Pirater l'État : progrès, critiques et ce que dit l'Agence fédérale de cybersécurité à propos de la stratégie nationale

Un rapport comparant différentes politiques de cybersécurité en Amérique latine souligne qu'en Argentine, « les stratégies sont bien définies, mais rencontrent des difficultés dans leur mise en œuvre en raison d'un manque de ressources techniques et humaines ». En outre, des doutes subsistent concernant un décret présidentiel introduit le mois dernier qui donne plus de pouvoirs à l' Agence fédérale de cybersécurité (AFC) , une entité créée dans l'orbite du Secrétariat d'État au renseignement (SIDE) en juillet 2024.

Le rapport, publié par l'organisation non gouvernementale Derechos Digitales , passe en revue chronologiquement les politiques publiques de cybersécurité adoptées en Amérique latine. L’une des mesures les plus importantes a été prise par le Chili en mars 2024 avec la promulgation de la loi-cadre sur la cybersécurité et les infrastructures d’information critiques.

L'analyse du cas argentin s'articule autour de la dite Deuxième Stratégie de Cybersécurité , approuvée en septembre 2023. « Le changement récemment introduit par le décret 274/2025, qui modifie la cybergouvernance suite à la création de l'AFC, génère une incertitude quant à la continuité de l'approche fondée sur les droits dans la mise en œuvre de la stratégie par cette entité », a déclaré à Clarín Juan Carlos Lara, codirecteur exécutif de l'ONG et auteur de l'étude.

« Bien que le contenu de la stratégie représente une avancée normative et discursive, des doutes importants subsistent quant à sa mise en œuvre pratique. Par ailleurs, nous partageons les inquiétudes exprimées par les organisations argentines suite à la création de l'AFC, notamment concernant ses pouvoirs de contrôle », a-t-il ajouté.

La sécurité de l’information et le piratage informatique ne sont pas des problèmes mineurs en Argentine. Dans la lignée de la croissance mondiale des cyberattaques et de la professionnalisation des groupes qui opèrent avec l'infrastructure d'une organisation criminelle, il suffit de rappeler quelques piratages de ces dernières années : la Direction nationale des migrations , le Sénat de la nation , le PAMI et la Commission nationale des valeurs mobilières ont été victimes de différentes variantes de ransomware , un malware qui crypte les informations pour les rendre inaccessibles et exiger une rançon en échange.

L'année dernière , la totalité de la base de données Renaper a été divulguée , exposant des données sur des millions d'Argentins, ainsi que des photos de permis de conduire qui ont fini par être vendues sur une chaîne Telegram, pour ne citer que deux cas d'impact médiatique.

Au-delà de l'AFC, l'Argentine disposait déjà de deux entités qui font partie de la structure qui protège les actifs numériques de l'État : le CERT.ar , qui est l'équipe de réponse aux incidents et de surveillance des vulnérabilités, et la Direction nationale de la cybersécurité ( DNC ), qui coordonne et conçoit la stratégie de cybersécurité pour l'ensemble du territoire.

« Nous comprenons qu'il reste encore beaucoup à faire. Nous devons investir des ressources pour améliorer la résilience des infrastructures critiques de l'État et renforcer la cybersécurité qui affecte le pays dans son ensemble », ont déclaré à Clarín des responsables de l'Agence fédérale de cybersécurité.

« D’autre part, le CERT.ar ne répondait pas aux incidents (ils ont eu connaissance de très peu d’événements pertinents, ont rarement aidé à la récupération et n’ont pas enquêté) ; le Comité de cybersécurité ne s’est pas réuni en 2024 – et rarement avant – et il y a eu un manque d’investissement , ce qui a entraîné l’absence de cartographie des infrastructures critiques et l’absence d’activités de sensibilisation à l’échelle nationale », ont-ils poursuivi.

L'affirmation du rapport Digital Rights sur le manque de « ressources techniques et humaines » est confirmée par l'Agence. « Malheureusement, l'année dernière, nous avons démarré avec un budget quasiment nul. Le gouvernement précédent avait réduit le budget de la SIDE de sa valeur historique à 25-30 %, sans même prendre en compte les nouvelles fonctions de cybersécurité confiées à l'AFC. Nous disposions d'un budget inférieur à celui d'une petite banque pour sécuriser le pays. Nous n'avons pas acheté de pare-feu ni de commutateurs [dispositifs de contrôle et de protection du trafic] avec une somme aussi modeste. Cette année, le budget a légèrement augmenté, mais il reste minime comparé à ce que dépense une multinationale, par exemple », ont-ils conclu.

Le 16 avril, cette agence, une nouveauté pour notre pays, a acquis une plus grande influence, et cela ne s'est pas fait sans critiques de la part de la communauté. « L'Argentine a fait un pas à contre-courant, ou plutôt, en décalage avec son temps, en désignant l'AFC (Association des procureurs généraux) du SIDE comme organe directeur de la prévention et de la sécurité en matière de cybersécurité, et en supprimant la plupart des fonctions du bureau national du chef de cabinet (décret 274/2025) », a déclaré à ce média Marcela Pallero, spécialiste de la réglementation de la cybersécurité dans le secteur public.

