Rechercher un rapport, une publication, un expert...
Rapport
Juin 2023

Cybersécurité : passons à l’échelle 

Efficacité de l'État Technologies
PARTAGER
<p><strong>Cybersécurité</strong> : passons à l’échelle </p>
Groupe de travail
Présidents : 

Gérôme Billois, associé en charge des sujets cybersécurité et confiance numérique au sein du cabinet Wavestone

Olivier Vallet, président-directeur général de Docaposte

 

Membres :

Jean-Baptiste Fontenille, Expert résident, Institut Montaigne (rapporteur)

Godefroy Galas, chargé de mission à la sous-direction opérations de l’ANSSI, ingénieur des mines (rapporteur)

Jean-Jacques Latour, directeur expertise cybersécurité de Cybermalveillance.gouv.fr

William Lecat, directeur d'investissements chez Auriga Cyber Ventures et ancien coordinateur de la stratégie nationale d'accélération pour la cybersécurité 

Guillaume Poupard, directeur général adjoint de Docaposte, ancien directeur général de l’ANSSI

Milo Rignell, responsable de projets et expert résident - Nouvelles technologies au sein de l’Institut Montaigne

Marc Bothorel, Référent cybersécurité de la Commission numérique, CPME

Personnes auditionnées

Laurent Amsel, Group Chief information security officer, Carrefour

José Araujo, Group chief technology officer, Orange Cyber Defense

Benoît Waltregny, Chief Corporate & Legal Officer, Lloyd's Europe

Vivien Bilquez, Global Cyber Risk Engineer, Zurich Resilience Services (ZRS)

Dominique Bogé, chef du département prévention et confiance numérique, Gendarmerie nationale

Yann Bonnet, Directeur général délégué, Campus Cyber

Marc Bothorel, Référent cybersécurité de la Commission numérique, CPME

Remi Bottin, Directeur Synergies & Développement, Bessé

Amélie Breitburd, CEO, Lloyds Europe

Etienne Busnel, Directeur des Systèmes d'Information, Bess

Lucas Buthion, Public affairs Manager, Iliad 

Guillaume Cali, Référent cybersécurité de la Commission numérique, Direction de la Stratégie et du Développement

Pierre Cejka, Relations Institutionnelles & Médias, Bpifrance

Laurent Celerier, Executive vice-president "Central Europe & International Business", Orange Cyberdéfense

Thomas Chast, responsable du pôle communication et pilotage du RECYM (Réseau des Experts CyberMenaces), DCPJ 

Elodie Chaudron, directrice du programme CaRE - Copilotage Task Force Cyber, Agence du numérique en santé Delphine Chevallier, Fondatrice, Thalia Neomedia

Bénédicte Constans, Directrice de la Communication et des Affaires publiques, Zurich Insurance France

Validé Dajon, Dirigeant SERVALY / CEO et cofondateur People Booster, Servaly

Benoit De Corn, Directeur stratégie Télécom & Digital, La Poste

Jean-Noël De Galzain, Président d'Hexatrust, PDG de Wallix Group et Pilote du Projet Cybersécurité du CSF

Luc Declerck, Managing Director, Board of Cyber

Thomas Dégardin, Group Cybersecurity Coordinator, Bouygues

François Dégez, Chef de la division coordination territoriale, Agence nationale de la sécurité des systèmes d'information

Pierre Deheunynck, Directeur Général de Ricol-Lasteyrie et Président de France compétences

Christophe Delcamp, Directeur, France assureurs

Maxime Donadille, Conseiller technologies d'avenir, espaces immersifs et cybersécurité, Ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique

Thierry Dor, Partner, Gide Loyrette Nouel 

Valentin Durand, Country Digital Acceleration Program - France Lead, Cisco

François Esnol-Feugeas, Vice-Président de l’ACN et CEO Oxibox

Jean-Marc Esvant, Directeur général adjoint, Verlingue

Jérôme Fehrenbach, Directeur général, Conseil supérieur du notariat 

Arnaud Fournier, Co-Founder & CEO, Bastion

Jacques Frénéhard, Président, Groupe Frénéhard et Michaux

Thomas Fressin, Maître de conférences associé en informatique, Université Gustave Eiffel

