CYBERSÉCURITÉ, CYBERCRIMINALITÉ…
QUELS DÉFIS POSÉS A LA SÉCURITÉ INTÉRIEURE PAR LES OPÉRATEURS PRIVÉS ET PUBLICS ?
(Partie n°1/2)
Olivier Chorand
Sarah Pineau
16/10/2017
Nous présentons cette analyse en 2 parties :
- Cette semaine « La cybersécurité prise en charge par l’Etat »
- La semaine prochaine « Les sociétés de service : Risques pour les entreprises françaises ? »
1ère partie : La cybersécurité prise en charge par l’Etat
144 milliards de mails échangés dans le monde chaque jour, 30 gigaoctets de données publiées chaque seconde, 800 000 nouveaux sites web apparaissant quotidiennement, doublement de la quantité d’informations disponibles tous les deux ans… Ces chiffres (1) ont beau faire partie de notre quotidien, ils continuent à donner le vertige. Surtout lorsqu’on sait qu’à l’heure actuelle, moins de la moitié de la population mondiale est connectée.
Rouages essentiels de l’économie, porteurs d’innovations constantes et d’opportunités multiples… parce qu’ils sont désormais indispensables ou presque à la bonne marche d’une grande partie du monde, les systèmes d’information et de communication sont devenus en contrepartie à la fois cibles et responsables de menaces accrues, regroupées selon l’aspect que l’on veut mettre en lumière sous l’appellation « cybersécurité » (opportunité) ou « cybercriminalité » (menace). Un rapide état des lieux du champ de la cybersécurité telle qu’elle est définie en France permettra de rendre compte de l’importance de la problématique à traiter. Si le sujet est en partie pris en charge par des opérateurs étatiques ad hoc au vu de son importance stratégique dans un contexte mondial où la concurrence libre et non faussée est censée être la règle, il est également investi par des acteurs privés, ce qui est à la fois nécessaire, difficilement évitable mais non exempt de menaces pour la bonne santé des grandes sociétés françaises.
LA CYBERSÉCURITÉ, UN ENJEU MAJEUR
Selon le ministère des Affaires étrangères, la cybersécurité « recouvre l’ensemble des mesures de sécurité susceptibles d’être prises pour se défendre contre les nouvelles pratiques destructrices qui se développent dans le cyberespace : utilisations criminelles d’internet (cybercriminalité), espionnage à visée politique ou économique, attaques contre les infrastructures critiques (transport, énergie, communication…) à des fins de sabotage (2) ». En 2014, le coût de la cybercriminalité était estimé, au niveau mondial, à 445 milliards de dollars US par année (environ 400 milliards d’euros), soit l’équivalent du budget total de la France (3) . Et les prévisions futures ne sont guère réjouissantes : selon la société d’études Juniper Research, le coût des violations des données à l’échelle mondiale pourrait atteindre, d’ici 2019, 2100 milliards de dollars pour les entreprises (4) .
La France, et particulièrement ses entreprises, n’est pas épargnée par cette menace : dans 20% des cas, ce sont les organisations professionnelles qui sont visées et ceci leur coûte environ 3,36 milliards d’euros par an. Pour les banques et les entreprises françaises, le cybercrime est devenu la seconde source de fraude, derrière le détournement d’actifs. Selon une enquête menée par le cabinet de conseil PricewaterhouseCoopers «PwC» (5) , 45 % des sociétés de ce secteur qui ont été victimes d’un préjudice économique au cours des 24 derniers mois ont été touchées par des actes de piratage informatique. Une proportion à comparer à celle observée dans les autres secteurs économiques qui se limite à 17 %. Ces attaques, qui ont doublé en moins de deux ans (6) , touchent désormais autant les grandes entreprises que les TPE/PME : par exemple, ces dernières sont devenues la première cible des hackers dans le cadre de ransomwares (demandes de rançons pour récupérer des informations cryptées) car elles sont nombreuses à ne pas disposer de dispositifs de sécurité renforcés, et in fine, le taux de paiement de rançon y est plus élevé. L’importance des pertes qui en découlent s’explique par la valeur des données volées : brevets, plans stratégiques, etc. De fait, parce qu’elle est « un pays fortement industriel avec beaucoup de propriété intellectuelle, de grandes entreprises qui ont des secrets et des brevets qui intéressent des Etats ou des groupes qui visent la récupération d’informations confidentielles (7) », la France a, en 2015, fait son retour dans le top 10 des pays où la cybercriminalité est la plus active.
