Alors que nous entrons dans la "quatrième révolution industrielle", dans l'ère de la transformation numérique, dans un nouvel "IA-monde" et dans la "seconde révolution quantique", la sécurité nationale et internationale doit s'adapter. Elle doit le faire en anticipant ce monde futur, en évitant les surprises et les menaces tant nouvelles qu'anciennes, tout en saisissant les immenses possibilités offertes par ce qui n'est rien moins qu'un changement de paradigme (Pour les labels, respectivement, Klaus Schwab, Forum économique mondial, Hélène Lavoix, La future intelligence artificielle - série Powered World, The Red Team Analysis SocietyJonathan P. Dowling, Gerard J. Milburn, "Quantum Technology : The Second Quantum Revolution", 13 juin 2002, arXiv:quant-ph/0206091v1).
Accès à Version anglaise
La stratégie relative au cyber-espace et à la cyber-sécurité varie selon les pays - et les acteurs. Elle est gérée de différentes manières par différents types d'agences. Après avoir présenté brièvement les principaux acteurs étatiques français, britanniques et américains de la cyber-sécurité, nous nous concentrons sur la perspective française et l'ANSSI, ses objectifs et sa récente initiative de réflexion, Agora 41.
La France, le Royaume-Uni et les États-Unis - bref aperçu
En France, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), créée le 7 juillet 2009, s'occupe de la sécurité du monde digital. Elle est l'autorité nationale pour toutes les questions liées à la défense et à la sécurité des systèmes d'information et, de ce fait, conduit la Stratégie nationale de sécurité numérique française (2015). Néanmoins, d'autres dimensions du cyber-espace restent sous l'autorité d'autres parties de l'État, notamment le ministère de l'Intérieur et le ministère de la Défense, qui prévoit un budget de 1,6 milliards d'euros pour 2019-2025 pour la cyber-sécurité, tandis que son commandement en matière de cyber-défense, créé en 2016, verra une augmentation de ses dépenses de personnel (Benjamin Hue, "La France va renforcer son arsenal contre la cybercriminalité"RTL, 24 janvier 2018). Une nouvelle stratégie nationale en matière de cyber-sécurité sur cinq ans, avec un budget global clair, est nécessaire, et pourrait être en préparation (Ibid.).*
L'ANSSI correspond plus ou moins au Centre National Britannique de Cybersécurité (NCSC), appartenant au GCHQ, ouvert en octobre 2016 et officiellement lancé le 14 février 2017, et participant pleinement à la Stratégie CyberUK de 2017 (lancement du NCSC, vidéo et documentsThe Red Team Analysis, Society; Reuters, "La Grande-Bretagne va dépenser 1,9 milliard de livres sterling pour renforcer sa cyberdéfense“). Le budget global du Royaume-Uni pour la cybersécurité pour tous les ministères (sans compter le budget potentiel pour les cyber-représailles et les attaques) s'élève à £1,9 milliard pour 2017-2022 ("Discours du Chancelier lors de l'inauguration du Centre national de la cyber-sécurité", 14 février 2017 ; ReutersIbid. .)
L'ANSSI et le NCSC sont les héritiers de la mission cryptographique passée des institutions étatiques. L'ANSSI est le dernier né de la Direction Technique des Chiffres (DTC) créée en 1943 à Alger (Histoire de l'ANSSI). De son côté, le NCSC, à travers le GCHQ, est ancré dans le célèbre Bletchley Park qui, grâce notamment à Turing, à l'équipe de codebreakers et aux Machine à bombes, a vaincu Enigma et ainsi contribué à la victoire des Alliés pendant la Seconde Guerre mondiale. Auparavant, ses origines remontent aux efforts de décryptage déployés par l'Amirauté et le War Office pendant la Première Guerre Mondiale (par exemple, GCHQ, "L'histoire du renseignement sur les signaux 1914-2014»).
En ce qui concerne les États-Unis, leur budget fédéral cybersécurité est de 15 milliards de dollars pour 2019, et éclipse les efforts européens, mais doit être partagé entre toutes les agences dotées de cyber-éléments, du Pentagone à la NASA en passant par la Small Business Administration (John Slye, "Le budget de l'exercice 2019 augmente le financement de la cybersécurité de près de $600 millions“, Deltek28 février 2018).
