Dans un monde où tout est connecté, le risque cyber est partout
Temps de lecture : 11 min
Au cours des douze derniers mois, 43 % des organisations ont été victimes d’une cyberattaque réussie en France, selon le cabinet Asterès. Comment les entreprises s’emparent-elles aujourd’hui du risque cyber ? L’analyse de David Ofer, président de la Fédération française de la cybersécurité.
Quels sont aujourd’hui les contours du risque cyber ?
Nombre d’études menées décrivent un phénomène à la hausse. Le volume d’attaques à finalité lucrative portées à la connaissance de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en 2023 est supérieur de 30 % à celui constaté sur la même période en 2022. Cette recrudescence est également observée par la section de lutte contre la cybercriminalité́ du parquet de Paris.
« Les pirates ont pris de l’avance sur les Etats et les entreprises. »
Au-delà des chiffres avancés par les uns et les autres, ce qui est certain, c’est que dans un monde où tout est connecté, le risque cyber est partout. L’invasion du numérique dans nos vies quotidiennes, personnelles comme professionnelles, a ouvert un vaste terrain de jeu à une nouvelle génération de délinquants et de criminels, prompts à exploiter les failles des systèmes informatiques pour paralyser le fonctionnement des organisations, usurper les identités et chercher un nouveau Graal au sein des sociétés modernes : la donnée. Particuliers, entreprises, associations, institutions, collectivités… Nul n’est aujourd’hui à l’abri de ces brigands du cyberespace.
L’intelligence artificielle est-elle susceptible de faire bouger les lignes de cette nouvelle guerre ?
Les algorithmes permettent aux acteurs de la prévention et de la protection de mieux comprendre et identifier les sources d’attaques ainsi que les zones de fragilité. Ils sont un allié précieux dans la protection des données et la détection des tentatives d’attaques. L’IA est utilisée par de nombreux services sensibles, dont l’armée et les services de police, pour améliorer l’analyse de certaines données. Mais elle sert également le camp des délinquants, en permettant une plus grande sophistication des attaques, via, par exemple, les fameux deepfakes sur lesquels les médias ont beaucoup communiqué.
Les criminels n’ont-ils pas une longueur d’avance par rapport aux moyens de défense et de riposte ?
Dans la course contre la montre entre une menace qui se professionnalise et une défense qui s’organise, le combat est inégal. Les pirates, parce qu’ils « investissent » – littéralement – dans le cyber, ont pris de l’avance sur des Etats et des entreprises qui ont longtemps vu la cybersécurité comme un poste de coût. Le mythe du hacker à capuche opérant seul au fond de son garage ne correspond plus à la réalité ! Les cyberattaques sont désormais orchestrées à l’échelle internationale par des organisations criminelles. Elles sont de plus en plus perfectionnées, avec des cibles précisément établies et de lourdes conséquences sur la sûreté et l’économie des pays.
Quels sont les secteurs d’activité les plus menacés ?
Le secteur de la santé a été parmi les plus touchés par les attaques sur la période récente. Et pour cause : il recouvre des activités qui peuvent être vitales pour les citoyens et abrite des données personnelles extrêmement qualifiées et donc chèrement monnayables. D’autres secteurs dont la paralysie impacterait le fonctionnement de la société sont également en bonne place dans le viseur des attaquants : collectivités territoriales, énergie, télécommunications et transports en particulier. Aujourd’hui, le risque se porte très fortement sur les supply chains. La globalisation des marchés et la multiplication des sous-traitances surexposent clairement les chaînes d’approvisionnement. Aux Etats-Unis celles-ci font l’objet d’attaques récurrentes. Les supply chains françaises commencent à être touchées à leur tour.
Quels sont la place et le rôle de la Fédération française de la cybersécurité dans l’écosystème de la sûreté numérique ?
Le sujet cyber en France est aujourd’hui investi par différents acteurs. L’ANSSI s’adresse plus spécifiquement aux opérateurs d’importance vitale (OIV) et aux grands groupes ou grosses collectivités territoriales. Cybermalveillance.gouv a été créé pour informer et prendre en compte (avec des moyens financiers limités) les signalements émanant du grand public ou des entreprises. Mais sur le champ des TPME, des petites collectivités, pourtant très nombreuses en France, les messages sont dilués, laissant les chefs d’entreprise et les élus souvent démunis face à une information dont ils se sentent détachés. Il existe une multitude de questionnements liés à la cybersécurité sur lesquels il faut communiquer davantage : maillage territorial pour les TPME, formation chez les jeunes, passerelles interprofessionnelles, accès à un cyberespace maîtrisé, etc. C’est cet espace que nous avons souhaité compléter avec la Fédération française de la cybersécurité, créée il y a quatre ans à l’initiative d’élus, de spécialistes de la sécurité numérique, d’entreprises, de collectivités, de chambres consulaires. Notre ambition est de fédérer les actions d’information, de prévention et de protection du tissu économique au travers d’une approche citoyenne indépendante, affranchie de tout intérêt commercial. A la différence des nombreux clubs et associations qui ont investi l’écosystème pour défendre des intérêts privés, nous ne vendons pas de produits ni de services, et nous inscrivons dans une stricte démarche d’intérêt général et d’utilité publique.
