Cybersécurité : l’enjeu de la protection des données publiques

L’apparition des ordi­na­teurs indi­vi­duels et l’émergence d’Internet à par­tir des années 1980 a ini­tié une démarche de trans­for­ma­tion des orga­ni­sa­tions publiques et pri­vées. Les pre­mières décen­nies ont vu appa­raître les pre­miers sites web et la créa­tion de trai­te­ments de don­nées simples, puis ceux-ci se sont raf­fi­nés pour mettre en place des ser­vices inter­ac­tifs avec des échanges de don­nées¹, avant d’arriver aujourd’hui à l’utilisation de l’intelligence arti­fi­cielle. Désor­mais, le numé­rique se situe au cœur des démarches envers les usa­gers, ce qui contri­bue à opti­mi­ser le coût du ser­vice ren­du, à en amé­lio­rer la réac­ti­vi­té et à offrir une expé­rience per­son­na­li­sée².

La trans­for­ma­tion des ser­vices a ame­né les orga­ni­sa­tions à ne plus sim­ple­ment moder­ni­ser les pro­cé­dures mais à les repen­ser pour les rendre plus acces­sibles à l’utilisateur final et mieux adap­tées au sys­tème d’information. Cette inté­gra­tion en pro­fon­deur a per­mis d’optimiser l’efficience des ser­vices, qui intègrent dès leur concep­tion la notion de per­sis­tance des don­nées, les droits d’accès, les pos­si­bi­li­tés de réuti­li­sa­tion, etc. Le numé­rique n’est donc plus une fonc­tion sup­port des orga­ni­sa­tions mais un domaine au cœur de leur fonc­tion­ne­ment. Aucune orga­ni­sa­tion n’est aujourd’hui en mesure de se pas­ser d’applications de ges­tion trans­verse des congés, de la paye, des dépenses ; aucun ser­vice métier n’est en capa­ci­té de se pas­ser des appli­ca­tions qui lui per­mettent d’exercer son acti­vi­té, aus­si diverse qu’elle soit (logis­tique, bud­get, ingé­nie­rie, etc.).

L’adoption mas­sive du numé­rique et son imbri­ca­tion au cœur des sys­tèmes d’information a consti­tué un ter­reau fer­tile pour l’é­mer­gence de nou­velles menaces cyber­né­tiques. Les menaces sont mul­tiples et per­pé­trées par des adver­saires variés : cyber­cri­mi­nels, États enne­mis ou groupes acti­vistes. La majo­ri­té d’entre eux dis­posent désor­mais d’ou­tils de plus en plus sophis­ti­qués pour mener des attaques de grande envergure.

Par ailleurs, les cyber­me­naces se sont diver­si­fiées et sophis­ti­quées au fil des ans, met­tant à mal la sécu­ri­té des sys­tèmes d’in­for­ma­tion. Des attaques par déni de ser­vice (DDoS) visant à satu­rer les sys­tèmes, aux ran­çon­gi­ciels para­ly­sant les acti­vi­tés en échange d’une ran­çon, en pas­sant par le pira­tage de don­nées sen­sibles et les attaques d’in­gé­nie­rie sociale mani­pu­lant les uti­li­sa­teurs, les arse­naux des cyber­cri­mi­nels ne cessent de s’é­tof­fer. Les infra­struc­tures cri­tiques, telles que les réseaux éner­gé­tiques et les sys­tèmes de trans­port, sont par­ti­cu­liè­re­ment visées. L’é­mer­gence de tech­no­lo­gies avan­cées comme l’in­tel­li­gence arti­fi­cielle et la blo­ck­chain a encore ren­for­cé la puis­sance de ces attaques, per­met­tant aux cyber­cri­mi­nels de conce­voir des outils de plus en plus sophis­ti­qués et de mener des opé­ra­tions à grande échelle. Face à cette menace gran­dis­sante, les orga­ni­sa­tions doivent mettre en œuvre des mesures de sécu­ri­té robustes et adap­tées pour pro­té­ger leurs don­nées et leurs sys­tèmes. Ces menaces sont par­ti­cu­liè­re­ment avé­rées pour les ser­vices publics.