Face à ces attaques, les entreprises semblent bien démunies comme en témoigne le premier baromètre de la cybersécurité et de ses enjeux au sein des grands comptes français, réalisé par le Club des experts de la sécurité de l’information et du numérique (Cesin) en février 2016 (8) . Leurs doléances portent autant sur les moyens humains que matériels : 69% des entreprises sont mécontentes des niveaux de recrutement sur les postes de personnes en charge de la sécurité des systèmes d’information (SSI) que ce soit à la direction des systèmes d’information (DSI) ou à la direction des risques et de la sécurité et 58% des Responsables de la sécurité des systèmes d’information (RSSI) eux-mêmes s’estiment insatisfaits des outils informatiques disponibles sur le marché pour protéger leur système d’information. Au final, 93% des entreprises sondées n’ont, pour l’heure, confiance ni en leurs outils informatiques, ni en leurs fournisseurs, ni en leurs hébergeurs.
Le cyberespace, au vu de son étendue et de ses coûts, tant en termes de menaces que d’opportunités, est un enjeu grandissant pour les entreprises qui le prennent de plus en plus au sérieux. En France, la filière de cybersécurité représente plus de 600 acteurs et emploie 90 000 personnes dans le monde, dont 40 000 dans l’hexagone9 – Cette importance se mesure également à l’aune de la démarche volontariste de l’Etat en la matière, compte tenu des conséquences éventuelles pour la sécurité intérieure.
CYBERSÉCURITÉ ET SÉCURITE INTÉRIEURE
La Gendarmerie Nationale a été la première force de sécurité intérieure à se préoccuper de la cybersécurité, avant même qu’une stratégie nationale globale ne soit établie. Ainsi, alors que des discussions s’étaient engagées au niveau européen pour inscrire le renforcement de la lutte contre la cybercriminalité comme priorité de l’Union européenne dans le programme européen de Stockholm de 2010-2015, elle a lancé dès 2007 la première édition du Forum International de la Cybercriminalité. Cet événement européen, qui se tient tous les ans à Lille, est dédié aux professionnels de la cybersécurité issus des sphères publiques et privées afin qu’ils confrontent leurs points de vue et leurs expériences. Le thème de 2017 est « Smarter Security for future technologies10 ». Les enjeux internationaux, filière cybersécurité, sécurité en entreprise, lutte anticybercriminalité, nouvelles technologies, questions de société ou encore technologies de sécurité seront quelques-uns des thèmes abordés lors de cette 10e édition.
Ce mouvement initié par la Gendarmerie s’est rapidement vu consolidé par une action gouvernementale et parlementaire. Lors de la révision en profondeur de la politique de défense et de sécurité nationale qui a donné lieu à la publication de deux Livres blancs en 2008 et 2013, la prévention et la réaction aux cyberattaques ont été identifiées comme priorités majeures dans l’organisation de la sécurité nationale, avec la création de nouvelles instances chargées de leur donner corps.
Tout d’abord, la mise sur pied en 2009 de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), agence interministérielle rattachée aux services du Premier ministre qui deviendra, deux ans plus tard, l’Autorité Nationale de défense des Systèmes d’Information.
C’est également en 2011 que la France a publié une « stratégie nationale de défense et de sécurité des systèmes d’information » et créé un poste d’Officier général chargé de la cyberdéfense au ministère de la Défense. Cet Officier général coordonne l’action du ministère dans ce domaine et sert d’interface principale en cas de crise cyber. Par la suite, un Pacte Défense Cyber a, en février 2014, fixé les ambitions du ministère de la Défense jusqu’en 2019.
Du côté du ministère de l’Intérieur, qui s’occupe de la lutte contre la cybercriminalité, un poste de préfet en charge de la lutte contre les cybermenaces a été créé en 2014.
Dernière avancée en date, l’actualisation en octobre 2015 de La Stratégie nationale pour la sécurité du numérique11, qui a fait l’objet de travaux interministériels coordonnés par l’ANSSI. Cinq objectifs y figurent : garantir la souveraineté nationale, apporter une réponse forte contre les actes de cybermalveillance, informer le grand public, faire de la sécurité numérique un avantage concurrentiel pour les entreprises françaises, renforcer la voix de la France à l’international.
La lecture de ces cinq objectifs fait comprendre que la politique nationale de cybersécurité ne s’arrête pas à la protection de la vulnérabilité de l’Etat et de celle de ses infrastructures, mais entend également intervenir dans celle des entreprises, avec plus ou moins de vigueur, selon l’enjeu critique de ces dernières.
