Présidentielles 2022
Le CESIN élabore 10 propositions pour la cybersécurité

 

Depuis les dernières élections présidentielles, la transformation numérique de la société, des entreprises et des administrations s’est considérablement accélérée nous rendant, tant à titre professionnel que personnel, grands consommateurs mais aussi totalement dépendants du numérique. La conquête du monde par les géants du numérique s’est largement confirmée, ne laissant que très peu de place aux solutions souveraines. Notre pays s’est ainsi retrouvé en position de colonie numérique de grandes puissances étrangères.

Des dépendances préoccupantes sur le plan sanitaire avaient été mises en exergue au début de la crise COVID, et le sujet de la dépendance avait enfin émergé sur la scène politique. Nos dépendances au numérique sont également très fortes et très étendues dans nos sociétés. L’évolution du numérique vers le cloud a encore accentué cette dépendance et confère aux risques cyber une nature systémique.

La surface d’attaque s’étant considérablement élargie, les cyberattaques se sont multipliées avec des impacts de plus en plus forts sur des entreprises de toutes tailles et de tous secteurs d’activité, rendant notre environnement numérique fragile et incertain. La cybersécurité s’est invitée dans les Comités exécutifs.

Les responsables cybersécurité réunis au sein du CESIN ont travaillé ces dernières années pour sécuriser les systèmes d’Information et le patrimoine informationnel de leur entreprise, ainsi que pour assurer la cyber résilience des activités. Dans le même temps, de nombreuses initiatives en matière de cybersécurité ont vu le jour tant en France qu’au niveau européen, mais il reste encore beaucoup de chemin à parcourir pour que le numérique soit synonyme d’indépendance et de sécurité afin qu’il apporte toute sa valeur à notre société.

C’est pourquoi le CESIN émet 10 propositions en matière de cybersécurité

pour la future mandature. L’ordre de présentation de ces propositions ne constitue pas à une priorisation. A noter que ces propositions ne traitent pas de ce qui relève des cyberattaques contre les Etats. Dans sa vocation à réunir les Responsables cybersécurité de moyennes et grandes entreprises, le CESIN se concentre sur ce qui concerne les entreprises ainsi que sur l’éducation des jeunes, pour préparer le futur de la cybersécurité.

Proposition n°1 – Créer un Ministère du Numérique : le numérique en France représente 6% du PIB, 150Md de dépenses et environ 1 million d’emplois salariés (1) Au-delà des chiffres, c’est une place tellement stratégique dans notre société qu’elle mérite absolument qu’un ministère de plein droit soit créé, qui s’appuierait sur un secrétariat d’Etat dédié à la cybersécurité.

Proposition n° 2 – Promouvoir un véritable numérique de confiance européen : il s’agit d’aider au développement d’offres européennes, en favorisant des solutions et services de grande diffusion, accessibles au plus grand nombre, plutôt que pour des usages n’impliquant que des données sensibles qui restent des sujets de niche. L’indépendance ne se gagne que si le périmètre couvert est large et vise des usages quotidiens et massifs. Cela vaut tant pour les offres digitales au sens large que pour les solutions de cybersécurité. L’objectif est double : nous rendre moins dépendants de solutions étrangères et assurer d’une manière générale une protection de nos données vis-à-vis de lois extraterritoriales souvent équivalentes à des permis d’espionner. Car les géants du numériques s’enrichissent avec des souscriptions et des licences, et captent intensivement nos données qui nourrissent leurs industries.

Proposition n°3 – Favoriser l’innovation : de nombreuses initiatives sont prises pour financer l’innovation. Le tissu de startups dans le monde numérique, et particulièrement en cybersécurité, est éloquent. Cependant rien n’est fait ou presque pour que ces solutions émergent vraiment et gagnent par rapport à la concurrence étrangère. Dans le numérique tout le monde a sa chance de devenir le géant de demain avec de l’audace et du soutien. Il faut inventer les mécanismes qui poussent des initiatives sur des terrains stratégiques, et qui favorisent les solutions innovantes françaises et européennes pour les donneurs d’ordre. Il faut aussi penser l’après startup pour que les licornes françaises ne soient pas quasi automatiquement rachetées par des entreprises étrangères.

