Jusque dans les années 1980/90, nous étions dans l’ère du pré-numérique bien que l’Internet et la cybersécurité existaient déjà, explique Guillaume Poupard, Directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI). C’est à partir de cette époque qu’une accélération s’est produite, pour atteindre à la fin des années 1990/2000 une ère d’expertise, plutôt confidentielle toutefois. Il faudra attendre 2010 pour observer une réelle prise de conscience des menaces et une véritable évangélisation auprès des victimes potentielles. Aujourd’hui, la question n’est plus de savoir s’il y a des risques et des menaces ou pas, mais de savoir comment y faire face. Nous rentrons également dans une ère d’action collaborative. Tout le monde a son rôle à jouer dans cette lutte, et tout le monde peut en être victime.

Avec l’adoption de la Loi de Programmation Militaire (LPM) en 2013, la France a choisi de passer par la Loi pour renforcer la cybersécurité, notamment de ses OIV (Opérateurs d’Importance Vitale). En effet, dans les cas les plus graves, il faut aller vite et pour aller vite, il faut imposer les choses. On ne peut pas prendre le temps quand il s’agit d’atteindre les capacités de défense nécessaires. L’enjeu, à l’heure actuelle, est de mettre en œuvre cette Loi.

La maîtrise de nos données est fondamentale…

La relation entre l’État et le privé représente un autre enjeu de cette action collective. Il est nécessaire qu’ils arrivent à fonctionner rapidement ensemble et de repenser le mode de travail entre les deux. Le CoFIS (Comité de la Filière Industrielle de Sécurité) opère en ce sens. L’ANSSI intervient également dans la qualification des prestataires de sécurité, en vue de développer une industrie de confiance. La question de la souveraineté est, en outre, essentielle. Une réflexion est nécessaire quant à cette problématique, afin de s’assurer de la protection et de l’hébergement de nos données sensibles aux niveaux national et européen. La maîtrise de nos données est fondamentale, d’autant que les attaques de demain passeront certainement en partie par la destruction pure et simple des systèmes informatiques.

Dans cette lutte, l’intelligence économique est un pilier. C’est un mode de gouvernance basé sur la maîtrise de l’information, souligne Claude Revel, déléguée interministérielle à l’intelligence économique. Il s’agit entre autres de veiller en permanence son environnement, d’identifier les risques et les menaces, d’être présent dans les lieux d’influence, mais aussi de sensibiliser les individus. Le numérique et la cybersécurité sont au cœur de l’IE et inversement.

Trois aspects sont, selon elle, fondamentaux :
– La définition de l’information stratégique et la volonté de privacy : cette étape nécessaire ne peut se faire que par la connaissance commune. Beaucoup de questions se posent actuellement quant à l’ouverture des données. Le rôle des Etats est prépondérant en la matière, car les individus ne respecteront les règles que quand il y en aura.
– Les règles et les normes internationales se définissent dans des lieux d’influence, dont il faut donc faire partie.
– La sensibilisation et la formation à la cybersécurité ne doit pas être isolée de la formation dans l’entreprise. La D2IE a élaboré plusieurs outils de sensibilisation sur la sécurité économique, et fournit des éléments de sensibilisation pédagogiques à destination des chercheurs, comme des entreprises, y compris des PME. La D2IE a d’ailleurs travaillé conjointement avec l’ANSSI sur ce dernier point, afin d’améliorer la sensibilisation des petites et moyennes entreprises.

… l’implication humaine aussi

La sensibilisation, pour être efficace, doit effectivement s’adapter à la cible, constate Nicolas Arpagian, Directeur scientifique du cycle « Sécurité numérique » à l’Institut national des hautes études de la sécurité et de la justice (INHESJ). L’implication humaine est fondamentale, car la cybersécurité ne se règle pas uniquement au niveau technique et n’est pas juste l’affaire d’informaticiens. Elle doit s’inscrire dans la stratégie même de l’entreprise. Les collaborateurs doivent comprendre qu’il en va aussi de sa survie et de ses emplois. Il est important d’intégrer cette démarche de sécurité dans le modèle économique. « La vulnérabilité de nos systèmes passe, en effet, par nos propres comportements », souligne Marie Azevedo, Présidente fondatrice de ResoCom et présidente de l’association du Reso-Club EFP.
Les entreprises doivent, en outre, se poser, selon Nicolas Arpagian, la question de la souveraineté de leurs prestataires, puisque la nationalité est un élément prépondérant.

La sécurité de nos systèmes industriels encore trop négligée

La sécurité de nos systèmes industriels est également un axe important à repenser et améliorer. Elle est effectivement beaucoup plus négligée que celle des systèmes de gestion classiques, observe Fabrice Garnier de Labareyre, associé consulting, PricewaterhouseCoopers. Les systèmes industriels sont souvent vétustes et de plus en plus interconnectés. Il est important de pouvoir détecter qu’on a été attaqué, souligne-t-il, et de pouvoir réagir le plus rapidement possible. En moyenne, il faut 234 jours pour identifier qu’on a été infecté. Afin de l’accompagner dans cette démarche et de lutter contre des attaques de plus en plus sophistiquées, l’entreprise peut s’appuyer, par exemple, sur les services d’un SOC (Security Operation Center). Cependant, pour que cette démarche soit véritablement efficiente, il est nécessaire de bien connaître sa structure, afin de pouvoir agir avec discernement, mais aussi de limiter au maximum les interconnexions entre les systèmes industriels et de gestion. Il convient, de plus, que la politique de sécurité et de cybersécurité inclut la sécurité des systèmes industriels.