D'autres sources du monde de la cybersécurité de l'État ont assuré à ce média que « dans un premier temps, la décision de donner à l'AFC plus d'influence sur le DNC n'a pas été bien accueillie », car l'AFC « copie de nombreuses fonctions » de la direction. Ils reconnaissent toutefois également la formation au sein de l'agence : « Les personnes travaillant dans ce domaine, deux personnes en particulier, ont de grandes compétences techniques », ont-ils assuré aux initiés.

« Il sera intéressant d'observer les résultats de l'expérience actuelle, étant donné que le caractère secret des opérations du SIDE est difficile à concilier avec les principes de confiance numérique promus par les organisations internationales telles que l'OCDE et la CEPALC, et le monde en général, en particulier pour les questions nationales urgentes de sécurité numérique », prévient Pallero.

La cybersécurité dans l’État est confrontée aux mêmes problèmes que la gestion publique en Argentine : des budgets insuffisants ou mal dépensés.

« J'ai consacré les 27 dernières années à ce qu'on appelle aujourd'hui la cybersécurité, dont 15 au sein de l'État. L'équipe technique est très compétente, mais elle manque de ressources matérielles, humaines et politiques. Des fonds sont alloués à des licences pour des solutions de type « boîte noire » très prometteuses, mais qui nécessitent des certifications et un temps que le personnel de l'État ne peut pas se permettre », a déclaré à ce média Arturo Busleiman, spécialiste en cybersécurité chez Buanzo Consulting.

D'autres critiquent le processus d'octroi de licences : « L'argent est là, mais il est dépensé pour des solutions propriétaires d'entreprises amies . Souvent, d'anciens dirigeants des mêmes entreprises technologiques participent aux appels d'offres : Red Hat, IBM, Oracle, Microsoft, Fortinet, Cisco, entre autres », explique un ancien entrepreneur ayant travaillé pour l'État pendant 12 ans et travaillant aujourd'hui dans le secteur privé.

En ce qui concerne l'Amérique latine, l'Argentine est un peu en retard , alors que la région traverse une période embryonnaire qui compte quelques pionniers : « Alors que l'Union européenne a fait des progrès constants en matière de législation sur la cybersécurité et la protection des données personnelles, l'Amérique latine est encore en phase d'élaboration de politiques et de stratégies nationales à partir du pouvoir exécutif, en gros, à l'exception du Chili et du Salvador , qui ont eu une loi nationale sur la cybersécurité très récemment », explique Pallero.

« Nous pensons que la coopération régionale en matière de cybersécurité doit progresser non seulement sur le plan technique, mais aussi pour garantir une approche fondée sur les droits. Cela implique des mécanismes de partage des capacités et d'assistance mutuelle , mais aussi des principes communs garantissant la protection de la vie privée, la liberté d'expression et l'inclusion numérique », conclut Lara, de l'ONG à l'origine du rapport.

Busleiman estime qu'il est essentiel d'embaucher des professionnels qualifiés, en plus de créer une école : « Nous devons professionnaliser le programme, changer la façon dont les budgets sont alloués , coordonner les trois branches du gouvernement, recruter ceux qui savent vraiment ce qu'ils font et, surtout, donner la priorité à la politique de l'État plutôt qu'à la logique partisane », dit-il.

La création d’un organisme de réglementation de la cybersécurité comme l’AFC est, pour certains membres de la communauté, un pas en avant. En ce sens, Digital Rights met en évidence un aspect positif.

« Chez Derechos Digitales, nous apprécions que la deuxième stratégie argentine intègre explicitement les principes des droits humains, de l'inclusion et de la perspective de genre, ce qui la distingue positivement dans le paysage régional. De plus, la mise en place de processus tels que la consultation publique et les espaces participatifs est précieuse, car ils semblent avoir favorisé une approche plus ouverte et inclusive, même si cette participation est toujours sujette à critique », déclare Lara.

Le défi semble résider dans la transparence de l'AFC et dans sa relation avec les deux autres entités existantes, CERT.ar et DNC, avec la question de savoir si un travail coopératif est possible ou s'il s'agira d'un puzzle dont les pièces sont des acronymes qui ne s'emboîtent pas.

« Cybersécurité en Amérique latine : stratégie nationale en 2024 » analyse les politiques publiques de cybersécurité de l'Argentine, du Brésil, du Chili, de la Colombie, du Costa Rica, de l'Équateur, du Guatemala, du Mexique, du Nicaragua, du Panama, du Paraguay et de la République dominicaine.

Le rapport complet peut être lu ci-dessous ou sur ce lien .