La gouvernance de la cybersécurité est un enjeu multidimensionnel et crucial pour la sécurité nationale. Elle nécessite de fait la coordination d’acteurs d’horizons variés au plan national comme international, ce que défend la France depuis l’Appel de Paris du président Emmanuel Macron le 12 novembre 2018 ⁽¹⁾. Avec plus de 1 200 soutiens de tous les continents (80 États, entreprises, organisations de la société civile, collectivités locales et autorités publiques dont la Commission européenne), la doctrine française a donc vocation à essaimer dans le monde.

Une gouvernance efficace de la cybersécurité permet de renforcer la souveraineté numérique et l’indépendance technologique d’un pays, réduisant sa vulnérabilité face aux cybermenaces étrangères. Elle nécessite de mettre en place des politiques, des procédures et des technologies visant à prévenir les cyberattaques et à y répondre efficacement. Cependant, face à l’hétérogénéité des enjeux cyber sur le territoire, des formes de réponse se structurent autour de catégories d’acteurs.

Des typologies relatives à la vulnérabilité des organisations au risque cyber

Avec la démocratisation de la transformation numérique, les organisations au sein de l’Union européenne (UE) ou opérant au sein des États-membres ont également vu leur exposition au risque cyber s’accroître ⁽²⁾. Afin de garantir collectivement les conditions de sécurité adéquate et d’élever le niveau de maturité sur le risque cyber dans les secteurs d’activité stratégiques, l’UE a adopté la directive NIS 1 pour « Network and Information Security » en 2016. Cette directive a permis de désigner des Opérateurs de services essentiels (OSE). Un service essentiel est nécessaire au maintien d’activités sociétales ou économiques critiques ; sa fourniture est tributaire des réseaux et des systèmes d’information, et un incident sur ces réseaux et systèmes aurait un effet disruptif important sur la fourniture dudit service ⁽³⁾.