Dans le cadre de ses travaux, l'Agora41 innove en organisant toutes les 6 semaines des matinales de réflexion sur des sujets stratégiques. Pour sa première session, l'Agora41 a choisi le thème de l'orientation bénéficiaires de l'administration, une des orientations de développement privilégiées par l'ANSSI dans son Manifeste 2020.

Les enjeux de cybersécurité concernent tant la sphère publique que privée. En particulier, eu égard aux agents économiques, la sécurité des systèmes d'information et la protection face aux cyber-menaces ne sont pas des préoccupations exclusives des grands groupes mais également des TPE/PME. Dès lors, comment mener une politique en faveur de la protection des systèmes d'information qui réponde aux attentes, aux besoins et aux contraintes de la société dans son ensemble ?

3 piliers en faveur d'une cybersécurité plus orientée bénéficiaires: le partage d'informations, la cyber-sensibilisation et l'identification des besoins en matière de cybersécurité.

L'accessibilité de l'offre en matière de cybersécurité et le partage d'informations au sein de la communauté cyber sont une réponse essentielle aux besoins des usagers du numérique

La création d'une plateforme publique pourrait répondre à ce double enjeu d'accessibilité de l'offre en matière de cyber sécurité et de partage de l'information, leviers importants de " l'orientation bénéficiaires ".

D'une part, elle pourrait recenser l'offre cyber disponible, tant locale que sectorielle, et valoriser les bonnes pratiques. En effet, une des conséquences du développement du numérique est d'avoir atomisé l'offre et la demande. Ainsi, les entités confrontées à un problème ne savent pas où chercher la solution alors même que cette dernière existe souvent. La recenser sur cette plateforme la rendrait plus visible. De plus, des solutions locales existent et devraient également y être diffusées.

D'autre part, cette plateforme publique hébergerait des données sensibles auxquelles les entreprises auraient accès en fonction de leurs besoins. Toutefois, l'accès serait limité aux résultats des algorithmes, pas aux données brutes. Il s'agirait d'un changement de paradigme dans le fonctionnement des entreprises exploitant les données: les données n'iraient plus à l'intelligence artificielle (IA) mais l'IA irait à la donnée.

La sensibilisation aux enjeux numériques constitue la pierre angulaire d'une cybersécurité au service de ceux qu'elle protège

Si des solutions existent aujourd'hui en matière de sensibilisation aux enjeux de cybersécurité, ces outils méritent d'être mieux connus. Il en va ainsi du MOOC SecNumAcademie développé par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). De même, la décision d'adjoindre une dimension cyber au Service national universel (SNU) va dans le sens d'une sensibilisation accrue de la société aux enjeux de cybersécurité.

L'effort de sensibilisation devrait cibler en particulier les jeunes, les TPE/PME ainsi que l'administration au travers de dispositifs spécifiques.

Ainsi, les enjeux de cybersécurité devraient être abordés dans le cadre de la formation des jeunes. Le canal des Grandes Ecoles pourrait alors être privilégié, ces dernières formant les dirigeants à venir. La sensibilisation pourrait par exemple prendre la forme de hackathons ainsi que de simulations de cyber-attaques. De plus, afin de rendre plus palpable le monde numérique, il pourrait être intéressant de réaliser " les plans reliefs du numérique " sur le même principe que les plans reliefs des Invalides.

En outre, la cybersécurité ne concerne pas seulement les grands groupes mais tout le tissu économique. Les petits acteurs notamment (TPE/PME) sont particulièrement vulnérables et requièrent donc une sensibilisation spécifique.

Enfin, la sensibilisation de l'administration pourrait passer par l'introduction de clauses cyber dans les contrats publics. Cette stratégie s'insère dans la diversification des critères à prendre en compte dans la passation de marchés publics aujourd'hui, comme le développement durable ou la clause d'insertion sociale. Cela permettrait de rendre le critère de robustesse cyber plus déterminant dans les appels d'offre publics. Partant, cela sensibiliserait également les entreprises.

L'orientation besoins constitue une approche du service à l'usager à privilégier

L'identification des besoins devrait être privilégiée à l'identification des typologies de bénéficiaires, car à une même catégorie de personnes peuvent correspondre des solutions très différentes. Dans ce contexte, la prévention et la confiance sont deux besoins déterminants en matière de cybersécurité.

D'une part, la prévention face aux risques cyber concerne tant les organismes d'importance vitale (OIV) que les acteurs de leur écosystème. Par analogie avec le monde médical, qui inspire souvent le vocabulaire informatique, les caractéristiques et modalités d'une " cyber-vaccination obligatoire " pourraient être définies afin de protéger le système dans son ensemble. En effet, les sous-traitants et les partenaires d'ordre N des OIV peuvent servir de relais à des cyber-attaques les ciblant. Dès lors, une protection réduite aux OIV ne saurait être suffisante. La question de la sécurité de la supply chain est à cet égard fondamentale.

D'autre part, la confiance au sein du cyber espace est un besoin commun à tous les usagers qui pourrait trouver une réponse dans la création de professions réglementées pour le numérique. Historiquement, la sécurité industrielle de la France dépendait des professions réglementées. Le déficit de régulation dans le monde numérique ainsi que la relative liberté dont jouissent les acteurs économiques ont transformé le cyber espace en " jungle ". Ainsi, il est difficile pour une entreprise de savoir à qui faire confiance, notamment car la cybersécurité est un domaine technique avec une barrière de vocabulaire. Face à l'impossibilité de réguler tous les acteurs, il conviendrait d'identifier ce qui est de l'ordre de la cybersécurité fondamentale du citoyen. Dans le cyber espace, l'ANSSI ne peut pas répondre aux besoins de millions de personnes cyber agressées quotidiennement. Une idée serait de créer des corps intermédiaires en charge de répondre à ces besoins.


Une administration chargée de la cybersécurité qui souhaiterait développer son service à l'usager devrait donc orienter ses efforts selon 3 axes: l'accessibilité et la complétude de l'offre cyber, le partage d'informations au sein de la communauté ainsi que l'identification des besoins des usagers. Ce triptyque est au coeur d'une action plus orientée bénéficiaires qui s'appuierait sur 3 dispositifs: une plateforme publique de recensement et de partage d'informations, des outils de sensibilisation adaptés à chaque public cible, ainsi que la création de professions numériques réglementées.