Loi de programmation militaire 2024-2030 - Focus sur la stratégie nationale de cybersécurité

La cyber fait partie des priorités de la nouvelle loi de programmation militaire pour la période 2024- 2030 ! Face à un contexte géopolitique tendu et à la propagation des cyberattaques, la LPM fixe un budget record de 413,3 milliards d’euros afin de répondre à une feuille de route ambitieuse.
 

Une loi adoptée dans un contexte conflictuel en mutation

L’esprit de la LPM gravite autour de la notion d’adaptabilité. L’enjeu principal est d’adapter la Sécurité nationale (sécurité intérieure et extérieure) à un contexte conflictuel en mutation. Au premier titre, la guerre en Ukraine qui ravive les tensions en Europe, mais également les tensions diplomatiques en Afrique sur fond de montée du terrorisme. A ce panorama, l’Etat met également en avant le nombre de cyberattaques qui ne cesse d’augmenter depuis 2020 avec des modes opératoires et des technologies qui évoluent constamment.

Ces nouvelles menaces n’épargnent personne, acteurs privés (du CAC40 à la TPE) et publics (du ministère à l’hôpital et la petite commune). Il est important de rappeler que le nombre de cyberattaques visant des collectivités territoriales a augmenté de 50% depuis 2019, en parallèle plus de la moitié des entreprises françaises ont déjà subi une cyberattaque. Podium tout aussi éloquent, la France figure à la deuxième place des pays les plus ciblés par les attaques par rançongiciel. Ce contexte cyber, fortement aggravé durant la crise liée au Covid-19, devient alors un sujet stratégique qui dépasse la seule dimension technologique. En effet, le volet cyber de la LPM 2024-2030 est fondamentalement au cœur d’une stratégie grandement appliquée depuis 2020 avec la création du commandement de la cyberdéfense (COMCYBER) et son pendant dans la gendarmerie (ComCyberGend), ou encore VIGINUM qui lutte contre les ingérences numériques étrangères.
 
La LPM traduit la volonté étatique d’accélérer le renforcement de la cybersécurité par la mise à disposition d’une enveloppe historique et la définition de mesures plus protectrices.

Source : https://www.senat.fr/rap/r22-638/r22-638-syn.pdf

Stratégie de défense du cyberespace : le choix du bouclier et de l’épée

La lutte informationnelle se concentre sur trois axes principaux que sont la Lutte Informatique Défensive (LID), Offensive (LIO) et d’Influence (L2I).

Le bouclier : la Lutte Informatique Défensive (LID) :

Il s’agit de l’aspect défensif qui est régi par le COMCYBER et coordonné conjointement par l’ANSSI, les services de renseignement et différents partenaires nationaux ou internationaux. Cette coopération s’explique par la rapidité d’évolution de ce milieu qui nécessite un partage de connaissances pour faire face aux menaces constantes qui sont rencontrées. Cet espace de confrontation impose pour le ministère des armées une Posture Permanente Cyber (PPC) qui s’adapte en fonction de l’état de la menace. Cette lutte s’organise autour de 6 missions que sont prévenir, anticiper, protéger, détecter, réagir et attribuer.

L’épée : La Lutte Informatique Offensive (LIO) :

Elle regroupe l’ensemble des actions menées dans le cyberespace à l’encontre d’un système adverse. Bien que celle-ci puisse être utilisée de manière autonome contre des systèmes d’informations, son action est en réalité démultipliée quand elle est combinée à des moyens d’action physique. Elle s’inscrit pleinement dans le principe de guerre hybride. Toutefois, le droit international (notamment le droit des conflits armés) et les lois françaises encadrent la lutte informatique offensive. A ce titre, la France affirme n’y recourir qu’en cas de légitime défense.

La manipulation : la Lutte Informatique d’Influence (L2I) :

La guerre de l’information est inhérente à toute stratégie militaire, elle est nécessaire pour convaincre et contrer l’influence adverse. La L2I intègre naturellement le cyberespace en prenant en compte les nouveaux espaces d’influence que sont les réseaux sociaux. Ces derniers permettent de manipuler et de propager de l’information de manière plus rapide et massive, qu’elles soient vraies ou fausses. Aujourd’hui, un certain nombre d’Etats et de groupes terroristes exploitent ces techniques afin de perturber la situation politique, économique et sociale d’autres pays. Cette lutte se conforme à la stratégie du chef d’état-major des armées qui consiste à « gagner la guerre avant la guerre » tout en se préparant dans le cas de cette éventualité.

Objectifs et ambitions de la LPM

Le cyber fait partie des priorités de la nouvelle loi de programmation militaire pour la période 2024- 2030; en outre, elle intègre des dispositions cyber spécifiques pour renforcer la posture défensive. Les articles 64, 66 et 67 (https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047914986) reflètent une approche proactive pour détecter, répondre et atténuer les menaces, assurant ainsi la sécurité des systèmes critiques.

On y retrouve notamment dans l’article 64 de nouvelles dispositions relatives aux domaines utilisés à des fins malveillantes. Si celui-ci a été enregistré de bonne foi mais utilisé à son insu pour un usage détourné la loi dispose que l’ANSSI peut demander au fournisseur DNS ou à l’office d’enregistrement de bloquer le nom de domaine. Lorsque le site compromet la sécurité nationale et a été enregistré à cette fin, l’ANSSI pourra, en plus des mesures précédentes, rediriger les flux afin de caractériser la menace.

L’article 66 quant à lui oblige aux éditeurs de logiciels français de notifier l’ANSSI en cas de faille majeure découverte ou d’incident informatique qui serait susceptible d’affecter la sécurité de leurs produits, l’éditeur doit également en informer ses utilisateurs dans un délai fixé.  Cette mesure tend à accroitre la transparence concernant les incidents de sécurité et de s’appuyer sur l’expertise technique de l’agence pour qualifier la menace, la mitiger ainsi que de prévenir d’autres attaques.

Enfin l’article 67 permet de déployer sur les systèmes d’informations des autorités publiques ainsi que ceux des fournisseurs d’accès à internet des dispositifs techniques permettant de détecter des menaces, et ce dans un temps limité au strict nécessaire pour identifier la menace.

Conclusion

En définitive, l’adoption sans réserve de la LPM 2024-2030 reflète la volonté résolue de la France de sécuriser ses intérêts nationaux face aux enjeux complexes et en constante évolution de la géopolitique moderne. Cette loi marque un engagement financier significatif, allouant des ressources substantielles à l’innovation et à la cybersécurité, des domaines cruciaux pour maintenir la pertinence stratégique du pays.

En adaptant sa doctrine militaire aux réalités changeantes du cyberespace, cette législation reconnaît l’importance capitale de la Lutte Informatique Défensive (LID), Offensive (LIO) et d’Influence (L2I). En ce sens, les nouvelles dispositions juridiques attestent de la volonté de rester en première ligne en matière de protection des infrastructures vitales et de réaction aux menaces émergentes.

La Loi de Programmation Militaire transcende les frontières traditionnelles de la Sécurité nationale pour répondre aux défis du XXIème siècle. En consolidant sa posture dans le cyberespace, la France prouve sa détermination à préserver sa souveraineté, à anticiper les menaces futures et à façonner un avenir sécurisé tant pour l’espace physique que numérique.

A l’heure où tous les regards seront tournés vers la France pour les Jeux-Olympiques de 2024, il sera essentiel de protéger non seulement sa réputation numérique mais également les données des millions de spectateurs et le bon déroulement des Jeux.

Co-écrit par Romain Felgines et Ugo Vaucel