Nuevas prácticas destructivas se desarrollan en el ciberespacio: utilización criminal de Internet (cibercriminalidad), incluyendo fines terroristas, propagación de noticias falsas a gran escala, espionaje con fines políticos o económicos, ataques a las infraestructuras críticas (transporte, energía, comunicación…) mediante sabotajes, etc. Procedentes de grupos estatales o no estatales, los ciberataques se producen en las fronteras y a distancia, resulta arduo atribuirlos, es muy difícil identificar formalmente al verdadero attacant (que actúa frecuentemente bajo cobertura de redes involuntarias (botnets) o de intermediarios (proxies) y pueden ser realizados de manera relativamente fácil, a bajo coste y con un riesgo muy bajo para el atacante.
Su objetivo es poner en peligro el buen funcionamiento de los sistemas de información y de comunicación (SIC) utilizados por los ciudadanos, las empresas y las administraciones públicas, incluyendo la integridad física de infraestructuras esenciales y la seguridad nacional.
La ciberseguridad abarca todo el conjunto de medidas de seguridad susceptibles de ser tomadas para defenderse contra estos ataques. El espectacular aumento del nivel de sofisticación y de intensidad de estos ciberataques a conducido estos últimos años a la mayoría de los países desarrollados a reforzar su resiliencia y a adoptar estrategias nacionales de ciberseguridad.
El dispositivo nacional de Francia en materia de ciberseguridad está basado en dos textos esenciales: el libro blanco sobre la seguridad y la defensa nacional de 2013 de un lado, y la estrategia nacional para la seguridad digital de 2015, de otro.
Esta estrategia, destinada a acompañar la transición digital de la sociedad francesa, responde a las nuevas realidades derivadas de la evolución de los usos digitales y a las amenazas que ello conlleva, incluye cinco objetivos:
- Garantizar la soberanía nacional
- Ofrecer una respuesta fuerte contra los actos de ciberdelincuencia
- Informar al gran público
- Hacer de la seguridad digital una ventaja concurrencial para las empresas francesas
- Reforzar la voz de Francia a escala internacional
CONFIANZA DIGITAL
Con la estrategia nacional para la seguridad digital, el Estado se compromete con la seguridad de los sistemas informáticos para garantizar, mediante una respuesta colectiva, la confianza digital propia a la estabilidad del Estado, el desarrollo económico y la protección de los ciudadanos.
En los niveles técnico y operacional, diversos actores contribuyen a la eficacia de este dispositivo.
Creada en 2009, la Agencia nacional de sistemas de información (ANSII) es la autoridad nacional en materia de ciberseguridad. Verdadero “bombero” del ciberespacio francés, se encarga de la prevención (incluida la normativa) y de la actuación ante incidentes informáticos que afecten a instituciones sensibles.
Organiza también simulacros de gestión de crisis a escala nacional. La ANSSI emplea actualmente más de 500 personas y sigue creciendo.
El ministerio de Defensa tiene la doble misión de asegurar la protección de las redes que soportan su actividad y de integrar la lucha digital en las operaciones militares.
Con objeto de consolidar la actividad del ministerio en este terreno, una jefatura de ciberdefensa (COMCYBER), a las órdenes del Jefe del Estado Mayor de la Defensa, fue creado a principios de 2017. El ministerio del Interior tiene por misión luchar contra toda forma de cibercriminalidad, incluyendo las instituciones y los intereses nacionales, los actores económicos, las colectividades públicas y los particulares. A este fin, moviliza los servicios centrales especializados y las redes territoriales de la policía nacional, la gendarmería nacional y la seguridad interior. Son estos los encargados de las actuaciones orientadas a identificar a los autores de actos de ciber-criminalidad y entregarlos a la justicia. De otro lado, estos servicios contribuyen a la prevención y sensibilización de los públicos concernidos.
AUTONOMÍA DIGITAL DE LA UE
En el seno de la Unión Europea (UE), Francia defiende una visión ambiciosa y el concepto de “autonomía estratégica digital de la UE”.
Esta visión se apoya en tres pilares:
- Pilar operacional y de capacidad. La directiva NIS (Network and Information Security) de julio de 2016 fue un avance importante para el reforzamiento de la ciberseguridad en cada Estado miembro. Francia sostiene asimismo la propuesta de la Comisión de reforzar el INISA, destinado a instituirse en verdadera agencia europea para la ciberseguridad y reforzar la cooperación operacional entre los Estados miembros.
- Pilar industrial. El ambicioso acuerdo público-privado contractual sobre ciberseguridad lanzado por la Comisión en julio de 2016 deberá permitir favorecer la I+D en materia de ciberseguridad a escala europea. Más allá, la autonomía estratégica de la UE pasará también por su capacidad de situarse en punta de las próximas revoluciones tecnológicas en el dominio digital. A esto responde el llamamiento del Presidente de la República cuando propone la creación de una “DARPA” a escala europea; es decir, una agencia de financiación de la innovación.
- Pilar normativo. Tanto en el plano político como en el técnico, Francia debe contribuir a que la UE se dote de formas en materia de ciber-seguridad que sean compatibles con un alto nivel de existencia y de seguridad. Concretamente en materia de certificación de productos de seguridad informática o de localización de datos sensibles.
El reforzamiento de la estabilidad estratégica y de la seguridad internacional en el ciberespacio es uno de los objetivos prioritarios de Francia. El país juega así un papel activo en la promoción de un ciberespacio seguro, estable y abierto. El ministerio de Europa y de Asuntos Exteriores coordina los trabajos de Francia en materia de “ciberdiplomacia”.
PARTICULARMENTE ACTIVA EN LA ONU
Francia es particularmente activa en el seno de la ONU, donde se discuten reglas de comportamiento responsable en un ciberespacio. Concretamente, ha participado en los cinco últimos grupos de expertos gubernamentales (GGE) de la ONU sobre ciberseguridad, cuyos trabajos han permitido anclar el ciberespacio en el sistema internacional salido de la Carta de las Naciones Unidas y orientar a los Estados en una dinámica de prevención, cooperación y no proliferación en el ciberespacio (reconocimiento, en 2013 de la aplicabilidad del derecho internacional y concretamente de la Carta de las Naciones Unidas al ciberespacio).
Francia está igualmente comprometida en otros ámbitos internacionales donde son abordadas cuestiones de ciberseguridad. Concretamente, en la Alianza Atlántica, Francia ha participado en la iniciativa de adopción por las 28 naciones de un compromiso por la ciberdefensa (Cyberdefence Pledge) en la cumbre de Varsovia, en junio de 2016. El reconocimiento, en el transcurso de esta cumbre, del ciberespacio como un dominio de operaciones, implica a la OTAN a defenderse como lo hace en el dominio terrestre, aéreo y marítimo.
En el G-7, donde el grupo Ise-Shima, creado en 2016 y dedicado a cuestiones “ciber” ha permitido llegar, en la primavera de 2017, a la adopción de una declaración ambiciosa sobre las normas de comportamiento responsable de los Estados en el ciberespacio.
En la OSCE, que constituye un entorno regional de referencia para la definición y puesta en práctica de medidas de confianza aplicadas al ciberespacio, con la adopción de dos paquetes de medidas de confianza en 2013 y 2016.
En fin, Francia aspira hoy a establecer una reflexión con sus socios estatales y también del sector privado y de la sociedad civil, sobre el papel y las responsabilidades específicas de los actores privados en el reforzamiento de la estabilidad y de la seguridad internacional del ciberespacio.
