Stratégie internationale de l'ANSSI

À l’heure où la menace se globalise, la coopération à l’international s’impose plus que jamais comme une nécessité. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’investit pleinement afin de contribuer à la stabilité du cyberespace, de renforcer ses alliances et partenariats, et de promouvoir le modèle français de cybersécurité. L'agence promeut le développement d’un cyberespace sûr, stable et ouvert. Elle participe activement aux discussions internationales sur la cybersécurité aux niveaux politique et normatif, et œuvre de concert avec l’ensemble de ses partenaires face aux menaces émanant du cyberespace.

Promouvoir à l’international la vision politique française de la sécurité du numérique

Encore considérée comme un sujet technique il y a quelques années, la cybersécurité est désormais perçue à la hauteur des enjeux systémiques associés, comme un enjeu de politique publique, de politique commerciale et de stabilité internationale.

Cette prise de conscience s’accompagne naturellement de la prise en compte du sujet dans différentes enceintes internationales : Union européenne (UE), Organisation des Nations unies (ONU), G7, G20, Organisation de coopération et de développement économiques (OCDE), Organisation pour la sécurité et la coopération en Europe (OSCE), Organisation du Traité de l’Atlantique Nord (OTAN), négociations commerciales internationales en cours…

L’ANSSI, qui a pour mission de contribuer aux travaux internationaux sur la cybersécurité de par son décret de 2011, participe à la définition et à la promotion des positions françaises dans ces enceintes, en étroite coordination avec les autres acteurs nationaux (ministère de l’Europe et des Affaires étrangères, Secrétariat général aux Affaires européennes, Secrétariat général de la Défense et de la Sécurité nationale, ministère des Armées, ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique…).

Numérique et commerce international : un enjeu pour la cybersécurité ?

Le numérique, vecteur de développement économique et sociétal, prend une place croissante dans les négociations économiques et commerciales internationales.

En tant qu’autorité nationale de sécurité du numérique, l’ANSSI promeut la bonne prise en compte des enjeux de sécurité dans ces discussions. Elle suit notamment les travaux en cours au sein du G7, du G20, de l’Organisation de coopération et de développement économiques (OCDE), de l’Organisation mondiale du commerce (OMC), ainsi que dans le cadre des accords commerciaux en cours de négociation entre l’Union européenne et ses partenaires extérieurs, le tout en étroite coopération avec l’ensemble des ministères compétents.

L’ANSSI porte une attention particulière aux enjeux relatifs à :

• la maîtrise des données, ressource de base de la société numérique ;
• l’évaluation de la sécurité des produits et services numériques, outil nécessaire au développement de la confiance des citoyens dans le numérique ;
• la préservation de la capacité des Etats, et de l’Union européenne, à réguler en matière numérique.

Construire l’autonomie stratégique européenne pour la sécurité du numérique

La France a été l'un des premiers pays européens à mettre en place une approche ambitieuse en matière de cybersécurité.

Forte de son expérience, elle s’attache à jouer un rôle moteur dans la définition des orientations stratégiques de l’UE en la matière en défendant notamment l’objectif d’autonomie stratégique européenne.

Objectif de la revue stratégique de cyberdéfense de février 2018, la France travaille avec les Etats membres volontaires à promouvoir cette vision qui repose sur trois piliers :

• la défense du droit des Etats et de l’Union européenne à définir de façon autonome des ambitions en termes de cybersécurité et à réguler en ce sens (pilier réglementaire) ;
• le développement d’un socle minimal de capacités de cybersécurité dans tous les Etats membres, ainsi que de cadres de coopération entre eux, permettant d’assurer aux pays européens une autonomie dans leur capacité à répondre aux cyberattaques (pilier capacitaire) ;
• le développement par le secteur privé, avec l’appui de l’Union européenne et des Etats, de capacités scientifiques, de R&D et industrielles permettant à l’Europe de répondre de façon autonome à ses besoins en matière de technologies clés et de services (pilier technologique).

Contribuer à la sécurité des organisations internationales

Les organisations internationales dont la France est partie constituent un bien commun partagé avec les autres pays membres et sont susceptibles d’être ciblées par des cybermenaces.