Où en sont les entreprises en matière de prévention ?
Encore une fois, il y a ici un fossé entre les grands groupes, qui peuvent mobiliser davantage de moyens et de ressources, et le tissu des TPME, qui ne savent pas à qui s’adresser, quelles démarches amorcer, quelles organisations déployer.
« Plus de 60 % des PME n’ont aucun référent cybersécurité. »
La Fédération a mené en 2023 une enquête montrant que plus de 60 % des PME n’ont aucun référent dédié à la cybersécurité et qu’elles ne sont que 25 % à avoir contracté une assurance. Il faut d’urgence affranchir le sujet cyber de son tropisme technique pour s’adresser aux entreprises avec des termes simples, compréhensibles. Le nerf de la guerre contre la cybercriminalité, c’est l’argent. L’accélération des développements numériques n’est pas suivie d’une augmentation des dépenses de sécurité. Or aujourd’hui, faute de maîtrise du sujet, les TMPE ne sont pas disposées à allouer des budgets adaptés aux moyens adéquats de protection.
On pointe régulièrement un décalage entre le besoin en compétences techniques des entreprises et le manque de talents disponibles sur le marché…
Je pense honnêtement que les choses sont plus complexes et que le sujet des ressources ne peut pas se réduire à cette seule distorsion entre demande et offre. Les formations à la cyber se sont franchement développées ces dernières années. Mais il y a une situation paradoxale. D’une part, certains cursus ne parviennent pas à remplir leurs effectifs. D’autre part, les entreprises n’ouvrent pas suffisamment de postes dédiés à la sécurité numérique et ont de surcroît tendance à resserrer leurs critères sur des bac+5 hyperqualifiés, alors que leurs besoins sont en partie ailleurs. Encore une fois, les sujets de cybersécurité ne doivent pas être réduits à leur dimension technique. C’est dans cette optique d’élargissement du spectre des profils et d’accompagnement des entreprises que la Fédération française de la cybersécurité a récemment créé le métier d’assistant cyber.
De quoi s’agit-il ?
La mission des assistants cyber consiste à aller au contact des utilisateurs dans l’entreprise, à communiquer sur les règles d’hygiène informatique, à vérifier la bonne compréhension et le respect des politiques de sécurité. L’objectif est de réduire les surfaces d’attaques, de diminuer le risque et de faire remonter les points critiques aux départements concernés. En parallèle, nous avons déposé un titre de formation à ce métier d’assistant cyber, avec un cursus de 400 ou 600 heures ouvert à des jeunes de niveau bac ou à des personnes en reconversion professionnelle.
L’arsenal juridique actuel suffit-il à prévenir et réguler le risque ?
Oui, il suffit en grande partie à encadrer le champ sécuritaire (lire l’encadré). Face à l’ampleur des enjeux, l’urgence n’est pas dans la réponse réglementaire. Il faut circonscrire les services essentiels à protéger, consolider l’écosystème de prévention et de protection, réguler les responsabilités sur toute la chaîne de valeur cyber, développer des couvertures assurantielles, et peut-être avant tout, sensibiliser et former à tous les étages. Le chantier est colossal. Enfin, rappelons que le RGPD comporte un volet cyber, qui, s’il était appliqué, épargnerait bien des tracas aux entreprises.
Un arsenal juridique robuste
La loi Godfrain de 1988 sanctionne l’entrée ‒ ou la tentative d’entrée ‒ sans droit dans les systèmes de traitement automatisé de données (STAD). Ces dernières années, de nombreux textes ont été produits pour répondre à chaque situation. Le Digital Operational Resilience Act (DORA), instauré par l’Union européenne, est venu renforcer la cybersécurité dans les services financiers. La directive Network and Information Security (NIS 2), transposée en droit français en 2024, permettra à l’ANSSI d’augmenter le niveau de cybersécurité de milliers de structures dans un certain nombre de secteurs d’activité qui seront désormais régulés.
10/07/2024