CyberSécurité

Solutions, Guides & Actus CyberSécurité

ACCUEIL / GUIDE /
RÉGLEMENTATION ET COOPÉRATION EN CYBERSÉCURITÉ

Réglementation et Coopération en Cybersécurité

La cybersécurité est un domaine en constante évolution qui exige un cadre réglementaire solide et une coopération accrue entre les différentes entités, tant au niveau national qu’international. Face à la multiplication des cybermenaces et à la complexité croissante des infrastructures numériques, la mise en place de mesures efficaces de cybersécurité est devenue une priorité pour les États, les organisations et les particuliers. Cette approche globale vise à assurer la sécurité et la souveraineté numérique.

Cadre réglementaire international et national

La réglementation en cybersécurité est de plus en plus internationale, chaque État étant responsable de sa cyberdéfense et garant de la cybersécurité.

  • International :
    • L’ONU a initié une réflexion sur les enjeux du numérique, y compris la cybersécurité, dès 2003. Elle a notamment adopté en juin 2020 deux règlements sur la cybersécurité et la mise à jour des logiciels embarqués dans les véhicules connectés.
    • Le GCI (Global Cybersecurity Index), développé par l’Union internationale des télécommunications (ITU), mesure le niveau de développement de chaque pays en cybersécurité, évaluant leur engagement selon cinq piliers stratégiques : juridique, technique, organisation, prise de conscience et savoir-faire, et coopération internationale. Le premier rapport a été publié en avril 2015.
  • États-Unis :
    • Les directives de la Maison-Blanche de 2013 et 2015 ont renforcé la cybersécurité.
    • La CTIIC (Cyber Threat Intelligence Integration Center) est une nouvelle agence créée en février 2015 pour la cybersécurité.
    • La directive CISA (Cybersecurity Information Sharing Act), promulguée en décembre 2015 par Barack Obama, encourage l’échange d’informations sur les cybermenaces et les mécanismes de défense entre le secteur privé et le gouvernement fédéral. Elle reste effective jusqu’en septembre 2025.
    • Le plan CNAP (Cybersecurity National Action Plan), annoncé en février 2016, vise à mieux protéger la vie privée, la sécurité publique et économique dans le numérique, avec un budget de plus de 19 milliards de dollars US en 2017.
    • Le référentiel NIST (National Institute of Standards and Technology), développé en 2013, est un cadre de cybersécurité qui peut guider les entreprises pour identifier, protéger, détecter, répondre et rétablir la situation après une attaque. Il pourrait être étendu à l’Internet des objets. Il est également mentionné pour la sécurité des infrastructures critiques.
  • Union Européenne :
    • L’ENISA (Agence Européenne de cybersécurité), créée en 2004 et renforcée par le « Cybersecurity Act » en 2019, contribue à la création d’une culture interétatique en cybersécurité au niveau européen. Elle soutient également le Mois européen de la cybersécurité.
    • La directive NIS (Network and Information Security), adoptée en juillet 2016, a pour objectif de renforcer les capacités nationales de cybersécurité, d’établir un cadre de coopération, et de renforcer la cybersécurité des opérateurs de services essentiels (OSE) et des prestataires de services numériques. Sa transposition a été achevée en mai 2018. L’ANSSI intègre les directives NIS/NIS2 dans son information sur la réglementation.
    • La directive NIS 2, votée en novembre 2022, vise à harmoniser et renforcer la cybersécurité du marché européen.
    • Le RGPD (Règlement général sur la protection des données), adopté en 2016 et appliqué à partir de 2018, a indirectement renforcé la composante juridique de la cybersécurité.
    • Le Cyber Solidarity Act, présenté en avril 2023, prévoit un budget de 1,1 milliard d’euros pour créer des centres opérationnels de sécurité transfrontaliers, dans le contexte de la guerre en Ukraine, afin de renforcer la coopération entre les États membres.
  • France :
    • La Stratégie nationale pour la sécurité du numérique, présentée en octobre 2015, s’appuie sur la formation et la coopération internationale.
    • La Loi de programmation militaire (LPM) pour 2014-2019 impose aux opérateurs d’importance vitale (OIV) des obligations en matière de sécurisation de leur réseau, de qualification de leurs systèmes de détection, d’information sur les attaques, et de soumission à des contrôles. Elle exige également la mise en place d’équipements de détection d’attaques informatiques exploités par des prestataires qualifiés par l’ANSSI ou d’autres services de l’État. Environ 200 OIV sont concernés, dont 120 dans le secteur privé et 80 dans le public. En 2021, une centaine d’hôpitaux ont été ajoutés à la liste des OSE en raison de l’augmentation des attaques par rançongiciel.
    • Le plan Vigipirate inclut la cybersécurité comme l’un de ses 12 domaines, impliquant directement l’ANSSI, les OIV, leurs sous-traitants et les administrations.
    • Un label « France Cybersecurity » a été créé pour sensibiliser les utilisateurs, attester la qualité des produits et services labellisés, et promouvoir les solutions françaises.
  • Royaume-Uni :
    • Le Plan stratégique national 2016-2021 sur la cybersécurité, publié en novembre 2016, vise à défendre le pays, dissuader les attaquants et développer un secteur d’activité autour de la cybersécurité. Il est soutenu par un investissement de 1,9 milliard de livres sterling.
    • Le National Cyber Security Centre (NCSC), créé en octobre 2016, met en œuvre ce plan et fournit des conseils, comme les « 10 étapes pour garantir la cybersécurité ».
  • Japon :
    • Le Japon a adopté des plans stratégiques en Cybersécurité en juin 2013 et septembre 2015, visant à créer un cyberespace dynamique et résilient et à faire du Japon un leader dans le domaine.
    • Le NISC (National Information Security Center), rebaptisé Centre National de préparation contre les incidents et de la stratégie en Cybersécurité, a vu ses responsabilités accrues pour coordonner les actions opérationnelles d’intérêt national.
  • Chine :
    • Sa première loi fondamentale sur la Cybersécurité, adoptée en novembre 2016 et entrée en vigueur en juin 2017, formalise la notion de souveraineté nationale dans le Cyberespace et introduit des définitions pour les opérateurs d’importance vitale (OIV) et leurs infrastructures critiques, similaires à celles utilisées en France. Elle vise à maintenir la sécurité des réseaux, sauvegarder la sécurité nationale, protéger les droits des citoyens et des organisations, et promouvoir le développement sain des technologies de l’information. Elle encourage notamment la localisation des données des utilisateurs chinois en Chine.
  • Cuba :
    • En août 2021, les autorités cubaines ont promulgué une première loi sur la cybersécurité, qui vise à gérer les incidents par la prévention, la détection et la réponse aux attaques, mais encadre également l’usage des réseaux sociaux, pénalisant la « subversion sociale » qui peut « troubler l’ordre public » ou « promouvoir l’indiscipline ».

