Le cyberespace imprègne progressivement l’ensemble des activités humaines. Les technologies du numérique bouleversent et fusionnent nos vies personnelles et professionnelles, accélèrent les échanges, améliorent la productivité, effacent les frontières entre les États, entre les organisations et entre les hommes.

Mais le cyberespace, lieu de partage et de diffusion des idées et des informations en temps réel, est aussi un lieu d’affrontement, une zone grise, discrète, changeante où tout semble possible : espion nage du patrimoine, exactions criminelles, attaques contre les systèmes informatiques des États, des entreprises ou des citoyens, contre les infrastructures industrielles vitales, notamment informatiques de type SCADA (Supervisory Control and Data Acquisition).

Une prise de conscience et de nouveaux concepts émergent peu à peu. Des budgets et de nouvelles capacités sont mis en place par les pays les plus avancés mais à des degrés divers et en fonction de leur perception des risques et du choix de leurs priorités. En France, le Livre blanc sur la défense et la sécurité nationale a souligné l’émergence du cyberespace dans le champ de la sécurité nationale, et c’est ainsi que l’Anssi, Agence nationale de la sécurité des systèmes d’information, a été créée dès 2009.

La cybersécurité a de fait acquis en peu d’années une dimension stratégique et fait désormais partie du premier cercle des capacités nécessaires à l’exercice de la souveraineté de notre pays. Une attaque ou une panne majeure des infrastructures d’information (réseaux téléphoniques, fibres optiques, réseaux d’ordinateurs…) pourrait d’ailleurs avoir en Europe un coût global de 250 milliards de dollars (cf. le Forum économique mondial) et la probabilité d’un tel événement dans les dix ans à venir est estimée de 10 à 20 %.

Au-delà des aspects techniques, placer l’homme dans une approche globale

La cybersécurité est souvent vue comme une affaire de techniques logicielles, d’antivirus et de hackers géniaux. En parallèle de ce volet technique et de cette expertise, la cybersécurité exige en fait une approche globale, la mise en place d’architectures résilientes, de processus rodés et de règles juridiques consolidées, ainsi que la garantie de la disponibilité, de l’intégrité et de la confidentialité de l’in formation sensible. Au-delà des seuls experts, elle exige aussi un capital humain plus large, formé et entraîné, et une sensibilisation de l’ensemble des autres acteurs ainsi que des utilisateurs qui constituent souvent le maillon le plus faible.

Pour faire face aux enjeux de cybersécurité et de cyberdéfense, et pour se constituer en puissance mondiale dans ce domaine, notre pays doit se doter d’une ressource humaine bien adaptée à ces nouveaux risques et régulièrement entraînée. Or, elle est aujourd’hui insuffisante. En parallèle, il lui faut mettre en place des directives au niveau interministériel, et un dispositif de sensibilisation des responsables de l’État, des entreprises mais aussi des citoyens eux-mêmes, y compris les plus jeunes.

Recrutement d’une « Cyber Workforce » : atteindre la masse critique

Dans un contexte de menaces informatiques massives et permanentes, il faut accroître et pérenniser notre expertise, notre capital humain. Il faut en effet anticiper et analyser l’environnement, diminuer les risques, détecter et contrer les attaques, alerter et permettre à nos institutions comme à nos entreprises de conserver une autonomie nécessaire et à nos citoyens d’améliorer leur propre sécurité.

Ces ressources humaines sont cruciales et il est urgent d’atteindre une masse critique à tous les niveaux de l’État et du secteur privé. Il s’agit d’établir un partenariat de confiance entre tous les acteurs du domaine, pour être capable de relever le double défi des attaques de grande envergure et des délais de réaction très courts.

Accélérer le recrutement, définir une typologie des profils

La montée en puissance de ces capacités entraîne une forte pression de recrutement et des risques de surenchère des salaires. Le besoin national est important, supérieur à huit cents docteurs, chaque année de l’enseignement supérieur.

Des mesures doivent être mises en place pour améliorer la coopération et définir des règles de bonne pratique au niveau national, qu’il s’agisse des services de l’État ou de ceux des entreprises. En parallèle, il nous faut accroître le vivier d’ingénieurs et de cadres « Cyber » et leur offrir des formations continues ainsi que des carrières valorisantes.

Mais il faut d’abord y voir clair et établir une typologie adaptée, reconnue par tous, des profils nécessaires à la cybersécurité du pays, identifier les rôles et les compétences nécessaires (généralistes SSI, experts Cyber, administrateurs de réseaux, concepteurs d’architectures de sécurité, consultants, analystes, opérateurs, chefs de projets…), le besoin le plus crucial se situant au niveau des experts les plus affûtés, soit 25 % du besoin global environ.

