Cybersécurité : la rationalisation et les petites structures sur le devant de la scène

L’Institut Montaigne vient de publier un rapport sur la cybersécurité. Le constat est globalement mauvais, particulièrement pour les petites structures et les établissements de santé. Mais si la situation est sensible, la mobilisation et la volonté de passer à l’acte seraient présents. Le think tank propose dix axes d’amélioration, dans un contexte de forte évolution.

L'Institut Montaigne est une association à but non lucratif. Il regroupe « plus de 200 entreprises de toutes tailles et de tous secteurs d’activité » et se présente comme « un espace de réflexion, de propositions et d’expérimentations au service de l’intérêt général ». Ses activités sont larges, de la cohésion sociale à l’efficacité de l’État en passant par la compétitivité économique, dont il est question avec le rapport sur la cybersécurité.

Le glissement des attaques vers les petites structures

Les chiffres cités ne sont pas bons. Au cours des deux dernières années, les cibles des cyberattaques ont largement changé. L’écart s’est creusé entre les entreprises stratégiques et l’ensemble des petites structures, comprenant les TPE, PME, ETI, les collectivités et les établissements de santé. Ce groupe a ainsi concentré 73 % des attaques de rançongiciels en 2022, soit 8 points de plus qu’en 2020, selon les chiffres de l’ANSSI. Dans le même temps, les attaques contre les entreprises stratégiques ont glissé de 24 à 6 %.

Que s’est-il passé ? Dans les grandes lignes, un renforcement conséquent de la sécurité informatique dans les grandes structures stratégiques, favorisé par une évolution du cadre réglementaire. Les pirates se sont orientés vers des cibles plus accessibles, moins sensibilisées au risque et ne disposant pas des mêmes moyens.

Les conséquences sont concrètes : des vies humaines deviennent menacées quand des établissements de santé se retrouvent paralysés par une panne informatique (sans parler des évidents problèmes critiques de vie privée causés par des vols de données) et, côté entreprises, de telles attaques ont un impact direct sur leurs finances. Jean-Noël Barrot, ministre délégué à la Transition numérique, avait ainsi indiqué que la moitié des PME faisaient faillite dans les dix-huit mois suivant une cyberattaque (sans que l'on sache toutefois si la faillite est bien la conséquence directe de l'attaque).

Le rapport cite plusieurs exemples, comme un fabricant de lingerie (plus d’un millier de salariés) s’étant retrouvé en redressement judiciaire à la suite d’un blocage complet de tous ses ordinateurs, ou un voyagiste s’étant fait dérober les données de plus de 10 000 passeports. Il cite également une étude dans laquelle des entreprises de plusieurs décennies ont fini par fermer parce que leurs données clients avaient été chiffrées par des pirates.

Cinq problèmes principaux ont été identifiés par l’Institut Montaigne. D’abord un manque de sensibilisation, puisque les deux tiers des salariés français n’ont jamais reçu la moindre formation en cybersécurité (selon Ipsos). Ensuite, un élargissement de la surface d’attaque, puisque ces cibles sont beaucoup plus nombreuses et ont souvent de faibles protections. Les montants investis, justement, posent également problème.

Dans le même temps, les attaques changent de braquet avec les Ransomware as a Service, proposés par des pirates à d’autres pirates via un système d’affiliation. L’ANSSI alerte sur le sujet depuis déjà plusieurs années.

Le manque de compétences disponibles est aussi cité. Les métiers de la cybersécurité sont décrits comme « les plus tendus » du numérique. Enfin, un « foisonnement des solutions techniques » qui peut d’ailleurs paraître paradoxal. Car si les solutions sont là, elles sont si nombreuses que leur nombre désorienterait les dirigeants, qui remettraient alors à plus tard ou abandonnerait le sujet.

Cependant, le think tank rappelle que la directive européenne SRI 2 (ou NIS 2 en anglais) est entrée en application au début de l’année et qu’elle sera inscrite dans la loi française au plus tard en septembre 2024. Elle imposera justement un renforcement de la cybersécurité, au risque d’écoper d’amendes proportionnelles au chiffre d’affaires.

