Allez au contenu, Allez à la navigation

Le devoir de souveraineté numérique

1 octobre 2019 : Le devoir de souveraineté numérique ( rapport de commission d'enquête )

B. LA CYBERDÉFENSE DOIT RESTER UNE PRIORITÉ

1. La mise en oeuvre d'une cyberdéfense française : pour une autonomie française dans le cyberespace

La cyberdéfense se distingue de la lutte contre la cybercriminalité, mais aussi de la numérisation des armées et des théâtres d'opération. Elle recouvre la politique mise en place par l'État pour protéger activement des réseaux et des systèmes d'information essentiels à la vie et à la souveraineté du pays. Si les cyberattaques et les menaces sont importantes, nombreuses et constatées depuis plus d'une décennie, la mise en place de la cyberdéfense française a été progressive.

a) Des menaces avérées

Depuis la première cyberattaque visant une structure étatique qui a frappé l'Estonie en avril 2007227(*), la menace s'est concrétisée et accentuée. Il ne se passe pratiquement pas une journée sans que l'on signale, quelque part dans le monde, des attaques ciblées contre les réseaux de grands organismes publics ou privés.

La France n'est pas épargnée par ce phénomène. Comme l'ont confirmé les représentants des organismes chargés de la protection des systèmes d'information, les administrations228(*), les entreprises ou les opérateurs d'importance vitale (énergie, transports, santé, etc.) sont victimes chaque jour en France de plusieurs millions d'attaques informatiques.

On peut recenser trois types d'attaques :

- les exemples cités, extraits du rapport de Jean-Marie Bockel229(*), sont volontairement datés pour ne pas nuire à l'action des services qui ont été entendus à huis clos par votre commission d'enquête ;

- la perturbation de sites institutionnels, à l'image du site Internet du Sénat, rendu inaccessible fin 2011 lors de la discussion de la loi sur le génocide arménien ; il s'agit de ce que les spécialistes appellent une attaque par « déni de service » : le site Internet est rendu inaccessible car il est saturé de milliers de requêtes ;

- l'attaque informatique d'envergure dont avait fait l'objet, fin 2010, le ministère de l'économie et des finances, dans le cadre de la préparation de la présidence française du G8 et du G20. Il s'agit là d'une vaste intrusion informatique à des fins d'espionnage : un logiciel espion est introduit grâce à un « cheval de Troie », qui se présente sous la forme d'une pièce jointe piégée ouvrant une « porte dérobée » ; l'attaquant peut alors surveiller et prendre, à distance et à l'insu de l'utilisateur, le contrôle de son ordinateur, par exemple pour extraire des données, lire ses messages électroniques, et même écouter ses conversations ou filmer sa victime en déclenchant lui-même le micro ou la caméra de l'ordinateur ; il peut ensuite, par rebonds successifs, prendre le contrôle d'autres ordinateurs, voire de la totalité du réseau ;

- l'espionnage d'opérateurs sensible. Il y a plusieurs années, la presse s'était fait l'écho d'une opération subie par le groupe AREVA, entreprise française du secteur nucléaire.

Les armées sont également la cible de ces cyberattaques. Entendu par votre commission d'enquête230(*), le Général François Lecointre, chef d'État-Major des armées (CEMA) a indiqué que « les armées sont la cible d'attaques informatiques particulièrement nombreuses. Ainsi, en 2018, 831 événements significatifs ont été recensés par le commandement de la cyberdéfense (Comcyber), soit une augmentation de l'ordre de 20% par rapport à 2017. Une centaine consiste en des attaques informatiques avérées, dont six sont caractéristiques de modes d'action de groupes structurés affiliés à des États. Toutes ces attaques ont été menées à des fins d'espionnage de hauts responsables du ministère ou de fonctions opérationnelles.

En 2018, le ministère des armées a été la cible d'attaques par un mode d'action connu de nos services, que certains attribuent à Turla, groupe affilié au service fédéral de sécurité russe. Les cibles identifiées sont des membres du ministère ayant des responsabilités dans le domaine des relations internationales, ou des fonctions opérationnelles d'intérêt, comme l'approvisionnement en carburant des bâtiments de la marine nationale, afin de suivre les escales de nos bâtiments. ».

b) Une lente montée en puissance de la cyberdéfense

Le Sénat s'est emparé de cette question essentielle qu'est la cyberdéfense dès 2008, avec le rapport d'information de notre collègue Roger Romani231(*), puis en 2012, avec le rapport d'information de notre collègue Jean-Marie Bockel232(*) intitulé « La cyberdéfense : un enjeu mondial, une priorité nationale ». Ces rapports constataient que, malgré une prise de conscience des enjeux, notre pays accusait un relatif retard dans la mise en oeuvre d'une stratégie de cyberdéfense.