Les ins­ti­tu­tions publiques consti­tuent effec­ti­ve­ment des cibles d’intérêt pour les cyber­cri­mi­nels. En effet, elles concentrent d’im­por­tantes quan­ti­tés de don­nées sen­sibles, telles que des infor­ma­tions per­son­nelles, finan­cières et stra­té­giques. L’obtention frau­du­leuse de ces infor­ma­tions consti­tue une source de pro­fit pour les atta­quants, qui peuvent les uti­li­ser pour les revendre ou les exploi­ter à des fins poli­tiques ou idéo­lo­giques. De plus, les ser­vices four­nis par les ins­ti­tu­tions publiques les exposent par­ti­cu­liè­re­ment : une attaque réus­sie peut entraî­ner des per­tur­ba­tions majeures (en termes de finances ou de sécu­ri­té par exemple), avec des consé­quences sociales et éco­no­miques impor­tantes. L’impossibilité de lever l’impôt ou la divul­ga­tion de secrets déte­nus par l’armée consti­tuent par exemple des menaces critiques.

Les consé­quences d’une cybe­rat­taque contre une ins­ti­tu­tion publique peuvent être dévas­ta­trices. Au-delà des pertes finan­cières directes liées aux coûts de remise en fonc­tion­ne­ment du sys­tème d’information ou à la perte de recettes fis­cales ou sociales, une telle attaque peut dis­cré­di­ter sur le long terme une ins­ti­tu­tion. En effet, lorsque les citoyens sont infor­més que leurs don­nées ont été déro­bées par des cyber­cri­mi­nels, ils seront beau­coup moins enclins à uti­li­ser les ser­vices numé­riques de l’État, ce qui peut nuire à la stra­té­gie de trans­for­ma­tion numé­rique. Par ailleurs, les cybe­rat­taques peuvent per­tur­ber le fonc­tion­ne­ment de ser­vices essen­tiels, au-delà de la sphère éta­tique réga­lienne, tels que les trans­ports, l’éner­gie ou la san­té, avec des consé­quences poten­tiel­le­ment dra­ma­tiques pour la population.

Dès lors, mettre en place une stra­té­gie de cyber­sé­cu­ri­té effi­cace et volon­ta­riste est un enjeu majeur pour les ins­ti­tu­tions publiques³. Par une stra­té­gie natio­nale claire et opé­ra­tion­nelle, il s’a­git de pro­té­ger les sys­tèmes d’in­for­ma­tion contre les menaces tout en garan­tis­sant la conti­nui­té des ser­vices et en res­pec­tant les droits et liber­tés des citoyens. Cet équi­libre est déli­cat à trou­ver, car les mesures de sécu­ri­té peuvent par­fois entra­ver la flui­di­té des échanges et l’ac­cès aux ser­vices numé­riques. Il est donc essen­tiel de mettre en place des solu­tions de sécu­ri­té qui soient à la fois effi­caces et dis­crètes, c’est-à-dire qui ne péna­lisent pas l’ex­pé­rience uti­li­sa­teur. Par ailleurs, la cyber­sé­cu­ri­té doit être consi­dé­rée comme un levier pour favo­ri­ser l’in­no­va­tion et ren­for­cer la confiance dans l’é­co­no­mie numérique.

L’étude des approches de cyber­sé­cu­ri­té est un thème clas­sique de la recherche et a notam­ment été trai­té par Gaie, Kar­piuk et Spa­zia­ni⁴. Dans un article, les auteurs étu­dient et com­parent les mesures prises par trois pays européens. 

Ain­si, la France s’est enga­gée tôt dans la cyber­sé­cu­ri­té, avec une pre­mière archi­tec­ture natio­nale mise en place en 2013. L’ac­cent a été mis sur la pro­tec­tion des infra­struc­tures cri­tiques, la pré­ven­tion des cyber­crimes et la sen­si­bi­li­sa­tion du public. La créa­tion de l’A­gence natio­nale de la sécu­ri­té des sys­tèmes d’in­for­ma­tion (ANSSI) en 2009 a ren­for­cé la coor­di­na­tion des efforts natio­naux. La stra­té­gie fran­çaise est carac­té­ri­sée par une approche glo­bale, inté­grant des aspects tech­niques, juri­diques et de coopé­ra­tion internationale.