Dans ce contexte, l’institut propose « dix actions concrètes pour un rehaussement collectif du niveau de cybersécurité » en France, réparties en deux axes.

• Cybersécurité : la directive européenne NIS 2 est là, ce qu'elle change pour les États membres

Une mobilisation des acteurs locaux

Le premier axe regroupe cinq mesures en faveur d’une mobilisation des acteurs locaux pour un « parcours cybersécurité simple et progressif ».

L’institut veut d’abord « inciter à recourir à des diagnostics organisationnels et techniques en proposant un référentiel commun comprenant différentes profondeurs de diagnostic ». Un référentiel commun « dont l’ANSSI pourrait avoir la charge » et qui impliquerait plusieurs niveaux de diagnostic :

• Un diagnostic initial pouvant se faire en ligne (comme l’Early Warning Service du NCSC anglais)
• Un diagnostic intermédiaire sur site, en quelques heures, réalisé gratuitement pour les collectivités par les services de l’État, payants pour les autres, via des prestataires référencés dans les CCI et les CSIRT régionaux
• Un diagnostic avancé, par des prestataires certifiés par l’ANSSI, pendant plusieurs jours et sur site
• Un audit réalisé par des structures certifiées PASSI RGS sur les systèmes d’information « les plus sensibles »
• Un audit de haut niveau pour les systèmes les plus critiques, potentiellement obligatoire à cause de la directive SRI 2, et conduit par des structures certifiées PASSI LPM.

L’Institut Montaigne y voit surtout deux bénéfices. D’une part, une standardisation des diagnostics pour simplifier la comparaison des résultats et améliorer la cohérence de l’ensemble. D’autre part, une mise en avant des soucis rencontrés par l’entreprise et correspondant à son niveau, afin qu’elle corrige le tir.

Deuxième recommandation, « fixer une cible de cybersécurité à atteindre pour les structures, en fonction de leur criticité et de leurs moyens, et les inciter à progresser dans la durée en proposant un système de badges les aidant à prioriser leurs arbitraires ». L’institut donne un exemple : une entreprise labellisée « argent » pourrait se tourner vers des sous-traitants en fonction de leur niveau de protection.

Le think tank indique que ce type d’évaluation et de notation existe déjà dans certains pays. Au Royaume-Uni propose une labellisation baptisée « Cyber Essentials » pour accompagner les petites et moyennes entreprises à améliorer « leur posture de cybersécurité ». La Belgique dispose d’un système du même acabit, « Cyber Fundamentals », échelonné sur quatre niveaux.

Ces badges seraient directement liés aux diagnostics précédemment cités, selon le tableau ci-dessous :

À noter que la durée de validité évolue en fonction du badge : un an pour le graphite, deux ans pour le bronze et l’argent, et trois ans pour l’or et le platine.

Troisième recommandation, « limiter nativement la présence de vulnérabilités et de failles dans les produits et équipements numériques disponibles sur le marché européen, en exploitant tout le potentiel du règlement européen Cyber Resilience Act, et informer en temps réel en cas de trafic suspect grâce à une « cyber vigie » opérée par les opérateurs de télécommunications ».

Ici, c’est bien le projet de règlement qui représenterait la base de la mesure. Présenté en septembre dernier par la Commission européenne, il doit rendre obligatoire chez les fabricants l’inclusion par défaut d’un certain nombre de sécurités (dont l’authentification à plusieurs facteurs) et la limitation des vulnérabilités tout au long du cycle de vie. Et le règlement n’ira pas avec le dos de cuillère, puisque la responsabilité civile des fabricants sera engagée. Dans ce contexte, il est probable selon l’institut que les fournisseurs d’accès déploient des fonctions dédiées dans les équipements, notamment les box. Par exemple, en cas d’attaque détectée, les box pourraient automatiquement recevoir le signal de bloquer le trafic malveillant (la facture pourrait alors augmenter pour les abonnés). Actuellement, les obligations se cantonnent aux cœurs de réseaux.

