Des orientations à soutenir : la promotion de la vision française et le développement du

transformation numérique. Un volet dédié à la sécurité numérique (sensibilisation au risque cyber et mise en relation avec des prestataires) a été intégré fin 2018 ;

- l’établissement d’une position française relative au contrôle à l’exportation des outils d’attaque. Sa déclinaison concrète, et en particulier la proposition de contrôle export des armes cyber au titre des matériels de guerre, sera principalement portée par le cycle annuel de négociation de l’arrangement de Wassenaar¹.

Certaines recommandations nécessitent des travaux complémentaires que votre rapporteur incite à poursuivre, en particulier :

- l’identification et la recherche de la maîtrise de l’ensemble des technologies essentielles pour notre sécurité numérique s’est, à ce stade, pour des raisons de ressources, centrée sur le besoin prioritaire d’un cloud de confiance. Ce point est déterminant et plaide en faveur de l’élaboration d’une LOSSN, déjà citée, afin de programmer les actions à mener dans ce domaine, donner aux acteurs concernés une visibilité nécessaire, et permettre un suivi politique, par le Parlement, de ces objectifs déterminants pour la souveraineté numérique française ;

- les premières ressources pédagogiques destinées à l’enseignement secondaire sont encore en cours de construction ;

- la résilience et la sécurité du réseau interministériel de l’État seront encore renforcées. Des ressources supplémentaires, prévues par la LPM, devraient y être consacrées dès 2019.

3. Des orientations à soutenir : la promotion de la vision française

back) qui va au-delà de la simple protection de leurs propres systèmes d’information, autorisant par exemple des intrusions dans les systèmes adverses pour les détruire.

Les risques que voit la France à une telle légalisation de pratiques dans certains pays et à leur diffusion au niveau international sont bien réels : risque d’erreur d’attribution, d’une part, car face à la difficulté pour obtenir une identification fiable de l’origine de l’attaque – et à ce titre, une action de riposte non encadrée pourrait prendre pour cible un tiers innocent ; risque de dommage collatéral et de riposte incontrôlée, d’autre part, de nature à aggraver l’instabilité du cyberespace.

Dans ce contexte, la France a choisi de maintenir l’interdiction actuellement en vigueur de cette pratique en droit français et de prôner activement son interdiction au niveau international. Ainsi, l’Appel de Paris pour la confiance et la sécurité dans le cyberespace, rendu public par le ministre de l’Europe et des affaires étrangères le 12 novembre dernier au Forum de Paris sur la Paix, et soutenu par le Président de la République à l’occasion de son discours à l’UNESCO devant le Forum sur la gouvernance de l’Internet, a été l’occasion de réaffirmer le monopole étatique de la violence légitime. Cette initiative se décline aujourd’hui de façon opérationnelle dans différents fora, notamment à l’OCDE et à l’ONU.

La France promeut donc à l’international sa vision selon laquelle le droit international est applicable au cyberespace et l’attribution publique reste une décision politique qui relève de la souveraineté et ne peut donc être déléguée à une organisation internationale. Dans ce domaine, la défense de la souveraineté numérique est affirmée.

Le 9 septembre 2019, Florence Parly a annoncé la parution d’un rapport concernant l’application du droit international aux opérations dans le cyberespace en temps de paix et en temps de conflit. Ce rapport vise à :

- éclairer les travaux des Nations unies,

- confirmer l’application du droit international au cyberespace, réduire les risques d’escalade non maîtrisée¹.

b) L’enjeu de la protection des données stratégiques : quel chiffrement pour quelles données ?

En matière de protection des données et des communications de l’État, des entreprises et des citoyens, la diversité des enjeux conduit, selon les indications présentées lors des auditions de votre commission d’enquête, à décliner le niveau d’ambition de la France en différentes sphères :

1 Voir le communiqué de presse du ministère des armées La France s’engage à promouvoir un cyberespace stable, fondé sur la confiance et le respect du droit international, publié le 9 septembre 2019 sur le site www.defense.gouv.fr.

- pour les données et communications classifiées, l’obligation de résultat, garantissant leur protection contre des attaques ciblées des adversaires les plus compétents est indiscutable. Cette ambition implique la maîtrise nationale de certaines technologies, au premier rang desquelles le chiffrement des communications. La France possède dans ce domaine une industrie de confiance, apte à fournir des équipements de très haut niveau de sécurité, agréés pour protéger les données échangées de niveau de classification Secret Défense. Le maintien d’une industrie nationale à la pointe dans ce domaine est une absolue priorité ;

- pour le champ plus étendu des données et communications sensibles, doivent être fixées des contraintes auxquelles se conformeront les solutions numériques utilisées par l’État et les opérateurs critiques. Il est illusoire de chercher à répondre à l’ensemble de ces besoins par des solutions purement nationales. Sans exclure fondamentalement des fournisseurs étrangers, cet objectif nécessite de disposer en France d’un tissu industriel de confiance, capable de produire des briques élémentaires de sécurité, mais aussi de concevoir des systèmes complexes en y intégrant des briques étrangères. Ceci implique que les opérateurs français gardent un niveau de compétence suffisant pour concevoir les architectures de sécurité prévoyant l’insertion de telles briques ;

- pour le champ plus large de la sécurité économique des entreprises non vitales et de la protection des usages numériques des citoyens, l’État doit préserver sa capacité d’influence des choix numériques des acteurs concernés, en identifiant des solutions de qualité sans les imposer. À cette fin, l’Anssi généralisera progressivement son dispositif de labellisation à l’ensemble des solutions numériques, afin d’encourager le recours aux meilleures solutions. Ce dispositif gagnera en pertinence économique grâce à son extension à l’échelon européen, permise par le Cybersecurity Act adopté le 12 mars 2019 par le Parlement européen¹.

Cette déclinaison en trois sphères s’applique pleinement à la question du cloud. Ainsi, pour ses données classifiées, l’État a recours exclusivement à un cloud interne. En revanche, pour d’autres données publiques et pour les besoins des entreprises, la qualification des clouds par l’Anssi permettra d’identifier les offres – pas nécessairement nationales – qui apportent des garanties suffisantes vis-à-vis des risques tant techniques (risque d’attaque informatique) que juridiques (contraintes de mise à disposition des données à des autorités étrangères).

1 Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité).

C.FAVORISER LE DÉPLOIEMENT DES INFRASTRUCTURES