Forum International de la Cybersécurité les 5, 6 et 7 avril à Lille Grand Palais
La cybersécurité, fer de lance de la souveraineté numérique
Alors que l'année 2022 s'est caractérisée par une baisse du nombre d'attaques par rançongiciels, le niveau de cybermenaces reste encore élevé : les attaquants sont de plus en plus performants et se tournent désormais vers des entités moins bien protégées. A l'occasion du FIC (Forum International de la Cybersécurité) les 5, 6 et 7 avril prochains à Lille Grand Palais, Guillaume Tissier, co-organisateur du FIC et associé Avisa Parners, revient sur les tendances du cyberespace.
La Gazette Nord Pas-de-Calais. «In Cloud we trust ?», c'est le thème choisi pour cette édition 2023 du FIC. Le cloud est-il vraiment le moteur de la transformation numérique ou est-ce une menace ?
Guillaume Tissier. La révolution
du cloud, en marche depuis plusieurs années, est en train de
s'accélérer. Elle apporte des bénéfices énormes en termes de
coût, d'efficacité, de disponibilité, de scalabilité, etc. Pour
les entreprises, je dirai même que c'est l'assurance d'avoir une
énergie informatique de qualité à des prix assez raisonnables.
Mais évidemment, cela suscite des questions de sécurité et de
souveraineté.
De sécurité d'abord parce que même
si les offres cloud permettent une meilleure sécurité, cela génère
une complexité importante pour les entreprises : au-delà de
l'engouement sur les solutions de sécurité et leurs fonctionnalités
proposées par les gros acteurs du cloud, il faut en maîtriser
l'ensemble pour être bien protégées et malheureusement, les
compétences manquent.
Et concernant la souveraineté ?
Ce n'est pas parce qu'on dispose d'un
très bon niveau de sécurité que le problème de la souveraineté
ne se pose pas. La cybersécurité est avant tout un sujet d'essence
juridique avec des contrats et des lois applicables sur les données
stockées dans le cloud. Il est indispensable de pouvoir garder une
maîtrise sur les contrats avec des garanties de réversibilité, de
transférabilité et d'interopérabilité. Il faut savoir que lorsque
l'on stocke les données chez un acteur américain par exemple, même
si elles sont stockées sur le territoire français et sont soumises
au droit américain.
Est-ce aussi à l'Europe et aux différents gouvernements de prendre des mesures en faveur de cette souveraineté européenne ?
Il y a un vrai nouveau rapport à la
donnée et cela suppose que l'Europe, de manière volontariste, mette
le paquet en termes de politiques industrielles. C'est par exemple le
cas avec l'IPCEI (Projet Important d'Intérêt Européen Commun), un
instrument d'aide européen qui permet aux Etats membres concernés
de soutenir des projets hautement innovants. C'est aussi l'objet du
texte européen sur la législation des marchés numériques de 2022,
le DMA, (Digital Markets Act). L'objectif est de réguler cette
concurrence et de permettre à d'autres acteurs d'émerger tout en
empêchant des fusions qui viendraient encore plus réduire le
marché.
Ce ne sera jamais suffisant face à des GAFA présents depuis bien trop longtemps mais il s'agit quand même de 7 milliards d'euros injectés par 13 pays européens pour financer le développement d'offres de cloud européens.
Si le marché est dominé par les entreprises américaines, est-ce parce qu'on manque d'acteurs en Europe ?
La domination des «hyper
scalers» est très nette
: ils détiennent 70% du marché. Le premier acteur européen qui
apparaît dans les 10 premiers mondiaux, c'est OVHcloud – dont le
siège est à Roubaix – mais il reste très loin derrière les
premiers. L'Europe peut tirer des avantages de la présence
importante de son industrie ainsi que de ses compétences sur le le
edge computing (optimisation du cloud computing qui consiste à
traiter les données au plus près de leurs sources, ndlr) : il ne
faut pas rater cette révolution là car l'Europe a déjà pris du
retard sur le cloud.
On a pu connaître, en 2022, de nombreuses attaques envers des collectivités ; fin février 2023, la Mairie de Lille s'est elle aussi faite cyberattaquée, paralysant de nombreux services publics. Pourquoi ce changement de cibles ?
Selon le rapport 2022 de l'Anssi
(Agence Nationale de la Sécurité des Systèmes d'Information) sur
les attaques et incidents dont elle a eu connaissance, les
collectivités représentent 23% des incidents en rançongiciel, les
TPE/PME/ETI, 40% et les institutions de santé 10% ; le reste
concernant les grands groupes.
Le nombre d'attaques et d'incidents ont
été en légère baisse en 2022 mais les attaques sont plus
perverses et font davantage de dégâts. Les collectivités et les
TPE/PME/ETI sont des cibles très importantes parce qu'elles sont
moins matures que les autres. Les secteurs d'activité sont inégaux
face à la menace. Mais il y a des progrès : l'offre de sécurité
s'est structurée, des certifications sont lancées pour garantir la
qualité et un système de référencement des offres a été créé,
via le site www.cybermalveillance.gouv.fr.
Et du côté des établissements de soins ? Ils représentent 10% des rançongiciels traités ou rapportés à l'Anssi en 2022.
Depuis 2021, le Gouvernement a pris des
mesures en investissant pour la sécurité des systèmes
d'informations des hôpitaux, mais cela reste un point faible, tout
simplement parce que leurs équipements sont souvent vieillissants.
Certes, ils sont numérisés, mais souvent datés. La principale
préoccupation de leurs RSSI (responsables de la sécurité des
systèmes d'information) est de détecter les attaques pour pouvoir
débrancher les équipements à temps. Mais ils n'ont pas la
possibilité de remplacer les équipements ou de les mettre à jour
parce que cela coûte cher...
Qu'en est-il du plan de l'Etat, à hauteur d'un milliard d'euros (1Md€) pour renforcer la cybersécurité, dévoilé en 2021 ?
Le Gouvernement a pris la mesure de la
menace. Il s'agit surtout de faire décoller les offres souveraines :
c'est là où sécurité et souveraineté se rejoignent. À coûts et
fonctionnalités égales, l'achat public doit être engagé vers des
solutions françaises. La cybersécurité est le fer de lance en
matière de souveraineté. Ce n'est pas tout d'avoir des politiques,
il faut aussi des collaborateurs pour les mettre en place et les
accompagner.
La cybersécurité souffre encore d'un déficit de recrutement ?
Il n'y a pas assez de formations sur les métiers opérationnels. On manque de formations courtes, professionnelles et en apprentissage. Mais on n'attire pas en amont assez de vocations. Ces métiers souffrent de clichés : on a besoin du numérique partout et ça n'est pas uniquement technique. C'est du droit, des sciences humaines, de l'intelligence artificielle, de la R&D... En plus de susciter les vocations, il faut mieux exploiter les ressources.