Le risque cyber comme préoccupation stratégique

Quatrième recommandation : « exhorter les entreprises et collectivités à considérer le risque cyber comme une préoccupation stratégique encadrant les choix humains, organisationnels, budgétaires et techniques ». Il s’agit clairement de l’un des plus gros chantiers, puisqu’il suppose un changement important dans les mentalités. Les dirigeants d’entreprise devraient ainsi considérer la cybersécurité comme un enjeu stratégique majeur.

Le système de badges jouerait ici également, puisqu’il influerait sur la souscription aux assurances cyber, l’assureur vérifiant le « niveau de maturité » de la structure avant de passer au contrat. L’institut Montaigne évoque même l’idée d’inciter les experts-comptables à recommander aux dirigeants la prise d’une provision sur risque, qui correspondrait à 4 % du chiffre d’affaires, si aucune assurance n’a été souscrite (en tenant compte de la durée d’interruption moyenne de 16 jours en cas d’attaque). Dans les collectivités, le modèle pourrait s’inspirer de celui pour les sauvegardes.

C’est un chantier en partie engagé, puisque la Gendarmerie nationale dispose d’un outil dédié Di@GoNal, créé justement pour les collectivités locales. L’expérimentation est en cours dans le Calvados au sein de 130 communes, 10 entreprises et 6 hôpitaux depuis quelques mois. Le dispositif fait notamment appel à une auto-évaluation de 30 min, suivi d’un examen sur site pendant deux heures par un gendarme spécialisé.

La cinquième recommandation est tournée vers la pratique : « organiser une simulation annuelle d’alerte cyber pour tous les salariés ou agents d’une entreprise ou d’une collectivité, afin de les acculturer à la menace et aux bonnes pratiques numériques », sur le modèle de l’alerte incendie. En somme, après la sensibilisation des dirigeants, on passe à celle des salariés.

Coordination des ressources, moyens nationaux et locaux

Les recommandations suivantes ont toutes trait à l’organisation de la cybersécurité, en particulier pour lutter contre « la grande hétérogénéité des acteurs et des initiatives ».

La sixième est ainsi de créer une fonction de conseiller à la sécurité numérique (CSN) pour chaque responsable de structure, qu’il s’agisse d’un dirigeant ou d’un élu. Pourquoi un tel poste si la fonction de RSSI existe déjà ? Parce que de tels responsables sont souvent inabordables pour nombre de structures, même mutualisés entre plusieurs sites, selon l’institut.

Le CSN ne serait pas un nouveau poste, mais la nomination d’un membre du personnel, qui deviendrait obligatoire dès lors que le badge Bronze a été acquis. Le profil serait beaucoup moins technique que le RSSI, mais réclamerait au moins un passage par la formation « Référent cybersécurité TPE-PME » de l’ANSSI, sur cinq jours. Une compétence juridique est décrite comme « plus appropriée » pour ce poste, à cause des retombées pour insuffisances dans le cadre SRI 2.

La septième recommandation s’attaque à la « jungle » des prestataires de cybersécurité, qui entraine plusieurs effets négatifs selon l’institut : grande hétérogénéité des acteurs, faible accessibilité aux expertises, tarifs trop élevés pour de nombreuses entreprises, manque de coordination entre les acteurs pouvant intervenir, etc.

Trois types d’actions sont proposés. D’une part, mutualiser les offres de RSSI via un tiers de confiance, pour les rendre plus accessibles, indépendamment de la taille des structures. D’autre part, regrouper les achats de solutions numériques pour en diminuer les coûts. L’institut cite en exemple le modèle des licences mutualisées de l’ANSSI, qu’il propose d’ailleurs de « sanctuariser ». Bénéficier de ce mécanisme s’accompagnerait alors d’objectifs sur les badges, par exemple en gardant que toutes les collectivités de taille moyenne soient au niveau Argent d’ici quelques années. Enfin, la désignation d’un « interlocuteur privilégié » pour fédérer les actions requises. Les CSIRT régionaux semblent tout désignés pour l’institut.

Guichet unique et proximité

La huitième recommandation est aussi une question de fédération : « Faciliter le signalement des attaques cyber via une "Plateforme de Signalement des faits Cyber", base de données commune aux différents services publics compétents en matière de cybersécurité, permettant un suivi consolidé ». Ceci pour remédier à la situation actuelle, où acteurs publics et privés ne partagent que certaines données, de manière informelle, à travers de canaux différents.

