« L’Etat ne peut, et ne doit, se désintéresser de la sécurité de ce qui est consubstantiel à la survie de la Nation et à la vie de nos concitoyens. C’est fait en matière de sûreté industrielle, d’environnement, d’incendie, de sûreté médicale. Il n’y a aucune raison de ne pas le faire dans le domaine de la cybersécurité » expliquait Patrick Pailloux, Directeur général de l’ANSSI, en ouverture des Assises de la Sécurité au début du mois. Voilà qui positionne la protection des informations des infrastructures critiques à leur juste place : elles sont indispensables au bon fonctionnement du pays et à la sécurité des citoyens. Données médicales et fabrication de médicaments, construction et fonctionnement des infrastructures de transport, production et gestion de l’énergie… de très nombreux secteurs vitaux reposent sur l’information, qui doit à ce titre être particulièrement protégée selon des règles et des dispositions précises, complètes, vérifiables et vérifiées, qu’elle soit détenue par des organismes publics ou au sein d’entreprises privées. Les conséquences d’une compromission de ces données pourraient être particulièrement dévastatrices, tant pour la bonne marche de l’Etat, que pour les opérateurs d’infrastructures critiques et surtout les citoyens.

En tant qu’éditeur de solutions de protection et de gestion de données, nous comprenons bien les enjeux de ce domaine. Loin de chercher à donner dans le « marketing de la peur », il faut néanmoins être lucide. Au-delà des attaques violentes, visibles et médiatisées, que voit-on dans le monde ? Notre rapport sur les menaces de sécurité sur Internet publié au printemps montrait une hausse des attaques ciblées de 42 % sur 2012, une augmentation de 30 % des attaques Internet, des techniques de plus en plus spécifiques et de plus en plus sophistiquées comme le ver Stuxnet, et un ciblage accru des employés liés au capital informationnel des entreprises , qui ont donc accès à la propriété intellectuelle de celles-ci. Enfin, les secteurs les plus touchés par ces cyber-attaques étaient l’an passé les entreprises industrielles et les institutions gouvernementales. Ce n’est pas de la science-fiction, ce sont des faits avérés, consignés et analysés.

Par ailleurs, dans son rapport sur les risques mondiaux, le World Economic Forum classait les cyber-attaques comme le risque le plus impactant et… le plus probable, suivi d’assez près par les pertes massives de données et par une désinformation numérique massive, une analyse que partagent de plus en plus de compagnies d’assurances au niveau mondial.

Rien ne sert d’avoir peur, puisque celle-ci n’évite pas le danger, mais suivons plutôt une approche méthodique et raisonnée des risques encourus, telle qu’une réglementation nationale se doit d’encourager. Il convient tout d’abord d’analyser les risques humains, économiques, sociaux, financiers et technologiques encourus lors d’une cyber-attaque. Il faut ensuite l’anticiper à travers un niveau d’information, de préparation et de collaboration avec les différentes parties prenantes, la prévenir si possible, ou du moins la contenir et permettre ainsi à l’entreprise ou à l’organisme de poursuivre ses missions critiques en dépit des circonstances, restaurer son fonctionnement et d’évoluer en continu vers un modèle toujours plus vigilent et plus sûr, en adéquation avec les nouvelles formes de menaces décelées et les nouveaux risques renseignés.

Cette démarche doit être véritablement globale et concerner l’ensemble des fonctions, process, productions et gestions de ces entreprises et organismes, sans oublier ses prestataires et partenaires qui sont bien souvent de taille et de structure plus restreintes, et sont de plus en plus visés par des attaques ciblées puisqu’elles constituent des portes d’entrée de choix vers les grands groupes industriels et les organismes publics et privés avec lesquels elles collaborent.

Comprendre, préparer et prévenir pour anticiper ; comprendre encore, poursuivre et isoler pour contenir ; comprendre toujours, poursuivre et rétablir pour restaurer ; comprendre enfin pour transformer et réorganiser : il s’agit donc d’une véritable démarche de cyber-résilience.

Il y a donc fort à parier et bien sûr à saluer que la Loi, encore plus que les circonstances, permettra aux entreprises d’entamer une initiative responsable en termes de cyber-sécurité et de collaborer étroitement avec l’Etat, leurs partenaires et les experts technologiques pour assurer la protection de nos informations essentielles et la résilience de nos infrastructures critiques.