Projet de loi autorisant l'approbation de l'accord portant création du Centre de développement des capacités cyber dans les Balkans occidentaux (C3BO)

N° 284

SÉNAT

SESSION ORDINAIRE DE 2024-2025

RAPPORT

FAIT

au nom de la commission des affaires étrangères, de la défense et des forces armées (1) sur le projet de loi autorisant l'approbation de l'accord portant création du Centre
de développement des capacités cyber dans les Balkans occidentaux (C3BO),

Par Mme Sylvie GOY-CHAVENT,

Sénateur

Voir les numéros :

L'ESSENTIEL

Le présent projet de loi a pour objet l'approbation de l'accord, signé à Tirana le 16 octobre 2023 entre le gouvernement de la République française, le Monténégro et la République de Slovénie, relatif à la création d'un Centre de développement des capacités cyber dans les Balkans occidentaux (soit : l'Albanie, la Bosnie-Herzégovine, le Kosovo, la Macédoine du Nord, le Monténégro, et la Serbie), dit « C3BO » ; cet accord permet notamment de conférer au C3BO le statut d'organisation internationale.

La cybersécurité constitue dorénavant un enjeu majeur de l'environnement numérique mondial, avec une montée en puissance fulgurante, tant qualitative que quantitative, des capacités d'agression. Face à de telles attaques, à défaut d'une politique de cyber-résilience robuste, des États entiers peuvent se trouver ébranlés, comme le Monténégro et l'Albanie en firent l'expérience en 2022, à leurs dépens.

Les pays des Balkans occidentaux font en effet figure de cibles faciles, du fait de l'insuffisance de leur culture en matière de cybersécurité et de leur difficulté à former et retenir les compétences en la matière. Or de ce fait, ils créent un risque de compromission par rebond de notre propre cyberespace, national, européen, et atlantiste.

Si l'ensemble de la région aspire à un rapprochement, voire à une intégration, avec l'Union européenne et l'OTAN, ce tropisme euro-atlantiste s'érode peu à peu, du fait de l'attente délétère de ces pays dans l'antichambre européenne, mais aussi du jeu d'influences et d'ingérences très agressif dont ils font l'objet de la part notamment de la Russie.

C'est pourquoi le C3BO faisant l'objet du présent projet de loi apparaît comme une initiative particulièrement opportune de la France et de la Slovénie : le Centre, implanté à Podgorica (Monténégro), dispensera cette année 31 formations par an dans les domaines de la cybersécurité, au bénéfice de quelque 600 stagiaires originaires de la région, pour un coût global de 1,05 millions €, dont 870 000 € (83%) à la charge de la France. A cet égard, le C3BO est porteur d'un signal d'autant plus fort qu'il permet également, en même temps qu'il améliore le niveau de résilience cyber des Balkans occidentaux et alimente le partenariat entre la France et cette région d'importance géostratégique majeure, de la rapprocher des standards de l'Union européenne et notamment de la directive NIS2.

Enfin ce Centre participe au « soft power » français : avec des compétences qui lui permettent de se positionner à l'échelle internationale comme une puissance cyber de premier rang, responsable, coopérative et solidaire, la France tire de son rôle cyber-diplomatique un bénéfice réputationnel important, auquel le C3BO viendra assurément contribuer.

L'objet de cet accord est d'autoriser la transformation de l'actuel C3BO en organisation internationale. Ce statut devrait permettre de renforcer la sécurité juridique du centre en lui conférant une personnalité juridique internationale, dotée d'un conseil d'administration, d'une gouvernance et d'un financement dédiés. La France, la Slovénie et le Monténégro en seraient les membres fondateurs ; les 5 autres pays des Balkans occidentaux ont vocation à en devenir membres ; l'accord prévoit en outre qu'ils pourraient être rejoints le cas échéant par d'autres pays européens. La future organisation internationale présentera notamment l'avantage, par rapport au format actuel, de permettre un financement par ces futurs autres membres et, à terme, par l'Union européenne.

La commission des affaires étrangères, de la défense et des forces armées a adopté ce projet de loi, dont le Sénat est saisi en premier, assorti de deux recommandations d'ordre financier.

1) I. APPROCHE CONTEXTUELLE

A. LA CYBERSÉCURITÉ : UN ENJEU CRITIQUE

Le développement croissant des usages du numérique depuis une vingtaine d'années a forgé, de facto et en l'absence de toute architecture structurante préétablie - un nouveau concept en même temps qu'une nouvelle réalité, appelée « cyberespace »^1(*) . Défini par l'interconnexion mondiale de l'ensemble des équipements, applications et données numériques, on considère habituellement qu'il est composé de trois couches :

- Matérielle, englobant tant les infrastructures telles les câbles sous-marins, les satellites, les datas centers, que les ordinateurs, smartphones et l'ensemble des appareils connectés.

