MISSION

La Chaire Cyber et souveraineté numérique – IHEDN s’inscrit dans l’effort français de défendre les intérêts stratégiques de la France et sa souveraineté numérique alors qu’elle subit de nombreuses attaques cyber.

La souveraineté numérique peut être définie comme la capacité à rester maître de ses choix et de ses valeurs dans une société numérisée. Elle suppose une capacité autonome d’appréciation, de décision et d’action dans le cyberespace (Sénat, 2019). Elle peut aussi être entendue comme un levier d’influence des processus d’innovation, tant à l’intérieur qu’à l’extérieur de ses frontières.

La souveraineté numérique nécessite le développement des moyens de son exercice et se joue aussi bien aux niveaux politique, que scientifique, industriel ou juridique. Elle pose donc plusieurs questions qui concernent notamment la localisation des données, la nationalité des entreprises, l’extraterritorialité du droit de certains États ou organisations internationales, les dépendances logistiques, la sous-traitance et les délocalisations, etc.

Ces dernières années, le contexte cyber dans lequel ce concept de souveraineté numérique doit être considéré a profondément évolué :

  • Les systèmes numériques sont de plus en plus complexes et dynamiques. Cette complexité se traduit notamment par une grande interconnexion de systèmes souvent hétérogènes ; la chaîne logistique permettant de produire les logiciels assemblés dans ces systèmes fait intervenir un nombre d’acteurs potentiellement grand, voire incontrôlé lorsqu’il s’agit de logiciels ouverts ; ces systèmes intègrent des composants de niveaux de confiance moindre, soit parce que les fabricants tiers de ces composants n’offrent pas de transparence sur ceux-ci, ou bien car il s’agit de composants hérités (« legacy components »), conçus à une époque où les exigences de cybersécurité étaient plus faibles.
  • Les risques de perte de souveraineté dans la société numérique se sont multipliés et diversifiés notamment du fait de la complexification des systèmes. Les cyberattaques regroupent maintenant, outre des actions de cybercriminalité, des actions étatiques à but stratégique, ou encore des menaces émanant d’acteurs non étatiques défiant la souveraineté des Etats. Ces attaques concernent tout autant les infrastructures et les services (déni de service distribué ou DDoS, « Advanced Persistent Threat » ou APT, etc.) que les données qu’ils véhiculent et stockent (désinformation, manipulation, déstabilisation, etc.).
  • Afin de renforcer leur souveraineté, certains pays ont adopté des lois (parfois de portée extraterritoriale), des doctrines et des stratégies différentes, en fonction de leurs compétences, de leurs intérêts, de leur histoire et du rôle qu’ils veulent jouer dans le cyberespace et sur la scène internationale.

Dans ce contexte nouveau, la Chaire a pour objectif contribuer à la réflexion sur la souveraineté numérique française et la cybersécurité, grâce à une recherche pluridisciplinaire, au carrefour entre les sciences de l’ingénieur et les sciences humaines et sociales, visant à participer activement à l’effort national, pour l’élaboration d’une stratégie de cybersécurité destinée aux entreprises, au gouvernement et à la société civile.

La Chaire est rattachée à l’Institut des hautes études de défense nationale (IHEDN) à travers son Fonds de dotation.

Approche et axes de travail

À partir d’une analyse géostratégique, ou géopolitique, qui étudiera les rapports de force dans ce nouveau contexte numérique, les recherches de la Chaire se porteront ensuite sur une analyse de l’adéquation des doctrines cyber à la réalité géopolitique de ces menaces.

Celle-ci devra non seulement déboucher sur l’identification de menaces pour nos mécènes, mais aussi leur offrir la possibilité de concevoir des cahiers des charges pour le développement d’outils permettant d’augmenter la souveraineté numérique, donnant ainsi à la France, et à l’Europe, la capacité d’accéder à une véritable autonomie stratégique.

Les travaux initiaux s’articuleront autour de trois axes :

  • Analyse géopolitique et prospective des menaces cyber et impact sur la souveraineté numérique : analyse géostratégique des groupes d’attaquants, des menaces et typologie des attaques (objectifs, modes opératoires…), impact des évolutions des grands écosystèmes (micro-électronique, logiciel libre,…) impact des régulations internationales sur la souveraineté numérique, établissement d’une grille de critères d’évaluation de la souveraineté numérique, caractérisation des critères de souveraineté numérique impactés suivant les types de menaces ;
  • Étude et adaptation des doctrines : étude comparative au niveau international des doctrines, analyse de l’adéquation de la doctrine française vis-à-vis de l’analyse stratégique des menaces, recommandations d’évolution de la doctrine française, définition des leviers permettant de la mettre en œuvre en fonction des critères de souveraineté ;
  • Identification et définition de briques pour asseoir une souveraineté numérique : classification des composants technologiques existants en fonction des critères de souveraineté identifiés, étude des méthodes et mécanismes de collecte et d’analyse d’information liées à la cybersécurité (« Cyber Threat Intelligence »), étude des méthodes et mécanismes d’attribution d’attaques, définition de mécanismes de sécurisation des techniques d’apprentissage automatiques, étude d’approches de cybersécurité en rupture technologique (approches « Moving Target Defense », cryptologie post-quantique, …), étude des enjeux juridiques et proposition d’évolution de régulation, approches prenant en compte les facteurs humains dans les prises de décisions de cybersécurité.

Ces travaux s’appuieront sur des études de cas qui pourront concerner différents secteurs industriels (naval, nucléaire, etc.).