III. AMÉLIORER LA COORDINATION ET LA COMPOSANTE OFFENSIVE DE LA STRATÉGIE NATIONALE
A. FAIRE DE CYBERMALVEILLANCE.GOUV.FR LE CENTRE D'APPEL UNIQUE POUR LES PARTICULIERS, ENTREPRISES ET COLLECTIVITÉS
Les moyens du GIP ACYMA (14 ETP) et 2,3 M€ de dépenses annuelles, dont 800 000 € de subvention du SGDSN, semblent dérisoire au regard du champ d'action qui lui est assigné : le grand public, les collectivités locales, les petites entreprises et associations.
Une synergie avec les CSIRT et les régions pourrait être recherchée afin d'homogénéiser le service rendu, à la condition que la plateforme numérique cybermalveillance.gouv.fr se transforme en véritable centre d'appel apte à traiter les incidents de premier niveau et à rediriger les cas les plus graves à des prestataires locaux ou à l'ANSSI. Quand il y a le feu, on appelle le 18. Les SDIS disposent de la compétence en matière de traitement des appels. Celle-ci peut-être expertisée au même titre que d'autres dispositifs.
Vos rapporteurs réitèrent donc leur recommandation dans le sens d'un changement de dimension du GIP ACYMA vers un statut équivalent à celui de la prévention routière, doté d'un budget de communication nationale dimensionné en conséquence.
Préconisation de vos rapporteurs :
Faire du GIP ACYMA le véritable point de coordination unique de la cybermalveillance pour tout ce qui ne relève pas de l'ANSSI.
B. SOUTENIR MAIS AUSSI DAVANTAGE RESPONSABILISER LES ACTEURS
La responsabilité des incidents est naturellement à rechercher du côté des cybercriminels. En pratique, dans un contexte de généralisation des attaques informatiques, on peut distinguer trois autres niveaux de responsabilité :
• Les utilisateurs vers lesquels les messages de prévention doivent être orientés ;
• Les entreprises pour lesquelles un écosystème de sécurité (label, certification, etc.) doit être développé de pair avec une obligation de moyen ;
• Les pouvoirs publics qui face au niveau croissant d'attaques étatiques doivent élargir le périmètre du champ de détection et de protection de l'Etat, des ministères, des OIV et OSE pour faire monter d'urgence en compétence les secteurs à risques, notamment les établissements de santé et les Outre-mer.
La responsabilité de chaque acteur est en jeu selon son niveau dans la chaîne numérique.
C. ASSUMER UNE STRATÉGIE OFFENSIVE POUR MIEUX SE DÉFENDRE ET DISSUADER
Appliquée au domaine de l'influence et à la guerre informationnelle, la nouvelle fonction stratégique annoncée par le Président de la République est la marque d'un virage vers l'offensive. C'est le signe d'un avant et d'un après « Bounti » , du nom d'un village au Mali où l'armée française a fait l'objet d'une opération de désinformation, qui l'accusait du bombardement d'un mariage en janvier 2021. C'est par une forme initiale de passivité que cette accusation a pu faire l'effet d'une bulle médiatique, elle-même alimentée par un rapport controversé des Nations unies.
De la même manière que la nouvelle stratégie française de lutte active contre la désinformation a permis de déjouer, en avril 2022, l'attribution par des éléments maliens et de la milice Wagner à la France de la responsabilité d'un charnier à Gossi, toujours au Mali. Cette pratique offensive montre l'avantage que le ComCyber tire à intégrer dans un même circuit d'analyse la détection et la réponse à apporter . Cet élément est à prendre en compte dans l'évolution possible des missions de VIGNINUM, ainsi que dans la coordination civilo-militaire (VIGINUM/ComCyber).
Une stratégie offensive est également mise en oeuvre par les États-Unis et le Royaume-Uni en matière de cyberattaques, notamment en améliorant la coordination entre les différentes agences civiles et militaires chargées tant du cyber que de l'influence.
Ainsi, les américains ont-ils créé en 2021 un poste de national cybersecurity director à la Maison blanche afin notamment de coordonner l' US Cyber Command avec le Cybersecurity and Infrastructure Security Agency (CISA). Du côté britanniques le National Cyber Security Center (NCSC) a mis en place début 2022 une national cyber force . Dans les deux cas, leur mission intègre une dimension d'offensive préventive ou de contre-offensive.
Aussi est-il proposé de se doter d'un directeur national de la cybersécurité chargé de la coordination nationale et avec nos principaux partenaires dans ce combat sans frontières.
Préconisation de vos rapporteurs :
- Renforcer le volet offensif de la stratégie de cybersécurité au même titre que pour la nouvelle fonction stratégique d'influence ;
- Améliorer la coordination interministérielle dans le domaine de l'influence et de la cybersécurité par la fixation d'objectifs et d'indicateurs en matière d'offensive et de contre-offensive, et avec la création d'un directeur national de la cybersécurité.