La sécurité numérique, une urgence nationale

La CNSP appelle notamment « à prendre rapidement la mesure du défi sécuritaire auquel nous sommes collectivement confrontés, et [à adopter] des mesures vigoureuses permettant de changer les paradigmes de la sécurité dans l'espace numérique », ce afin de préserver « nos états, notre économie, nos concitoyens, le fonctionnement même de nos démocraties ».

Pourtant, la stratégie nationale pour la cyber sécurité mise en place par le gouvernement français a mobilisé 1 milliard d'euros dans ce domaine, avec pour but de multiplier le chiffre d'affaires de la filière « cyber » par trois, et ses emplois par deux d'ici 2025. Mais la CNSP n’a pas été rassurée par de telles annonces. Elle met en avant les effets de la pandémie sur les pratiques numériques, notamment la généralisation du télétravail et la difficulté à mobiliser des ressources IT. Dans le même sens, Annabelle Richard, experte chez Pinsent Masons en technologie, médias et télécoms, souligne « l’augmentation exponentielle du nombre d'attaques reportées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et un manque de connaissances généralisé des utilisateurs face aux risques cyber ».

Les attaques de type rançongiciel sont de plus en plus importantes. « Celles-ci fonctionnent avec un cryptage de tout ou partie du système d'information d'une organisation. La clé de décryptage sera fournie par les attaquants si l'entité paye une rançon. En plus de ce cryptage, les attaquants exfiltrent de plus en plus souvent un certain volume de données qu'ils menacent de publier en cas de non-paiement de la rançon ». Selon la CSNP, 20% des entités touchées par ce genre d'attaque paient la rançon demandée, alimentant ainsi directement les groupes de « cyber terroristes ». Aussi demande-t-elle aux législateurs de réguler les paiements des rançons, soit en les interdisant, soit en créant une obligation de déclaration aux autorités françaises de la demande de rançon et de son traitement, moyennant une protection de type « secret des affaires ».

Afin d’accroître la résilience au niveau de chaque entreprise, « la priorité doit être, selon Annabelle Richard, d’anticiper le plus possible ces menaces cyber, non seulement sur le plan matériel – logiciels, etc –, sur le plan organisationnel, par l’adoption d'une gouvernance de la gestion du risque cyber et des procédures adéquates, et enfin, sur le plan humain, par la formation et la communication auprès des équipes. Rien ne garantit un risque zéro mais plus ce genre d’incidents sera anticipé et moins les dommages seront importants.».

En ce qui concerne l'international, la Commission rappelle l'Appel de Paris lancé par Emmanuel Macron en 2018 pour la confiance et la sécurité dans le cyberspace. Rappelons que cet Appel, soutenu par 79 états et près de 1250 entités, s'articule autour de 9 principes communs de sécurisation : protéger les individus et les infrastructures, protéger internet, défendre les processus électoraux, défendre la propriété intellectuelle, éviter la prolifération d'actes malveillants, sécurité de tout le cycle de vie, hygiène informatique, pas de cyber-riposte privée, établissement de normes internationales. La CSNP insiste sur l'adoption de normes minimales de sécurité au niveau international et ce, sur tous les produits et services numériques avant leur mise sur le marché, en cohérence avec les préconisations formulées par l’OCDE dans son rapport « Enhancing the digital security of products ».

Autre point évoqué dans le rapport, celui de la création d’un cloud dit « de confiance » et reposant sur 3 concepts : la garantie d'un espace sécurisé ; l’immunité aux législations extra-européennes ; la maîtrise de leurs dépendances par les utilisateurs, notamment en termes de portabilité des données et des traitements associés, de réversibilité des offres, d’interopérabilité des solutions, de transparence des contrats. Le Gouvernement semble avoir répondu à cette recommandation puisque le 17 mai 2021, lors de la présentation de sa Stratégie nationale pour le Cloud , la création d’un label « Cloud de confiance » s’est imposé comme un premier pilier.

En définitive, chaque entité doit anticiper le plus possible les cyber risques, non seulement matériellement (logiciels, etc) mais aussi sur le plan organisationnel (adoption d'une gouvernance de la gestion du risque cyber et des procédures adéquates) et humain (équipe dédiée, formée et entraînée). Rien ne garantit un risque zéro mais plus ce genre d'événement sera pensé a priori et moins les dommages subis seront importants.

« Co-écrit par Pauline Binelli, avocat spécialisé en cybersécurité et nouvelles technologies à Paris »