- Logicielle, permettant le fonctionnement du matériel physique connecté.

- Informationnelle, c'est-à-dire les données en circulation.

A l'heure où la bonne marche d'un État (dans les domaines logistique, médical, commercial, administratif, financier... mais aussi policier et militaire) s'identifie à celle de son cyberespace, la dépendance de nos sociétés au bon fonctionnement de leurs services numériques constitue une donnée irréversible de la modernité.

L'apparition de cet environnement numérique planétaire, caractérisé tant par son absence de frontière que par son absence de régulation, s'est vu accompagné par celle de nouvelles menaces, concernant potentiellement chacune de ses trois couches. L'extension du cyberespace, et donc des surfaces d'attaque potentielle offerte aux agresseurs, ainsi que l'interdépendance des États au sein de cet espace, constituent à cet égard autant d'opportunités pour nos adversaires, qu'ils soient étatiques ou non-étatiques : visées criminelles, espionnage, déstabilisation, ingérence ou guerre hybride...

Les panoramas de la menace 2022 et 2023 de l'ANSSI mettent en lumière une évolution de la menace cyber, qui, alors qu'elle se concentrait précédemment sur les acteurs et opérateurs stratégiques, ciblent désormais le tissu social et économique de manière indifférenciée : ainsi, en 2023 en France, 69 % des cyberattaques visaient des entreprises, 20 % concernaient des collectivités territoriales et 11 % des établissements de santé.

Les différents scenarios-catastrophe que l'on a connus récemment au Monténégro, en Albanie, mais aussi en Union européenne ou Etats-Unis, ont fait la preuve, s'il était besoin, de l'extrême capacité de nuisance de telles attaques.

Le domaine cyber constitue désormais l'un des enjeux géostratégiques majeurs et fait partie intégrante des rapports de force qui régissent les relations internationales.

1. Les différentes facettes de la menace cyber

La notion d'« attaque cyber », qui se caractérise par l'infiltration d'un système informatique dans un but malveillant, recouvre une typologie variée d'actes, différant par leurs modes opératoires, leurs auteurs, leurs objectifs... et qu'il convient de distinguer.

a) Les « cyber-agresseurs », ou les nouveaux visages du danger

La menace cyber se caractérise par l'hétérogénéité de ses attaquants ; on distingue généralement parmi eux trois grandes catégories d'agresseurs, allant de l'échelle de l'individu à l'échelle étatique.

Pour autant, cette hétérogénéité n'exclut pas une certaine porosité entre les trois catégories : ainsi la compétence technique des « hacktivistes » opérant en « zone grise » est particulièrement prisée, tant par les services étatiques que par les criminels, qui sont également intéressés pour les recruter.

Ø États et agences de renseignement : les acteurs masqués d'une guerre non assumée

Les États et leurs agences de renseignement, du fait des importantes ressources humaines et matérielles dont elles disposent, ont la capacité de réaliser des opérations offensives de grande ampleur et de longue durée. L'évolution géopolitique des dernières années a vu la montée en puissance de différents États qui se sont engagés dans une guerre hybride prenant pour cible, notamment, les démocraties occidentales dont la France.

De telles agressions recouvrent un large panel d'actions, pouvant aller des attaques réputationnelles, dont l'ampleur et l'impact sont variables et difficilement quantifiables, à des offensives majeures et spectaculaires, telle la cyberattaque dont a été victime le Monténégro en août 2022, ou les ingérences électorales directes récemment avérées.

Certaines opérations d'influence reposent sur la compromission de contenus légitimes (boîtes mails, sites internet) afin de pouvoir diffuser des contenus altérés (« fake news »). D'autres attaques chercheront à empêcher le fonctionnement des sites officiels (« déni de service »). Pour les auteurs de ces opérations, il s'agit avant tout de modifier les perceptions d'une population et de déstabiliser un acteur donné ou un processus démocratique.

