Cybersécurité : électrochoc en vue pour les entreprises

Les Echos Par Alain Ruello | 10/04 | 16:22

Urgence nationale. A quelques jours de la publication du Livre blanc de la défense, les entreprises françaises peuvent s’attendre à un véritable électrochoc en matière de cybersécurité, un domaine que le document va mettre fortement à l’honneur. SiFrançois Hollande avalise les recommandations qui lui sont soumises, la France va, par le truchement d’une loi, imposer à ses 250 opérateurs d’importance vitale, mais pas seulement, de protéger leurs systèmes d’informations de manière drastique, a-t-on appris de sources concordantes. Même si cela restera confidentiel, il est aussi envisagé de rendre obligatoire la déclaration de la moindre attaque informatique.

Espionnage économique

La France ne part pas de zéro. En 2008, quelques mois après les attaques par déni de service qui avaient frappé l’Estonie, le Livre blanc précédent avait déjà mis l’accent sur la montée en puissance des cybermenaces, qu’elles soient d’origine mafieuse, terroriste, idéologique, comme le mouvement Anonymous, voire étatique. Il en est résulté la naissance de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Cet organisme a bénéficié d’une forte augmentation de ses effectifs d’experts -ils seront 357 en fin d’année. Son action a permis de mettre à nu l’ampleur de l’espionnage économique qui frappe l’économie française depuis des années.

Et pour cause : tous les spécialistes s’accordent pour affirmer que le niveau de sécurité informatique des grandes entreprises françaises, sans parler des PME qui oeuvrent dans les technologies de pointe, est très déficient. Les millions de terminaux mobiles connectés et non sécurisés sont autant de portes d’entrée pour les virus en tous genre.« S’il n’existe pas de données chiffrées, tout laisse à penser que le préjudice subi par ces entreprises, et par voie de conséquence, sur l’économie française dans son ensemble, est considérable, tant en termes financiers et de parts de marchés, que d’emplois », déplorait l’année dernière le sénateur Jean-Marie Bockel dans son rapport sur la cyberdéfense.

Plusieurs cas ont défrayé la chronique ces dernières années, et la Chine est souvent citée comme l’empire du mal. Areva par exemple a été espionné pendant plusieurs mois. L’Etat aussi suscite l’appétit d’intérêts étrangers, comme en témoignent les attaques -rendues publiques -dont Bercy a été victime fin 2010. La commission du livre blanc chargée du sujet a donc préconisé un véritable choc de sécurité pour enrayer le phénomène, « comme un boxeur qui remonte la garde », résume-t-on de source proche du dossier.

Pouvoirs de sanction

Face à l’évolution de la menace, qui frappe désormais les grands systèmes industriels -les « Scada » dans le jargon métier -l’urgence c’est de doter le pays d’une vraie autorité de régulation nationale, avec les pouvoirs de sanction qui vont avec. En 2011, l’Anssi s’est déjà vu confier la responsabilité d’organiser la réponse à une attaque informatique majeure contre la Nation. Il s’agit désormais d’aller plus loin.

Telle qu’imaginée, la future loi obligera les entreprises à se doter de moyens solides de détection de cyberattaques à partir de matériels et logiciels que l’agence aura labellisés et qui devront être opérés en France. De même qu’elle aura le droit de mener des audits de contrôle, où de les confier à des prestataires de confiance là encore sélectionnés par ses soins. A condition que les moyens suivent. Le livre blanc propose que les effectifs de l’Anssi se hissent au niveau de ceux de ses homologues britannique et allemand. Il est prévu de dépasser la barre des 500 experts.

 

Quel régime pour les PME ?
En France, il faut encore qu’une entreprise soit victime d’une cyberattaque pour que ses dirigeants réalisent qu’il aurait mieux valu investir en amont. D’où l’intérêt d’une loi obligeant à se protéger. Reste à bien définir le public visé. S’il est possible d’imposer des contraintes réglementaires aux opérateurs d’importance vitale, en majorité des grandes entités, c’est plus difficile pour les PME, aux moyens limités, mais dont le savoir-faire est partie prenante du patrimoine économique national. Surtout, elles sont souvent sous-traitantes de grands groupes ou d’administrations et, donc, portes d’entrée potentielles pour les cyberespions. La DGA commence à imposer des clauses contractuelles à ses fournisseurs, les obligeant à renforcer leur cybersécurité.
Écrit par Alain RUELLO
Chef de service adjoint
aruello@lesechos.fr