Dans une contribution sous forme de dix propositions aux candidats à la présidentielle 2022, le CESIN propose de créer un ministère du Numérique, avec un secrétariat d’État à la Cybersécurité.
À chaque élection présidentielle, la tradition veut que les partenaires sociaux et les organismes professionnels participent au débat à travers des propositions. Le Club des experts de la sécurité de l’information et du numérique (CESIN) vient de publier une liste de dix propositions à l’adresse des candidats. L’association des RSSI de France dresse un constat sans concession de la situation numérique de la France. « La conquête du monde par les géants du numérique s’est largement confirmée, écrit-elle, ne laissant que très peu de place aux solutions souveraines. Notre pays s’est ainsi retrouvé en position de colonie numérique de grandes puissances étrangères ».
Le moins qu’on puisse dire, c’est que l’association ne mâche pas ses mots pour décrire la situation de la France, et de l’Europe en général, traitée de « colonie numérique ». Si la formule semblent excessive, le constat est juste : « Nos dépendances au numérique sont également très fortes et très étendues dans nos sociétés. L’évolution du numérique vers le cloud a encore accentué cette dépendance et confère aux risques cyber une nature systémique », explique le CESIN.
Créer un ministère du numérique…
Parmi les propositions du CESIN, certaines appellent à des actions dans le cadre européen, comme la promotion d’un numérique de confiance européen. Selon le CESIN, il permettrait la création d’un véritable écosystème de confiance qui devrait nous « rendre moins dépendants de solutions étrangères et assurer d’une manière générale une protection de nos données vis-à-vis de lois extraterritoriales souvent équivalentes à des permis d’espionner ».
Pour le CESIN, le sursaut de souveraineté doit se concrétiser d’abord par la création d’un ministère du Numérique. C’est la première proposition de l’association afin de souligner l’importance de ce secteur. D’après les chiffres cités, le numérique en France participe à hauteur de 6 % du PIB. Il génère 150 Md€ de dépenses et environ un million d’emplois salariés. Le caractère stratégique du numérique doit donc se concrétiser par la création d’un ministère, qui s’appuierait sur un secrétariat d’État dédié à la cybersécurité.
Nous y ajouterons le fait que cette mandature s’est saisie des problématiques du numérique à travers des programmes d’investissements qui se comptent en milliards. De fait, si l’on met bout à bout toutes les initiatives gouvernementales, il y aurait de quoi créer un ministère opérationnel d’emblée.
… et un label pour qualifier la sécurité du code
Le CESIN demande en outre aux candidats d’en « finir avec les logiciels vulnérables ». La généralisation du numérique ayant « mécaniquement augmenté le nombre de logiciels que nous utilisons au quotidien », et par conséquent du nombre de failles exploitables, cette augmentation est responsable de compromissions qui ne sont pas le fait des clients. Pourtant, c’est eux qui en supportent les conséquences. « Cette escalade n’est plus supportable, car c’est aux clients de ces éditeurs de faire ensuite les efforts pour compenser ce niveau de sécurité déplorable ».
En effet, pour chaque logiciel utilisé en entreprise, les clients doivent installer des correctifs pour colmater les failles de sécurité, ce qui représente un coût élevé de maintien en condition de sécurité. Ils doivent de surcroit compenser les défauts de ces briques logicielles par des mesures additionnelles coûteuses. Le CESIN demande donc aux candidats d’instaurer une responsabilité juridique pour le code qu’il produit.
Même si les mots sont durs, la demande est légitime. Elle reflète l’exaspération des clients, car la majorité des logiciels déployés dans les applications industrielles et commerciales est de mauvaise qualité, et contient de nombreuses failles qui peuvent être exploitées par des attaquants. L’écosystème du génie logiciel étant ce qu’il est, il s’agit principalement d’engager la responsabilité des éditeurs pour les forcer à intégrer la sécurité. Cependant, produire du code « propre » répond d’abord à de bonnes pratiques volontaires que le développeur s’impose, dans le cadre d’une démarche de sécurité par conception (secure by design) ou de DevSecOps par exemple.