Cependant, et malgré la fameuse National Security Agency/Central Security Service (NSA/CSS), aucune nouvelle agence ni centre unifié n'est dédié au nouveau monde cybernétique et à sa sécurité, comme cela est fait en France et au Royaume-Uni (David H. Petraeus, "Les arguments en faveur d'une agence nationale de cybersécurité“, Centre Belfer5 septembre 2018). L’ Bureau de la cybersécurité et des communications de la Direction nationale de la protection et des programmes (NPPD) au sein du Département de la sécurité intérieure (DHS) pourrait être vu comme approchant le système britannique ou français. Cependant, en tant qu'"Office", il ne dispose pas de l'autonomie, du poids et du leadership que l'on peut trouver en Europe. En outre, vu son emplacement et le nombre d'autres agences impliquées dans la cyber-sécurité, il est très probable que l'OCC / NPPD consacre du temps, des ressources et de l'énergie à des escarmouches et querelles administratives.
Cela dit, le budget américain consacré à la cybersécurité reste pour le moins très important. Qui plus est, les États-Unis bénéficient d'un "cyber-écosystème" qui est un atout formidable. Cet écosystème est créé par le cyber-budget fédéral et les agences et bureaux en bénéficiant, les GAFA et autres sociétés telles que Intel, NVIDIA et IBM, pour en nommer seulement quelques-unes, la Silicon Valley, des milliardaires patriotes et concernés et des universités de classe mondiale, comme le montre l'initiative de 1 milliard de dollars du MIT "pour faire face aux opportunités et aux défis mondiaux présentés par la prédominance de l'informatique et la montée de l'intelligence artificielle (IA)" qui inclus un don de 350 millions de dollars de Stephen A. Schwarzman, PDG de Blackstone (Révision du MIT, “Le MIT se remodèle pour façonner l'avenir“).
Si Eisenhower soulignait l'importance du complexe militaro-industriel pour comprendre la sécurité nationale des États-Unis (Discours du complexe militaro-industriel(Dwight D. Eisenhower, 1961), nous pourrions désormais devoir aussi compter avec un complexe gouvernementalo-High-Tech. Le futur programme "JEDI" pour le Département de la Défense ne peut que renforcer cette tendance (Hélène Lavoix, "Intelligence artificielle, puissance informatique et géopolitique (2)“, The Red Team Analysis Society25 juin 2018 ; Shaun Nichols, "Le réseau militaire américain JEDI est tellement high-tech que les soumissionnaires devront soumettre leurs propositions à la main, sur DVD“, Le registre27 septembre 2018).
De son côté, l'OTAN travaille à la mise en place d'un nouveau centre de commandement cyber-militaire, qui devrait être prêt pour 2023 (Robin Emmott, ""Le cyber-commandement de l'OTAN sera pleinement opérationnel en 2023“, Reuters16 octobre 2018).
Une perspective complète et plus détaillée devrait notamment inclure la Chine.
L'ANSSI, de la stratégie à l'anticipation et au groupe de réflexion
En tant que leader de la stratégie française de cybersécurité, l'ANSSI vise à atteindre cinq objectifs principaux (site web):
- "Garantir la souveraineté nationale" : notamment défense de l'intérêt national fondamental dans le cyber-espace.
- "Apporter une réponse forte contre les actes de cybermalveillance" : Promouvoir l'utilisation de l'espace cybernétique et protéger les citoyens, en réagissant fermement contre tout type de cybercriminalité.
- "Informer le grand public", c'est à dire la sensibilisation à la sécurité numérique.
- "Faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises".
- "Renforcer la voix de la France à l'international", soit l'influence française internationale, à travers la définition des normes, la promotion de la stabilité cybernétique mondiale, et la promotion de l'autonomie européenne.
Qui plus est, l'ANSSI doit avoir une forte activité de prospective stratégique et d'anticipation sur tous les horizons temporels pour pouvoir assurer la sécurité du nouveau monde émergent, tout en faisant face aux menaces et aux risques très concrets du présent.
En effet, par exemple, parmi de nombreux impacts, l'informatique quantique perturbera complètement la transmission sécurisée des données, tandis que les villes et les entreprises qui utilisent abondamment l'intelligence artificielle (par apprentissage en profondeur/Deep Learning) devront être sécurisées. La communication quantique, quant à elle, tente par exemple de développer de nouveaux réseaux quantiques sur lesquels pourrait être construit dans le futur un internet quantique (Edd Gent, "De l'informatique quantique à l'Internet quantique - une feuille de route“, SingularityHub22 octobre 2018). L'informatique quantique, ou plus largement les technologies quantiques, et l'intelligence artificielle, s'accélérant et se perturbant mutuellement, comme nous l'avons vu (Les bouleversements à venir de l'informatique quantique, de l'intelligence artificielle et de la géopolitique (1)(15 octobre 2018) créeront de nouveaux cyber-défis auxquels les agences, les entreprises et les citoyens doivent être préparés.
