Chaque particulier et chaque organisation est responsable de la protection de ses syst\u00e8mes informatiques. Ce principe fondamental, qui s\u2019est impos\u00e9 d\u00e8s la fin des ann\u00e9es 1990 dans le domaine de la cybers\u00e9curit\u00e9, repose sur l\u2019id\u00e9e d\u2019une responsabilit\u00e9 individuelle bas\u00e9e essentiellement sur le volontariat. Jusqu\u2019\u00e0 un certain point, cette approche fonctionne bien, mais le niveau de protection qu\u2019elle permet d\u2019atteindre demeure insuffisant pour la soci\u00e9t\u00e9 et l\u2019\u00e9conomie dans leur ensemble.<\/p>\n
Cette situation s\u2019explique par l\u2019interconnexion \u00e9troite existant entre les syst\u00e8mes techniques, tels que les installations de contr\u00f4le industriel, les services en nuages et les plateformes, les r\u00e9seaux de cha\u00eenes d\u2019approvisionnement et les syst\u00e8mes de paiement num\u00e9riques. Cette interconnexion g\u00e9n\u00e8re des effets externes: les d\u00e9cisions individuelles prises en mati\u00e8re de cybers\u00e9curit\u00e9 ont des r\u00e9percussions, positives ou n\u00e9gatives, sur d\u2019autres secteurs.<\/p>\n
Un effet externe n\u00e9gatif survient, par exemple, quand une entreprise ne prot\u00e8ge pas suffisamment ses syst\u00e8mes: des cybercriminels peuvent alors exploiter cette faille pour attaquer ses partenaires, sa client\u00e8le ou l\u2019ensemble de la cha\u00eene d\u2019approvisionnement. L\u2019entreprise concern\u00e9e ne supporte alors qu\u2019une infime partie des dommages, dont la majeure partie touche d\u2019autres acteurs.<\/p>\n
\u00c0 l\u2019inverse, un effet externe positif appara\u00eet quand une entreprise investit massivement dans la cybers\u00e9curit\u00e9, \u00e9vitant ainsi la propagation de logiciels malveillants ou partageant avec le secteur des informations sur les menaces identifi\u00e9es. Dans ce cas, m\u00eame les acteurs qui investissent peu ou pas du tout dans la s\u00e9curit\u00e9 informatique b\u00e9n\u00e9ficient des mesures mises en place par cette entreprise.<\/p>\n
Cette dynamique entra\u00eene une d\u00e9faillance classique du march\u00e9: dans l\u2019ensemble, on investit trop peu dans la cybers\u00e9curit\u00e9. La motivation individuelle est plus faible que ce qui serait souhaitable du point de vue de la soci\u00e9t\u00e9, car une partie des b\u00e9n\u00e9fices tir\u00e9s de ces investissements profite \u00e0 d\u2019autres acteurs sans que ces derniers aient besoin d\u2019en supporter les co\u00fbts. Ce probl\u00e8me de \u00abpassager clandestin\u00bb est \u00e9troitement li\u00e9 au sous-approvisionnement en biens publics: tous profitent d\u2019un niveau \u00e9lev\u00e9 de cybers\u00e9curit\u00e9 et personne ne peut en \u00eatre exclu. C\u2019est pourquoi les incitations \u00e0 investir soi-m\u00eame dans la cybers\u00e9curit\u00e9 sont faibles.<\/p>\n
En parall\u00e8le, la cybermenace grandit. Les attaques s\u2019av\u00e8rent de plus en plus payantes, car la surface d\u2019exposition augmente avec la num\u00e9risation, les services en nuage et le travail nomade, tandis que la probabilit\u00e9 de d\u00e9masquer leurs auteurs reste faible. Agissant de mani\u00e8re anonyme et souvent par-del\u00e0 les fronti\u00e8res nationales, les cybercriminels peuvent r\u00e9aliser des gains consid\u00e9rables, d\u2019autant plus que les seuils d\u2019acc\u00e8s \u00e0 la cybercriminalit\u00e9 diminuent consid\u00e9rablement. Des outils d\u2019attaque pr\u00eats \u00e0 l\u2019emploi et des kits de ran\u00e7ongiciels sont propos\u00e9s sur l\u2019Internet clandestin (darknet) <\/em>sous la forme de \u00abcybercrime-as-a-service\u00bb<\/em>, pendant que des outils automatis\u00e9s permettent aux malfaiteurs de lancer des attaques efficaces sans avoir besoin de connaissances ou de comp\u00e9tences techniques approfondies dans ce domaine. \u00c0 cela vient s\u2019ajouter le fait que des acteurs \u00e9tatiques ou proches de l\u2019\u00c9tat font un usage strat\u00e9gique des cyberattaques \u00e0 des fins d\u2019espionnage, de sabotage ou d\u2019exercice du pouvoir g\u00e9opolitique. \u00c9tant donn\u00e9 qu\u2019ils disposent du temps, des ressources et du savoir-faire n\u00e9cessaires pour mener de telles attaques, les co\u00fbts li\u00e9s \u00e0 la mise en place de mesures de protection appropri\u00e9es pour les entreprises et les institutions augmentent, tout comme ceux engendr\u00e9s par les dommages caus\u00e9s par ces attaques.