La Commission des entreprises du Sénat s’est penchée sur la cybersécurité des entreprises. Le rapport s’attarde notamment sur la situation des PME, qui manquent des moyens aussi bien humains que techniques pour faire face aux “cybervirus” et finissent donc par servir de porte dérobée vers les grandes entreprises.
La semaine dernière, les sénateurs Sébastien Meurant et Rémi Cardon ont rendu leur rapport sur la cybersécurité des entreprises. Lesquelles sont, de l’aveu des rapporteurs de la commission des entreprises du Sénat, « protégées de manière satisfaisante à l’échelle européenne et nationale, par l’Agence nationale de la sécurité des systèmes d'information (ANSSI) ». Du moins dès lors qu’elles sont d’une taille suffisamment conséquente ou classées parmi les OIV. Les autres, elles, ont moins de chance.
Le rapport, porté par un sénateur LR et un autre PS, pointe les lacunes des pouvoirs publics en matière de cybersécurité. Ainsi, cybermalveillance.gouv, malgré une hausse de fréquentation de 155% en 2020, dont 10 000 entreprises qui « sont venues y chercher de l’assistance à la suite d’une attaque », « est pour l’instant peu connu de la grande majorité des entreprises » indiquent les rapporteurs. Plus largement intervient une grande diversité d’acteurs publics : le C3N de la gendarmerie, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), la sous-direction en charge de la lutte contre la cybercriminalité (SDLC) de la police judiciaire, sans compter Tracfin ou encore la DGCCRF.
Un Etat en retard sur certains sujets
Bref, on comprend aisément que les sénateurs évoquent un « dispositif public, éclaté et difficile à lire pour les entreprises ». Quant à la justice, le rapport la juge « démunie » face à une cybercriminalité qui s’industrialise. Et de prendre pour exemple le procès d’Alexandre Vinnik, condamné non pas pour sa participation au ransomware Locky mais pour blanchiment d’argent. « Il est indispensable de renforcer les moyens humains et budgétaires. Le pôle du Parquet (J3) avec trois magistrats mériterait notamment d’être étoffé » ajoutent les rapporteurs.
Pourtant, la France est belle et bien dotée d’une stratégie en défense et sécurité des systèmes d’information, rendue publique en février 2011 par l’ANSSI. Mais qui là encore se concentre sur les OIV. Et si les CERT sont accessibles à tous, si un plan Vigipirate « Objectifs de cybersécurité », en date de 2014, s’adresse à toutes les entreprises, il n’en demeure pas moins qu’ils ne sont « accessibles qu’aux entreprises qui maîtrisent déjà le risque cyber et sont dotées d’une direction de la sécurité des services d’information étoffée ».
Des outils inaccessibles
Et au-delà de la sphère publique, les PME sont là encore à la peine. Les grands groupes et les ETI « ont pris des mesures de défense compliquant la tâche des cybercriminels ». Lesquels se sont donc reportés vers les PME. Qui manquent des moyens humains et techniques, ainsi que d’une culture de la cybersécurité. « Cette translation du risque vers des fournisseurs, sous-traitants ou clients, continue cependant à affaiblir, par rétroaction, la cybersécurité des grandes entreprises » note le rapport à propos de ce phénomène maintenant bien connu de « supply chain attack ».
« Au déficit de compétences en cybersécurité s’ajoute le fait que les entreprises ne mesurent pas à sa juste valeur l'intérêt de sécuriser l'information » déplorent les sénateurs. Ce que ces PME tentent de compenser en ayant recours au cloud et à l’infogérance… quand bien même « elles n’en maîtrisent pas techniquement les enjeux et souffrent d’une relation commerciale déséquilibrée ». D’autant que si un cloud sécurise la couche infrastructure, il n’en va pas de même pour la brique applicative…
Excellence française
Toutefois l’avenir de la cyber en France n’est pas si sombre : le rapport reconnaît les efforts concédés ces dernières années à travers le plan de relance, les filières d’excellence, le Campus Cyber ou encore les CERT régionaux ainsi que les forces de l’Hexagone en matière de « technologie post-quantique », de « cryptographie » et d’ « intelligence artificielle ». « Associée jusqu’ici à l’idée de contraintes et de dépenses, la cybersécurité doit être considérée aujourd’hui comme un atout compétitif et un investissement productif » insiste les rapporteurs.
Pour autant, « le développement de l’excellence de la filière française de cybersécurité devrait davantage se traduire par une politique publique d’achat de solutions de cybersécurité françaises. Ce n’est hélas pas le cas » déplorent les deux sénateurs. « L’achat de solutions étrangères non maîtrisées est susceptible de menacer la souveraineté de la France. Il manque une culture d’achat de produits français de cybersécurité ». Bref, il reste encore des efforts à faire, ce pour quoi le rapport liste 22 recommandations autour de trois axes : « tester et renforcer la résistance et la cyberrésilience des entreprises », « alerter, conseiller, former sur le péril cyber » et « protéger les ETI, PME et TPE par des outils adaptés ».
[/et_pb_text][et_pb_button button_url="http://www.senat.fr/rap/r20-678/r20-678.pdf" url_new_window="on" button_text="Télécharger le rapport d'information" _builder_version="4.6.5" _module_preset="default"][/et_pb_button][/et_pb_column][/et_pb_row][/et_pb_section]