Le Forum International de la Cybersécurité se tiendra du 7 au 9 juin à Lille. Entre temps, ses organisateurs se sont intéressés à la place prise par le sujet cyber dans la campagne présidentielle et les promesses des candidats. Florilège.
Derrière des sujets comme le pouvoir d’achat ou l’immigration, le numérique et sa composante cybersécurité sont loin d’être les thèmes phares de la campagne présidentielle 2022. Pourtant, après deux ans d’une crise sanitaire qui a souligné à nouveau l’intensité de la menace cyber, y compris sur les établissements les plus sensibles de nos sociétés -les hôpitaux-, le sujet a bien été remis au centre du jeu. D’autant plus dans le contexte récent de guerre en Ukraine.
Mais au-delà des déclarations d’intention généralistes sur lesquelles tout le monde peut être d’accord, annonçant qu’il faut évidemment renforcer la sécurité numérique des français, particuliers comme entreprises… Que proposent concrètement les candidats à la plus haute fonction de l’Etat ? Que comptent-ils mettre en œuvre pour les cinq prochaines années s’ils sont élus ?
Avant le 10 avril, premier tour des élections présidentielles, les organisateurs du Forum International de la Cybersécurité (7-9 juin à Lille) ont posé la question directement aux principaux concernés. Quelles sont les annonces les plus marquantes ?
Alignement des candidats sur la nécessaire lutte anti-cybercriminalité
En premier lieu, le FIC note que « à l’exception de Nathalie Arthaud (Lutte ouvrière), tous les candidats souhaitent intensifier les moyens dédiés à la lutte anti-cybercriminalité, mais s’accordent sur un prérequis : la souveraineté. Idée presque neuve pour une grande partie des électeurs, c’est
pourtant bien une arlésienne dans les couloirs des ministères et des entreprises du numérique : le premier programme de « cloud souverain » remonte à 2009 et au Gouvernement Fillon.
Près de 230 millions d’euros plus tard (dont environ 160 d’investissements publics), la majorité des candidats à la présidentielle s’accroche au projet de développer, à plus ou moins brève
échéance, une offre de cloud computing souverain localisant et traitant en France les données sensibles, notamment publiques. »
De facto, la plupart des points programmatiques sont en effet tournés vers l’idée d’un « numérique souverain » qui renforcerait d’une certaine façon indirectement la sécurité, plutôt que sur des mesures dédiées spécifiquement aux enjeux cyber plus restreints.
Plus à l’aise sur la « souveraineté numérique »
Ainsi Valérie Pécresse veut faire de la réalisation d’ « un cloud souverain français d’ici 2030 » son chantier prioritaire, là où Yannick Jadot parle de « créer une filière industrielle européenne du cloud ». Jean-Luc Mélenchon prône de « vrais parcs de datacenters français ». Mais le chemin industriel pour parvenir à l’un ou l’autre de ces résultats restent peu précis au-delà de ces mentions dans les programmes.
L’actuel président Emmanuel Macron, candidat à sa réélection, se montrait d’ailleurs circonspect en rappelant de son côté il y a quelques mois : « Est-ce que nous aurons un cloud totalement souverain à cinq ans ? Je crois que ce n’est pas vrai parce qu’on a pris beaucoup de retard et parce que la différence d’investissement entre les plaques européenne et américaine est d’un facteur 10 aujourd’hui chez les acteurs privés ». Son plan « France 2030 » présenté en octobre 2021, prévoyait donc seulement 30 milliards d’euros sur cinq ans pour investir plus globalement dans les secteurs d’avenir. De manière générale, les différences entre les candidats apparaissent plutôt dans le détail de leur vision de la souveraineté, tournée vers l’Europe pour certains, centrée sur la France pour d’autres.
