La SSI en France


Comme le précise la loi n°2013-1168 du 18 décembre 2013,  « le Premier ministre définit la politique et coordonne l’action gouvernementale en matière de sécurité et de défense des systèmes d’information. Il dispose à cette fin de l’autorité nationale de sécurité des systèmes d’information », l’ANSSI, rattachée au secrétaire général de la défense et de la sécurité nationale.

La Stratégie nationale pour la sécurité du numérique : une réponse aux nouveaux enjeux des usages numériques

stratsecnum_logoLa Stratégie nationale pour la sécurité du numérique, dévoilée ce 16 octobre 2015 par Monsieur le Premier ministre Manuel Valls, est destinée à accompagner la transition numérique de la société française.

Elle a fait l’objet de travaux interministériels coordonnés par l’ANSSI.

Elle répond aux nouveaux enjeux nés des évolutions des usages numériques et des menaces qui y sont liées avec cinq objectifs :

  • Garantir la souveraineté nationale
  • Apporter une réponse forte contre les actes de cybermalveillance
  • Informer le grand public
  • Faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises
  • Renforcer la voix de la France à l’international.

Avec la Stratégie nationale pour la sécurité du numérique, l’Etat s’engage au bénéfice de la sécurité des systèmes d’information pour aller, par une réponse collective, vers la confiance numérique propice à la stabilité de l’État, au développement économique et à la protection des citoyens.

En savoir plus sur la stratégie avec le dossier de presse

La Stratégie nationale pour la sécurité du numérique est également disponible en anglais – allemand – espagnol

 

La sécurité des systèmes d’information (SSI) et le Livre blanc sur la défense et la sécurité nationale de 2008

Ce Livre blanc, retenant le risque d’une attaque informatique contre les infrastructures nationales comme l’une des menaces majeures les plus probables des quinze prochaines années, mettait en exergue l’impact potentiellement très fort de telles attaques sur la vie de la nation. Notre dépendance aux processus informatiques croît en effet sans cesse avec le développement de la société de l’information et l’utilisation de plus en plus poussée de l’informatique dans les processus essentiels de l’État et de la société.
En conséquence, le Livre blanc invitait l’État à se doter d’une capacité de prévention et de réaction aux attaques informatiques, et à en faire une priorité majeure de son dispositif de sécurité nationale. En particulier, dans le domaine de la défense des systèmes d’information, il soulignait la nécessité de disposer d’une capacité de détection précoce des attaques informatiques, et d’une organisation propre à contrer les attaques les plus subtiles comme les plus massives. Dans le domaine de la prévention, il proposait un recours accru à des produits et à des réseaux de haut niveau de sécurité, et la mise en place d’un réservoir de compétences au profit des administrations et des opérateurs d’infrastructures vitales.
L’ANSSI a été créée conformément aux orientations de ce Livre blanc sur la défense et la sécurité nationale. Afin de proposer la stratégie nationale en matière de sécurité des systèmes d’information, un comité stratégique de la SSI a été institué par le décret portant création de l’ANSSI.
En complément de la création de l’ANSSI, ce Livre blanc a prévu la mise en place au niveau de chaque zone de défense et de sécurité d’un observatoire zonal de la sécurité des systèmes d’information (OzSSI). Ces observatoires ont pour mission de relayer, sur l’ensemble du territoire national, les mesures prises pour améliorer la sécurité des systèmes d’information.

 

Le Livre blanc sur la défense et la sécurité nationale de 2013 & LPM

En 2013, en réponse au constat de l’augmentation en quantité et en sophistication des cyberattaques contre les systèmes d’information de nombreuses entreprises nationales et de l’État, a été publié un nouveau Livre blanc. Il marque un tournant : l’État ne se contente plus de répondre à ses propres besoins en cybersécurité, il prend en compte désormais ceux des opérateurs vitaux pour la nation.

Ce renforcement implique pour les systèmes d’information les plus critiques de ces opérateurs :

  • le respect de référentiels de sécurité à appliquer ;
  • la mise en place de dispositifs de détection d’attaques adaptés ;
  • l’obligation de déclarer les incidents significatifs ;
  • la capacité pour l’État de vérifier par des audits le niveau de sécurité de ces systèmes et, en cas de crise grave, d’imposer les mesures nécessaires.

Promulguée le 19 décembre 2013, la loi n°2013-1168 de programmation militaire (LPM) suit les orientations fixées par le Livre blanc sur la défense et la sécurité nationale 2013. Elle constitue l’outil législatif qui va permettre aux opérateurs publics et privés critiques pour la nation de mieux se protéger et à l’ANSSI – et à d’autres services de l’État – de mieux les soutenir en cas d’attaque informatique. Son article 22 prévoit l’adoption de mesures de renforcement de la sécurité des opérateurs d’importance vitale et confère au Premier ministre de nouvelles prérogatives.

 

La stratégie SSI

En février 2011, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a rendu publique la Stratégie de la France en matière de défense et de sécurité des systèmes d’information.

Pour se prémunir des attaques informatiques et garantir la sécurité des Français, des entreprises et de la Nation dans le cyberespace, la stratégie française pose quatre objectifs stratégiques :

  • être une puissance mondiale de cyberdéfense et appartenir au premier cercle des nations majeures dans ce domaine tout en conservant son autonomie ;
  • garantir la liberté de décision de la France par la protection de l’information de souveraineté ;
  • renforcer la cybersécurité des infrastructures vitales nationales ;
  • et assurer la sécurité dans le cyberespace.

Le document présentant ces quatre objectifs stratégiques et les sept axes d’effort qui en découlent permettra à tous les citoyens de comprendre les enjeux et la portée de l’action gouvernementale.

Une nouvelle stratégie de la France, en cours d’élaboration, sera présentée au premier semestre 2015.

La France dispose également d’un réseau de CERT, organismes officiels chargés d’assurer des services de prévention des risques et d’assistance aux traitements d’incidents. Ces CERT (Computer Emergency Response Team) sont des centres d’alerte et de réaction aux attaques informatiques, destinés aux entreprises et/ou aux administrations, mais dont les informations sont généralement accessibles à tous.