L’instauration d’une telle plateforme commune permettrait de concentrer les informations sur la cybersécurité à l’échelle nationale. L’institut déplore en effet une vision fragmentée de la sécurité, à cause d’un trop grand nombre de plateformes déclaratives. Il y aurait donc plusieurs avantages, dont une simplification et une rationalisation des processus de signalement, ainsi qu’une meilleure vue d’ensemble de la menace cyber.

Cette plateforme remplacerait idéalement toutes les actuelles et permettrait de transmettre automatiquement l’action aux services concernés. Le think tank conseille de s’appuyer sur la démarche de Cybermalveillance.gouv.fr pour la création de ce guichet unique. Il estime également que le financement de cette structure nécessiterait un budget de 5 millions d’euros par an (moyens humains, matériels et immobiliers). Il relève toutefois qu’un fichier unique demanderait un gros chantier juridique.

La neuvième recommandation est le renforcement des « moyens et l’organisation des acteurs de lutte contre la cybercriminalité dans une logique de proximité, en mettant l’accent sur la prévention et la répression ». C’est l’une des plus grandes barrières actuellement à la montée en maturité des entreprises et structures. Il y a bien un maillage territorial des acteurs de la cybersécurité, mais avec un grand niveau d’hétérogénéité « qui va rarement jusqu’au dernier kilomètre ».

Plusieurs pistes sont explorées, dont la création d’une flotte de référents pour chaque département. Ces personnes se déplaceraient dans l’ensemble des structures pour former à la prévention des risques cyber. Le coût est estimé à 35 millions d’euros, mais l’Institut Montaigne rappelle à juste titre que cet investissement abaisserait automatiquement les dépenses du reste de la chaine, dont la remédiation et le judiciaire. Le think tank milite également pour un renforcement des moyens de l’ANSSI et de la CNIL, à qui appartient le contrôle et la sanction des manquements sur les données personnelles.

Enfin, la dernière recommandation est la pérennisation du financement de l’effort public. Pour l’institut, la visibilité budgétaire est d’autant plus cruciale que l’évolution des menaces est rapide et que la nécessité d’adaptation est constante. Il propose également un financement dérogatoire, sur le modèle de ce qui existe pour la MILDECA (Mission interministérielle de lutte contre les drogues et les conduites addictives) ou la sécurité routière. En clair, les amendes perçues par l’ANSSI et la CNIL seraient, au moins en partie, réinjectées dans le budget pour la cybersécurité.

La nécessaire mise à l'échelle

La coordination semble être en effet le maitre-mot du rapport de l’Institut Montaigne. Les pouvoirs étatiques seront prépondérants pour donner le La, via les conseils régionaux, les préfectures, les chambres consulaires et autres collectivités auront « un rôle prépondérant » à jouer dans la sensibilisation et la formation à la cybersécurité. Mais le secteur privé a aussi une responsabilité dans l’accompagnement, l’ingénierie technique et la remédiation.

La clé du succès, selon le think tank, repose dans l’articulation des efforts de tous ces acteurs en temps réel. Cependant, les entreprises et petites collectivités doivent aussi comprendre les enjeux, accepter les accompagnements disponibles et mettre en place les outils proposés, à l'instar de MonServiceSécurisé de l'ANSSI. Le numérique irrigue certes tous nos usages, mais il suffirait de peu – selon les professionnels interrogés par l’institut – pour améliorer le niveau de sécurité des structures locales.

L’Institut Montaigne insiste sur la nécessité du passage à l’échelle pour ces petites structures. Un effort qui représenterait, selon ses calculs, un budget supplémentaire d’une centaine de millions d’euros par an. Pour l’essentiel, il ressort du rapport une thématique déjà abordée plusieurs fois, notamment par le think tank Digital New Deal : la pleine intégration de la cybersécurité dans les enjeux des structures. Un mouvement que l’évolution du cadre réglementaire devrait finir par imposer.