Pour ne citer que l'offensive la plus récente, dans notre pays, le 31 décembre dernier, les infrastructures numériques de plusieurs villes et départements français ont fait l'objet d'une attaque coordonnée : Marseille, Bordeaux, Nantes, Nice, Pau, Poitiers ou encore Tarbes ont vu leurs sites rendus inaccessibles. Le lendemain, d'autres entités comme la ville de Montpellier, les départements de l'Aude et de l'Eure, ainsi que la région Centre-Val-de-Loire rejoignaient la liste des collectivités touchées. Selon les informations disponibles, ces actes malveillants seraient attribués au groupe de hackers pro-russe NoName05716.

De telles attaques, qui recherchent généralement une visibilité maximale, relèvent souvent de la démonstration de force ; elles visent, en renvoyant une image délétère de la sécurité d'un État, à fragiliser ses institutions ou ses dirigeants. Au-delà de leurs conséquences immédiates, leur récurrence constitue également en soi un préjudice, par son impact psychologique déstabilisateur. Plusieurs États s'illustrent notoirement dans de telles activités hostiles - Russie, Chine, Azerbaïdjan, Iran, Turquie... notamment.

Inversement, les attaques à fins d'espionnage ont vocation à demeurer invisibles de façon à prolonger le plus longtemps possible l'accès aux informations ciblées. Elles peuvent viser tant des institutions, services de l'État, ou installations critiques, que des entreprises privées (espionnage industriel). Elles ont pour objectif, dans le premier cas, de pirater des renseignements stratégiques ou militaires, ou encore, dans le second, d'accéder à des données techniques, financières ou commerciales, à des informations concernant des brevets ou des marchés publics... On soulignera que les auteurs de telles attaques, loin de se limiter à nos compétiteurs identifiés comme tels, sont bien souvent des pays considérés comme alliés de la France.

Ø Les « Hacktivistes » : des « chapeaux blancs » aux « chapeaux noirs », cinquante nuances de gris

Le mot-valise « hacktiviste » - contraction de « hacker » et « activiste » - désigne un individu, ou collectif d'individus, qui va chercher à infiltrer illégalement des réseaux informatiques à des fins militantes, de façon à diffuser une critique ciblée à l'encontre de personnalités, d'entreprises, de politiques, d'opinions^2(*)...

En fonction des motivations plus ou moins éthiques des hackers, on parlera de « white hat hacker » ou de « grey hat hacker ». La première catégorie recouvre une catégorie de métiers oeuvrant légalement à la recherche des failles fragilisant les logiciels et les systèmes informatiques ; ils s'opposent aux cybercriminels, ou « black hat hackers ».

Les hacktivistes sont généralement considérés comme des “grey hats hackers”, oscillant entre le monde des « blancs » et celui des « noirs » : plus sensibles à la légitimité d'une action qu'à sa stricte légalité, ils sont susceptibles de basculer d'un côté ou de l'autre en fonction des intérêts qu'ils défendent ou des comportements qu'ils dénoncent.

Les hacktivistes recourent aux mêmes procédés que les hackers dits « noirs » : piratages, détournements de serveurs, « défacements » (remplacement d'une page d'accueil par un message), censure de messages, « géo-bombings » (ajout d'un tag à une vidéo permettant aux spectateurs de géolocaliser le lieu où elle a été prise), déni de services... etc, mais au nom d'une éthique qui leur est propre, volontiers libertaire, anti-système, anti-capitaliste... Certains hacktivistes deviennent également des lanceurs d'alertes^3(*) en diffusant des données confidentielles obtenues par piratage, afin de dénoncer à l'opinion publique certains agissements.

Ø Les organisations criminelles, ou la montée en puissance d'un écosystème de mieux en mieux structuré

Du fait de sa très grande vulnérabilité et, en même temps, de son caractère vital pour les États modernes, l'espace cyber est particulièrement exposé aux attaques à vocation criminelle qui vont chercher, dans un but lucratif, à en exploiter les faiblesses.

Leur finalité étant exclusivement l'appât du gain, leur ciblage est large et essentiellement opportuniste : entreprises, administrations et services de l'État, associations, établissements de santé, secteur de l'énergie et des télécommunications... mais aussi particuliers, constituent pour eux un immense vivier de victimes potentielles. Les PME sont particulièrement vulnérables, en raison des ressources limitées qu'elles peuvent généralement consacrer à la cybersécurité : c'est ainsi que le nombre d'entreprises de moins de dix salariés ayant subi une cyberattaque a augmenté de plus de 50% entre 2020 et 2023^4(*). Les grandes entreprises, les infrastructures stratégiques, les opérateurs téléphoniques, les institutions ou services publiques constituent des cibles de choix du fait du montant important de la potentielle rançon exigible^5(*). Enfin les particuliers font l'objet de sollicitations malveillantes multiples (phishing par courriel ou sms, appel d'un faux conseiller bancaire...) et de plus en plus élaborées.

