|
Cybersécurité : passons à l’échelle |
|
|
Alors qu’une PME sur deux fait faillite après une cyberattaque, la cybersécurité devient un enjeu majeur de résilience économique et sociale. L'intensification de la cybercriminalité et le développement de directives de cybersécurité, appellent une prise de conscience rapide et massive des acteurs diffus du territoire - petites et moyennes entreprises, établissements de santé et collectivités - diversement engagés jusqu’à présent dans leur protection face aux menaces cyber. Ainsi, il apparaît nécessaire de créer les conditions d’un passage à l'échelle pour protéger plus exhaustivement le territoire. Car la sécurité de l’ensemble n’est jamais que celle de son maillon le plus faible. Dans la continuité de sa séquence #MontaigneTech, l’Institut Montaigne publie aujourd’hui un nouveau rapport intitulé “Cybersécurité, passons à l’échelle”, co-présidé par Olivier Vallet, Président-Directeur Général de Docaposte, et Gérôme Billois, Associé en charge des sujets cybersécurité et confiance numérique au sein du cabinet Wavestone.
À partir d’une analyse collégiale et de terrain, conduite en partenariat avec La Gendarmerie nationale, le METI et le groupe La Poste, le présent rapport formule 10 recommandations s’appuyant sur deux piliers - l'articulation des efforts des différents acteurs nationaux et locaux en temps réel et la mobilisation rapide des moyens identifiés - dans une logique incrémentale, pragmatique et facilement implémentable.
|
|
|
“Ce rapport illustre notre volonté de créer un front commun sur la cybersécurité en proposant des solutions concrètes et utiles pour un passage à l’échelle efficace et rapide. Le marché des PME et ETI reste encore très mal adressé, il est donc important pour nous de fédérer et d’agréger un écosystème dynamique”, déclare Olivier Vallet, Président-directeur général de Docaposte
“Pour faire évoluer la situation cyber des PME/PMI, une approche globale est nécessaire alliant une sensibilisation des dirigeants, des réponses technologiques simples et locales, mais aussi un effet de levier en augmentant le niveau de sécurité de base de tout l’écosystème numérique”, déclare Gérôme Billois, Associé en charge des sujets cybersécurité et confiance numérique, Wavestone
|
|
Un risque systémique de la menace cyber pour les entités les plus exposées |
|
- Les politiques régaliennes de sécurisation cyber ont souvent priorisé les grands acteurs économiques et les entités critiques, laissant les plus petites structures - TPE/PME/ETI, collectivités et établissements de santé - très largement démunies et exposées aux dangers. Ainsi, la somme de ces structures représente 73% des attaques par rançongiciels en 2022 tandis que les grands groupes, ne représentent plus que 6% des victimes de compromission par rançongiciels sur la même année (Source : ANSSI).
- L’élargissement de la surface d’attaque devient un facteur de déstabilisation économique et sociale mettant en péril leur survie. Selon les chiffres gouvernementaux, une PME sur deux fait faillite dans les 18 mois suivant une cyberattaque. On estime également qu’1 collectivité sur 10 (majoritairement de moins de 5000 habitants) a déjà été victime d’un rançongiciel. Le coût, à lui seul, des attaques par rançongiciels subis pour les PME de moins de 50 employés est estimé à plus de 720 M€ par an.
- Les entretiens menés pour ce rapport révèlent tout à la fois une prise de conscience de la menace cyber de la majorité des acteurs et une forte volonté de passer à l’action, mais aussi un manque de moyens et d'accompagnement pour franchir le pas. Peu d’entreprises rendent compte des attaques subies. Les entités de taille modérée font rarement de la cybersécurité une priorité, et lorsqu'elles s’y intéressent, le manque de visibilité de ce qu’elles doivent faire, le manque de compétences disponibles, le manque de financement et l’existence d’une multitude de solutions techniques contribuent à les décourager d’agir.
|
|
Des directives européennes qui encouragent au passage à l’échelle en France |
|
Le second élément invitant à une action rapide est l’application française de la directive européenne NIS 2 d’ici à septembre 2024, dont les nouvelles orientations visent à entamer la diffusion de la cybersécurité dans l’ensemble de la chaîne numérique, précisément dans cette logique de sécurisation des maillons faibles. Une amende proportionnelle au chiffre d’affaires sera exigée en cas de non conformité. Surtout, ce respect de la directive sera une condition d'insertion des petits dans les chaînes de décision ou de valeur des plus grands. Dans ce contexte, les conditions d’un passage à l'échelle s’appuient sur une approche incrémentale : - Dans un premier temps : se concentrer sur ce que les entreprises et collectivités peuvent faire par elles-mêmes et les accompagner au plus près dans cette montée en sensibilisation et en protection autonome.