C'est sous l'impulsion du Président Barack Obama que la cybersécurité a été qualifiée de priorité stratégique aux États-Unis, mobilisant plusieurs organismes, au sein du département chargé de la sécurité intérieure ou du Pentagone, comme l'Agence de sécurité nationale (NSA) ou le Cybercommand. De 2010 à 2015, les États-Unis ont consacré 50 milliards de dollars à la cyberdéfense et plusieurs dizaines de milliers d'agents travaillaient sur ce sujet.

Le gouvernement britannique a adopté dès novembre 2011 une nouvelle stratégie, mise en oeuvre par le Government Communications Headquarters (GCHQ), l'agence chargée du renseignement technique. Environ 700 agents s'occupaient alors des questions de cyberdéfense et malgré un contexte budgétaire tendu, un effort supplémentaire de 650 millions de livres (750 millions d'euros) a été fourni entre 2010 et 2014 pour la cyberdéfense.

En Allemagne enfin, une stratégie était élaborée dès février 2011, coordonnée par le ministère fédéral de l'Intérieur auquel est rattaché l'office fédéral de sécurité des systèmes d'information (BSI) disposant d'un budget de 80 millions d'euros et de plus de 500 agents.

En France, le Livre blanc sur la défense et la sécurité nationale de 2008 a donné une réelle impulsion à la cyberdéfense qui a abouti, en juillet 2009, à la création de l'Anssi, identifiée comme l'autorité nationale de défense des systèmes d'information Dès février 2011, l'agence a rendu publique la stratégie de la France en matière de cyberdéfense. Toutefois, avec des effectifs de 230 personnes et un budget de l'ordre de 75 millions d'euros, les moyens de l'Anssi étaient alors très loin de ceux dont disposaient les services des pays alliés.

La montée en puissance s'est faite lentement. La cyberdéfense a été érigée au rang de priorité nationale par le Livre blanc pour la défense et la sécurité nationale de 2013. Le Comcyber, unité opérationnelle, commandant de façon organique ou fonctionnelle l'ensemble des forces de cyberdéfense des armées françaises a été créé en 2017. La loi de programmation pour 2013-2018 a pallié un manque important en imposant aux opérateurs d'importance vitale (OIV) de renforcer la sécurité des systèmes d'information qu'ils exploitent233(*). Le réel tournant date de la revue stratégique de cyberdéfense de 2018.

c) La revue de cyberdéfense de 2018 : un document stratégique structurant234(*)

La revue stratégique de cyberdéfense a été confiée par mandat du Premier ministre en date du 21 juillet 2017235(*) au Secrétariat général de la défense et de la sécurité nationale (SGDSN). Elle avait vocation à présenter une vue intégrée des efforts de l'État en matière de cyberdéfense et s'appuyait pour ce faire sur une succession de documents doctrinaux (livres blancs sur la défense et la sécurité nationale de 2008 et de 2013, stratégie nationale de sécurité numérique de 2015 et Chocs futurs, étude prospective à l'horizon 2030 passant au crible les impacts des transformations et ruptures technologiques sur notre environnement stratégique et de sécurité).

Selon la revue stratégique de cyberdéfense du 12 février 2018, la souveraineté numérique peut être entendue : « comme la capacité de la France d'une part, d'agir de manière souveraine dans l'espace numérique, en y conservant une capacité autonome d'appréciation, de décision et d'action, et d'autre part, de préserver les composantes les plus traditionnelles de sa souveraineté vis-à-vis des menaces nouvelles tirant partie de la numérisation croissante de la société ».