Le cybercriminel poursuit un profit financier à un triple niveau :

- Suite à l'introduction d'un logiciel malveillant de chiffrement rendant inopérationnel le système informatique de la victime, une rançon est exigée en échange de la clé de chiffrement.

- Après vol des données de la victime, une rançon est exigée sous menace de les diffuser.

- La vente des données piratées.

Les conséquences de telles attaques sont très lourdes, notamment pour les PME, qui sortent bien souvent durablement fragilisées par l'incident, allant parfois jusqu'au dépôt de bilan^6(*).

b) Une évolution inquiétante...

Plusieurs évolutions récentes contribuent à aggraver l'acuité de la menace :

Tout d'abord la sophistication croissante des attaques, à la faveur notamment des multiples possibilités ouvertes par l'intelligence artificielle : ainsi, aux approximations concernant la grammaire, le contenu ou la charte graphique des messages, aux sollicitations téléphoniques maladroites, qui antérieurement ne manquaient pas de trahir des tentatives d'extorsion le plus souvent grossières, se sont peu à peu substitué des communications impeccables, reprenant dorénavant à la perfection tous les codes des messages écrits, ou reproduisant à s'y méprendre des voix ou même des visages en visioconférence.

Les « fermes » ou « usines à trolls » ont été développées par certains États^7(*) dans le but de répandre sur internet de fausses nouvelles et de mener des opérations de propagande. On citera notamment la Research Agency russe, qui est notamment soupçonnée d'avoir pesé sur les élections américaines de 2016 et sur le vote du Brexit. En Chine, ce sont des dizaines de milliers de faux comptes qui ont été identifiés, puis fermés par Facebook, Twitter et YouTube. D'autres États comme l'Iran utilisent des « trolls » à des fins de propagande intérieure. Avec l'émergence des « bots » (robots numériques), le développement de l'intelligence artificielle et l'appui des algorithmes des réseaux sociaux dont les « trolls » maîtrisent les subtilités, leur influence s'est décuplée.

Par ailleurs, alors que la conduite d'une cyberattaque requérait antérieurement un certain de degré de compétence en matière informatique, il existe à présent des « kits d'attaque » facilement accessibles en ligne sur le darknet, mettant à la portée d'internautes de tous niveaux des rançongiciels prêts à l'emploi. Ce phénomène, qui s'est considéré amplifié récemment, a pour effet de grossir la population d'agresseurs potentiels.

Le cyberespace a vu également apparaître de véritables officines, d'un très bon niveau technique, proposant de véritables services de piratage à leurs clients : outils clé en main, mais aussi offres d'expertise personnalisées ou analyses de vulnérabilités « 0-Day ». Si ces services sont généralement réservés à des clients étatiques dans le cadre de la lutte contre le terrorisme et la criminalité organisée, ils peuvent être détournés à des fins d'espionnage.

Enfin le milieu des cybercriminels est de plus en plus structuré, avec des forums permettant l'échange de données, la vente de logiciels malveillants en ligne, mais aussi des liens vers des entreprises spécialisées dans la vente de prestations et de services cyber-offensifs ou des circuits de blanchiment...

Le Rapport sur la cybercriminalité 2024 du Ministère de l'Intérieur et des Outre-mer modélise comme suit ce qu'il décrit comme un « écosystème cybercriminel » :

Compte tenu du fait que leur impunité est notoirement importante et leur succès potentiellement très lucratif à peu de frais, les cyberattaques font figure de délit particulièrement rentable.

Ces éléments expliquent l'inexorable inflation du nombre des attaques et de leur coût, et ne laissent entrevoir, à court et moyen terme, aucune perspective de décrue, bien au contraire :

A l'échelle mondiale, le coût de la cybercriminalité est estimé en 2024, par le même institut, à 9,22 milliers de milliards de dollars ; à horizon 2029, il pourrait atteindre 15,63 milliers de milliards de dollars.

c) ... avec une panoplie de modes opératoires...

Différents logiciels malveillants (« malwares ») ont été élaborés par les cybercriminels pour parvenir à leurs fins :

- Virus : logiciel permettant d'infecter un réseau, par corruption ou destruction de données ou en endommageant le système.

- Ver informatique : variante du virus, se propageant de manière autonome, souvent via des réseaux.

- Rançongiciel : logiciel chiffrant les données dans le but d'obtenir une rançon pour les décrypter.

