DEUXIÈME
PARTIE :
UN DISPOSITIF DE PROTECTION ÉTOFFÉ MAIS
À GÉOMÉTRIE VARIABLE, SANS STRATÉGIE D'ENSEMBLE
I. DÉTECTION ET CARACTÉRISATION : UN DISPOSITIF RESSERRÉ AUTOUR DES MINISTÈRES RÉGALIENS
A. UN PROCESSUS EMPIRIQUE D'ÉLABORATION DES STRATÉGIES SUCCESSIVES DE LUTTE INFORMATIQUE DÉFENSIVE, OFFENSIVE ET INFORMATIONNELLE
Au vu des typologies de menaces présentées dans la partie précédente, on peut chronologiquement dater la survenance des événements qui ont conduit le gouvernement à mettre en oeuvre les politiques publiques successives pour y répondre :
- la création de l'Agence nationale de sécurité des systèmes d'information (Anssi) en 2009, à la suite de l'attaque cyber russe de 2007 qui a paralysé pendant 48 heures l'État estonien et de la loi de programmation militaire 2009-2013173(*), la première à définir des obligations de cybersécurité pour les opérateurs d'importance vitale (OIV) ;
- la création du commandement de la cyberdéfense (Comcyber) de l'état-major des armées en 2017 à la suite de multiples événements liés à la cybersécurité des armées et de la propagation du terrorisme et des idéologies islamistes via les réseaux sociaux en provenance du Levant ;
- enfin, suivant la frise chronologique ci-après, la création du service de vigilance et de détection des ingérences numériques étrangères (Viginum) en 2021 suite à l'affaire des « Macron leaks » et aux opérations de désinformation liées à la pandémie de Covid-19.
Chronologie des établissements en charge de la cybersécurité, de la cyberdéfense et des ingérences numériques étrangères
Source : ministère des armées, Comcyber
La création d'acteurs dédiés (Anssi et Comcyber) a entraîné, suivant un processus logique mais empirique, l'élaboration de stratégies ou de doctrines d'emploi. Ainsi en a-t-il été de la publication d'une stratégie nationale pour la sécurité du numérique en 2015, soit six ans après la création de l'Anssi. Ont également suivies en 2018 une revue stratégique de cyberdéfense des armées puis, en 2019, une doctrine de lutte informatique offensive (LIO) et en 2021 une doctrine de lutte informatique informationnelle (L2I) à l'usage spécifique du Comcyber.
Dans le prolongement de cette chronologie, on peut donc anticiper que dans la seconde étape de la création du Viginum, une stratégie nationale de lutte contre les manipulations de l'information provenant de l'étranger soit élaborée et rendue publique dans un objectif de participation et de résilience de la société civile. Cette perspective fait l'objet d'une recommandation de la commission d'enquête (voir Troisième partie, I).
La visite sur place des locaux de Viginum effectuée par la commission d'enquête a permis de préciser le périmètre d'activité de ce service à compétence nationale et d'en mesurer également les limites, lesquelles font l'objet de recommandations de la commission exposées dans les sections suivantes.
* 173 Loi n° 2009-928 du 29 juillet 2009 relative à la programmation militaire pour les années 2009 à 2014 et portant diverses dispositions concernant la défense