Cybersécurité : l’enjeu de la protection des données publiques

L’apparition des ordi­na­teurs indi­vidu­els et l’émergence d’Internet à par­tir des années 1980 a ini­tié une démarche de trans­for­ma­tion des organ­i­sa­tions publiques et privées. Les pre­mières décen­nies ont vu appa­raître les pre­miers sites web et la créa­tion de traite­ments de don­nées sim­ples, puis ceux-ci se sont raf­finés pour met­tre en place des ser­vices inter­ac­t­ifs avec des échanges de don­nées¹, avant d’arriver aujourd’hui à l’utilisation de l’intelligence arti­fi­cielle. Désor­mais, le numérique se situe au cœur des démarch­es envers les usagers, ce qui con­tribue à opti­miser le coût du ser­vice ren­du, à en amélior­er la réac­tiv­ité et à offrir une expéri­ence per­son­nal­isée².

La trans­for­ma­tion des ser­vices a amené les organ­i­sa­tions à ne plus sim­ple­ment mod­erniser les procé­dures mais à les repenser pour les ren­dre plus acces­si­bles à l’utilisateur final et mieux adap­tées au sys­tème d’information. Cette inté­gra­tion en pro­fondeur a per­mis d’optimiser l’efficience des ser­vices, qui intè­grent dès leur con­cep­tion la notion de per­sis­tance des don­nées, les droits d’accès, les pos­si­bil­ités de réu­til­i­sa­tion, etc. Le numérique n’est donc plus une fonc­tion sup­port des organ­i­sa­tions mais un domaine au cœur de leur fonc­tion­nement. Aucune organ­i­sa­tion n’est aujourd’hui en mesure de se pass­er d’applications de ges­tion trans­verse des con­gés, de la paye, des dépens­es ; aucun ser­vice méti­er n’est en capac­ité de se pass­er des appli­ca­tions qui lui per­me­t­tent d’exercer son activ­ité, aus­si diverse qu’elle soit (logis­tique, bud­get, ingénierie, etc.).

L’adoption mas­sive du numérique et son imbri­ca­tion au cœur des sys­tèmes d’information a con­sti­tué un ter­reau fer­tile pour l’émer­gence de nou­velles men­aces cyberné­tiques. Les men­aces sont mul­ti­ples et per­pétrées par des adver­saires var­iés : cyber­crim­inels, États enne­mis ou groupes activistes. La majorité d’entre eux dis­posent désor­mais d’outils de plus en plus sophis­tiqués pour men­er des attaques de grande envergure.

Par ailleurs, les cyber­me­n­aces se sont diver­si­fiées et sophis­tiquées au fil des ans, met­tant à mal la sécu­rité des sys­tèmes d’in­for­ma­tion. Des attaques par déni de ser­vice (DDoS) visant à sat­ur­er les sys­tèmes, aux rançongi­ciels paralysant les activ­ités en échange d’une rançon, en pas­sant par le piratage de don­nées sen­si­bles et les attaques d’ingénierie sociale manip­u­lant les util­isa­teurs, les arse­naux des cyber­crim­inels ne cessent de s’étof­fer. Les infra­struc­tures cri­tiques, telles que les réseaux énergé­tiques et les sys­tèmes de trans­port, sont par­ti­c­ulière­ment visées. L’émer­gence de tech­nolo­gies avancées comme l’in­tel­li­gence arti­fi­cielle et la blockchain a encore ren­for­cé la puis­sance de ces attaques, per­me­t­tant aux cyber­crim­inels de con­cevoir des out­ils de plus en plus sophis­tiqués et de men­er des opéra­tions à grande échelle. Face à cette men­ace gran­dis­sante, les organ­i­sa­tions doivent met­tre en œuvre des mesures de sécu­rité robustes et adap­tées pour pro­téger leurs don­nées et leurs sys­tèmes. Ces men­aces sont par­ti­c­ulière­ment avérées pour les ser­vices publics.

Les insti­tu­tions publiques con­stituent effec­tive­ment des cibles d’intérêt pour les cyber­crim­inels. En effet, elles con­cen­trent d’im­por­tantes quan­tités de don­nées sen­si­bles, telles que des infor­ma­tions per­son­nelles, finan­cières et stratégiques. L’obtention fraud­uleuse de ces infor­ma­tions con­stitue une source de prof­it pour les attaquants, qui peu­vent les utilis­er pour les reven­dre ou les exploiter à des fins poli­tiques ou idéologiques. De plus, les ser­vices four­nis par les insti­tu­tions publiques les exposent par­ti­c­ulière­ment : une attaque réussie peut entraîn­er des per­tur­ba­tions majeures (en ter­mes de finances ou de sécu­rité par exem­ple), avec des con­séquences sociales et économiques impor­tantes. L’impossibilité de lever l’impôt ou la divul­ga­tion de secrets détenus par l’armée con­stituent par exem­ple des men­aces critiques.

Les con­séquences d’une cyber­at­taque con­tre une insti­tu­tion publique peu­vent être dévas­ta­tri­ces. Au-delà des pertes finan­cières directes liées aux coûts de remise en fonc­tion­nement du sys­tème d’information ou à la perte de recettes fis­cales ou sociales, une telle attaque peut dis­créditer sur le long terme une insti­tu­tion. En effet, lorsque les citoyens sont infor­més que leurs don­nées ont été dérobées par des cyber­crim­inels, ils seront beau­coup moins enclins à utilis­er les ser­vices numériques de l’État, ce qui peut nuire à la stratégie de trans­for­ma­tion numérique. Par ailleurs, les cyber­at­taques peu­vent per­turber le fonc­tion­nement de ser­vices essen­tiels, au-delà de la sphère éta­tique régali­enne, tels que les trans­ports, l’én­ergie ou la san­té, avec des con­séquences poten­tielle­ment dra­ma­tiques pour la population.