La France a donc fait le choix de conserver une autonomie de décision en matière de défense et de sécurité du cyberespace. L'atteinte de cet objectif repose sur les éléments suivants :

- une capacité souveraine à détecter les attaques informatiques qui affectent l'Etat et les infrastructures critiques. Ainsi, l'Anssi développe ses propres systèmes de détection pour la supervision des administrations, et des travaux ont permis de faire émerger des solutions industrielles de confiance pour la France au profit des entreprises. L'Agence a qualifié en avril 2019 les sondes de détection de deux industriels français. En outre, les capacités françaises de détection ont été significativement renforcées par la LPM 2019-2025 qui permet aux opérateurs télécoms de mettre en oeuvre des dispositifs de détection au sein de leur réseau et à l'Anssi de déployer une sonde sur le réseau d'un hébergeur infecté par un attaquant. Ce mécanisme entre désormais dans une phase de mise en oeuvre pratique ;

- une capacité souveraine à attribuer les cyberattaques. Le choix de développer et de maintenir une telle capacité est une orientation majeure. La maîtrise de telles capacités ne sera accessible à terme qu'à un nombre très limité de pays qui auront fait le choix stratégique de les détenir ;

- une doctrine nationale de découragement et de réaction, reposant notamment sur :

· une méthode nationale d'évaluation de la gravité d'une cyberattaque, intégrant nos normes juridiques (code pénal, code de la défense, règlement général sur la protection des données, etc.). Appelé par la Revue stratégique de cyberdéfense, un schéma de classement des cyberattaques a ainsi été préparé par l'ensemble des acteurs de la cyberdéfense et validé par le Président de la République,

· une doctrine nationale de réponse, fondée sur le principe que la réponse résulte d'une décision politique formulée au cas par cas à la lumière des critères établis par le droit international. La réponse peut se traduire par une attribution publique, par l'adoption de contre-mesures voire, dans la mesure où il n'est pas exclu qu'une cyberattaque puisse atteindre le seuil de l'agression armée, par le recours à la légitime défense au sens de l'article 51 de la Charte des Nations unies ;

- des capacités offensives permettant, face au risque d'agression armée, de disposer d'options de réponse de nature militaire dans le milieu cyber comme dans les autres milieux. L'arme cyber est aujourd'hui pleinement intégrée parmi les capacités opérationnelles des armées, et fait l'objet d'une doctrine qui encadre son emploi dans les opérations militaires sur les théâtres d'opération extérieurs, dans le respect du droit international ;

- enfin, la promotion à l'international de la vision française de cybersécurité (qui fait l'objet d'un développement ci-après).

2. Des actions probantes dans le domaine de la cybersécurité
a) Un système efficace, désormais offensif en cas d'attaque

La revue stratégique de cyberdéfense organise la gouvernance cyber de l'État autour de quatre piliers aux gouvernances spécifiques : la prévention, sous la responsabilité de l'Agence nationale de la sécurité des systèmes d'information et du Premier ministre ; le renseignement, avec la DGSE, la DGSI et les ministères de tutelle ; l'action judiciaire qui relève de la Chancellerie, et l'action militaire, conduite par le chef d'état-major des armées et le Président de la République.

Chaque pilier a une gouvernance autonome et tous se coordonnent autour d'un comité de coordination des crises cyber ou « C4 », qui articule le cycle de la cyber défense - détection, attribution, réponses, car il s'agit bien de définir les stratégies de réponse qui sont soumises et validées par les autorités politiques.

Les orientations prises par la revue de cyberdéfense sont opérationnelles selon les propos du Général François Lecointre  devant votre commission : « le CEMA dépositaire de la conduite des opérations militaires a été renforcé dans sa responsabilité de cyber défense sur le périmètre du ministère des armées, et pour la conduite des opérations numériques.  Le commandement cyber a été créé il y a moins de deux ans, il me seconde dans cette double responsabilité. Le rôle stratégique, central, de la cyberdéfense militaire a été parfaitement reconnu.

(...) les armées, investies de la responsabilité de préserver la souveraineté nationale, sont plutôt en avance. La donnée occupe depuis longtemps une place centrale ; sa protection et son utilisation ont toujours été une préoccupation. Dans ce champ comme ailleurs, l'autonomie stratégique, garante de la souveraineté, est l'objectif que nous nous fixons.

Aujourd'hui, notre organisation, qui repose sur la Dirisi et le Comcyber, est mature. Nos capacités d'action et de protection sont de très bon niveau, comme le montre notre victoire récente lors de l'exercice international Locked shields. ».

Selon les auditions menées par votre commission d'enquête, en 2018, 14 opérations de cyberdéfense ont eu lieu en réponse à un incident de sécurité majeur menaçant directement les systèmes numériques et compromettant les opérations liées à l'activité d'une organisation d'importance vitale ou fortement sensible. La même année ont été recensés 400 incidents significatifs dont 16 majeurs.

