025 pour la cyber-sécurité, tandis que son commandement en matière de cyber-défense, créé en 2016, verra une augmentation de ses dépenses de personnel (Benjamin Hue, “La France va renforcer son arsenal contre la cybercriminalité“, RTL, 24 janvier 2018). Une nouvelle stratégie nationale en matière de cyber-sécurité sur cinq ans, avec un budget global clair, est nécessaire, et pourrait être en préparation (Ibid.).*
L’ANSSI correspond plus ou moins au Centre National Britannique de Cybersécurité (National Cyber Security Center – NCSC), appartenant au GCHQ, ouvert en octobre 2016 et officiellement lancé le 14 février 2017, et participant pleinement à la CyberUK strategy de 2017 (lancement du NCSC, video et documents; Reuters, “Britain to spend 1.9 billion pounds on boosting cyber defenses“). Le budget global du Royaume-Uni pour la cybersécurité pour tous les ministères (sans compter le budget potentiel pour les cyber-représailles et les attaques) s’élève à £1,9 milliard pour 2017-2022 (“Chancellor’s speech at the National Cyber Security Centre opening“, 14 février 2017; Reuters, Ibid. .)
L’ANSSI et le NCSC sont les héritiers de la mission cryptographique passée des institutions étatiques. L’ANSSI est le dernier né de la Direction Technique des Chiffres (DTC) créée en 1943 à Alger (Histoire de l’ANSSI). De son côté, le NCSC, à travers le GCHQ, est ancré dans le célèbre Bletchley Park qui, grâce notamment à Turing, à l’équipe de codebreakers et aux Bombes machine, a vaincu Enigma et ainsi contribué à la victoire des Alliés pendant la Seconde Guerre Mondiale. Auparavant, ses origines remontent aux efforts de décryptage déployés par l’Amirauté et le War Office pendant la Première Guerre Mondiale (par exemple, GCHQ, «The story of Signals Intelligence 1914-2014»).
En ce qui concerne les États-Unis, leur budget fédéral cybersécurité est de 15 milliards de dollars pour 2019, et éclipse les efforts européens, mais doit être partagé entre toutes les agences dotées de cyber-éléments, du Pentagone à la NASA en passant par la Small Business Administration (John Slye, “The Fy 2019 Budget Increases Cybersecurity Funding By Nearly $600 Million“, Deltek, 28 Février 2018).
Cependant, et malgré la fameuse National Security Agency/Central Security Service (NSA/CSS), aucune nouvelle agence ni centre unifié n’est dédié au nouveau monde cyber et à sa sécurité, comme cela est fait en France et au Royaume-Uni (David H. Petraeus, “The Case for a National Cybersecurity Agency“, Belfer Center, 5 septembre 2018). L’ Office of Cybersecurity and Communications de la National Protection and Program Directorate (NPPD) au sein du Département de la sécurité intérieure (DHS) pourrait être vu comme approchant le système britannique ou français. Cependant, en tant qu'”Office”, il ne dispose pas de l’autonomie, du poids et du leadership que l’on peut trouver en Europe. En outre, vu son emplacement et le nombre d’autres agences impliquées dans la cyber-sécurité, il est très probable que l’OCC / NPPD consacre du temps, des ressources et de l’énergie à des escarmouches et querelles administratives.
Cela dit, le budget américain consacré à la cybersécurité reste pour le moins très important. Qui plus est, les États-Unis bénéficient d’un “cyber-écosystème” qui est un atout formidable. Cet écosystème est créé par le cyber-budget fédéral et les agences et bureaux en bénéficiant, les GAFA et autres sociétés telles que Intel, NVIDIA et IBM, pour en nommer seulement quelques-unes, la Silicon Valley, des milliardaires patriotes et concernés et des universités de classe mondiale, comme le montre l’initiative de 1 milliard de dollars du MIT “pour faire face aux opportunités et aux défis mondiaux présentés par la prédominance de l’informatique et la montée de l’intelligence artificielle (IA)” qui inclus un don de 350 millions de dollars de Stephen A. Schwarzman, PDG de Blackstone (MIT Review, “MIT reshapes itself to shape the future“).
Si Eisenhower soulignait l’importance du complexe militaro-industriel pour comprendre la sécurité nationale des États-Unis (Military-Industrial Complex Speech, Dwight D. Eisenhower, 1961), nous pourrions désormais devoir aussi compter avec un complexe gouvernementalo-High-Tech. Le future programme “JEDI” pour le Département de la Défense ne peut que renforcer cette tendance (Helene Lavoix, “Artificial Intelligence, Computing Power and Geopolitics (2)“, The Red (Team) Analysis Society, 25 June 2018; Shaun Nichols, “US JEDI military cloud network is so high-tech, bidders will have to submit their proposals by hand, on DVD“, The Register, 27 Sep 2018).
De son côté, l’OTAN travaille à la mise en place d’un nouveau centre de commandement cyber-militaire, qui devrait être prêt pour 2023 (Robin Emmott, “”NATO cyber command to be fully operational in 2023“, Reuters, 16 octobre 2018).
Une perspective complète et plus détaillée devrait notamment inclure la Chine.
L’ANSSI, de la stratégie à l’anticipation et au groupe de réflexion
En tant que leader de la stratégie française de cybersécurité, l’ANSSI vise à atteindre cinq objectifs principaux (site web):
- “Garantir la souveraineté nationale”: notamment défense de l’intérêt national fondamental dans le cyber-espace.