Proposition n°4 – En finir avec cet afflux de logiciels vulnérables : la généralisation du numérique a mécaniquement augmenté le nombre de logiciels que nous utilisons au quotidien. Or nos entreprises font face à un nombre exponentiel de vulnérabilités à traiter, soit parce que les éditeurs ont produit vite et mal, des applications comportant des failles logicielles, et ces cas sont en nette augmentation ces dernières années, soit parce qu’un attaquant a réussi à s’introduire chez un éditeur et à insérer un code malveillant au sein des logiciels produits. Cette escalade n’est plus supportable car c’est aux clients de ces éditeurs de faire ensuite les efforts pour compenser ce niveau de sécurité déplorable. Les clients doivent installer des correctifs pour supprimer ces failles de sécurité, ce qui représente un coût élevé de maintien en condition de sécurité. Ils doivent de surcroit compenser les défauts de ces briques logicielles par des mesures additionnelles coûteuses. Et comme si cela ne suffisait pas, ils doivent aussi assumer les conséquences, si ces vulnérabilités sont exploitées par des acteurs malveillants pour mener des cyberattaques. Il faut obliger les éditeurs à prendre des engagements formels sur la sécurité intégrée dans les logiciels qu’ils produisent. Cela passe par des labels, des organismes de certification tiers adaptés aux nouvelles chaînes de développement, et par des lois qui introduisent un niveau de responsabilité de l’éditeur, comme c’est le cas pour des produits matériels.

Proposition n°5 - Créer un guichet unique en cybersécurité pour simplifier les parcours : au fil des ans et des problématiques à traiter, différentes autorités et points d’entrée en matière de cybersécurité se sont développés. De nombreuses initiatives ont été menées à l’échelle nationale ou régionale pour aider les entreprises et les particuliers. Toutes partent d’une bonne intention, mais cette offre est devenue complexe à utiliser. Le dirigeant d’entreprise ne sait pas à qui s’adresser pour comprendre le sujet cyber, pour se former, pour vérifier un label ou une certification ou pour se faire aider et déposer une plainte lorsqu’il est confronté à une cyberattaque. Et ce n’est pas plus simple pour les particuliers. La création d’un guichet unique national de la cybersécurité devrait permettre d’améliorer la lisibilité des dispositifs cyber et d’y recourir facilement et avec une meilleure efficacité. Par exemple, il est tout à fait inapproprié, voire incongru, d’aller physiquement dans un commissariat de quartier pour déposer une plainte cyber alors que l’entreprise est dans la tourmente d’une cyberattaque.

Proposition n°6 – Des Responsables Cybersécurité obligatoires dans les entreprises et les administrations : la sécurité est l’affaire de tous dit l’adage, mais lorsque le sujet est incarné par une personne chargée particulièrement de ce dossier, le changement est radical. C’est pourquoi à l’instar de ce qui s’est fait avec le RGPD et la création de postes de DPO obligatoires dans les entreprises, il faut rendre le Responsable Cybersécurité obligatoire dans toutes les entreprises. La protection du numérique est devenue trop stratégique pour que sujet soit traité de façon optionnelle. Des postes de Responsables Cybersécurité à temps partagé peuvent être envisagés pour les petites et moyennes structures.

Proposition n° 7 – Une formation cyber obligatoire pour les dirigeants : Tous les dirigeants d’entreprises devraient suivre une courte formation obligatoire annuelle nationale sur les risques cyber (enjeux, priorités, principes de gouvernance, connaissance des actions essentielles et de la réglementation). Ce dispositif commencerait dès l’enregistrement de l’entreprise. Cette formation récurrente pourrait conditionner toute forme de subvention aux entreprises dans le domaine des technologies de l’information et des communications.