L'État français a indiqué en janvier 2019 que sa nouvelle doctrine de cyberdéfense comprenait une dimension offensive236(*). L'armée pourra désormais riposter à une attaque informatique, mais aussi employer l'arme cyber sur le champ de bataille. Enfin, l'arme cyber est aujourd'hui pleinement intégrée parmi les capacités opérationnelles des armées et fait l'objet d'une doctrine qui encadre son emploi dans les opérations militaires sur les théâtres d'opération extérieurs, dans le respect du droit international.

La ministre des Armées, Florence Parly a ainsi déclaré : « La guerre cyber a commencé et la France doit être prête à y combattre. En cas d'attaque cyber de nos forces, nous nous réservons le droit de riposter dans le respect du droit, par les moyens et au moment de notre choix. Nous nous réservons aussi, quel que soit l'assaillant, le droit de neutraliser les effets et les moyens numériques employés » pour illustrer la doctrine de lutte informatique offensive (LIO).

La LPM 2019-2025 a doté la cyberdéfense de 1,6 milliard euros et 1000  cybercombattants supplémentaires sur la période de programmation. Prévoir plus de moyens supplémentaires ne serait probablement pas efficace tant il est difficile de recruter les personnels hautement qualifiés dont les armées et les services ont besoin. D'ici 2025, la France devrait être dotée de « 4000 cybercombattants et combattantes ».

Enfin, l'utilisation de l'internet par les armées fait l'objet d'une attention particulière : surveillance permanente des échanges de fichiers, sécurisation des sites, anonymisation des recherches sur source ouverte. Enfin, tous, du cadre au soldat, sont sensibilisés et formés à l'hygiène numérique, dont votre rapporteur estime qu'elle devrait être généralisée au moins à toutes les administrations publiques, si ce n'est tous les acteurs économiques sensibles.

b) ... objet de l'attention de votre commission d'enquête : un bilan positif de la revue stratégique de cyberdéfense

Votre commission d'enquête a souhaité dresser un premier bilan de l'application de la revue de cyberdéfense et a pu en cela compter sur l'entier soutien du SGDSN. Aux termes des réponses communiquées, les précisions suivantes peuvent être apportées sur l'exécution de la revue.

Les recommandations de la revue ont fait l'objet d'un plan d'action piloté par le cabinet du Premier ministre. Ont notamment été atteintes aujourd'hui, les propositions suivantes :

- l'introduction de nouvelles structures de gouvernance : le comité directeur de la cyberdéfense, en charge de l'organisation générale et de la gouvernance capacitaire du domaine, et le comité de pilotage de la cybersécurité, en charge d'orienter et de suivre la mise en oeuvre de la stratégie nationale de cybersécurité ont été mis en place ;

- la mise oeuvre du C4 qui a d'ores et déjà permis de formaliser le premier schéma national de classement des attaques informatiques, et de coordonner les stratégies de réponse face à plusieurs menaces actives ;

l'implication des opérateurs télécoms dans la détection des cyberattaques : les dispositions de la LPM 2019 2025 permettent dorénavant aux opérateurs de communications électroniques de mettre en oeuvre des dispositifs de détection des attaques affectant les systèmes d'information de leurs abonnés, et à l'Anssi de déployer un dispositif de détection sur le réseau d'un hébergeur ;

l'extension du champ des acteurs réglementés en matière de cybersécurité dans les domaines économiques et sociétaux, par une transposition ambitieuse de la directive européenne Network and Information Security (NIS) ;

- l'intégration d'une dimension sécurité numérique dans la plateforme FranceNum destinée à accompagner les TPE/PME dans leur transformation numérique. Un volet dédié à la sécurité numérique (sensibilisation au risque cyber et mise en relation avec des prestataires) a été intégré fin 2018 ;

- l'établissement d'une position française relative au contrôle à l'exportation des outils d'attaque. Sa déclinaison concrète, et en particulier la proposition de contrôle export des armes cyber au titre des matériels de guerre, sera principalement portée par le cycle annuel de négociation de l'arrangement de Wassenaar237(*).