Creuser des points de programme précis
Mais quelles sont les mesures les plus marquantes quand le sujet est ramené spécifiquement à la question de la cybersécurité des entreprises ? Pour obtenir la réponse, le FIC a posé des questions plus précises, comme celle-ci : « L’assurance “ cyber ” peut-elle être l’une des solutions pour les organisations ? »
Les réponses sont alors elles aussi plus différenciantes. Ainsi Anne Hidalgo souhaite « interdire l’assurabilité des rançongiciels pour éviter que des attaques informatiques soient payées en cryptomonnaie, sans que la justice puisse poursuivre les agresseurs. L’ensemble des acteurs pouvant être touchés aujourd’hui n’ayant pas pris des mesures de protection suffisantes, nous devons passer par un règlement européen, et par une disposition législative expresse dans le code des assurances. »
De son côté, Jean-Luc Mélenchon estime ne pas être « favorable a priori à l’assurance “cyber ” : nous pensons que les polices d’assurance existantes devraient intégrer la paralysie d’une TPE/PME via la cyberattaque, qui fait partie des risques de sécurité au même titre que les autres ».
Eric Zemmour se distingue également en précisant ses ambitions : « L’assurance “cyber” me paraît essentielle. L’une des difficultés actuelles est le partage d’information à la suite des cyber-attaques, à la fois pour améliorer la protection de nos entreprises et de nos administrations et pour quantifier le risque cyber. Le rôle de l’État sera donc de promouvoir le partage d’informations entre les acteurs privés et publics du secteur sur les attaques pour mieux anticiper la menace et pour quantifier le risque cyber, seul moyen d’envisager sereinement la cyber assurance pour les petites et moyennes entreprises. »
Au-delà de ce point précis, l’analyse des programmes par le FIC permet de faire émerger les propositions les plus concrètes qui pourraient avoir un impact sur la cybersécurité des entreprises français et sur l’organisation de la filière.
Les propositions cyber des candidats
Anne-Hidalgo (PS) veut « mettre la cybersécurité à la portée des citoyens ». Pour y parvenir, elle vise l’élaboration de « plans nationaux de prévention des cyber risques, afin de coordonner la réponse des pouvoirs publics et des acteurs privés en cas d’attaque numérique systémique affectant une part significative des Français. » Comme d’autres candidats, elle souhaite insister sur la formation dès le collège, au moins à des « gestes de base ». Dans le même ordre d’idée, la candidate du Parti Socialiste souhaite également « promouvoir davantage le site cybermalveillance.gouv.fr en lien avec l’ANSSI et les gendarmes spécialisés pour sensibiliser l’ensemble de nos concitoyens et mieux former l’ensemble des salariés sur des gestes de base de la cybersécurité ».
Yannick Jadot (EELV) prévoit pour sa part de créer spécifiquement « un parquet de lutte contre la cybercriminalité » tout en augmentant « le rôle d’enquêteur de la gendarmerie nationale, particulièrement sollicitée sur les questions de cybercriminalité, par des moyens financiers accrus et
l’élargissement des enseignements de son école interne à la cybersécurité.
Du côté du grand public et des salariés, il entend « mettre en œuvre un plan national de sensibilisation aux arnaques sur internet, permettant notamment la formation de l’ensemble des animateurs d’espaces publics numériques (EPN) afin qu’ils initient les citoyens ». En parallèle, il parie lui aussi sur la formation en affirmant vouloir à la fois « financer et mettre en place des formations de cyber défenseurs pour les demandeurs d’emplois diplômés à partir de Bac +2 (durée 6 mois) pendant les 3 prochaines années » ; « ouvrir une filière cybersécurité dans toutes les écoles d’ingénieurs quelles que soient leurs spécialités » et « accroître les financements publics et privés pour la recherche sur la cybersécurité ».
