Le 4 avril 2023, le gouvernement français a déposé le projet de Loi de Programmation Militaire (LPM) pour les années 2024-2029. Il fait l’objet d’une procédure accélérée à l’Assemblée nationale et devrait être adopté prochainement. Ce projet entre dans la continuité des planifications en matière de Défense, dont la première a été adoptée en 1996. Si les mesures ne concernaient que le monde physique dans les premiers textes, la cybersécurité y est de plus en plus présente depuis 2009. La LPM de 2023 est ainsi la quatrième à aborder le sujet de la Défense dans l’espace numérique.
La prise en compte croissante de la cybersécurité dans les enjeux de Défense
Depuis 2006, certaines organisations appelées Opérateur d’Importance Vitale (OIV) doivent porter une attention toute particulière à leur sécurité. L’article R1332-1 du code de la Défense définit un OIV comme gérant ou utilisant :
au titre de [son] activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.
Les enjeux entourant ces opérateurs sont donc de premier plan. Ils sont répartis en douze secteurs d’activité, mais la liste précise des OIV reste confidentielle. Si ils étaient habituellement visés par les différentes LPM, les enjeux numériques n’y figuraient pas.
La question de la cybersécurité est apparue dans la LPM de 2009. Cependant, seule « l’adaptation de notre défense à la lutte dans le cyberespace » y était abordée. Cette mention reste vague et aucune réelle obligation n’y est prévue. La LPM de 2013 a en revanche marqué un réel tournant dans le domaine de la cybersécurité en France. Cette loi a en effet été la première à créer l’obligation d’atteindre un niveau minimum de cybersécurité pour certaines entités : les OIV.
Alors qu’avant 2013 les OIV ne devaient prêter attention qu’à leur sécurité physique, une obligation de cybersécurité leur est désormais imposée. Cette obligation vise les Systèmes d’Information d’Importance Vitale (SIIV) des OIV. Ces SIIV sont définis dans le code de la Défense comme les systèmes d’informations à l’encontre desquels une attaque affecterait « le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».
Dans le cadre de cette loi, différentes obligations doivent donc être respectées par les OIV. Ces derniers sont contrôlés par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Cette autorité publique accompagne les OIV dans la conception des plans de cybersécurité, les évalue et a également un pouvoir de sanction. Étant donné les enjeux, les exigences sont particulièrement élevées et les mesures de cybersécurité doivent évoluer pour suivre le rythme et la diversité des menaces.
Un rôle de plus en plus important donné à l’ANSSI
Depuis 2013, deux autres LPM ont été rédigées. La première en 2018, pour les années 2019 à 2025 et la seconde le 4 avril 2023, pour les années 2024 à 2030. Aucun de ces deux textes n’apporte de changement aussi majeur que la loi précédente de 2013. Il est cependant intéressant de noter que les prérogatives attribuées à l’ANSSI sont de plus en plus importantes au fil des textes. Cette dernière dispose par exemple de moyens élargis pour détecter les menaces. Les obligations en matière de communication d’incidents sont également croissantes. En guise de dernier exemple, le périmètre des données que l’ANSSI est autorisée à collecter est également de plus en plus large.
Avec ces différents textes, la France s’est posée en réelle précurseur en matière de réglementation dans le domaine de la cybersécurité. Des obligations similaires sont ensuite apparues à l’échelle européenne, notamment dans les directives NIS et NIS 2. Mais les exigences françaises apparaissent toujours comme plus importantes. Par ailleurs, la place du numérique dans ces textes se retrouve également dans le secteur militaire. Un accent important a ainsi été mis sur le développement de drones aériens, terrestres, marins et sous-marins.
Lilian VASSEUR
M2 Cyberjustice – Promotion 2022/2023
Sources :
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000028338825/
https://www.defense.gouv.fr/loi-programmation-militaire-2024-2030-grandes-orientations