Cybersécurité : la rustine à 200 millions du gouvernement

Le premier ministre a présenté en fin de semaine dernière ses plans en réponse aux dizaines d'atteintes aux données personnelles qui ont émaillé les 18 derniers mois, jusqu'à une cible particulièrement emblématique : l'Agence nationale des titres sécurisés (ANTS). 

Là, un suspect, au profil qui ne surprendra guère les observateurs attentifs de l'écosystème cybercriminel francophone, a été interpellé. Mais si l'exploitation d'une vulnérabilité est répréhensible, la présence de cette dernière, qui trop souvent revêt un air de négligence impardonnable, ne l'est-il pas non plus ? Si, et la CNIL est là pour ça. À compter qu'elle dispose des moyens nécessaires, ce qui ne s'impose pas toujours comme une évidence, vu de l'extérieur. 

Mais peut-être cela devra-t-il changer ? Après tout, Sébastien Lecornu a annoncé que les futures amendes de la CNIL seront affectées à un fonds de modernisation du numérique. Cela devrait encourager à renforcer les moyens opérationnels de la commission. Du moins est-on en droit de l'espérer.

Le premier ministre a également annoncé la mobilisation de 200 millions d'euros sur le budget France 2030, et l'allocation à la cybersécurité de 5 % des budgets numériques de chaque ministère, dès 2027, ainsi que la fusion de la DINUM et de la DITP en une autorité nationale du numérique et de l'IA placée sous l'autorité de Matignon. Comme le SGDSN dont dépend l'Anssi, cela dit. 

En creux, toutes ces annonces envoient toutefois des messages consternants. Elles suggèrent ainsi que les fonctionnaires responsables de la sécurité des systèmes d'information, les FSSI, sont, dans la pratique, d'une utilité discutable sinon négligeable. 

Sébastien Lecornu promet aussi la conduite future de "scénarios d'attaque sur nos systèmes", suggérant une absence totale de tests d'intrusion et d'exercice de red team. La modélisation de la menace ? Au futur, là aussi : "des scénarios de crise, y compris de black-out numérique, seront anticipés pour faire face aux situations les plus graves".

Et pour faire quelque chose que l'industrie sait faire depuis un moment, avec un niveau d'automatisation plus ou moins élevé, à savoir la "détecter les failles et vulnérabilités", il y aura cette indispensable pincée d'IA qui fleure si bon le modernisme.

Mises bout-à-bout, ces promesses d'un futur dans lequel la cybersécurité des systèmes des agences de l'État sera renforcée, loin d'enchanter, jettent une lumière particulièrement crue sur le présent. 

Surtout, si les annonces de Sébastien Lecornu marquent une prise de conscience politique nécessaire et mobilisent des ressources importantes, elles ne constituent qu'une réponse tactique (et tardive) à une vulnérabilité stratégique. Pour que la France puisse véritablement sécuriser ses services numériques, il ne suffit pas de débloquer des fonds ; il faut opérer une refonte profonde et culturelle.