<\/p>\n Le professionnalisme et la puissance des attaques actuelles montrent que les mesures collectives, c\u2019est-\u00e0-dire les efforts coordonn\u00e9s de l\u2019\u00c9tat, des entreprises et des particuliers, sont d\u00e9sormais indispensables. N\u00e9anmoins, le principe de base demeure: rien ne fonctionne sans la responsabilit\u00e9 individuelle car elle est la condition pr\u00e9alable \u00e0 l\u2019efficacit\u00e9 des mesures collectives, la s\u00e9curit\u00e9 commune reposant toujours sur la pr\u00e9vention individuelle. Quiconque n\u00e9glige les mises \u00e0 jour, utilise des mots de passe faibles ou ignore les mesures de protection \u00e9l\u00e9mentaires ne met pas seulement en danger sa propre s\u00e9curit\u00e9, mais permet \u00e9galement aux cybercriminels d\u2019acc\u00e9der \u00e0 l\u2019ensemble du r\u00e9seau.<\/p>\n Jusqu\u2019o\u00f9 va la responsabilit\u00e9 individuelle et quand l\u2019\u00c9tat doit-il intervenir? Il n\u2019existe pas de r\u00e9ponse simple \u00e0 cette question fondamentale, car la nature des menaces, les possibilit\u00e9s techniques et les incitations \u00e9conomiques \u00e9voluent en permanence. Ce qui est aujourd\u2019hui consid\u00e9r\u00e9 comme une contribution individuelle raisonnable peut s\u2019av\u00e9rer excessif demain si la complexit\u00e9 des attaques ou le co\u00fbt des mesures de protection d\u00e9passent les moyens des entreprises ou des particuliers. \u00c0 l\u2019inverse, des mesures de protection qui \u00e9taient jusqu\u2019\u00e0 pr\u00e9sent difficiles \u00e0 mettre en \u0153uvre peuvent \u00eatre simplifi\u00e9es gr\u00e2ce \u00e0 l\u2019apparition de nouvelles technologies, telles que les mises \u00e0 jour de s\u00e9curit\u00e9 automatiques, la d\u00e9tection d\u2019intrusions fond\u00e9e sur l\u2019intelligence artificielle ou la fourniture centralis\u00e9e de services en nuage.<\/p>\n Les travaux de recherche et la pratique permettent d\u2019identifier deux principes directeurs en mati\u00e8re de cybers\u00e9curit\u00e9. Premi\u00e8rement, la responsabilit\u00e9 individuelle se limite aux mesures de protection qui peuvent \u00eatre mises en \u0153uvre au prix d\u2019un effort technique, organisationnel et financier raisonnable. Il est donc l\u00e9gitime d\u2019attendre des entreprises et des particuliers qu\u2019ils prennent des pr\u00e9cautions \u00e9l\u00e9mentaires: maintenir leurs syst\u00e8mes \u00e0 jour, s\u00e9curiser leurs identifiants, effectuer des sauvegardes et former leur personnel. Constituant une bonne hygi\u00e8ne num\u00e9rique, ces pratiques sont aujourd\u2019hui la norme et font partie int\u00e9grante du devoir individuel de diligence num\u00e9rique.<\/p>\n Deuxi\u00e8mement, l\u2019\u00c9tat intervient en cas de d\u00e9faillance du march\u00e9. La cybers\u00e9curit\u00e9 est un bien public, du moins au niveau national: car une panne d\u2019infrastructures critiques, de services publics ou de prestations num\u00e9riques relevant du service universel affecte l\u2019ensemble de la soci\u00e9t\u00e9. Il incombe donc \u00e0 l\u2019\u00c9tat d\u2019assurer un minimum de protection en mettant en place un cadre l\u00e9gal clair, une surveillance et une coordination et, le cas \u00e9ch\u00e9ant, en intervenant directement.<\/p>\n Parmi les missions centrales de l\u2019\u00c9tat figure la d\u00e9finition de normes minimales dans le but de renforcer le niveau g\u00e9n\u00e9ral de protection et d\u2019\u00e9viter que la s\u00e9curit\u00e9 ne devienne une option laiss\u00e9e au bon vouloir de chacun. Tout comme la gestion des donn\u00e9es sensibles, les secteurs particuli\u00e8rement expos\u00e9s (\u00e9nergie, sant\u00e9, transports, etc.) n\u00e9cessitent des prescriptions sp\u00e9cifiques.<\/p>\nLa responsabilit\u00e9 personnelle, un fondement<\/h2>\n
L\u2019intervention de l\u2019\u00c9tat en cas de d\u00e9faillance du march\u00e9<\/h2>\n
Les instruments de l\u2019\u00c9tat<\/h2>\n