Les politiques régaliennes de cybersécurité ont-elles été essentiellement concentrées sur les grands acteurs économiques et sur les entités critiques, laissant les plus petites structures, TPE/PME/ETI, collectivités et établissements de santé, très largement démunis et exposés aux dangers ? La question posée par l’Institut Montaigne est purement rhétorique, mais elle attire l’attention sur un diagnostic sans appel. Selon les chiffres gouvernementaux, une PME sur deux fait faillite dans les 18 mois suivant une cyberattaque. On estime également qu’une collectivité sur dix (majoritairement de moins de 5000 habitants) a déjà été victime d’un rançongiciel. Le coût, à lui seul, des attaques par rançongiciel subies par les PME de moins de 50 employés, est estimé à plus de 720 M€ par an.
Selon l’Institut Montaigne, deux éléments appellent aujourd’hui une correction rapide de ce désintérêt. Le premier est l’intensification des menaces dans le cyberespace découlant de la mondialisation de la cybercriminalité. Le second est l’extension de la surface d’attaque qui devient un facteur de déstabilisation économique et sociale potentiellement grave, qu’il s’agisse de bloquer l’activité d’une entreprise, d’un établissement de santé ou d’une collectivité, mettant en péril leur capacité opérationnelle, leur santé financière, voire leur survie.
Une démarche de « rehaussement collectif du niveau de cybersécurité »
Le rapport mentionne que les entités de taille modérée font rarement de la cybersécurité une priorité, et lorsqu’elles s’y intéressent, le manque de visibilité de ce qu’elles doivent faire, le manque de compétences disponibles, le manque de financement et l’existence d’une multitude de solutions techniques contribuent à les décourager d’agir. Cependant, le rapport encourage les petites structures à prendre des mesures pour se protéger contre les cyberattaques, telles que la mise en place de politiques de sécurité informatique, la formation des employés à la sécurité informatique, la mise à jour régulière des logiciels et des systèmes d’exploitation, la sauvegarde régulière des données, la mise en place de pare-feu et de systèmes de détection d’intrusion, et la mise en place de plans de réponse aux incidents. Il est également recommandé de solliciter des prestataires de services spécialisés en cybersécurité pour les aider à mettre en place ces mesures.Adoptant une démarche de « rehaussement collectif du niveau de cybersécurité », l’Institut Montaigne propose une méthode simple et rapidement opérationnelle fondée sur les solutions et acteurs existants. L’Institut propose une approche incrémentale. Pour ce faire, de nombreux entretiens ont été conduits avec des personnages clés de l’écosystème français de la cybersécurité. Pour les compléter, des experts de ce même écosystème et des entreprises adhérentes à l’Institut Montaigne se sont réunis et ont collaboré pour imaginer des réponses adaptées. Des ateliers thématiques ont été conduits, complétés ensuite par des études de terrain, auprès d’entreprises nationales et locales, de collectivités territoriales et d’un Centre Régional de Réponse à Incidents (CSIRT). Ceci afin de tester la validité des recommandations au plus près du terrain.
Un plan coordonné pour protéger le territoire
Selon les conclusions de l’Institut, le coût annuel global de cet effort de passage à l’échelle pour les petites entreprises et collectivités représenterait une centaine de millions d’euros, englobant tant les moyens humains nécessaires que les subventions en faveur d’offres mutualisées et des structures qui les portent.Le modus operandi proposé se déroule selon deux axes, car, selon l’Institut, « il est nécessaire de coordonner les ressources, les outils et les prérogatives de chaque acteur aux échelles appropriées ». Le premier axe de six recommandations consiste à sensibiliser les acteurs locaux publics et économiques à la menace cyber et à les inciter à agir pour se protéger. Le deuxième axe, en quatre recommandations, consiste à coordonner les actions de ces acteurs pour protéger plus exhaustivement le territoire, en créant les conditions d’un passage à l’échelle pour mobiliser à tous les niveaux.
1. Inciter à recourir à des diagnostics organisationnels et techniques en proposant un référentiel commun comprenant différentes profondeurs de diagnostic.
2. Fixer une cible de cybersécurité à atteindre pour les structures, en fonction de leur criticité et de leurs moyens, et les inciter à progresser dans la durée en proposant un système de badges les aidant à prioriser leurs arbitrages.
3. Limiter nativement la présence de vulnérabilités et de failles dans les produits et équipements numériques disponibles sur le marché européen en exploitant tout le potentiel du règlement européen Cyber ResilienceAct, et informer les utilisateurs en temps réel en cas de trafic Internet suspect grâce à une « cyber vigie » opérée par les opérateurs de télécommunications.
4. Exhorter les entreprises et collectivités à considérer le risque cyber comme une préoccupation stratégique encadrant les choix humains, organisationnels, budgétaires et techniques de leur activité.
5. Organiser une simulation annuelle d’alerte cyber (équivalent de « l’alerte incendie ») pour tous les salariés ou agents d’une entreprise ou d’une collectivité, afin de les acculturer à la menace et aux bonnes pratiques numériques.
6. Instaurer une fonction de conseiller à la sécurité numérique (CSN) auprès de chaque responsable de structure (dirigeant d’entreprise ou élu) pour accompagner celui-ci sur les questions de cybersécurité.
7. Mutualiser les compétences et les outils chez les acteurs de confiance publics et privés en charge de la cybersécurité afin de permettre une couverture complète du maillage territorial.
8. Faciliter le signalement des attaques cyber via une « Plateforme de Signalement des faits Cyber », base de données commune aux différents services publics compétents en matière de cybersécurité, permettant un suivi consolidé.
9. Renforcer les moyens et l’organisation des acteurs de la lutte contre la cybercriminalité dans une logique de proximité, en mettant l’accent sur la prévention et sur la répression.
10. Pérenniser le financement de l’effort public en faveur d’une sécurité numérique collective par un abondement vertueux des budgets.