- Logiciel espion : logiciel permettant de collecter des informations sans le consentement de l'utilisateur.

- Cheval de Troie : logiciel en apparence légitime, mais qui contient, à l'insu de son utilisateur, une fonctionnalité malveillante.

- Rootkits : logiciel permettant à un attaquant de prendre le contrôle total d'un système sans être détecté.

Les principaux modes opératoires employés par les agresseurs pour accéder aux données, ou infecter le système informatique de leur victime par des logiciels malveillants peuvent se classer comme suit :

Ø Attaques par hameçonnage et ingénierie sociale

- Hameçonnage (« phishing ») : technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans un but d' usurpation d'identité. L'agresseur fait ainsi croire à la victime, par un courriel ou un SMS frauduleux, qu'elle est en contact avec un tiers de confiance --  banque, administration, entreprise... -- afin de lui soutirer mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte d'identité, date de naissance... Le plus souvent, une copie exacte d'un site web est réalisée dans l'optique de faire croire à la victime qu'elle se trouve sur le site web officiel où elle pensait se connecter.

- « Pretexting » : forme d' ingénierie sociale par laquelle un cyberattaquant utilise un leurre, ou un scenario fictif (par exemple en se faisant passer pour un investisseur, un responsable RH, un spécialiste informatique ou toute autre autorité légitime) pour gagner la confiance de la victime et obtenir l'accès à des données confidentielles, à un système ou à un service.

- « Baiting » : utilisation d'appâts -plus souvent des clés USB infectées - qui vont à leur tour contaminer les ordinateurs auxquels elles seront connectées.

Ø Attaques par déni de service (DoS) et déni de service distribué (DDoS)

- Déni de service (« denial of service » : DoS) : Surcharge un système ou un réseau rendant ainsi un site Web ou une ressource indisponible.

- Déni de service distribué (« Distributed denial of service » : DDoS) : variante de DoS utilisant plusieurs machines distantes (« zombies » ou robots) pour mener l'attaque.

Ø Intrusion dans les réseaux

- Attaque de l'« homme du milieu » (« Man-in-the-Middle » : MitM) : Interception et manipulation des communications entre deux parties, souvent par le biais d'un réseau wi-fi ouvert. L'attaquant s'installe alors au sein du système d'exploitation dans le but d'intercepter des données telles que les identifiants de connexion.

- Écoute de communications ou « reniflement » de données : Espionnage passif ou actif via des commutateurs « switch ».

Ø Exploitation de vulnérabilités logicielles

- Exploits : Utilisation de failles connues pour compromettre un système.

- Vulnérabilité « du jour zéro » (« 0-Day ») : Exploitation de failles inconnues des développeurs.

Ø Attaques ciblant les mots de passe

- « Force brute » : Essai systématique de toutes les combinaisons possibles.

- Attaque par dictionnaire : Test de mots de passe courants ou prévisibles.

- « Credential stuffing » : Utilisation d'identifiants volés sur d'autres services.

Ø Attaques via chaînes d'approvisionnement

- Compromission des fournisseurs ou des partenaires d'une organisation pour atteindre la cible principale. Cette méthode présente un risque de propagation rapide d'une attaque qui peut parfois concerner un secteur d'activité entier ou une zone géographique précise notamment lorsque l'attaque cible un fournisseur de logiciels largement répandus, une entreprise de service numérique (ESN) locale ou spécialisée dans un secteur d'activité particulier.

Ø Attaque par point d'eau

- L'attaque par point d'eau (« watering hole ») consiste à piéger un site internet légitime afin d'infecter les équipements informatiques des visiteurs.

Ø Défiguration de sites internet

- Ce type d'attaque tend à ajouter ou modifier des informations dans une page web à des fins de revendications. Ces opérations, qui exploitent souvent des vulnérabilités connues mais non corrigées, sont généralement revendiquées par des hacktivistes pour motifs politiques ou idéologiques, ou à des fins de défi technique entre attaquants.

d) L'épée de Damoclès de l'informatique quantique

À ce tableau déjà très préoccupant s'ajoute la perspective du développement de technologies quantiques^8(*) - à horizon 2030 ou 2040^9(*). Cette évolution, qui devrait révolutionner l'informatique, représente une menace majeure en termes de cybersécurité : L'ANSSI alerte ainsi contre un prévisible « effondrement de la sécurité de la cryptographie à clé publique actuellement déployée »^10(*). En effet, les algorithmes de cryptographie utilisés pour sécuriser les communications, les transactions financières et les données sensibles s'avéreraient inefficaces face à un processeur quantique. Le défi de la cybersécurité sera ainsi de déployer au plus vite - avant l'aboutissement de la transition vers de tels processeurs - une cryptographie post-quantique robuste.