Marine Le Pen (RN) est à l’origine de plusieurs annonces « choc » comme la création de « commandos numériques ». Elle explique : « Devant un risque majeur de « choc stratégique », la « médecine préventive » ne suffit pas. Un travail vite entrepris avec l’ANSSI et les services concernés suscitera bientôt (sous strict contrôle judiciaire), comme le font déjà quelques pays à l’avant-garde de la cybersécurité, des « commandos numériques » traquant sans trêve les pirates ; et cherchant, par tentatives contrôlées d’intrusion, toutes les failles imaginables dans les réseaux et serveurs de l’État et des entreprises cruciales ; ce, pour les renforcer tous et dissuader les pirates, quels qu’ils soient. ». La candidate du RN estime par ailleurs qu’il faut« juger désormais d’égale importance la criminalité physique et la numérique d’une part ; la guerre physique et la cyberguerre de l’autre »
Elle promet également la création d’un « dispositif d’alerte précoce et de diagnostic rapide » en affirmant que « notre appareil de défense et de sécurité doit être réorienté sur l’alerte, la détection précoce, la prévision des risques et périls – numériques d’abord, la poussée
y étant la plus vive. [Un dispositif] à l’usage du périmètre numérique de l’État et des entreprises
cruciales. Ce bien sûr, en dotant cette agence des moyens supplémentaires nécessaires. »
Jean-Luc Mélenchon (LFI) joue sur un autre tableau en proposant avant tout de « renforcer les droits des citoyens à sécuriser leurs échanges en ligne en mettant en place un droit constitutionnel au chiffrement des communications. ».
Il promet également d’augmenter les moyens « des services dédiés qui garantissent les droits des citoyens en ligne, comme la DGCCRF, PHAROS, les
magistrats spécialisés dans les infractions en ligne, dont l’utilisation frauduleuse des données à caractère personnel, et améliorer leur coopération. »
Eric Zemmour (Reconquête !) met fortement l’accent sur la formation. Il promet la création de « parcours académiques dans le supérieur dédié à l’enseignement de la cybersécurité afin de doubler à horizon 2025 le nombre d’emploi dans la filière (37 000 vs 75 000) » et « de 10 Écoles d’ingénieurs en informatique sur le modèle de l’École 42 (avec possibilité de se spécialiser en cybersécurité) », complété par le « développement de 20 masters spécialisés supplémentaires à l’Université et en École d’Ingénieur (IA, Cybersécurité, Cloud…) ».
Le candidat souhaite également que « les pôles cybercriminalité de la gendarmerie et de la police [soient] renforcés en effectifs. Le dépôt de plainte sera aussi étudié pour être facilité ».
Fabien Roussel (PCF) privilégie une approche différente. « Les moyens, instruments et service affectés à la lutte contre la fraude fiscale (proposition 129, 158) seront utilisés dans la lutte contre la cybercriminalité qui participe aussi, par nature, à la fraude fiscale. » pointe-t-il.
Le candidat souhaite également « la refondation de l’organisation des forces de police et la redéfinition de leurs missions (proposition 141) mais aussi la coopération internationale contre la fraude fiscale (proposition 129, 158) ou le développement de projets européens à « géométrie choisie » (proposition 159) devraient fournir les ressources d’une identification plus efficace des cybercriminels. Le plan de sauvetage de notre justice (proposition 142), incluant la simplification de procédures pénales et civiles, notamment avec la suppression du « verrou de Bercy » en matière de lutte contre la fraude fiscale, devrait favoriser la poursuite des criminels identifiés par des enquêtes menées à bien ».
Valérie Pécresse (LR) propose de voter une loi « Souveraineté et Responsabilité numérique » dès la première année de son quinquennat, avec un volet « sécurité » qui inclura « la création d’un Parquet national Cyber ».
Celui-ci « aura la charge de coordonner la politique pénale et de la rendre plus efficace » selon la candidate.
