Les entreprises insuffisamment mobilisées
Si le secteur public s’organise de mieux en mieux pour lutter contre la cybercriminalité, il en va différemment du monde entrepreneurial. De même, la communication sur les attaques et l’identité des agresseurs traîne trop. Il est donc laborieux de mobiliser citoyens et entrepreneurs.
La première table ronde de ce 5e FIC est allée dans le vif du sujet : il reste énormément de travail à accomplir, essentiellement en matière de mobilisation. Le débat sur la question de savoir si la cybersécurité est du ressort de la Défense nationale ou des simples questions de sécurité intérieure est vain et à la limite il ne ferait, s’il persistait, que retarder le passage à l’action concrète. Oui, tout cela est du ressort de la Nation en tant que telle, mais aussi de toutes ses composantes, les entreprises notamment, comme de la population. Sans oublier que la cybercriminalité est internationale et que c’est à l’échelle planétaire que les solutions doivent être trouvées. Chacun doit agir là où il est, là où il travaille et s’interroger sur ce qui lui semble anormal.
Un fléau. Très logiquement, la Région Nord-Pas-de-Calais, par la voix de son premier vice-président chargé des questions économiques, Pierre de Saintignon, a fait de ces questions une de ses priorités. «Sans sécurité informatique, nos entreprises sont menacées !» a-t-il d’emblée affirmé. En écho, Patrick Pailloux a révélé que ces attaques durent en réalité depuis de nombreuses années, et pourtant on commence seulement à en parler régulièrement. Avoir été piraté ou agressé et le dire serait donc une maladie honteuse ? Le général d’armée Marc Watin-Augouard répond clairement qu’il faut au contraire communiquer sans détours pour faire prendre conscience de l’ampleur du fléau. Le Figaro consacrait une page entière le 4 novembre 2012 au sujet, «La cyberguerre mondiale a déjà commencé – L’Iran a découvert un nouveau moyen de frapper beaucoup plus tôt que prévu et les Etats-Unis sont mal préparés pour répondre à cela» !
Création d’un cluster régional. Si 52 pays se sont invités à Lille pour ce 5e FIC, c’est bien pour échanger. Ils ont appris que notre région a créé un cluster régional «cybersécurité et confiance numérique» avec EuraTechnologies, le Pôle numérique régional et RD2si. Il sera opérationnel en septembre 2013 et constituera un des moyens de riposte aux attaques numériques. «Le but du FIC est de décloisonner, de dire que seul on ne fait rien sinon on subira. Il faut échanger sur tout» : le général Watin-Augouard a donné le ton…
Tous les cybercriminels ont recours aux mêmes méthodes, ce qui les distingue c’est l’intensité, la préparation, le mobile et la cible. L’Etat s’est senti le premier concerné mais malgré cela, il veut un maillage encore plus serré et pour cela il va décloisonner le renseignement privé et public, qui vont collaborer. Les leviers : les RH («Les mêmes hommes et femmes peuvent servir la cause» dit le général) ; la R&D, une loi plus réactive et une diplomatie qui, depuis ses ambassades, rassemble des informations.
Penser autrement ! Le groupe Sogeti aide les organismes publics à lutter contre la cybercriminalité. Son directeur, Stéphane Janichevski, est ingénieur général de l’Armement mais c’est aussi un industriel qui analyse la situation avec réalisme : «Il faut surtout réfléchir à ce qui peut encore être attaqué après la première agression. Mais les attaques croissent en complexité et les systèmes de défense ne suivent pas ! Il y a décrochage parce que ça reste trop dans le classique. Le niveau de défense des entreprises est globalement insuffisant, les réseaux sont eux aussi attaqués. Les agresseurs sont très imaginatifs, leur champ d’attaque évolue sans cesse, tous les systèmes sont interconnectés avec les smartphones. Alors il faut penser autrement.» Pourtant les systèmes sont testés régulièrement via des simulations mais il faut une approche des vrais risques et se poser les bonnes questions : quelles sont les données sensibles, qui y a accès, etc. Ce type d’information est un «actif» essentiel à l’entreprise. «Hélas, il existe beaucoup d’attaques, poursuit M. Janichevski, et il n’y a pas de prise de conscience du danger. Des entreprises sont pillées. Ces derniers temps, cela a pris une ampleur considérable. L’Etat se protège mieux mais l’entreprise a tout à faire !» Quant au temps de réaction, «cela dépend du nombre de personnes à questionner…».