2. Face à ces agressions, quelles parades ?

On parle volontiers de « cyber-résilience »^11(*), concept impliquant d'accepter que les violations soient inévitables et de choisir de se préparer à l'événement à l'avance.

L'erreur humaine est en effet responsable de 90 % des cyberattaques^12(*) : Clics sur des liens malveillants, utilisation de mots de passe faibles ou partagés, partage imprudent d'informations sensibles, négligence dans la mise à jour des logiciels et systèmes, erreurs de configuration et mauvaise gestion des accès, utilisation négligente de clés USB... constituent autant d'imprudences qui mettent en péril la sécurité d'un système d'information.

C'est pourquoi la prévention et l'éducation à la cybersécurité jouent un rôle déterminant dans la cyber-résilience d'un État, afin de sensibiliser un public le plus large possible aux bonnes pratiques numériques.

Or cette culture de la cybersécurité est très inégalement intégrée selon les pays. Si la France, forte d'une expertise et d'une compétence mondialement reconnues, s'est engagée résolument sur la voie de la cyber-résilience et aspire à transposer rapidement la directive NIS2, d'autres pays, moins avancés qu'elle, prêtent le flanc aux attaques malveillantes, exposant en même temps, par rebond, le cyberespace de leurs partenaires.

* ¹ Le terme tire son origine du roman de science-fiction dystopique Neuromancien (1984), de William Gibson.

* ² Les plus connus sont : Anonymous,(célèbres pour leurs actions visant l'Eglise de scientologie, et de nombreux régimes dictatoriaux ; ils ont notamment piraté le site du Kremlin en 2022), Cult of the dead cow, LulzSec... ; on compte aussi des groupes d'inspiration nationaliste ou religieuse : IDF team, actif pour défendre l'Etat d'Israël, The Jester, en faveur des États-Unis d'Amérique, l' Armée électronique syrienne de Bachar el Assad, les groupes d'hacktivisme djihadistes Izz ad-Din al Qassam Cyber Fighter ou OxOmar...

* ³ On rappellera les Wikileaks, de Julian Assange (2006) ou les révélations d'Edward Snowden (2013).

* ⁴ Source : www.data.gouv.fr.

* ⁵ A titre d'exemple, en avril 2021, la société américaine Colonial Pipeline, qui alimente en carburant 45% de la Côte Est des Etats-Unis, a subi une importante attaque par rançongiciel qui a entraîné une rupture d'approvisionnement générant une panique chez les habitants de la région, puis une pénurie.

Colonial Pipeline a alors payé une rançon de 4,4 millions de dollars en bitcoin en échange de la clef de déchiffrement des fichiers dérobés et cryptés par les cyber-pirates.

* ⁶ Aucune statistique fiable ne permet d'évaluer le taux d'entreprises ou d'établissements attaqués se pliant à l'exigence de rançon. L'ANSSI déconseille vivement aux victimes de céder au chantage en raison de l'absence de garantie offerte par l'agresseur.

* ⁷ D'après l'ONG américaine Freedom House, au moins 30 États auraient lancé des campagnes de désinformation dans le but de discréditer le modèle démocratique en 2017 ; 18 scrutins électoraux auraient été visés.

* ⁸ La principale différence entre les ordinateurs classiques et quantum est que ces derniers utilisent au lieu de bits des qubits qui peuvent être utilisés en superposition, ce qui permet de multiplier exponentiellement leur capacité. À titre d'exemple, le processeur quantique expérimental Willow a pu résoudre en moins de cinq minutes un calcul qui prendrait dix septillions d'années à Frontier, l'un des supercalculateurs actuels les plus puissants au monde.

* ⁹ À l'heure actuelle, le processeur quantique est encore au stade exploratoire : son encombrement est de l'ordre de 3 m x 2 m x 2 m. Un vide très poussé, de 10-11 mbar, est également nécessaire - ce qui correspond à peu près à la pression à la surface de la lune.

* ¹⁰ L'ANSSI partage deux études de marché sur la cryptographie post-quantique menées auprès de l'écosystème, 25 novembre 2024.

* ¹¹ Soit la capacité d'une structure, d'un État à prévenir les incidents de cybersécurité, à y résister et à s'en relever.

* ¹² Source : indice relatif à la veille stratégique en matière de sécurité d'IBM.