Piloté par le secrétaire général de la défense et de la sécurité nationale (SGDSN), la revue stratégique cyberdéfense, équivalent des anciens livres blancs, a été élaborée en concertation avec des représentants des acteurs publics et privés. Après un passage en conseil de défense et en conseil des ministres, une présentation publique a été organisée au sein du magnifique incubateur de startups « Station F ». Trois tables rondes animées par les rapporteurs de la revue ont mis en exergue quelques éléments clés. Le document complet est disponible sur le site du SGDSN.

Plusieurs études ainsi que les retours d’expériences des grands donneurs d’ordre mettent en avant le manque de ressources humaines en cybersécurité. CISO, architectes, chefs de projets, analystes SOC, spécialistes analyses de risques, auditeurs, investigateurs numériques : compétences et expériences attendues sont très différentes suivant les postes. Des référentiels existent pour décrire, catégoriser et mesurer les niveaux requis. Ils complètent à cet égard les nombreuses certifications professionnelles disponibles dans ce domaine, massivement utilisées depuis longue date aux Etats-Unis et depuis quelques années en Europe. Ces référentiels et certifications sont des sources très utiles pour les groupes de toute taille qui souhaite formaliser leur grille de métiers en cybersécurité et proposer à leurs employés des parcours de formation.

Le dispositif de sécurité des activités d’importance vitale (SAIV) est piloté en France par le SGDSN. Ce dispositif comprend des aspects liés à la sûreté, la sécurité physique et la cybersécurité. L’objectif est d’associer pouvoirs publics et entités publiques et privées, sur le périmètre de leurs activités les plus critiques pour la nation. La liste des entités OIV n’est pas publique. Les critères de désignation sont fixés par les ministères coordonnateurs. Plus récemment, des obligations ont été imposées par la directive NIS et ses transpositions nationales aux Fournisseurs de Service Numérique.