Proposition n°8 – Un diagnostic flash cybersécurité obligatoire: Les entreprises devraient être tenues de faire réaliser annuellement un diagnostic flash (par exemple d’une durée d’une journée) sur quelques points de contrôle des mesures de sécurité essentielles en analogie avec le contrôle technique d’un véhicule ou la vérification d’une installation contre l’incendie. Personne ne doute qu’un ensemble de dispositifs de détection contre l’incendie soit nécessaire pour protéger les personnes et les biens matériels. Mais il n’y a pas encore la même perception sur l’immatériel. Une cyberattaque peut avoir de gros impacts opérationnels, financiers et/ou réputationnels, et aller jusqu’à paralyser une entreprise gravement et même définitivement. Combien d’entreprises connaissent les mécanismes coupe-feu, de détection ou d’extinction dans le domaine du numérique ? A l’issue de ces diagnostics, les entreprises devraient avoir l’obligation de traiter les points critiques identifiés sous un certain délai, comme c’est le cas quand des défauts importants sont trouvés sur des installations ou sur des véhicules, car ces défauts peuvent mettre en danger la vie de l’entreprise.

Proposition n°9 – Nos jeunes passent la moitié de leur temps dans le monde numérique et ne sont pas éduqués au numérique et à la sécurité : il faut absolument intégrer une éducation complète à la vie numérique dans les collèges et les lycées, pour former les jeunes à une approche critique et responsable des outils numériques et d’Internet.

Par ailleurs, la pénurie de ressources en matière de cybersécurité n’est plus à démontrer. Le fléchage vers des formations supérieures de « cyber-spécialistes » est faible voire inexistant et la représentation actuelle des métiers de la cybersécurité comporte encore des clichés qui n’incitent pas les lycéennes en particulier à rejoindre cette filière. Il faut continuer de développer l’offre de formations supérieures, la faire connaître et la promouvoir pour encourager les jeunes à s’orienter vers cette filière.

Proposition n°10 - Traiter le cas des réseaux sociaux : l’extrême pénétration des réseaux sociaux dans nos vies personnelles mais aussi professionnelles n’est plus à démontrer. D’un point de vue cybersécurité, cela veut dire au quotidien des vols de données, des usurpations d’identité, la propagation de fakes news sans compter d’autres dérives qui peuvent, in fine, atteindre à la sécurité des personnes, des entreprises et des Etats. Ces réseaux sociaux véhiculent des incitations à la violence, des atteintes au bien-être des personnes, des menaces, intimidations et autres agressions. Et nous savons que les intelligences artificielles que ces plateformes utilisent, s’appuient sur des algorithmes qui amplifient ces phénomènes.

On ne peut pas juste faire le constat d’une zone de non droit, de lieux de l’ultra violence et de l’atteinte constante à la vérité. D’une part il faut pouvoir donner un statut à ces plateformes pour qu’elles portent une responsabilité sur les contenus postés. Et ce doit être possible car des plateformes ont déjà bloqué les comptes de personnalités publiques. Si elles l’ont fait pour au moins une personne, c’est qu’elles s’octroient la capacité de réguler les contenus, donc allons jusqu’au bout du raisonnement et assignons un devoir de régulation. Après tout, dans le monde physique, si vous ouvrez largement votre appartement et que vos invités font un tapage nocturne, vous êtes responsable... Et de même que l’on notifie, sur des contenus audiovisuels, la présence de contenus pouvant choquer et que l’on affiche un âge minimum recommandé sur certains films, pourrait-on imposer à ces réseaux de tagger les contenus inappropriés et de ne pas avoir le droit de servir plus de N% de contenus entrant dans ces catégories. Cela freinerait les ardeurs des algorithmes amplificateurs.

A propos du CESIN

Le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l'information et du numérique.

Lieu d'échange, de partage de connaissances et d'expériences, le CESIN permet la coopération entre experts de la sécurité de l'information et du numérique et entre ces experts et les pouvoirs publics. Il participe à des démarches nationales et est force de proposition sur des textes réglementaires, guides et autres référentiels.

Le CESIN est partenaire de plusieurs organismes et institutions, comme l’ANSSI, la CNIL, la BEFTI, la Gendarmerie Nationale, le Cercle Européen de la sécurité, ACYMA (cybermalveillance.gouv.fr), l’AFAI, l’EBG, le CyberCercle ou encore l’EPITA.

Le CESIN compte plus de 700 membres issus de tous secteurs d’activité, industries, Ministères et entreprises, dont CAC40 et SBF120.

www.cesin.fr