Certaines recommandations nécessitent des travaux complémentaires que votre rapporteur incite à poursuivre, en particulier :

l'identification et la recherche de la maîtrise de l'ensemble des technologies essentielles pour notre sécurité numérique s'est, à ce stade, pour des raisons de ressources, centrée sur le besoin prioritaire d'un cloud de confiance. Ce point est déterminant et plaide en faveur de l'élaboration d'une LOSSN, déjà citée, afin de programmer les actions à mener dans ce domaine, donner aux acteurs concernés une visibilité nécessaire, et permettre un suivi politique, par le Parlement, de ces objectifs déterminants pour la souveraineté numérique française ;

- les premières ressources pédagogiques destinées à l'enseignement secondaire sont encore en cours de construction ;

- la résilience et la sécurité du réseau interministériel de l'État seront encore renforcées. Des ressources supplémentaires, prévues par la LPM, devraient y être consacrées dès 2019.

3. Des orientations à soutenir : la promotion de la vision française et le développement du chiffrement
a) La promotion à l'international de la vision française de cybersécurité

La promotion à l'international de la vision française de cybersécurité se décompose en deux items : (i) le droit international est applicable au cyberespace, et (ii) l'attribution publique est une décision politique qui relève de la souveraineté et ne peut être faite par une structure multinationale, qu'elle soit interalliée comme l'OTAN ou autre.

La violence légitime, attaquer et défendre, est un monopole régalien par excellence. Face à une menace cyber qui ne cesse de croître, certains acteurs, essentiellement américains, remettent en cause le monopole des États dans l'usage de la violence légitime. Se fondant sur une interprétation discutable du droit à la légitime défense dans l'espace cyber, qui n'est pas celle de la France, ils font la promotion d'une doctrine offensive de réponse aux attaques, autorisant une riposte par les acteurs privés eux-mêmes (hack back) qui va au-delà de la simple protection de leurs propres systèmes d'information, autorisant par exemple des intrusions dans les systèmes adverses pour les détruire.

Les risques que voit la France à une telle légalisation de pratiques dans certains pays et à leur diffusion au niveau international sont bien réels : risque d'erreur d'attribution, d'une part, car face à la difficulté pour obtenir une identification fiable de l'origine de l'attaque - et à ce titre, une action de riposte non encadrée pourrait prendre pour cible un tiers innocent ; risque de dommage collatéral et de riposte incontrôlée, d'autre part, de nature à aggraver l'instabilité du cyberespace.

Dans ce contexte, la France a choisi de maintenir l'interdiction actuellement en vigueur de cette pratique en droit français et de prôner activement son interdiction au niveau international. Ainsi, l'Appel de Paris pour la confiance et la sécurité dans le cyberespace, rendu public par le ministre de l'Europe et des affaires étrangères le 12 novembre dernier au Forum de Paris sur la Paix, et soutenu par le Président de la République à l'occasion de son discours à l'UNESCO devant le Forum sur la gouvernance de l'Internet, a été l'occasion de réaffirmer le monopole étatique de la violence légitime. Cette initiative se décline aujourd'hui de façon opérationnelle dans différents fora, notamment à l'OCDE et à l'ONU.

La France promeut donc à l'international sa vision selon laquelle le droit international est applicable au cyberespace et l'attribution publique reste une décision politique qui relève de la souveraineté et ne peut donc être déléguée à une organisation internationale. Dans ce domaine, la défense de la souveraineté numérique est affirmée.

Le 9 septembre 2019, Florence Parly a annoncé la parution d'un rapport concernant l'application du droit international aux opérations dans le cyberespace en temps de paix et en temps de conflit. Ce rapport vise à :

- éclairer les travaux des Nations unies,

- confirmer l'application du droit international au cyberespace, réduire les risques d'escalade non maîtrisée238(*).

b) L'enjeu de la protection des données stratégiques : quel chiffrement pour quelles données ?