Des lacunes. On ne laisse pas les clés de sa voiture sur le tableau de bord ! L’Anssi (Agence nationale de la sécurité des systèmes d’information) vient d’éditer son guide définitif téléchargeable sur son site www.ssi.gouv.fr . Ce guide explique comment réagir en cas d’attaque. Ainsi, 40 mesures sont prônées, basiques mais solides, donc efficaces si elles sont prises avec constance et sérieux… Avec un bémol tout de même : «l’Anssi ne peut pas tout faire ni analyser seule, prévient Patrick Pailloux, son directeur général. Il faut assurer ses propres protections. Lisez notre guide d’hygiène informatique et faites remonter vos remarques et vos expériences». L’Anssi s’est attiré quelques critiques. Patrick Pailloux y fait face avec bon sens : «Nous sommes basiques et nous connaissons l’entreprise. Ce qui manque chez l’entrepreneur, c’est la constance à maintenir les mesures de protection. Trop souvent, c’est par périodes et il y a du relâchement. Que nos mesures soient enseignées dans les écoles d’ingénieurs. La formation d’experts et de généralistes est insuffisante, à peine au quart de ce qu’il faudrait ! Il faut aussi des référents dans les entreprises à qui les informaticiens puissent s’adresser.” Le cloud a-t-il un effet nocif ? «La situation française est mauvaise, on identifie nos faiblesses, il faudra du temps pour sécuriser. L’Etat s’est tourné sur lui-même, l’Anssi va seulement commencer à travailler avec le privé. Or, cela représente 70% de l’action que nous menons.»
Un cybercode en gestation ? Edouardo Rihan-Cypel, l’un des députés chargés des questions militaires à l’Assemblée nationale, travaille avec ses collègues depuis 2008 à une nouvelle version du site parlementaire pour mars : «Il y a là un enjeu national. Le cyber a un rôle structurant, on songe à un cybercode, mais l’enjeu est aussi au niveau du simple citoyen. Les actes papiers disparaissent au profit des actes dématérialisés, donc le risque augmente sans cesse. Il faut sensibiliser aussi les parlementaires…»
La crise est un moment favorable aux mutations économiques, de nouvelles filières apparaissent. «La France peut être à l’avant-garde, estime-t-il. On a des fleurons. L’important est de travailler dès maintenant à faire face à une menace d’un ‘cyber 11 septembre’ en France. Il faudra réguler le cyber et augmenter la formation dans l’enseignement supérieur.»
Une arme redoutable. «Une clé USB infectée frappera mieux un ministère qu’une bombe de 350 kg !» Le général Eric Bonnemaison explique comment le ministère de la Défense voit ces questions de cybersécurité : «Le cyber définit de nouvelles vulnérabilités. Le ministère classifie les menaces mais, au-delà, il y a beaucoup de flou. Le combattant de demain va intégrer le cyber, les armées ont des versions améliorées, le nucléaire est spécifiquement protégé, l’espionnage paralyse et détruit les systèmes, visant les états-majors. A côté de cela, il y a trop de systèmes voisins : une chaufferie nucléaire d’EDF est la même que celle qui équipe un sous-marin nucléaire… Ça ne va pas ! Attention aux outils de basse intensité, le cyberespace est à tous : c’est l’idéal pour les groupes non étatiques. Au Mali, la France est cyberattaquée. La Chine et la Russie proposent un traité sur la question. On réfléchit , l’ONU aussi, mais leur texte veut brider la liberté d’expression, ça va bloquer de notre côté.»
Fleur Pellerin : “Toutes les questions doivent être mises sur la table !”
La ministre déléguée chargée des PME, de l’Innovation et de l’Economie numérique n’a pas non plus caché l’immensité de la tâche dévolue à tous les acteurs de la cybersécurité. Après avoir visité la quasi-totalité des stands du FIC, elle a dessiné les axes de travail du gouvernement et rappelé que, oui, il y a là un enjeu de souveraineté et de sécurité.
- Le premier chantier, c’est la question de l’identité numérique. “Vigilance sur la vie privée ! Je suis surprise par la gestion de ces questions d’échanges de données par les opérateurs ; 26 M€ ont été investis pour l’avenir des technologies sans contact. Il existe déjà des dispositifs. En France, on a des moyens, la Banque de France par exemple. Mais en ce qui concerne l’usurpation d’identité, tout est à faire. En France, on n’a pas d’identité numérique à ce jour. Il y a donc un risque de privatisation de cette identité. Allons-nous vers des solutions internationales et européennes ?”
- En juin 2013, le gouvernement va renforcer la doctrine d’identification des utilisateurs.
Plus largement, “le projet e-génome va consister à fédérer le plus grand nombre possible d’acteurs du numérique et de partenaires agissant sur tous les supports. Il faudra trouver des projets. Economiquement, on pourra faire l’Internet de confiance. Socialement, on pourra renforcer la protection des données personnelles. Politiquement, la souveraineté nationale s’en trouvera renforcée”.
- Un marché de 16 milliards d’euros en 2014 !
“Trois axes de travail sont définis : accélérer le développement du commerce électronique, monter en puissance dans les technologies, aider les entreprises à produire et innover. On a des atouts technologiques en France et un large spectre de compétences, le plus large d’Europe, avec beaucoup d’ingénierie. Mais pour avancer, il faut mettre toutes les questions sur la table !”