- “Apporter une réponse forte contre les actes de cybermalveillance”: Promouvoir l’utilisation de l’espace cybernétique et protéger les citoyens, en réagissant fermement contre tout type de cybercriminalité.
- “Informer le grand public”, c’est à dire sensibilisation à la sécurité numérique.
- “Faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises”.
- “Renforcer la voix de la France à l’international”, soit l’influence française internationale, à travers la définition des normes, la promotion de la stabilité cybernétique mondiale, et la promotion de l’autonomie européenne.
Qui plus est, l’ANSSI doit avoir une forte activité de prospective stratégique et d’anticipation sur tous les horizons temporels pour pouvoir assurer la sécurité du nouveau monde émergent, tout en faisant face aux menaces et aux risques très concrets du présent.
En effet, par exemple, parmi de nombreux impacts, l’informatique quantique perturbera complètement la transmission sécurisée des données, tandis que les villes et les entreprises qui utilisent abondamment l’intelligence artificielle (par apprentissage en profondeur/Deep Learning) devront être sécurisées. La communication quantique, quant à elle, tente par exemple de développer de nouveaux réseaux quantiques sur lesquels pourrait être construit dans le futur un internet quantique (Edd Gent, “From Quantum Computing to a Quantum Internet—A Roadmap“, SingularityHub, 22 October 2018). L’informatique quantique, ou plus largement les technologies quantiques, et l’intelligence artificielle, s’accélérant et se perturbant mutuellement, comme nous l’avons vu (The Coming Quantum Computing Disruption, Artificial Intelligence and Geopolitics (1)”, 15 octobre 2018) créeront de nouveaux cyber-défis auxquels les agences, les entreprises et les citoyens doivent être préparés.
Les vidéos ci-dessous illustrent un possible avenir et ses enjeux de sécurité (bande annonce française de la série TV Person of Interest saison 4 de J.J. Abrahams et trailer officiel en anglais; NVIDIA GTC China 2017 Keynote Recap, notamment la partie sur les villes intelligentes).
Dans le même temps, alors que les impacts multidimensionnels néfastes du changement climatique se propagent et s’intensifient, les conséquences sur la cybersécurité doivent également être pris en compte.
Comme le souligne le Sénat,
“L’un des axes retenus dans la stratégie de l’ANSSI pour la période 2016-2020, intitulé « connaissance et anticipation » a pour objectif de renforcer sa capacité à mener des travaux de prospective, à anticiper les nouvelles menaces et à favoriser l’émergence de nouvelles technologies ou de nouveaux usages susceptibles d’avoir un impact en matière de sécurité informatique.”(Projet de loi de finances pour 2018 : Direction de l’action du Gouvernement : Coordination du travail gouvernemental” 23 novembre 2017)
Dans ce cadre, l’ANSSI a lancé un programme de réflexion original, Agora 41, au sein duquel 41 experts ont été sélectionnés et invités à participer à une nouvelle expérience visant à développer des solutions innovantes pour soutenir l’agence dans sa mission.
Cinq thèmes ont été sélectionnés pour servir la réalisation de la stratégie de cybersécurité et de ses objectifs, tout en respectant les impératifs de prospective stratégique.
- Imaginaire, Cyber-monde et Sécurité
- Entrent les GAFA et BATX: De nouvelles règles pour un nouveau jeu sur un nouvel échiquier?
- Gagner la Guerre des Talents
- Cyber-cohabitation
- Mettre en place un cyber-écosystème victorieux pour la sécurité
Chaque membre d’Agora 41 a choisi un thème principal, tout en ayant la possibilité d’interagir sur les autres questions. Ce système cherche à permettre des discussions fructueuses avec échanges horizontaux entre questions.
Ensemble, ces efforts pourraient contribuer à façonner non seulement la future cybersécurité, mais également notre cyber-futur.
————
* Il est presque impossible, de l’extérieur, d’évaluer avec précision le budget de l’ANSSI compte tenu de son “autonomie budgétaire limitée” au sein du SGDSN (“Projet de loi de finances pour 2018 : Direction de l’action du Gouvernement : Coordination du travail gouvernemental“, 23 novembre 2017. Comme l’a souligné le Sénat (Solutions numériques, “ANSSI : un rapport sénatorial préconise d’élargir son autonomie de gestion budgétaire“, 19 avril 2018), cette autonomie partielle contribue à occulter les besoins vitaux et à nuire à l’efficacité de l’ANSSI en la privant de ressources vitales, et ce d’autant plus que ses missions sont élargies et le seront plus encore dans un avenir prévisible. Qui plus est, le risque de querelles et de tracasseries administratives est accru.
Disclaimer: L’auteur participe à l’effort Agora 41 mais reste indépendante dans ses réflexions, condition sine qua non du succès de l’initiative de sensibilisation de l’ANSSI. Les opinions exprimées dans ce rapport représentent les vues et interprétations de l’auteur, sauf indication contraire. Cet article n’implique pas l’approbation de la politique, des programmes ou des réglementations par l’ANSSI.
À propos de l’auteur: Dr Helene Lavoix,, PhD Lond (Relations internationales), est la directrice de The Red (Team) Analysis Society. Elle est spécialisée dans la prospective stratégique et l’alerte en matière de sécurité nationale et internationale. Elle se concentre actuellement sur l’intelligence artificielle, l’informatique quantique et la sécurité.
Featured Image: The Argonne-led “Multiscale Coupled Urban Systems” project aims to help city planners better examine complex systems, understand the relationships between them and predict how changes will affect them. The ultimate goal is to help officials identify the best solutions to benefit urban communities. (Image by Argonne National Laboratory.)