La lutte contre la criminalité numérique doit être placée au cœur de la politique pénale

Le numérique favorise la délinquance et la délinquance utilise désormais le numérique et l’Internet, constate Myriam Quéméner, avocate générale à la cour d’appel de Versailles, experte en lutte contre la cybercriminalité auprès du Conseil de l’Europe. Elle observe, de plus, un décloisonnement au niveau juridique, avec des contentieux de moins en moins étanches. Nous disposons en France d’un arsenal juridique tout à fait complet en la matière, estime-t-elle, avec entre autres la Loi Informatique et Libertés, la Loi Godfrain, la LPM ou encore la Loi du 13 novembre dernier relative à la lutte contre le terrorisme. Il est cependant essentiel aujourd’hui de définir une véritable politique pénale. Il faut reconfigurer les priorités de la politique pénale, et placer la lutte contre la criminalité numérique au cœur de cette politique. Les enjeux financiers liés à cette criminalité sont énormes et la réactivité doit être forte vis-à-vis des acteurs et des citoyens.

La technologie n’a toutefois pas que des travers, puisqu’elle permet aussi d’accompagner cette lutte contre la criminalité. La gendarmerie sera désormais dotée d’équipements numériques mobiles, afin d’assister les gendarmes dans leur activité lorsqu’ils sont en dehors de la brigade, explique le Colonel Philippe Mirabaud, chargé de mission cybersécurité et numérique de la gendarmerie nationale. Cela va leur permettre de traiter directement certains cas en situation de mobilité, de faciliter le contrôle des identités, mais aussi d’améliorer l’efficacité du primo-intervenant sur une affaire. Ces équipements vont être amenés à traiter des données sensibles et nécessitent donc un haut niveau de sécurité, c’est pourquoi ils ont été développés conjointement avec l’ANSSI.

L’analyse des données est également un facteur clé, souligne-t-il, afin d’avoir une vision granulaire des différentes menaces. Le Big Data permet, en ce sens, de traiter les données internes et externes, afin de mieux lutter contre la délinquance et détecter les signaux faibles. La gendarmerie peut ainsi adapter plus précisément son dispositif opérationnel à la menace.

OTAN : seulement 5 pays ont un véritable engagement en matière de cybersécurité

Philippe Vitel, député du Var, rapporteur spécial « cyberespace et sécurité euro-atlantique » de l’assemblée parlementaire de l’OTAN, observe, pour sa part, une différence de capacités d’un pays à l’autre, mais aussi de la prise de conscience quant à ces problématiques. Sur les 28 pays membres que comptent l’OTAN, seulement 5 ont, selon lui, un véritable engagement dans le domaine de la cybersécurité. La France en est d’ailleurs le pays leader.

Les cyberattaques relèvent désormais de l’article 5 du Traité de Washington, relatif à la défense collective. C’est nouveau et essentiel pour améliorer la lutte contre les cybermenaces. Les réseaux de l’OTAN sont victimes en moyenne de 600 tentatives d’intrusion par jour. Selon lui, les procédures ont besoin d’être simplifiées pour que le traitement se fasse quasiment en temps réel. L’objectif est aussi que chaque pays dispose d’un CERT, afin d’améliorer ses capacités de détection/réaction. Les structures, comme l’OTAN, sont un soutien pour ses États, mais ne doivent pas substituer les actions menées au sein de chaque pays.

« Les États n’ont pas d’amis, ils n’ont que des intérêts »

En conclusion, pour Eduardo Rihan Cypel, député de Seine-et-Marne, secrétaire national du Parti socialiste chargé de la défense, les questions de sécurité vont continuer de connaître des changements et ruptures majeurs. Trois critères définissent, selon lui, les changements des enjeux de sécurité : le contexte géostratégique, les évolutions sociétales, l’innovation et les révolutions technologiques.

Le niveau de conscience collective en Europe doit se durcir. De plus, la souveraineté nationale est essentielle afin d’éviter de réels problèmes. Comme le disait le Général de Gaulle, « Les États n’ont pas d’amis, ils n’ont que des intérêts ».

La sécurité, comme la défense, a désormais atteint un très haut niveau de priorité nationale. Le fait qu’un milliard d’euros ait été mis sur la table pour la mise en œuvre de la LPM de 2014 à 2019 en est un exemple. Nous disposons aujourd’hui d’une doctrine offensive en matière de cyberdéfense. Toutefois, c’est toute la chaîne sécurité qui nécessite encore d’être renforcée (prévention, justice…), notamment autour de deux notions essentielles : la connaissance et l’anticipation. Des évolutions majeures sont à prévoir en ce domaine, d’autant que les enjeux démocratiques qui encadrent ce phénomène sont conséquents pour la société française, que ce soit aujourd’hui ou dans les années à venir.