Il est nécessaire aussi d’adapter le droit, de recruter et de former des juristes spécialisés, des correspondants « informatique et libertés » maîtrisant les problèmes de protection des données personnelles. Les enjeux sont importants et les besoins avérés (propriété intellectuelle, libertés individuelles, interventions de l’État, évolutions techniques…). Il reste beaucoup à faire.

Augmenter le vivier utilisable, par la formation et l’entraînement

Pour réaliser ces efforts, il est nécessaire d’accroître le vivier des ingénieurs ayant une compétence SSI et des experts en cybersécurité, notamment dans certaines disciplines telles que forensics, test de pénétration, analyse du risque…, et de faire converger l’État, les universités, les grandes écoles et l’industrie pour arrêter un cadre de formation commun :

• Création de masters et mastères spécialisés spécifiques en cybersécurité, création de doubles diplômes pour des étudiants en IT (information technology) ; cela concernerait environ 70 % du besoin à couvrir, certains masters se mettent en place aujourd’hui mais le besoin n’est couvert qu’en partie.

• Tronc commun de formation à définir entre l’enseignement supérieur, les services de l’État et l’industrie qui propose des formations en alternance par un curriculum privilégiant les exercices pratiques face aux nouvelles vulnérabilités (BYOD ⁽¹⁾, smartphones, smart grids, APT ⁽²⁾, SCADA), et améliorant le niveau d’expertises dans les domaines variés comme les SOC (Security Operations Center), les audits de sécurité, les architectures, et le consulting.

Mettre en place un système national consolidé de règles de certification

Valoriser le capital humain, c’est aussi certifier, à des niveaux qu’il conviendra de définir entre l’État et l’industrie, les différentes formations dispensées dans notre pays, à l’image des modules de formation du SANS Institute USA et des certifications de type GIAC (Global Information Assurance Certification ; certifications techniques en sécurité les plus reconnues au monde).

Ces règles garantissent que les certifiés ont les meilleures pratiques de la profession et que leurs connaissances et compétences sont constamment mises à jour dans les domaines clés de la SSI. Ces certifications se mettent en place aujourd’hui en France et l’Anssi joue un rôle important dans ce domaine.

Accroître et pérenniser les équipes de recherche et d’expérimentation

La France dispose d’équipes de recherche reconnues au niveau mondial, dans le domaine de la cryptologie notamment, et rattrape son retard dans celui des architectures de sécurité. Il est nécessaire de pouvoir disposer, au niveau national ou européen, d’environnements sécurisés, réalistes et de plateformes consacrées à la recherche dans le domaine Cyber, et de pouvoir tester les capacités en développement, à l’image du DOD NCR US (National Cyber Range d’Orlando, Floride). Ce centre mis à la disposition de l’ensemble des autres agences américaines sera, à court terme, capable de gérer des expérimentations ou des exercices de cybersécurité intégrant un réseau de près de trois mille nœuds.

Sensibiliser les élites et la population

Il est nécessaire de communiquer, d’informer et de convaincre les élites et la population de prendre la mesure des enjeux dans le cyberespace par :

• la mise en place de sensibilisations pour des responsables de haut niveau en coordination avec les services de l’État ;

• la création des chaires de cybersécurité en lien avec les universités, l’État et l’industrie afin d’y conduire des travaux conceptuels dans une approche globale et de pouvoir échanger dans un cadre international élargi ;

• la sensibilisation des populations qui utilisent en masse les réseaux, les smartphones et les tablettes, enjeu national et international face aux défis de la cybercriminalité.

À l’image de l’effort conceptuel et budgétaire réalisé aux États-Unis dans ce domaine, la France et l’Europe pourraient mettre en place des modules de formation adaptés sous forme de modules de e-learning pour sensibiliser le personnel de l’administration et des entreprises mais aussi le reste de la population et les jeunes très tôt dans les écoles.

Développer une coopération internationale et des partenariats ciblés

Enfin, les affrontements dans le cyberespace ne connaissant pas les frontières, il conviendrait de mettre en place une coopération internationale ciblée pour accroître nos ressources humaines en quantité et en qualité. Ainsi, pourraient être mis en place des échanges de stages et de professeurs entre les écoles et les universités au sein d’un réseau regroupant nos partenaires les plus proches.

* * *

Nous avons tous le même impératif : accélérer le déploiement des stratégies et des solutions de cybersécurité. Le capital humain est une capacité clé de cette stratégie. Seuls les pays qui auront mis en place cette capacité et les budgets nécessaires pourront agir en sûreté sur la scène internationale. Face à ces besoins nouveaux dans un contexte budgétaire tendu, nous devons répondre ensemble, en établissant un partenariat de confiance entre les services de l’État, les universités et l’industrie, et en mettant en place un plan de cybersensibilisation au niveau national. ♦

(1) Bring Your Own Device.
(2) Advanced Persistant Threat.