Pour développer les filières du numérique et de la cybersécurité, Valérie Pécresse entend aussi restaurer la compétitivité « notamment avec la baisse des impôts de production. l’État a son rôle à jouer dans le développement
de l’industrie française du numérique, mais il doit rester à sa place. Nos entreprises n’ont pas besoin de davantage de subventions, elles ont besoin de vendre. L’achat public, ce sont bien souvent des premiers marchés, de la visibilité, des développements. » affirme-t-elle.
Nathalie Arthaud (FO), la candidate d’un parti qui se revendique révolutionnaire, dénote évidemment dans ses prises de positions. Elle souligne que « la cyberguerre est une guerre de capitalistes. Pour défendre les intérêts de la France, c’est-à-dire les intérêts des
capitalistes français dans leur compétition internationale, vous proposez de financer les entreprises privées. En clair, vous défendez l’idée que des entreprises doivent se remplir les poches, sans risque,
sur ce nouveau marché juteux de la cybersécurité. Mais cette cyberguerre est justement celle des capitalistes, ils entraînent les populations dans leur prétentions de profit et de domination. Que
l’on demande à déverser des fonds publics pour financer la cyberguerre que les capitalistes se mènent entre eux, c’est exactement comme financer l’augmentation de l’armement de l’État français, c’est encore et toujours faire les poches aux travailleurs contre leurs intérêts. »
De la même façon, sur les questions d’identité numérique, la candidate a sa propre analyse : « Aujourd’hui pour protéger nos données, nous ne pouvons faire confiance que dans la force collective des travailleurs, qui, organisés, pourraient lutter contre leur hiérarchie, dénoncer toutes les politiques criminelles des entreprises et États, et ainsi entraîner des réponses collectives. Pour pleinement profiter du développement du numérique, il est grand temps de mettre à bas cette organisation sociale dépassée, qui détourne les progrès de l’humanité ».
Nicolas Dupont Aignant (Debout la France) entend en particulier créer « de nouveaux centres de formation porteurs et spécialisés dans le secteur de la cybersécurité, pour pouvoir y former nos meilleurs ingénieurs et mieux pouvoir les retenir en France et en Europe. » Le candidat souhaite également « obliger tous les dirigeants, hauts-fonctionnaires et personnels sensibles, à utiliser des moyens de télécommunication sécurisés, protégés de tout risque d’espionnage avec la création de cryptages et protocoles sécurisés et propriétaires tels que ceux utilisés par Signal ou Telegram »
Emmanuel Macron (LREM) valorise sans surprise les décisions prises lors de son mandat. Il souhaite donc continuer à « augmenter les moyens de l’ANSSI pour renforcer la capacité de lutte et de soutien cyber aux entreprises françaises » et « poursuivre la stratégie nationale de cybersécurité (annoncée
en février 2021) : diffuser une véritable culture de la cybersécurité dans les entreprises et notamment les plus petites d’entre elles ». Le président-candidat a également fait plusieurs annonces plus précises ces dernières semaines, notamment la mise en œuvre « d’un filtre anti-arnaques pour avertir en temps réel tous les usagers d’Internet avant qu’ils ne se rendent sur un site potentiellement piégé », « d’un numéro joignable en permanence pour être conseillé et accompagné » et de « 20 000 accompagnateurs pour aider les Français qui en ont besoin dans la maîtrise des outils numériques et leurs démarches quotidiennes. ».
La création d’une formation cyber au sein du ministère de l’Intérieur pour former policiers et gendarmes devrait selon lui également permettre de faire émerger « 1500 cyberpatrouilleurs ». Un plan d’investissement dont les premiers chiffrages s’évaluent à 1 milliard d’euros.
A noter que comme Emmanuel Macron, les candidats Jean Lassalle (Résistons !) et Philippe Poutou (NPA) n’ont pas répondu aux questions, mais que contrairement au président sortant, il s’avère plus difficile de trouver dans leurs programmes des points spécifiquement relatifs à la cybersécurité.
Source photo : L’image utilisée pour chaque candidat correspond à son affiche de campagne officielle.