Eric Freyssinet, Général, Directeur scientifique GN - Cabinet DGGN, Gendarmerie nationale

Tristan Fulchiron, Conseiller transformation numérique du Ministre de l’Intérieur et des Outre-mer, Ministère de l’Intérieur et des Outre-mer

Frédéric Géraud, Head of Government Affairs & Public Policy, Google

Dimitri Grygowski, Governement Affairs Manager, Cisco

Quentin Guérineau, Chef de bureau, Sous-direction des assurances (Direction générale du Trésor)

Jonathan Guiffard, Expert résident, Institut Montaigne

Valentin Heude, Responsable de projets, Transports Vallée (dpt 27)

Christophe Husson, Général, Commandant en second de la gendarmerie dans le Cyberespace (COMCYBERGEND)

Georges-Axel Jaloyan, Chercheur en rétro-ingénierie de cybersécurité, Commissariat à l'énergie atomique

Yoann Kassianides, Délégué général, Alliance pour la confiance numérique

Florent Kirchner, Coordinateur de la stratégie nationale pour la cybersécurité, Secrétariat général pour l'investissement

Marwan Lahoud, directeur général délégué de Tikehau et président du Private Equity de Tikehau

Martin Landais, Sous-directeur des assurances, Direction générale du Trésor (Ministère de l'économie)

Marie-Liane Lekpeli, Directrice de projets numérique responsable et sécurité, DGE MINECO

Xavier Leonetti, Magistrat

Olivier Ligneul, Group Chief Information Security Officer, EDF 

Aurélien Lopez-Liguori, Député, Assemblée nationale

Christophe Madec, Directeur de clientèle - Grandes entreprises et Expert Cyber/Fraude, Bessé

Jean-Pierre Marbaix, Prévention IARD, AXA

Eric Marlière-Albrecht, Commandant de police, chef par intérim du Pôle du Renseignement Cyber de l’OCLCTIC (DCPJ) 

Arnaud Martin, Chief Information Security Officer, Caisse des Dépôts

Gwenaelle Martinet, Conseillère France Relance, Agence nationale de la sécurité des systèmes d'information (ANSSI)

Christophe Meganck, Délégué Général, club ETI Normandie 

Gérard Messanvi, Délégué général adjoint, METI

Thiébaut Meyer, Director, Office of the CISO, Google 

Anne Mimin, Directrice adjointe chargée de la stratégie territoriale, Ugap

Michael Monerau, CEO & Fondateur, Qontrol

Bertrand Monnet, Professeur, EDHEC

Alexandre Montay, Délégué général, METI 

Sébastien Morey, Responsable du CSIRT Bourgogne- Franche-Comté et de l'ARNIA Cybersécurité 

Marc Mossé, Avocat aux Barreaux de Paris et de Bruxelles, Senior Counsel, August & Debouzy

Denis Mottier, Chargé de mission, Association des maires de France et des présidents d'intercommunalité (AMF)

Jérôme Normand, Economiste, CPME

Olivier Panis, Senior Vice President FIG, Moody's

Benoît Parizet, Chief digital officer, Caisse des dépôts et consignations

Stefan Recher, Executive VP, Innovation, Digital/IT & Advisory, Bourbon

Annick Rimlinger, Directrice Sûreté & Sécurité, Cyber et Data Protection, Aéma Groupe

Jean-Louis Rougier, Professeur, Télécom Paris

Frédéric Sardain, Partner - IP, Tech & Data, Jeantet

Sophie Scemla, Partner, Gide Loyrette Nouel

Phillipe Steing, Associé-Partner, Ricol Lasteyrie

Camille Stoclin-Mille, Administratrice en charge des relations avec les institutions, Conseil supérieur du notariat

Vincent Strubel, Directeur Général, Agence nationale de la sécurité des systèmes d'information (ANSSI)

Vincent Trel, Président, APSSIS

Michel Van Den Berghe, Président, Campus Cyber

Arnaud Vandesmet, Directeur de la sécurité des systèmes d'information et de la protection des données, Ramsay Santé

Jules Veyrat, Président et co-fondateur, Stoïk

Barnabé Watin-Augouard, Chef de division du COMCYBERGEND, Gendarmerie nationale

Marc Watin-Augouard, Fondateur du Forum international de la cybersécurité (FIC), Général d'armée de la Gendarmerie nationale

Sommaire
Télécharger
  • Rapport (158 pages)
  • Résumé (4 pages)

    • Le numérique irriguant désormais tous nos usages, la sécurité doit devenir, dans le milieu professionnel notamment, un réflexe naturel, comme le port de la ceinture de sécurité dans les voitures ou la fermeture de la porte d’entrée de sa maison. 