Dès lors, met­tre en place une stratégie de cyber­sécu­rité effi­cace et volon­tariste est un enjeu majeur pour les insti­tu­tions publiques³. Par une stratégie nationale claire et opéra­tionnelle, il s’ag­it de pro­téger les sys­tèmes d’in­for­ma­tion con­tre les men­aces tout en garan­tis­sant la con­ti­nu­ité des ser­vices et en respec­tant les droits et lib­ertés des citoyens. Cet équili­bre est déli­cat à trou­ver, car les mesures de sécu­rité peu­vent par­fois entraver la flu­id­ité des échanges et l’ac­cès aux ser­vices numériques. Il est donc essen­tiel de met­tre en place des solu­tions de sécu­rité qui soient à la fois effi­caces et dis­crètes, c’est-à-dire qui ne pénalisent pas l’ex­péri­ence util­isa­teur. Par ailleurs, la cyber­sécu­rité doit être con­sid­érée comme un levi­er pour favoris­er l’in­no­va­tion et ren­forcer la con­fi­ance dans l’é­conomie numérique.

L’étude des approches de cyber­sécu­rité est un thème clas­sique de la recherche et a notam­ment été traité par Gaie, Karpiuk et Spaziani⁴. Dans un arti­cle, les auteurs étu­di­ent et com­par­ent les mesures pris­es par trois pays européens. 

Ain­si, la France s’est engagée tôt dans la cyber­sécu­rité, avec une pre­mière archi­tec­ture nationale mise en place en 2013. L’ac­cent a été mis sur la pro­tec­tion des infra­struc­tures cri­tiques, la préven­tion des cyber­crimes et la sen­si­bil­i­sa­tion du pub­lic. La créa­tion de l’A­gence nationale de la sécu­rité des sys­tèmes d’in­for­ma­tion (ANSSI) en 2009 a ren­for­cé la coor­di­na­tion des efforts nationaux. La stratégie française est car­ac­térisée par une approche glob­ale, inté­grant des aspects tech­niques, juridiques et de coopéra­tion internationale.

La Pologne a adop­té une loi sur le sys­tème nation­al de cyber­sécu­rité en 2018, définis­sant un cadre juridique clair et pré­cisant les respon­s­abil­ités des dif­férents acteurs. L’ac­cent est mis sur la pro­tec­tion des ser­vices essen­tiels et la résilience des sys­tèmes d’in­for­ma­tion. Le CERT polon­ais joue un rôle cen­tral dans la sur­veil­lance des men­aces et la réponse aux inci­dents. La stratégie polon­aise est mar­quée par une approche prag­ma­tique, axée sur la mise en œuvre con­crète de mesures de sécurité.

L’I­tal­ie a rejoint plus tar­di­ve­ment la course à la cyber­sécu­rité, avec une pre­mière archi­tec­ture nationale mise en place en 2013. L’A­gence nationale pour la cyber­sécu­rité (ACN), créée en 2021, a ren­for­cé la coor­di­na­tion des efforts nationaux. La stratégie ital­i­enne met l’ac­cent sur la pro­tec­tion des infra­struc­tures cri­tiques, la coopéra­tion inter­na­tionale et le développe­ment de com­pé­tences en matière de cybersécurité.

Ain­si, les trois pays ont mis en place des straté­gies de cyber­sécu­rité pour faire face aux men­aces numériques, en partageant des objec­tifs com­muns tels que la pro­tec­tion des infra­struc­tures cri­tiques, la préven­tion et la réponse aux inci­dents, ain­si que la sen­si­bil­i­sa­tion du pub­lic. Toute­fois, des dif­férences nota­bles les dis­tinguent. La France, pio­nnière en la matière, a dévelop­pé une archi­tec­ture insti­tu­tion­nelle solide et une stratégie glob­ale, tan­dis que la Pologne a opté pour une approche plus prag­ma­tique, axée sur un cadre juridique pré­cis. L’I­tal­ie, quant à elle, a rejoint plus récem­ment ce mou­ve­ment, en met­tant en place une agence nationale dédiée à la cyber­sécu­rité. Si les pri­or­ités générales con­ver­gent, des nuances appa­rais­sent dans l’or­gan­i­sa­tion des struc­tures nationales et dans l’ac­cent mis sur cer­tains aspects spé­ci­fiques, reflé­tant les con­textes nationaux et les enjeux pro­pres à chaque pays.

La cyber­sécu­rité est désor­mais une pri­or­ité stratégique pour les États européens. Alors que le numérique est désor­mais pleine­ment inté­gré dans notre quo­ti­di­en per­son­nel et pro­fes­sion­nel, les cyber­me­n­aces se diver­si­fient et se sophis­tiquent, met­tant à mal les sys­tèmes d’in­for­ma­tion des organ­i­sa­tions, publiques comme privées. Face à cette men­ace gran­dis­sante, les États ont mis en place des straté­gies nationales pour pro­téger leurs infra­struc­tures cri­tiques et garan­tir la con­ti­nu­ité de leurs services.

Les approches mis­es en place par dif­férents pays con­ver­gent vers un objec­tif com­mun : la pro­tec­tion des citoyens, des entre­pris­es et des États con­tre les cyber­at­taques. L’évo­lu­tion rapi­de du paysage de la cyber­sécu­rité néces­sit­era une adap­ta­tion con­stante de ces straté­gies et une coopéra­tion ren­for­cée entre les États mem­bres de l’U­nion européenne, c’est tout le sens de la direc­tive européenne NIS2⁵.