L’annonce de la création d’une cyber force de réaction rapide par l’ANSSI a été abondamment reprise par la presse généraliste, et à juste titre. Mais cela ne doit pas occulter pour autant les autres points du dispositif annoncé en Conseil des Ministres le 25 mai dernier.

D’abord parce que cette force de réaction rapide n’est finalement que la formalisation de ce qui se faisait déjà. Et ensuite – surtout – parce que au delà des cyber-commandos, le dispositif national de défense des systèmes d’information offre d’autres atouts, beaucoup plus structurants ceux-là.

A commencer par la mise en oeuvre d’une politique de sécurité inter-ministérielle. Une telle PSSI commune, si elle est correctement déployée, constituera une avancée majeure dans la défense des systèmes de l’Etat. Elle permettra notamment d’homogénéiser les solutions, les accès et les règles de systèmes d’informations aujourd’hui fragmentés. Associée à la future DSI inter-ministérielle, on pourrait presque croire à la fin des silos ministériels que nous brocardions lors de notre dernier poisson d’avril !

Ce volet s’accompagnera également de la création d’un réseau informatique inter-ministériel chargé d’assurer, selon la formule consacrée « la continuité de l’action gouvernementale » dans le cas d’un dysfonctionnement grave d’Internet. L’on peut certainement voir dans ce nouveau réseau le pendant IP du réseau RIMBAUD existant pour la téléphonie et la télécopie (il était temps !)

Enfin, les deux derniers points de cette annonce inscrivent la France dans une démarche similaire à celle des Etats-Unis, dont la cyber-stratégie repose en partie sur des partenariats public-privé et une meilleure proximité avec l’enseignement supérieur.

Du côté des relations public-privé, la France souhaite ainsi créer un centre de recherche mixte, en s’associant des acteurs du privé, afin d’optimiser les capacités de recherche et faire naître de nouveaux projets. L’initiative résonne fortement avec ce que nous déclarait lors de la dernière conférence RSA William J. Lynn III, ministre américain adjoint de la défense : « Nous souhaitons monter un partenariat efficace entre le secteur privé et le secteur public, car l’essentiel de ce nouveau champ de bataille appartient au secteur privé« .

Pour l’enseignement, enfin, la volonté est que tous les étudiants français disposent d’un socle de connaissances minimal en terme de bonnes pratiques sécurité. Le programme débutera par les filières scientifiques et techniques mais devrait s’étendre à terme aux autres formations supérieures. Bien qu’en l’état l’annonce s’apparente plutôt à un programme d’hygiène collective, nous ne pouvons qu’espérer qu’il ne s’agisse d’un début. Car, comme l’expliquait d’ailleurs récemment votre serviteur sur les plateaux de ZDnet, ce n’est pas tout d’avoir aujourd’hui de bons techniciens capable de mener la cyber-guerre ! Il faut également être capable, à l’échelle du pays, de maintenir leurs compétences et d’en former d’autres à long terme.

En cela, l’éducation supérieure et le partenariat public-privé se rejoignent : ce sont deux composantes essentielles à toute velléité de jouer « dans la cour des grands » en matière de cyber-guerre. Ce n’est donc pas un hasard si celles-ci se retrouvent à la fois dans les cyber-stratégies des Etats-Unis et désormais de la France.