    Si la cybersécurité est souvent considérée comme une problématique purement technique, celle-ci recouvre en réalité une multitude d'enjeux cruciaux tels que la compétence des professionnels de la sécurité, les enjeux budgétaires, sociaux, humains et organisationnels. L'intensification de la cybercriminalité et le développement de directives de cybersécurité appellent une prise de conscience rapide et massive des acteurs diffus du territoire, petites et moyennes entreprises, établissements de santé et collectivités, diversement engagés jusqu’à présent dans leur protection face aux menaces cyber. Il s’agit là d’un enjeu majeur de résilience économique et sociale, la moitié des PME attaquées faisant faillite après une cyberattaque. 

    Ainsi, il apparaît nécessaire de créer les conditions d’un passage à l'échelle pour protéger plus exhaustivement le territoire. À partir d’une analyse collégiale et de terrain, conduite en partenariat avec La Gendarmerie nationale, le METI et le groupe La Poste, le présent rapport formule 10 recommandations afin d’actionner les leviers pour accélérer ce changement d’échelle dans une logique incrémentale, pragmatique et facilement implémentable. 

    Une intensification de la menace cyber qui se resserre autour des entités les moins préparées 

    Sensibles au contexte mondial dans lequel elles évoluaient, les grandes entreprises à portée internationale ont été les premières à prendre des mesures pour se prémunir contre les cyberattaques. Aussi, les politiques régaliennes de sécurisation cyber se sont-elles essentiellement concentrées sur ces grands acteurs économiques et sur les entités critiques, laissant les plus petites structures - TPE/PME/ETI, collectivités et établissements de santé - très largement démunies et exposées aux dangers. 

    L’élargissement de la surface d’attaque devient un facteur de déstabilisation économique et sociale potentiellement grave, qu’il s’agisse de bloquer l’activité d’une entreprise, d’un établissement de santé ou d’une collectivité, mettant en péril leurs capacités opérationnelles, leur santé financière voire leur survie. Ainsi, en France, la somme des TPE/PME/ETI, collectivités locales et établissements publics de santé représente 73 % des attaques par rançongiciels en 2022 (ANSSI). Le coût, à lui seul, des attaques par rançongiciel subis pour les PME de moins de 50 employés est estimé à plus de 720 M€ par an. De même, au moins 1/10 collectivités a déjà été victime d’un rançongiciel, selon les données de la Gendarmerie nationale.

    Les entretiens menés pour cette étude révèlent tout à la fois une prise de conscience de la menace cyber de la majorité des acteurs et une forte volonté de passer à l’action, mais aussi un manque de moyens et d'accompagnement pour franchir le pas.

    infographie-cybersecurite-passons-lechelle

    Une dynamique européenne qui encourage à un passage à l’échelle en France

    Le second élément invitant à une action rapide est l’application française de la directive européenne NIS 2 d’ici à septembre 2024, dont les nouvelles orientations visent à entamer la diffusion de la cybersécurité dans l’ensemble de la chaîne numérique, précisément dans cette logique de sécurisation des maillons faibles. Une amende proportionnelle au chiffre d’affaires sera exigée en cas de non conformité. Surtout, ce respect de la directive sera une condition d'insertion des petits dans les chaînes de décision ou de valeur des plus grands. 

    Pour mobiliser à tous les niveaux et protéger plus exhaustivement le territoire, il apparaît nécessaire d’encourager l'adoption de mesures spécifiques et adaptées s’adressant à l’ensemble des acteurs, en particulier pour les acteurs les moins matures sur ce thème - TPE/PME/ETI, petites collectivités locales et hôpitaux, de manière à asseoir l’émergence d’un véritable "passage à l’échelle" de la cybersécurité en France. 