Organismes et initiatives clés

Ces organismes et initiatives jouent un rôle crucial dans la mise en œuvre des politiques de cybersécurité et la promotion de la coopération.

  • ANSSI (Agence nationale de la sécurité des systèmes d’information) :
    • Missions : L’ANSSI contribue à la protection numérique des entreprises en anticipant et détectant les menaces, et en mettant en place des dispositifs de protection. Elle définit et met en œuvre la politique de formation à la SSI via son Centre de Formation (CFSSI). Elle apporte son expertise en matière de recherche et d’innovation en cybersécurité. L’ANSSI est chargée de la mise en œuvre du plan Vigipirate dans le domaine de la cybersécurité.
    • Stratégie : L’ANSSI accompagne les employeurs, étudiants et formateurs pour développer la prise en compte des enjeux de cybersécurité et promouvoir les formations spécialisées, notamment via les dispositifs CyberEdu et SecNumedu. SecNumedu labellise les formations supérieures spécialisées en cybersécurité qui répondent à des critères précis (contenu, volume horaire, pratique, reconnaissance par l’État).
    • Écosystème : Elle participe à l’écosystème international de cybersécurité et aux CSIRT territoriaux. Elle collabore avec des acteurs publics et privés, et est un membre fondateur du Campus Cyber pour la formation initiale et continue.
    • Rapports d’activités : L’ANSSI publie annuellement un panorama de la cybermenace pour sensibiliser à la menace et souligner l’importance des mesures de sécurité. Son rapport d’activité 2024 a été publié en avril 2025.
    • Développement de solutions de confiance : Elle accompagne les offreurs de solutions, notamment cloud, et gère les dispositifs d’évaluation de sécurité tels que les Visas de sécurité, la certification et la qualification.
  • CERT-FR (Centre gouvernemental d’alerte et de réponse aux attaques informatiques) : C’est un partenaire clé de l’ANSSI, dont la mission est la veille, l’alerte et la réponse aux attaques informatiques. Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7 qui accompagne les établissements de santé face aux incidents majeurs.
  • GIP ACYMA (Groupement d’Intérêt Public « Action contre la Cybermalveillance ») : Constitué en mars 2017, il regroupe des acteurs publics et privés de la cybersécurité. Il assiste les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance via la plateforme Cybermalveillance.gouv.fr, lancée en octobre 2017. Ses missions incluent l’information, la sensibilisation au risque cyber, et l’observation et l’anticipation du risque numérique. Il propose une assistance en ligne via le service 17Cyber et un accompagnement par tchat 24/7 avec un gendarme ou un policier si nécessaire. Il pilote notamment le Mois européen de la cybersécurité en France.
  • Campus Cyber : Confirmé en février 2021 et inauguré en février 2022 par le Président Emmanuel Macron. C’est le lieu totem de la cybersécurité en France, regroupant sur un même site des entreprises (grands groupes, PME), des services de l’État, des organismes de formation, des acteurs de la recherche et des associations. Sa mission est de protéger la société et de faire rayonner l’excellence française dans le domaine, en développant des synergies entre les différents acteurs. L’EPITA en est un membre fondateur.
  • Observatoires et Rapports :
    • Les Rapports CERT Santé fournissent des chiffres clés sur le risque cyber dans le secteur de la santé, révélant par exemple que les établissements publics de santé représentent 10% des attaques par rançongiciel (selon l’ANSSI), et qu’il y a eu 1173 déclarations d’incidents en 2022 et 2023.
    • Le Panorama de la cybermenace ANSSI est publié chaque année pour informer et sensibiliser à l’évolution des menaces.

En conclusion, la cybersécurité repose sur une combinaison de réglementations nationales et internationales, d’organismes dédiés et d’initiatives de coopération visant à anticiper, détecter et répondre efficacement aux menaces numériques. La sensibilisation et la formation des utilisateurs, des entreprises et des gouvernements sont des piliers fondamentaux de cette stratégie de défense globale.