Cybersécurité

Le Medef et le gouvernement appellent les entreprises à mieux se protéger

Alors que les menaces ne cessent de se multiplier et qu’elles risquent fortement de s’accentuer en France à l’occasion des JO de 2024, le Medef et le gouvernement s’efforcent de sensibiliser les organisations aux enjeux de la sécurité numérique, et notamment les PME et TPE, qui sont les cibles privilégiées des cyberattaques.

Sur le terrain de la sécurité numérique, «la grande majorité des entreprises a pris conscience de la menace et de l’importance des risques», estime Christian Poyau, co-président de la commission «Mutations technologiques & impacts sociétaux» du Medef. © Seventyfour
Sur le terrain de la sécurité numérique, «la grande majorité des entreprises a pris conscience de la menace et de l’importance des risques», estime Christian Poyau, co-président de la commission «Mutations technologiques & impacts sociétaux» du Medef. © Seventyfour

«Les cybercriminels sont fainéants, ils s’attaquent à ceux qui sont le moins bien protégés.» Tel est le constat que le directeur général de la plateforme cybermalveillance.gouv.fr, Jérôme Notin, a partagé avec les chefs d’entreprise réunis par le Medef pour une journée consacrée à la sécurité numérique, fin mars, au Campus Cyber de La Défense. Les grands groupes étant mieux armés face aux cyber-risques, les PME et TPE sont des cibles privilégiées pour les attaquants. Plus fragiles, car elles n’ont pas les ressources adéquates pour faire face à ces enjeux, et aussi plus exposées, car elles constituent des points d’entrée et un maillon faible de la chaîne. «Quand un cybercriminel veut atteindre un grand groupe, il passe par ses sous-traitants.» Et quand il s’agit de systèmes d’attaques automatisés, «les robots envoient des attaques au hasard, ils cherchent des portes d’entrée faciles à ouvrir.»

Protection des TPE : «des choses simples et efficaces à faire»

Sur le terrain de la sécurité numérique, «la grande majorité des entreprises a pris conscience de la menace et de l’importance des risques», estime Christian Poyau, P-DG du groupe Micropole et co-président de la commission «Mutations technologiques & impacts sociétaux» du Medef. Une prise de conscience qu’il juge très positive, même si les petites entreprises ont des difficultés à traiter ces risques faute de moyens financiers et de compétences. «Il est important de dire aux petites et très petites entreprises qu’il y a des choses très basiques à faire, qui ne coûtent pas grand-chose et qui permettent de réduire significativement la menace.» 

Faire des sauvegardes et changer ses mots de passe régulièrement, mettre à jour ses systèmes d’exploitation et ses applicatifs, sensibiliser et former les chefs d’entreprises et les salariés aux bons réflexes qui permettent de détecter ces risques… «Il faut faire comprendre à tous que ce n’est pas le problème du responsable informatique mais de tout le monde» et «qu’il faut maintenir la vigilance en permanence». Reste que si «il faut accélérer sur la sensibilisation et la question des compétences en disant que c’est un sujet sérieux», il ne faut pas non plus «tomber dans la psychose» : «il y a des choses simples et efficaces à faire».

Le gouvernement veut «accélérer» en prévision des JO 2024

Le ministre délégué chargé de la Transition numérique et des Télécommunications, Jean-Noël Barrot a profité de cette journée du Medef consacrée à la sécurité numérique pour présenter «la stratégie d’accélération du gouvernement en matière de cybersécurité». Celle-ci s’inscrit dans le cadre de la stratégie nationale dotée d’une enveloppe d’un milliard d’euros, dont plus de 700 millions de fonds publics «dont la moitié sont déjà engagés», pour faire émerger des champions français de la cybersécurité ainsi que des solutions souveraines. 

Or, le gouvernement souhaite accélérer sur ce terrain en prévision des Jeux Olympiques 2024, qui risquent de donner lieu à une forte hausse des cyberattaques : «on s’attend à ce que les tentatives d’intrusion soient multipliées par dix», a expliqué le ministre. «Ce sera un véritable test» pour la cyber-résistance française, et «j’espère que les JO de 2024 seront l’occasion de mettre en valeur nos savoir-faire».

Renforcement du dispositif Alerte Cyber

Pour accompagner cette accélération, le gouvernement entend actionner tous les leviers d’action. À commencer par le dispositif de l’alerte cyber. Piloté par le Medef avec l’Agence nationale de sécurité des systèmes d’information (ANSSI), il permet d’alerter rapidement plus de 3,5 millions d’entreprises dès qu’une faille informatique importante est identifiée. Près de deux ans après sa mise en place, «neuf failles de sécurité significatives ont pu être signalées dans les 24 heures», s’est félicité le ministre, avant d’annoncer que l’Association des maires de France (AMF) venait d’entrer dans le dispositif «pour que l’alerte soit également diffusée aux 34 000 communes de France» et que celle-ci serait désormais aussi relayée par BFM Business.

De plus, «même si ce n’est pas à l’État qu’il revient de faire adopter les gestes barrières et l’hygiène numérique dans les entreprises, nous avons décidé d’accompagner 750 PME et ETI visées par la directive NIS 2», a annoncé Jean-Noël Barrot. Après la directive dite NIS 1, qui fixe des obligations réglementaires visant à élever le niveau de cybersécurité des acteurs majeurs de dix secteurs d’activité en Europe (dont environ 500 entités en France), la directive NIS 2, qui doit entrer en vigueur au deuxième semestre 2024, élargit considérablement le périmètre des entités tenues de mieux se protéger. «Elle pourrait concerner entre 8 000 et 15 000 entités en France, dont des PME et ETI. Mais nous avons trois millions d’entreprises à protéger, donc le travail ne s’arrête pas avec la NIS 2.»

Filtre anti-arnaque et cyber-score

Autres dispositifs à l’étude pour améliorer la sécurité numérique de tous, et notamment «la protection des particuliers qui sont un des moyens d’entrée pour attaquer les organisations» : le filtre anti-arnaque et le cyber-score. Le premier consiste en une page d’avertissement qui va s’interposer, comme un filtre, avant l’affichage du site dangereux pour alerter les internautes. Le second, conçu sur le modèle du nutri-score, fournira une indication du niveau de protection des données personnelles assuré par les sites les plus consultés. L’objectif du cyber-score est de créer «un cycle vertueux pour inciter les sites à s’améliorer». C’est «un projet qui avance», et le gouvernement a lancé une consultation publique, «à laquelle je vous invite à répondre, car il ne faut pas que sa conception constitue un casse-tête pour les entreprises», a lancé le ministre.