De fait, en mars 2015, un décret renforçant les obligations en matière de cybersécurité des opérateurs d’importance vitale (OIV), à savoir les entreprises dont l’activité est jugée stratégique pour la nation, a été publié. Les 218 entreprises concernées, présentes dans des secteurs très divers (banques, opérateurs télécoms, grande distribution, etc.), doivent mettre en place des systèmes de détection des intrusions dont elles font l’objet et procéder à des audits, soit via l’Agence nationale de la sécurité des systèmes d’information (ANSSI), soit via des prestataires labellisés comme Thales. Ce texte, prévu par la loi de programmation de 2013, a tardé à voir le jour compte tenu de réticences fortes de la part des entreprises concernées, à la fois sur le fond et sur la forme. En effet, d’une part le coût des investissements à réaliser pour se mettre en règle est conséquent, d’autre part, rendre publiques des attaques dont elles seraient victimes risque, selon elles, d’écorner leur image et in fine, de leur ôter des opportunités de contrats. Il existe donc un réel besoin de pédagogie pour faire comprendre l’intérêt d’une telle coopération entre l’Etat et les entreprises. Intérêt pourtant assez évident quand on voit les dégâts qu’a pu faire en 2010 le virus Stuxnet sur les centrifugeuses iraniennes de Natanz, ou, plus récemment le groupe de hackers baptisé « Dragonfly »,qui est parvenu à pénétrer les systèmes d’entreprises espagnoles américaines et françaises travaillant dans le secteur de l’énergie, à des fins d’espionnage.
Considérant les impacts majeurs de la cybersécurité sur la sécurité intérieure, l’Etat s’est efforcé de construire un cadre solide pour traiter cette problématique, à son niveau mais également à celui des entreprises, à partir du moment où celles-ci sont engagées dans des domaines d’importance stratégique. Reste à savoir comment les entreprises gèrent ce sujet en interne et, plus précisément les relations complexes qu’entretiennent les sociétés de prestations intellectuelles et les entreprises qui font appel à elles.
Olivier Chorand
Membre des Comités Sécurité intérieure et Cyberdéfense de l’ANAJ-IHEDN Auditeur Jeune de la 87e session, Paris, 2013
Sarah Pineau
Membre du Comité Sécurité intérieure et Cyberdéfense de l’ANAJ-IHEDN Auditeur Jeune de la 91e session, Nîmes, 2015
1 « 25-26 janvier 2016 : Forum International de la Cybersécurité (FIC 2016) à Lille » , supelec.fr, URL : http://www.supelec.fr/offres/gestion/actus_428_26320-1018/25-26-janvier-2016-forum-international-de-lacybersecurite-fic-2016-a-lille.html.
2 « La France et la cybersécurité », www.diplomatie.gouv.fr, [en ligne], URL http://www.diplomatie.gouv.fr/fr/politique-etrangere-de-la-france/defense-et-securite/cybersecurite/.
3 « Coût de la cybercriminalité : 400 milliards d’euros », www.ab-consulting.fr, [en ligne], URL : http://www.abconsulting.fr/blog/securite/cout-cybercriminalite.
4 « Cybercrime : un coût de 2100 milliards de dollars pour les entreprises d’ici 2019 », www.silicon.fr, [en ligne], URL http://www.silicon.fr/cybercrime-2100-milliards-dollars-entreprises-2019-116112.html#1Lwvwfq92Tq8cYPU.99.
5 « Sécurité : le cybercrime est la deuxième cause de fraude financière en France »,www.silicon.fr, [en ligne], URL http://www.silicon.fr/securite-pirates-ciblent-banques-france-93067.html#c6EEpWbpBV0rDARu.99.
6 « La cybercriminalité 2015 en 8 chiffres », www.solutions-numeriques.com, 01.04.2016, [en ligne], URL http://www.solutions-numeriques.com/la-cybercriminalite-2015-en-8-chiffres/.
7 « Cybercriminalité : La France dans le top 10 des pays les plus touchés», www.begeek.fr, 13.04.2016, [en ligne], URL : http://www.begeek.fr/cybercriminalite-france-top-10-pays-plus-touches-199627.
8 « Les grandes entreprises françaises ne se sentent pas prêtes à faire face à la montée des cyberattaques », [en ligne], URL www.expoprotection.com, 17.02.2016.
9 « 17 entreprises recoivent le label « France cybersecurity », 21.01.2016, [en ligne], URL http://www.solutionsnumeriques.com/17-entreprises-recoivent-le-label-france-cybersecurity/.
10 Une sécurité plus intelligente pour les technologies d’avenir
11« La Stratégie nationale pour la sécurité du numérique : une réponse aux nouveaux enjeux des usages numériques » www.ssi.gouv.fr, [en ligne], URL : https://www.ssi.gouv.fr/agence/cybersecurite/ssi-en-france/.