B. UNE DÉMARCHE STRATÉGIQUE ENGAGÉE POUR FAIRE FACE À CETTE MENACE
Cette démarche a été engagée par le Livre blanc sur la défense et la sécurité nationale et affermie par la loi de programmation militaire (LPM) 2014-2019 du 18 décembre 2013 qui a confié de nouvelles missions à l'ANSSI. Elle a été prolongée par la stratégie nationale pour la sécurité numérique, présentée en juin 2015, pour accompagner la transition numérique en assurant la protection des systèmes liés aux intérêts nationaux et enfin la stratégie nationale de sécurité du numérique présentée en octobre 2015.
1. La LPM 2014-2019 : une nouvelle étape dans la prise en compte par les pouvoirs publics des questions liées à la cybersécurité
Des dispositions législatives ont été introduites par la loi de programmation militaire du 18 décembre 2013 36 ( * ) pour conforter le cadre juridique de l'action de l'Etat.
Les décrets n° 2015-349, 2015-350 et 2015-351 du 27 mars 2015 respectivement relatifs à l'habilitation et à l'assermentation des agents de l'ANSSI, à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale et à la sécurité des systèmes d'information des opérateurs d'importance vitale (OIV) ont constitué la première étape de la publication des textes d'application.
La LPM répond également à la hausse prévisible de la demande d'audits de sécurité, en encadrant la définition de prestataires d'audits de systèmes de sécurité informatiques de confiance. LPM confie à l'ANSSI de nouvelles missions, notamment en matière de protection des systèmes d'information critiques des opérateurs d'importance vitale.
2. La mise en place d'une stratégie nationale pour la sécurité numérique
Le Premier ministre a présenté, le 18 juin 2015, la stratégie numérique du Gouvernement. Le chapitre « Egalité des droits : la confiance, socle de la société numérique » annonce la mise en place courant 2016 d'un dispositif d'assistance aux victimes d'actes de cybermalveillance. L'élaboration de ce dispositif et sa mise en place sont une priorité de l'ANSSI qui travaille en étroite collaboration avec le ministère de l'intérieur.
3. La stratégie nationale de sécurité du numérique
L'ANSSI a engagé en juin 2014 un travail interministériel d'élaboration d'une stratégie nationale de sécurité du numérique qui a été présentée par le Premier ministre le 16 octobre. 37 ( * )
En conformité avec la stratégie nationale pour la sécurité du numérique, cinq axes vont concentrer l'action de l'ANSSI sur la période 2016- 2017 :
• la généralisation des usages du numérique : des secteurs d'activité ou des collectivités locales, jusque-là peu numérisés, rattrapent leur retard et devront être accompagnés sur le plan de la sécurité. Cela se traduira pour l'ANSSI par la nécessité de disposer de relais dans ces secteurs ;
• la publication des premiers arrêtés d'application de l'article 22 de la LPM en 2016 conduit l'ANSSI à accroître son assistance aux opérateurs d'importance vitale. Cet élargissement conduira à renforcer les structures de coordination, de conseil, mais également de contrôle et d'assistance opérationnelle ;
• la prise de conscience des enjeux liés à la sécurité du numérique conduit les ministères comme les entreprises à exprimer un besoin croissant de sécurité ; pour l'ANSSI, cela se traduit par une augmentation du nombre de produits et services soumis à qualification ou à certification ;
• la mise en oeuvre de moyens techniques plus sophistiqués, en réponse à une complexité et volume des opérations de cyberdéfense croissants ;
• le renforcement de l'influence de l'ANSSI dans le cadre d'une coopération internationale.
4. Les travaux d'anticipation stratégique
Dans le prolongement de la stratégie nationale pour la sécurité du numérique, les travaux d'anticipation stratégique ont essentiellement porté sur l'élaboration de la stratégie de l'ANSSI pour la période 2016-2020. L'un des axes retenus, intitulé « connaissance et anticipation » a précisément pour objectif de renforcer la capacité de l'agence à anticiper les nouvelles menaces et à favoriser l'émergence de nouvelles technologies ou de nouveaux usages susceptibles d'avoir un impact en matière de sécurité informatique.
Parallèlement, l'ANSSI a contribué aux réflexions prospectives engagées par le SGDSN et, par exemple, proposé d'étudier l'impact que pourrait avoir le traitement massif de données pour l'élaboration de politiques de sécurité préventives ou encore de renforcer l'efficacité des politiques existantes. Une réflexion interministérielle est engagée en ce sens.
Conformément à l'une des orientations proposées par la stratégie nationale, l'ANSSI a par ailleurs proposé l'organisation d'une conférence internationale visant à donner une meilleure visibilité aux positions de la France en matière de construction de la paix par le droit dans un monde en transition numérique. Cette conférence devrait avoir lieu en avril 2017.
L'ANSSI a également participé à de nombreux travaux de prospective engagés par d'autres administrations ou autorités indépendantes. Ainsi, a-t-elle contribué à l'étude menée par l'ARCEP sur les objets connectés. Le développement de nouveaux usages et des objets connectés ouvre un nouveau champ d'action pour l'ANSSI . Il s'avère en effet que les concepteurs de ces nouveaux produits ne se préoccupent qu'insuffisamment des risques de sécurité. Il y a donc un besoin évident d'identifier ces risques, de sensibiliser les entreprises et d'accompagner la montée en puissance de cet écosystème.
Enfin, pour répondre à l'évolution du contexte de sécurité du numérique et à sa pénétration croissante dans tous les aspects de la vie de la nation, l'agence élabore des propositions susceptibles d'améliorer la sécurité des projets informatiques des administrations afin de les intégrer dans les travaux qui seront engagés à l'occasion du futur Livre blanc sur la défense et la sécurité nationale.
* 36 Rapport pour avis n° 166 - Tome IX (2015-2016) de MM. Jean-Marie Bockel et Jean-Pierre Masseret, sénateurs, au nom de la commission des affaires étrangères, de la défense et des forces armées - 19 novembre 2015 - p.29 http://www.senat.fr/rap/a15-166-9/a15-166-9.html
* 37 https://www.ssi.gouv.fr/uploads/2015/10/strategie_nationale_securite_numerique_fr.pdf