    10 actions concrètes pour un rehaussement collectif du niveau de cybersécurité sur le territoire

    Les conditions clés pour un passage à l’échelle effectif et réussi reposent essentiellement sur l'articulation des efforts des différents acteurs nationaux et locaux en temps réel et la mobilisation rapide des moyens identifiés. 

    Dans cette démarche, le rapport propose une approche incrémentale qui s’appuie sur une méthode simple et rapidement opérationnelle fondée sur les solutions et acteurs existants. En complément des nombreux ateliers, les études de terrain, menées auprès d’entreprises nationales et locales, de collectivités territoriales et d’un Centre Régional de Réponse à Incidents (CSIRT), ont permis de tester la validité des recommandations.

    Le coût annuel global de cet effort de l’État pour favoriser le passage à l’échelle des petites entreprises et collectivités représenterait une centaine de millions d’euros par an, englobant tant les moyens humains nécessaires que les subventions en faveur d’offres mutualisées et des structures qui les portent. 

    Axe 1 - Mobiliser les acteurs locaux en faveur d'un parcours de cybersécurité simple et progressif à même de les protéger et de les préparer aux crises : diagnostic, ambition, précautions, exercices et organisation

    1
    Inciter à recourir à des diagnostics organisationnels et techniques en proposant un référentiel commun comprenant différentes profondeurs de diagnostic
    Détails
    2
    Fixer une cible de cybersécurité à atteindre pour les structures, en fonction de leur criticité et de leurs moyens, et les inciter à progresser dans la durée en proposant un système de badges les aidant à prioriser leurs arbitrages
    Détails
    3
    Limiter nativement la présence de vulnérabilités et de failles dans les produits et équipements numériques disponibles sur le marché européen en exploitant tout le potentiel du règlement européen Cyber Resilience Act, et informer les utilisateurs en temps réel en cas de trafic Internet suspect grâce à une “cyber vigie” opérée par les opérateurs de télécommunications
    Détails
    4
    Exhorter les entreprises et collectivités à considérer le risque cyber comme une préoccupation stratégique encadrant les choix humains, organisationnels, budgétaires et techniques de leur activité
    Détails
    5
    Organiser une simulation annuelle d'alerte cyber (équivalent de “l’alerte incendie”) pour tous les salariés ou agents d'une entreprise ou d’une collectivité, afin de les acculturer à la menace et aux bonnes pratiques numériques
    Détails
    6
    Instaurer une fonction de conseiller à la sécurité numérique (CSN) auprès de chaque responsable de structure (dirigeant d’entreprise ou élu) pour accompagner celui-ci sur les questions de cybersécurité
    Détails

    Axe 2 - Coordonner les ressources, les outils et les prérogatives de chaque acteur aux échelles appropriées : nouveaux moyens nationaux et mutualisations locales

    7
    Mutualiser les compétences et les outils chez les acteurs de confiance publics et privés en charge de la cybersécurité afin de permettre une couverture complète du maillage territorial
    Détails
    8
    Faciliter le signalement des attaques cyber via une “Plateforme de Signalement des faits Cyber”, base de données commune aux différents services publics compétents en matière de cybersécurité, permettant un suivi consolidé
    Détails
    9
    Renforcer les moyens et l’organisation des acteurs de la lutte contre la cybercriminalité dans une logique de proximité, en mettant l'accent sur la prévention et sur la répression
    Détails
    10
    Pérenniser le financement de l’effort public en faveur d’une sécurité numérique collective par un abondement vertueux des budgets
    Détails
    Imprimer
    PARTAGER
    Télécharger
    <p><strong>Cybersécurité</strong> : passons à l’échelle&nbsp;</p>
    Rapport
    (158 pages)
    Télécharger
    Résumé
    (4 pages)
    contenus associés
    à la une
    Avril 2023

    Évolution des technologies numériques : les arbitrages encore possibles

    Il nous faut identifier les technologies clés pour lesquelles nous avons encore un avantage compétitif. Tout l’enjeu consiste à trouver le point d’équilibre entre les opportunités et les risques.

    Consultez la Note d'enjeux
    Recevez chaque semaine l’actualité de l’Institut Montaigne
    Je m'abonne