La Pologne a adop­té une loi sur le sys­tème natio­nal de cyber­sé­cu­ri­té en 2018, défi­nis­sant un cadre juri­dique clair et pré­ci­sant les res­pon­sa­bi­li­tés des dif­fé­rents acteurs. L’ac­cent est mis sur la pro­tec­tion des ser­vices essen­tiels et la rési­lience des sys­tèmes d’in­for­ma­tion. Le CERT polo­nais joue un rôle cen­tral dans la sur­veillance des menaces et la réponse aux inci­dents. La stra­té­gie polo­naise est mar­quée par une approche prag­ma­tique, axée sur la mise en œuvre concrète de mesures de sécurité.

L’I­ta­lie a rejoint plus tar­di­ve­ment la course à la cyber­sé­cu­ri­té, avec une pre­mière archi­tec­ture natio­nale mise en place en 2013. L’A­gence natio­nale pour la cyber­sé­cu­ri­té (ACN), créée en 2021, a ren­for­cé la coor­di­na­tion des efforts natio­naux. La stra­té­gie ita­lienne met l’ac­cent sur la pro­tec­tion des infra­struc­tures cri­tiques, la coopé­ra­tion inter­na­tio­nale et le déve­lop­pe­ment de com­pé­tences en matière de cybersécurité.

Ain­si, les trois pays ont mis en place des stra­té­gies de cyber­sé­cu­ri­té pour faire face aux menaces numé­riques, en par­ta­geant des objec­tifs com­muns tels que la pro­tec­tion des infra­struc­tures cri­tiques, la pré­ven­tion et la réponse aux inci­dents, ain­si que la sen­si­bi­li­sa­tion du public. Tou­te­fois, des dif­fé­rences notables les dis­tinguent. La France, pion­nière en la matière, a déve­lop­pé une archi­tec­ture ins­ti­tu­tion­nelle solide et une stra­té­gie glo­bale, tan­dis que la Pologne a opté pour une approche plus prag­ma­tique, axée sur un cadre juri­dique pré­cis. L’I­ta­lie, quant à elle, a rejoint plus récem­ment ce mou­ve­ment, en met­tant en place une agence natio­nale dédiée à la cyber­sé­cu­ri­té. Si les prio­ri­tés géné­rales convergent, des nuances appa­raissent dans l’or­ga­ni­sa­tion des struc­tures natio­nales et dans l’ac­cent mis sur cer­tains aspects spé­ci­fiques, reflé­tant les contextes natio­naux et les enjeux propres à chaque pays.

La cyber­sé­cu­ri­té est désor­mais une prio­ri­té stra­té­gique pour les États euro­péens. Alors que le numé­rique est désor­mais plei­ne­ment inté­gré dans notre quo­ti­dien per­son­nel et pro­fes­sion­nel, les cyber­me­naces se diver­si­fient et se sophis­tiquent, met­tant à mal les sys­tèmes d’in­for­ma­tion des orga­ni­sa­tions, publiques comme pri­vées. Face à cette menace gran­dis­sante, les États ont mis en place des stra­té­gies natio­nales pour pro­té­ger leurs infra­struc­tures cri­tiques et garan­tir la conti­nui­té de leurs services.

Les approches mises en place par dif­fé­rents pays convergent vers un objec­tif com­mun : la pro­tec­tion des citoyens, des entre­prises et des États contre les cybe­rat­taques. L’é­vo­lu­tion rapide du pay­sage de la cyber­sé­cu­ri­té néces­si­te­ra une adap­ta­tion constante de ces stra­té­gies et une coopé­ra­tion ren­for­cée entre les États membres de l’U­nion euro­péenne, c’est tout le sens de la direc­tive euro­péenne NIS2⁵.