Comment renforcer la résilience numérique du secteur public en Europe ?

Tout au long de ma carrière dans le secteur des technologies, je n’ai connu qu’une seule constante : le changement. C’est ce qui fait tout le sel de notre métier : cette nécessité de savoir s’adapter rapidement pour répondre à l’évolution permanente des besoins de nos clients, dont l’environnement fluctue sans cesse.

Cependant, ce rythme de changement semble maintenant être devenu un paramètre essentiel de notre société dans son ensemble. Ces dernières années, les défis liés à la pandémie, aux conflits géopolitiques et aux crises économiques nous ont tous contraints à nous adapter très rapidement. 

Lors de bouleversements socioéconomiques majeurs, nous nous tournons généralement vers l’État et les collectivités locales pour prendre les choses en main et nous guider. En parallèle, la transformation numérique a simplifié notre manière de faire nos achats et de gérer notre compte en banque, entre autres aspects de notre vie personnelle. Par conséquent, nous semblons désormais en demander bien plus à notre administration publique et être bien plus exigeants quant à l’efficacité des services qu’elle fournit. Cette dynamique a entraîné des modifications dans de nombreux domaines, par exemple dans l’accès aux soins de santé, la manière d’obtenir des ordonnances ou la gestion de l’administration fiscale. 

Ces innovations s’accompagnent cependant d’une pression importante. La course pour répondre aux attentes des citoyens a pour conséquences une complexité croissante et une plus grande vulnérabilité aux risques informatiques. Il est facile dans ce contexte de perdre de vue un impératif majeur : la résilience numérique de nos services publics doit être garantie.  

La sensibilisation à la résilience numérique sous sa véritable forme est une priorité absolue, notamment pour s’assurer de la sécurité et de la fiabilité des services fournis. En règle générale, la cybersécurité est l’axe majeur de la résilience au sein des gouvernements, mais avec la numérisation massive des services, ce n’est pas suffisant pour garantir la disponibilité des systèmes et éviter des défaillances préjudiciables. Il est nécessaire d’adopter une approche plus globale, axée sur la prévention des problèmes, l’observabilité des systèmes dans leur ensemble et la collaboration au sein des services publics. Avec une telle approche, les gouvernements seront plus à même d’éviter les problèmes majeurs, de résister aux perturbations et de stimuler l’innovation. Avec le règlement DORA (Digital Operational Resilience Act), l’Union européenne s’est dotée d’un cadre législatif pour la résilience numérique des services financiers. Il nous semble utile de poursuivre cette réflexion pour d’autres secteurs, en commençant par le secteur public. 

Pour creuser ce sujet au niveau européen, nous avons commandité une étude auprès de WPI Economics afin de déterminer les facteurs essentiels de la résilience numérique et identifier les bonnes pratiques déjà existantes. À mesure que les gouvernements commencent à réfléchir à la résilience numérique sous tous ses angles, nous avons identifié, grâce à des études de cas menées en France, au Royaume-Uni et en Allemagne, ce qui fonctionne et ce qui ne fonctionne pas, afin de montrer comment poser des bases solides de résilience numérique au sein du service public.

Le rapport préconise à chacun des pays l’adoption d’une stratégie de résilience numérique. Ce n’est que comme ça que les gouvernements parviendront à exploiter pleinement le potentiel des nouvelles technologies comme l’intelligence artificielle tout en maîtrisant le caractère fluctuant des menaces numériques. Vous pouvez lire les rapports ici. 

La France n’a pas élaboré de stratégie de résilience numérique à part entière mais se distingue des autres pays de l’étude par une approche fortement centralisée, notamment avec :

• l’ANSSI, Agence nationale de la sécurité des systèmes d’information, en charge de la stratégie de cybersécurité nationale,
• la DINUM, Direction interministérielle du numérique, qui gère quant à elle la transformation numérique des services gouvernementaux, et
• la présence de CSIRT (centres de réponse aux incidents de sécurité informatique), 12 régionaux et 5 sectoriels, créés en 2022 dans le but de renforcer les réponses à l’échelle locale.

L’une des recommandations de l’étude pour la France est notamment de favoriser la collaboration entre l’ANSSI et la DINUM, et leur confier la responsabilité de mettre en œuvre une stratégie nationale de résilience numérique globale, qui se détacherait de l’approche actuelle axée sur la cybersécurité.

Une meilleure résilience numérique signifie que le secteur public sera capable de s’adapter au rythme des changements et de réagir à n’importe quelle perturbation. Pour ce faire, il faut passer d’une approche de la résilience exclusivement axée sur la cybersécurité à une approche plus large mettant l’accent sur l’importance de la continuité des services, la minimisation des interruptions de service et la limitation des risques liés à la réputation. Cela doit se traduire notamment par un décloisonnement des données afin de traiter rapidement et efficacement les problèmes. Splunk aide les organisations à apporter ces changements et nous espérons, grâce à ces études et en partageant nos expériences, pouvoir aider les gouvernements à adopter pleinement la transformation numérique pendant cette période de changements rapides.