- Dans un deuxième temps : la contrainte réglementaire poussera naturellement ces acteurs à une prise en charge minimale des enjeux de cybersécurité.
- Enfin, une approche plus contraignante pourra être envisagée auprès des plus rétifs afin d’assurer un niveau minimum de cybersécurité à l’échelle du pays.
|
|
10 leviers d’action pour un rehaussement collectif du niveau de cybersécurité sur le territoire
|
|
Pour permettre une prise en compte globale de la cybersécurité, le rapport s’appuie sur une méthode simple et rapidement opérationnelle fondée sur les solutions et acteurs existants. En complément des nombreux ateliers et près d’une centaine d'auditions, les études de terrain, menées auprès d’entreprises nationales et locales, de collectivités territoriales et d’un Centre Régional de Réponse à Incidents (CSIRT), ont permis de tester la validité des recommandations. Le coût annuel global de cet effort de l’Etat pour favoriser le passage à l’échelle des petites entreprises et collectivités représenterait une centaine de millions d’euros par an, englobant tant les moyens humains nécessaires que les subventions en faveur d’offres mutualisées et des structures qui les portent.
|
|
Axe 1 - Mobiliser les acteurs locaux en faveur d'un parcours de cybersécurité simple et progressif à même de les protéger et de les préparer aux crises : diagnostic, ambition, précautions, exercices et organisation Recommandation 1 : Inciter à recourir à des diagnostics organisationnels et techniques en proposant un référentiel commun comprenant différentes profondeurs de diagnostic Recommandation 2 : Fixer une cible de cybersécurité à atteindre pour les structures, en fonction de leur criticité et de leurs moyens, et les inciter à progresser dans la durée en proposant un système de badges les aidant à prioriser leurs arbitrages Recommandation 3 : Limiter nativement la présence de vulnérabilités et de failles dans les produits et équipements numériques disponibles sur le marché européen en exploitant tout le potentiel du règlement européen Cyber Resilience Act, et informer les utilisateurs en temps réel en cas de trafic Internet suspect grâce à une “cyber vigie” opérée par les opérateurs de télécommunications Recommandation 4 : Exhorter les entreprises et collectivités à considérer le risque cyber comme une préoccupation stratégique encadrant les choix humains, organisationnels, budgétaires et techniques de leur activité Recommandation 5 : Organiser une simulation annuelle d'alerte cyber (équivalent de “l’alerte incendie”) pour tous les salariés ou agents d'une entreprise ou d’une collectivité, afin de les acculturer à la menace et aux bonnes pratiques numériques Recommandation 6 : Instaurer une fonction de conseiller à la sécurité numérique (CSN) auprès de chaque responsable de structure (dirigeant d’entreprise ou élu) pour accompagner celui-ci sur les questions de cybersécurité Axe 2 - Coordonner les ressources, les outils et les prérogatives de chaque acteur aux échelles appropriées : nouveaux moyens nationaux et mutualisations locales Recommandation 7 : Mutualiser les compétences et les outils chez les acteurs de confiance publics et privés en charge de la cybersécurité afin de permettre une couverture complète du maillage territorial Recommandation 8 : Faciliter le signalement des attaques cyber via une “Plateforme de Signalement des faits Cyber”, base de données commune aux différents services publics compétents en matière de cybersécurité, permettant un suivi consolidé Recommandation 9 : Renforcer les moyens et l’organisation des acteurs de la lutte contre la cybercriminalité dans une logique de proximité, en mettant l'accent sur la prévention et sur la répression Recommandation 10 : Pérenniser le financement de l’effort public en faveur d’une sécurité numérique collective par un abondement vertueux des budgets |
|
|
À propos de l’Institut Montaigne Créé en 2000, l’Institut Montaigne est un espace de réflexion, de propositions concrètes, et d’expérimentations au service de l’intérêt général. Think tank de référence en France et en Europe, ses travaux sont le fruit d’une méthode d’analyse rigoureuse, critique et ouverte qui prennent en compte les grands déterminants sociétaux, technologiques, environnementaux et géopolitiques afin de proposer des études et des débats sur les politiques publiques. Association à but non lucratif, l’Institut Montaigne organise ses travaux autour de quatre piliers thématiques : la cohésion sociale, les dynamiques économiques, l’action de l’État et les coopérations internationales. Menés dans la collégialité et l’indépendance, l’Institut Montaigne réunit des entreprises, des chercheurs, des fonctionnaires, des associations, des syndicats, des personnes issues de la société civile et d’horizons divers. Nos travaux s’adressent aux acteurs publics et privés, politiques et économiques, ainsi qu’aux citoyens engagés. Depuis sa création, ses financements sont exclusivement privés, aucune contribution n'excédant 1,2 % d'un budget annuel de 7,2 millions d'euros. |
|
|
|