Les vidéos ci-dessous illustrent un possible avenir et ses enjeux de sécurité (bande annonce française de la série TV Personne d'intérêt saison 4 de J.J. Abrahams et trailer officiel en anglais ; NVIDIA GTC China 2017 Keynote Recap, notamment la partie sur les villes intelligentes).
Dans le même temps, alors que les impacts multidimensionnels néfastes du changement climatique se propagent et s'intensifient, les conséquences sur la cybersécurité doivent également être prises en compte.
Comme le souligne le Sénat,
"L'un des axes retenus dans la stratégie de l'ANSSI pour la période 2016-2020, intitulé " connaissance et anticipation " a pour objectif de renforcer sa capacité à mener des travaux de prospective, à anticiper les nouvelles menaces et à favoriser l'émergence de nouvelles technologies ou de nouveaux usages susceptibles d'avoir un impact en matière de sécurité informatique.”(Projet de loi de finances pour 2018 : Direction de l'action du Gouvernement : Coordination du travail gouvernemental"23 novembre 2017)
Dans ce cadre, l'ANSSI a lancé un programme de réflexion original, Agora 41, au sein duquel 41 experts ont été sélectionnés et invités à participer à une nouvelle expérience visant à développer des solutions innovantes pour soutenir l'agence dans sa mission.
Cinq thèmes ont été sélectionnés pour servir la réalisation de la stratégie de cybersécurité et de ses objectifs, tout en respectant les impératifs de prospective stratégique.
- Imaginaire, Cyber-monde et Sécurité
- Entrent les GAFA et BATX : De nouvelles règles pour un nouveau jeu sur un nouvel échiquier ?
- Gagner la Guerre des Talents
- Cyber-cohabitation
- Mettre en place un cyber-écosystème victorieux pour la sécurité
Chaque membre d'Agora 41 a choisi un thème principal, tout en ayant la possibilité d'interagir sur les autres questions. Ce système cherche à permettre des discussions fructueuses avec échanges horizontaux entre questions.
Ensemble, ces efforts pourraient contribuer à façonner non seulement la future cybersécurité, mais également notre cyber-futur.
————
* Il est presque impossible, de l'extérieur, d'évaluer avec précision le budget de l'ANSSI compte tenu de son "autonomie budgétaire limitée" au sein du SGDSN ("Projet de loi de finances pour 2018 : Direction de l'action du Gouvernement : Coordination du travail gouvernemental", 23 novembre 2017. Comme l'a souligné le Sénat (Solutions numériques, "ANSSI : un rapport sénatorial préconise d'élargir son autonomie de gestion budgétaire", 19 avril 2018), cette autonomie partielle contribue à occulter les besoins vitaux et à nuire à l'efficacité de l'ANSSI en la privant de ressources vitales, et ce d'autant plus que ses missions sont élargies et le seront plus encore dans un avenir prévisible. Qui plus est, le risque de querelles et de tracasseries administratives est accru.
Clause de non-responsabilité: L'auteur participe à l'effort Agora 41 mais reste indépendant dans ses réflexions, condition sine qua non du succès de l'initiative de sensibilisation de l'ANSSI. Les opinions exprimées dans ce rapport représentent les vues et interprétations de l'auteur, sauf indication contraire. Cet article n'implique pas l'approbation de la politique, des programmes ou des réglementations par l'ANSSI.
À propos de l'auteur: Dr Hélène Lavoix, PhD Lond (Relations internationales), est la directrice de The Red (Team) Analysis Society. Elle est spécialisée dans la prospective stratégique et l'alerte en matière de sécurité nationale et internationale. Elle se concentre actuellement sur l'intelligence artificielle, l'informatique quantique et la sécurité.
Image en vedette: L'Argonne".Systèmes urbains couplés à plusieurs échelles"Ce projet vise à aider les urbanistes à mieux examiner les systèmes complexes, à comprendre les relations entre eux et à prévoir comment les changements les affecteront. Le but ultime est d'aider les responsables à identifier les meilleures solutions pour le bénéfice des communautés urbaines. (Image par le Laboratoire national d'Argonne).