La France s’engage activement pour renforcer la sécurité des systèmes d’information des organisations internationales dont elle est partie, en particulier pour assurer la protection des informations et supports classifiés. Elle agit notamment dans le cadre de l’Union européenne, de l’Organisation du Traité de l’Atlantique Nord et de l’Agence spatiale européenne.

Dans cet effort, l’ANSSI est impliquée aux côtés de l’ensemble des acteurs nationaux en tant qu’autorité règlementaire nationale (autorité nationale de sécurité des systèmes d’information, autorité nationale d’agrément cryptographique, autorité nationale TEMPEST, autorité nationale d’homologation de sécurité…). A ce titre :

• elle participe aux processus interministériels de définition des politiques relatives à la protection des informations et supports classifiés des organisations internationales en portant la voix de la France au sein de comités internationaux dédiés ;
• elle assure l’animation nationale et internationale de leur mise en œuvre (secondes évaluations de produits cryptographiques, coordination avec des partenaires internationaux) ;
• elle promeut l’approche et l’expertise française en cybersécurité auprès des équipes de sécurité internes des organisations internationales (partage d’informations, diffusion des référentiels techniques nationaux).

Coopérer avec nos partenaires et élever le niveau général de cybersécurité

Au sein d’un cyberespace de plus en plus vaste et complexe, faire face aux enjeux de la sécurité du numérique nécessite une coopération forte entre tous.

La cybersécurité est un défi nouveau pour les pouvoirs public puisqu’il implique notamment :

• de se maintenir à l’état de l’art de la technologie pour comprendre les menaces et développer des outils et des services de prévention ;
• de maintenir des capacités opérationnelles mobilisables à tout instant pour répondre à des attaques par nature transnationales ;
• de définir et de mettre en œuvre de nouveaux outils de régulation à l’échelle nationale, européenne et internationale pour répondre à ces nouvelles menaces.

Face à de tels enjeux en évolution constante, les moyens importants engagés par l’Etat au sein de l’ANSSI doivent être soutenus par une stratégie de coopération internationale volontariste. L’ANSSI développe donc des échanges à l’international sur tous les continents pour démultiplier ses capacités à faire face à ce défi :

• Partages de connaissances sur les techniques de pointe ;
• Réponse opérationnelle conjointe à des incidents ;
• Partage de connaissances sur la menace.
• Soutien aux événements internationaux de grande ampleur comme les Jeux Olympiques et Paralympiques.

Bâtir la paix et la sécurité internationale du cyberespace

La multiplication des comportements offensifs utilisant des moyens informatiques (attaques à finalité d’espionnage, lucrative ou de déstabilisation) par divers acteurs (liés à des Etats, hacktivistes, cybercriminels) font peser des menaces exponentielles sur la stabilité internationale. L’ANSSI travaille en étroite coordination avec le ministère de l’Europe et des Affaires étrangères (MEAE) et le ministère des Armées, afin de mobiliser les outils classiques que sont le droit international et la diplomatie afin de faire face à ces nouveaux enjeux.

Attachée à la préservation de la paix et de la sécurité internationale dans le cyberespace, l’ANSSI promeut en particulier :

• une approche du cyberespace qui soit centrée sur le droit international et vise à limiter le risque d’escalade non contrôlée voire de conflits avec une démarche autour de trois axes :
  • La prévention : règles, normes et mesures pour garantir le comportement responsable des Etats dans le cyberespace afin d’encourager l’adoption par les Etats d’un comportement prévisible et transparent et   de prévenir la survenue de différends dans le cyberespace ;
  • La coopération : dans le un but de faciliter la résolution pacifique des différends ;
  • La stabilité : respect du principe de « diligence requise » qui contribue à l’ambition française d’œuvrer à la pacification et stabilisation du cyberespace ;
• l’interdiction des activités offensives par des acteurs non-étatiques, notamment privés, dans le cyberespace, dans le cadre de l’Appel de Paris pour la confiance et la sécurité dans le cyberespace (2018) et du processus de Pall Mall (2024).