En matière de protection des données et des communications de l'État, des entreprises et des citoyens, la diversité des enjeux conduit, selon les indications présentées lors des auditions de votre commission d'enquête, à décliner le niveau d'ambition de la France en différentes sphères :

- pour les données et communications classifiées, l'obligation de résultat, garantissant leur protection contre des attaques ciblées des adversaires les plus compétents est indiscutable. Cette ambition implique la maîtrise nationale de certaines technologies, au premier rang desquelles le chiffrement des communications. La France possède dans ce domaine une industrie de confiance, apte à fournir des équipements de très haut niveau de sécurité, agréés pour protéger les données échangées de niveau de classification Secret Défense. Le maintien d'une industrie nationale à la pointe dans ce domaine est une absolue priorité ;

- pour le champ plus étendu des données et communications sensibles, doivent être fixées des contraintes auxquelles se conformeront les solutions numériques utilisées par l'État et les opérateurs critiques. Il est illusoire de chercher à répondre à l'ensemble de ces besoins par des solutions purement nationales. Sans exclure fondamentalement des fournisseurs étrangers, cet objectif nécessite de disposer en France d'un tissu industriel de confiance, capable de produire des briques élémentaires de sécurité, mais aussi de concevoir des systèmes complexes en y intégrant des briques étrangères. Ceci implique que les opérateurs français gardent un niveau de compétence suffisant pour concevoir les architectures de sécurité prévoyant l'insertion de telles briques ;

- pour le champ plus large de la sécurité économique des entreprises non vitales et de la protection des usages numériques des citoyens, l'État doit préserver sa capacité d'influence des choix numériques des acteurs concernés, en identifiant des solutions de qualité sans les imposer. À cette fin, l'Anssi généralisera progressivement son dispositif de labellisation à l'ensemble des solutions numériques, afin d'encourager le recours aux meilleures solutions. Ce dispositif gagnera en pertinence économique grâce à son extension à l'échelon européen, permise par le Cybersecurity Act adopté le 12 mars 2019 par le Parlement européen239(*).

Cette déclinaison en trois sphères s'applique pleinement à la question du cloud. Ainsi, pour ses données classifiées, l'État a recours exclusivement à un cloud interne. En revanche, pour d'autres données publiques et pour les besoins des entreprises, la qualification des clouds par l'Anssi permettra d'identifier les offres - pas nécessairement nationales - qui apportent des garanties suffisantes vis-à-vis des risques tant techniques (risque d'attaque informatique) que juridiques (contraintes de mise à disposition des données à des autorités étrangères).


* 227 L'Estonie, voulant marquer son indépendance vis-à-vis de la Russie, avait décidé de déplacer un monument de l'Armée Rouge du centre de la capitale à Tallinn vers la banlieue. Cette décision montrant le rapprochement estonien des puissances occidentales aurait déclenché une réaction russe, qui n'a pas été officiellement prouvée. La Russie aurait loué les services de hackeurs pour accroître le nombre d'ordinateurs impliqués dans l'attaque en déni de service lancée contre l'Estonie qui a duré quelques jours.

* 228 Sur ce sujet, voir le récent rapport d'information n° 299 (2018-2019) - 6 février 2019 de MM. Olivier Cadic et Rachel Mazuir, fait au nom de la commission des affaires étrangères, de la défense et des forces armées, Cyberattaque contre « ARIANE » : une expérience qui doit nous servir.

* 229 Rapport n° 681 (2011-2012) sur la cyberdéfense, au nom de la commission des affaires étrangères de la défense et des forces armées.

* 230 Audition du 25 juin 2019.

* 231 Rapport n° 449 (2007-2008) sur la cyberdéfense, au nom de la commission des affaires étrangères de la défense et des forces armées.

* 232 Rapport n° 681 (2011-2012) précité.

* 233 Ces obligations s'appliquent aux systèmes d'information d'importance vitale (SIIV) désignés par les OIV et comprennent la déclaration d'incidents, la mise en oeuvre d'un socle de règle de sécurité et le recours à des produits et à des prestataires de détection qualifiés.

* 234 Cette partie s'appuie sur la contribution écrite du SGDSN, transmise à votre commission d'enquête suite à l'audition de la SGDSN le 23 mai 2019.

* 235 Cette revue a fait l'objet de travaux interministériels associant le secteur privé, a été validée par le Président de la République en janvier 2018 puis publiée le 12 février 2018.

* 236 Discours de Mme Florence Parly, ministre des armées, Stratégie cyber des Armées, Paris, le 18 janvier 2019.

* 237 Il s'agit d'un régime multilatéral de contrôle des exportations d'armements conventionnels et de biens et technologies à double usage civil et militaire.

* 238 Voir le communiqué de presse du ministère des armées La France s'engage à promouvoir un cyberespace stable, fondé sur la confiance et le respect du droit international, publié le 9 septembre 2019 sur le site www.defense.gouv.fr.

* 239 Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité).