Emmanuelle LAMANDE, propose un retour sur la première table ronde des Rencontres Parlementaires de la Cybersécurité du 21 octobre dernier : sécuriser le tissu industriel français. A cette occasion, des experts ont échangé sur la dimension industrielle de la nouvelle stratégie pour la sécurité du numérique, dévoilée par Manuel VALLS le 16 octobre. 

 

A l’occasion de la 3ème édition des Rencontres parlementaires de la Cybersécurité, le CyberCercle a souhaité échanger sur la dimension industrielle de la stratégie nationale pour la sécurité du numérique, annoncée par Manuel Valls le 16 octobre dernier. Comment peut-on aujourd’hui sécuriser le tissu industriel français ? De quelle manière renforcer la sécurité numérique au sein des entreprises, notamment des PME, mais aussi bâtir un écosystème d’acteurs et de solutions de confiance ? Francis Hillmeyer, Député du Haut-Rhin, et Eduardo Rihan Cypel, Député de Seine-et-Marne, ouvrent le débat.

La plupart des entreprises sont conscientes aujourd’hui d’être des cibles, constate Guillaume Poupard, Directeur général de l’ANSSI. Chacune d’entre elles peut d’ailleurs être, à l’heure actuelle, la cible de pirates ou d’escrocs en tout genre. L’appât du gain, via le vol et la revente d’informations notamment, reste à ce jour la principale motivation, mais ce n’est pas la seule. Le cas de TV5 Monde, victime d’un acte de sabotage, en est la preuve. Pourquoi vouloir détruire une chaîne de télévision ? On peut donc actuellement s’attendre à tout type de scénario. L’objectif est de contrer les menaces et les attaquants avant qu’ils n’arrivent à leurs fins.

Une attaque peut effectivement mettre à mal et paralyser le fonctionnement d’une entreprise, constate Jean-Baptiste Carpentier, Délégué, Délégation interministérielle à l’intelligence économique (D2IE). Cela soulève à la fois des enjeux réputationnels, un risque de perte du patrimoine informationnel et de maîtrise de son information. En effet, le numérique repose avant tout sur la confiance. Une banque qui perdrait régulièrement ses données ne resterait pas en activité très longtemps. De plus, si un maillon de la chaîne, un sous-traitant ou autre se retrouve mis à mal, c’est toute la chaîne de confiance qui est impactée.

François Lavaste, Président d’Airbus Defence and Space – Cybersecurity, souligne quant à lui l’enjeu stratégique de la cybersécurité pour les entreprises. Un groupe comme Airbus est forcément une cible pour certains acteurs malveillants, c’est pourquoi le groupe focalise déjà ses efforts en interne sur le traitement des menaces cyber depuis plusieurs années. L’entreprise représente près de 870 milliards d’euros de carnet de commandes, échelonnées sur 10 ans. Ces commandes doivent être honorées, c’est pourquoi « notre monde ne peut jamais s’arrêter ». Ainsi, il faut prévenir ces risques et mettre en place les processus internes dédiés en amont, mais aussi aider les entreprises filiales et les fournisseurs à s’inscrire dans cette démarche de cybersécurité. C’est à la fois un enjeu social et de souveraineté.

La sécurité est une rigueur de chaque instant

Les entreprises françaises sont elles aujourd’hui suffisamment protégées et armées contre ces cybermenaces ? Pour le Préfet Jean-Yves Latournerie, Conseiller du gouvernement en charge de la lutte contre les cybermenaces, la situation est contrastée en fonction de la taille et du type d’entreprise. S’agissant des grandes entreprises, la réponse est plutôt positive, mais beaucoup reste à faire du côté des petites et moyennes entreprises, qui représentent la grande majorité du tissu économique français. Et, quoi qu’il en soit, est-on jamais suffisamment protégé ? Même pour les grands acteurs particulièrement sensibilisés et protégés, la sécurité est une rigueur de chaque instant et la surveillance des processus doit être continue. D’autant que l’attaque passe généralement par la périphérie du système plutôt que par son cœur, en privilégiant souvent le piratage d’un prestataire pour arriver à ses fins. Concernant les autres acteurs, c’est-à-dire les entreprises qui se retrouvent de plus en plus digitalisées sans avoir conscience des risques, c’est plus compliqué. La première préoccupation d’un dirigeant de PME est de remplir son carnet de commandes, la sécurité n’est pas la priorité.

Avec la campagne CryptoLocker, on a bien vu que les entreprises et les utilisateurs étaient, en grande majorité, complètement démunis face à la cybermenace, constate Michel Van Den Berghe, Directeur général d’Orange Cyberdéfense. Même si la plupart des acteurs ont aujourd’hui conscience des risques, la réalité du terrain et des entreprises est bien différente.

Un très gros effort collectif reste donc à faire en la matière, estime le Préfet Jean-Yves Latournerie. Un travail est actuellement en cours avec l’ANSSI et d’autres partenaires institutionnels afin de déterminer quoi faire, comment le faire, les axes pédagogiques à privilégier… Il faut sensibiliser toutes ces entreprises, à travers l’ensemble des canaux de communications et moyens disponibles. D’autant que lorsqu’un sinistre de cette nature se produit, on constate souvent chez les dirigeants une forme de culpabilité du fait de s’être « fait avoir », qui les conduit à ne pas en parler et à ne pas porter plainte. Il faut que là aussi nous soyons collectivement enclins à faire passer le message. Une action doit en ce sens être menée avec les forces de l’ordre.

La principale faiblesse reste effectivement aujourd’hui le facteur humain, c’est pourquoi tout le monde doit être sensibilisé à ces problématiques, explique Jean-Baptiste Carpentier.

Le numérique : un risque parmi les risques ?

Laurent Bernât, Cyber Security and Privacy Risk Policy Analyst, OCDE, propose, de son côté, d’aborder la question de sécurité sous l’angle de la compétitivité. La sécurité est certes une contrainte, en termes de coûts et de ressources notamment, mais qu’apporte-t-elle ? L’OCDE a émis une Recommandation sur la gestion du risque de sécurité numérique pour la prospérité économique et sociale. Selon l’OCDE, la gestion du risque numérique est une question économique avant d’être une question technique et doit donc être intégrée à la gestion de risque des entreprises plutôt qu’isolée dans un silo décisionnel purement technologique. Le numérique offre effectivement des opportunités de gagner en productivité, mais chaque opportunité apporte son lot de risques. C’est un risque comme les autres qu’il faut également intégrer. Il est de la responsabilité des dirigeants d’entreprises de prendre en compte ce risque de sécurité numérique et de le réduire à un niveau acceptable. Les dirigeants doivent être prêts à faire face aux incidents, car incident il y aura.

Le risque numérique est à la fois dynamique, volatile, invisible, technique, mais aussi humain. Il doit être intégré à la gestion des risques de l’entreprise, et à sa gouvernance. La question de la gouvernance est, pour lui, véritablement essentielle, et se pose d’autant plus pour les PME. Comment peuvent-elles développer un cadre de gouvernance des risques SI ? Ont-elles aujourd’hui les ressources pour cela ? A l’heure actuelle, on observe, selon lui, un manque cruel de compétences en la matière, notamment du côté des métiers et des décideurs économiques. On doit apprendre ces risques dans les écoles de management.
Outre l’importance de l’analyse et de la gestion des risques, l’OCDE recommande enfin de briser les silos, à la fois entre l’État et les entreprises, mais aussi entre tous les acteurs.

« Chez Renault, on met l’informatique au même niveau que les autres risques », souligne Pierre Gachon, Directeur de la sécurité informatique, Groupe Renault. Le risque informatique a été complètement identifié et remonté au plus haut niveau de l’entreprise. De plus, avec l’arrivée des véhicules connectés et des véhiculés autonomes notamment, les risques en matière de sûreté et de sécurité des informations évoluent et la surface d’attaques aussi. La sécurité fait donc partie intégrante du processus de développement et la direction du management des risques se trouve au plus haut niveau du groupe.

Entre intérêts souverains et économiques…

La réponse réglementaire existe également en matière de protection des données, observe Jean-Baptiste Carpentier, mais il serait erroné de dire que seule la Loi pourra venir renforcer la sécurité des entreprises. Cependant, à ses yeux, la Loi n’est pas seulement une contrainte, c’est aussi une opportunité de compétitivité en France, comme à l’international. Pour cela, il faudrait néanmoins faire en sorte que cette contrainte soit aussi pensée par ceux qui l’appliquent.

Les entreprises sont, en effet, soumises à différentes réglementations en matière de protection des données, souligne Loïc Guézo, Strategic Business Development and Cybersecurity Strategist, Trend Micro France. Toutefois, il n’est pas toujours simple pour elles de respecter ces obligations. De manière à répondre à ces impératifs, l’entreprise va devoir développer une infrastructure bâtie sur des produits de confiance. Pour ce faire, elle pourra recourir à des produits labellisés et qualifiés par l’ANSSI, afin de s’assurer que ces solutions sont de confiance et ne contiennent pas de backdoors par exemple. L’important n’est pas que les produits utilisés soient français ou non, mais qu’ils soient de confiance. Le chiffrement est également un axe de sécurité à privilégier pour les entreprises. En outre, elles doivent se poser la question de la localisation de leurs données : dans quels Data centers sont-elles stockées ?

Le concept même de souveraineté numérique est assez récent, explique Jean-Baptiste Carpentier, mais certains États en ont déjà bien compris les enjeux. D’ailleurs, ceux qui ne sont pas maîtres aujourd’hui de leur souveraineté dépendent en fait de celle de quelqu’un d’autre. Il convient de sauvegarder un équilibre entre l’intérêt économique des entreprises et l’intérêt souverain de l’État au niveau national et européen. Le niveau de qualité exigée par la France permettra cependant la création d’un cercle vertueux pour la sécurité de tous.

« Je crois également beaucoup aux produits souverains », souligne Michel Van Den Berghe. Toutefois, le principe de souveraineté n’est pas aussi simple que cela à mettre en œuvre. Il reste aujourd’hui difficile, pour des raisons économiques notamment, d’héberger et de traiter ses données uniquement en France, en s’assurant qu’elles ne soient exploitées que par des personnes présentes sur le territoire.

LPM : un accélérateur pour la sécurité…

« Les risques d’attaque, ainsi que la Loi de Programmation Militaire (LPM) sont les deux pivots qui ont poussé notre entreprise à renforcer sa sécurité », explique Jean-Yves Poichotte, Global Head of IS Security, Sanofi. « Sans la LPM, nous n’aurions pas répondu aux enjeux de sécurité. C’est un facteur déclenchant essentiel qui nous a permis d’avancer, grâce notamment à la rencontre et à l’appui d’interlocuteurs dédiés. Nous n’aurions pas su de nous-mêmes déterminer les différentes étapes de sécurisation à mettre en place. Les partenaires certifiés par l’ANSSI permettent aujourd’hui aux entreprises d’avoir des interlocuteurs à qui parler et sur qui s’appuyer ». Il constate, d’ailleurs, via la LPM, que la France est en avance par rapport aux autres filiales du groupe à l’étranger en matière de cybersécurité. Toutefois, l’IT nécessite encore, selon lui, d’être simplifié aujourd’hui. « Pendant 20 ans, des strates ont été accumulées au sein de la structure, qu’il faut désormais simplifier et optimiser. Le Cloud est, pour nous, un bon moyen d’y parvenir ».

L’option du Cloud peut toutefois s’avérer dangereuse si l’entreprise ne s’inscrit pas dans la bonne marche à suivre. Effectivement, avant de recourir au Cloud, elle doit effectuer une véritable analyse de risques, et déterminer ce qu’il est possible ou non d’externaliser au sein de l’entreprise, explique Guillaume Poupard. La localisation des données est également un facteur important à prendre en compte : où sont-elles hébergées ? Quid des sauvegardes ?

La donnée représente l’or noir de notre siècle, constate Michel Van Den Berghe. Le principal problème avec le Cloud réside dans la protection de la donnée à partir du moment où elle quitte le « coffre-fort » et transite d’un réseau à l’autre, via différents prestataires. C’est d’ailleurs l’une des missions d’Orange de sécuriser ces données de bout en bout, tel un « transporteur de fonds ».

Concernant les sous-traitants, certaines mesures ont déjà été prises en compte, notamment pour les OIV, explique Guillaume Poupard. En effet, la LPM impose la revue des obligations contractuelles entre l’entreprise et ses prestataires. Toutefois, un travail important reste encore à faire, surtout concernant les autres types d’entreprises.

Suite à la compromission de sécurité dont a été victime Orange en 2014, via l’un de ses prestataires, le groupe a effectué une restandardisation de l’ensemble de ses contrats avec ses sous-traitants. « Cette tâche s’est avérée ardue », souligne Michel Van Den Berghe, « d’autant que les sous-traitants n’y sont pas forcément préparés ».

« Agir ensemble » : un principe fondateur pour la sécurité numérique

La coopération entre les acteurs est également un principe fondateur de la stratégie de sécurité numérique. « Nous avons clairement des forces vives (étatiques, institutionnels, industrielles…) en France pour lutter contre la menace », explique Guillaume Poupard, mais pas suffisamment nombreuses pour s’éparpiller et ne pas agir ensemble. Tous les acteurs avancent aujourd’hui dans le bon sens, autour d’un objectif commun. Pour François Lavaste, l’année 2015 vient effectivement cristalliser les initiatives initiées ces dernières années, en termes de partenariats et d’actions. Un cap a aujourd’hui été franchi.

En outre, la confiance est un facteur clé, qui doit se trouver au cœur de cet écosystème, reprend Guillaume Poupard. C’est pourquoi la qualification des produits et des prestataires de sécurité par l’ANSSI est actuellement en cours. Les prestataires auxquels les entreprises font appel vont avoir accès à l’ensemble des informations présentes sur leurs réseaux, cette confiance s’avère donc fondamentale. « Nous avons besoin de produits efficaces et de confiance. Cela passe par des référentiels qui déterminent ce que l’on attend d’une solution de sécurité. La démarche de qualification va venir s’assurer du bon respect de ces règles. Enfin, il faut garder à l’esprit que la sécurité est un « enabler ». Elle doit accompagner le développement du numérique, pas le freiner », conclut-il.

 

Retrouvez l’article d’origine ici.