03_Enjeux_Cyber_Defense

Les enjeux de cyberdéfense définis par la LPM 2024–2030 dépassent largement le périmètre des armées pour devenir des piliers de la souveraineté nationale. La France doit assurer la continuité de ses infrastructures critiques, garantir son autonomie technologique et coordonner les capacités civiles et militaires dans un environnement où les frontières entre sécurité intérieure, défense et économie sont de plus en plus floues.

Protection des infrastructures critiques

La protection des Opérateur d’importance vitale (OIV – Operator of Vital Importance) et des Opérateur de services essentiels (OSE – Operator of Essential Services) constitue un enjeu central. Ces acteurs gèrent l’énergie, la santé, les transports, les télécommunications ou encore la finance, secteurs dont la défaillance provoquerait des effets systémiques. Les cyberattaques contre des hôpitaux, des sites industriels ou des fournisseurs de Cloud ont démontré que la résilience de ces in…

La LPM impose donc un alignement stratégique entre armées, ANSSI et OIV/OSE :

Renforcement des obligations de détection et de notification.
Coopération accrue avec le Commandement de la cyberdéfense (COMCYBER – French Cyber Defense Command) pour la gestion de crise.
Exigence de scénarios de continuité opérationnelle et de preuves d’audit exploitables lors des contrôles parlementaires et sectoriels.

Souveraineté technologique : Cloud, IA et quantique

La dépendance à des technologies non européennes est identifiée comme un risque majeur. Le Cloud souverain devient un impératif, incarné par les initiatives Cloud de Confiance (SecNumCloud – Trusted Cloud), permettant de limiter l’exposition aux juridictions extraterritoriales (Cloud Act américain, par exemple).

L’intelligence artificielle (IA) est également un domaine critique : qu’il s’agisse de détection d’intrusion, de classification de menaces ou de systèmes d’aide à la décision, la maîtrise des algorithmes et des données est une condition de souveraineté. Le quantique, enfin, représente une double opportunité et menace : potentiel de rupture dans le calcul et la cryptanalyse, mais aussi nécessité de préparer dès aujourd’hui des solutions de chiffrement résistantes au quantique (post-quantum cryptography).

Warning

La dépendance à des fournisseurs technologiques non souverains (Cloud, composants, solutions logicielles critiques) constitue une faille stratégique.
Pour un RSSI, cela implique d’évaluer les contrats, d’imposer des clauses de réversibilité et de diversifier les prestataires.

Interopérabilité OT/IT civil et militaire

La convergence des environnements OT (Operational Technology) et IT (Information Technology) crée des vulnérabilités partagées. Les systèmes de contrôle industriels (SCADA/ICS) utilisés dans les centrales électriques, usines d’armement ou infrastructures de transport se trouvent exposés à des cyberattaques qui peuvent avoir des effets militaires et civils simultanés.

La LPM insiste sur la nécessité d’assurer une interopérabilité sécurisée entre les environnements civils et militaires. Cela implique :

Des normes communes de durcissement des environnements OT.
Des tests conjoints entre opérateurs civils et armées (exercices DEFNET, simulations OT/IT hybrides).
Une capacité à basculer en mode dégradé sans perte de contrôle critique.

Cas pratiques & retours d’expérience

Ukraine (2022) : attaques coordonnées contre le réseau électrique et les systèmes militaires ukrainiens, démontrant l’importance de la convergence OT/IT et de la résilience énergétique.
Colonial Pipeline (2021, USA) : compromission d’un système IT ayant conduit à l’arrêt d’un pipeline OT stratégique, avec impacts immédiats sur l’économie et la sécurité énergétique.
Hôpitaux français (2020–2022) : rançongiciels ayant paralysé la continuité des soins, forçant une gestion de crise nationale.

Ces exemples illustrent que la cyberdéfense est désormais un enjeu de sécurité collective et non plus uniquement militaire.

Conseils opérationnels pour RSSI

Le RSSI doit :

Identifier les dépendances stratégiques à des prestataires non souverains et établir des plans de réversibilité.
Intégrer les menaces OT/IT dans son analyse de risque et dans ses PCA/PRA.
Planifier des exercices de crise incluant des scénarios hybrides civilo-militaires.
Préparer des preuves d’audit de la conformité aux obligations ANSSI et LPM (journaux, tests, rapports).

Objectifs pédagogiques

À l’issue de ce chapitre, le lecteur doit être capable de :

Expliquer pourquoi la protection des infrastructures critiques est un enjeu de souveraineté nationale.
Identifier les risques liés au Cloud, à l’IA et au quantique.
Comprendre les vulnérabilités OT/IT et les mécanismes d’interopérabilité sécurisée.
Traduire ces enjeux en obligations opérationnelles pour son organisation.

Checklist RSSI – Chapitre 03

Ai-je identifié mes dépendances stratégiques (Cloud, composants, IA) et prévu un plan de réversibilité ?
Ai-je intégré les menaces OT/IT hybrides dans mon analyse de risque et mes plans de continuité ?
Ai-je prévu des exercices conjoints ou simulations avec des partenaires publics/privés ?
Ai-je préparé des preuves de conformité aux obligations ANSSI/LPM pour mes infrastructures critiques ?

P.I.L.O.T.E

Explorateur

03_Enjeux_Cyber_Defense

Protection des infrastructures critiques

Souveraineté technologique : Cloud, IA et quantique

Interopérabilité OT/IT civil et militaire

Cas pratiques & retours d’expérience

Conseils opérationnels pour RSSI

Objectifs pédagogiques

Checklist RSSI – Chapitre 03

Vue Graphique

Table des Matières