Cyberdéfense européenne, le sens de l’union

Il ne fait aucun doute qu’il ne pourra jamais y avoir d’économie numérique européenne pérenne et forte si le risque cyber continue de peser aussi lourdement sur les budgets des entreprises et les données. Il y a donc lieu de se réjouir de cette nouvelle ambition collective et des moyens qu’elle dégage pour la concrétiser.

Cela dit, à travers des entreprises désormais distribuées et interconnectées les unes aux autres, quelles frontières de surveillance et de contrôle dessiner et à qui les confier ? Les chemins menant à une attaque informatique sont déjà légion que de nouveaux apparaissent chaque jour. Ursula von der Leyen résume très bien, en quelques mots, la situation à laquelle nous devons faire face : « Si tout est connecté, tout peut être piraté ».

Ce à quoi la Présidente de la Commission Européenne ajoute « Les ressources étant rares, nous devons unir nos forces ». La cybersécurité et son corollaire la cyber-résilience, prennent alors une dimension géostratégique indiscutable. Mais parce que le prisme est d’abord macro-économique, les solutions proposées en ont aussi la couleur : cadre législatif commun, centre de compétences cyber européen, investissements à hauteur de plusieurs milliards d’euros pour la souveraineté technologique et l’autonomie stratégique, plan capacitaire civil et militaire, mais aussi et surtout doctrine de dissuasion.

Une union numérique relativement guerrière, dont la prise de hauteur interroge forcément le terrain.

Un constat frappant de sentiment d’impuissance

Quand l’Europe en appelle, à juste titre, à l’union des États membres et de leurs moyens pour atteindre la cyber-résilience, le constat que l’on fait auprès des entreprises et des principaux concernés par la cybersécurité, les RSSI, paraît pour le moins paradoxal.

Au sortir de deux années de bouleversements des méthodes et des pratiques au travail, les experts de la sécurité semblent maintenant à bout de force. Stress, manque de budget et de priorisation, dilution des responsabilités et paralysie, équipes réduites non représentées en conseil d’administration, la fonction de RSSI oscille entre sentiment d’impuissance face à l’ampleur de la tâche et frustration quotidienne.

À l’instar d’une crise climatique que l’on peine à intégrer au processus décisionnel, la sécurité informatique, encore en 2022, ne parvient pas à percer le filtre de l’objectif de croissance. Le concept d’une sécurité comme mal nécessaire est toujours autant d’actualité qu’il y a 10 ou 20 ans.

Pourtant, le niveau de menace ne fera qu’augmenter, qu’on se le dise. Le Cloud sera une cible privilégiée et l’extrême multiplication des API autant de portes d’entrée.

Concurremment, la gestion des urgences maintient sur les RSSI une pression constante : mauvaise gestion des authentifications, injection de code malveillant, exposition de données sensibles, défaut dans la gestion des droits d’accès, failles de configuration, auxquelles s’ajoutent une supervision généralement insuffisante et d’importantes difficultés à appliquer les correctifs de sécurité même prioritaires.

C’est pourquoi on ne peut que rester dubitatif à la lecture des intentions européennes. S’unir oui, mais quelle forme doit prendre cette union dans l’entreprise exactement ? D’ailleurs, le message que porte le FIC 2022 est bien celui-là : l’heure est à la mobilisation des talents et des compétences. En d’autres termes, une politique européenne et son application nationale sont certes devenues indispensables. Mais c’est à plus petite échelle que se cristallisent la réalité d’une attaque et l’isolement des entreprises face à la menace.

L’isolement des entreprises, une faille majeure

Il existe encore trop de disparités selon les secteurs et la taille des entreprises. Or il n’y a d’autonomie et de souveraineté numérique qu’une fois tous les acteurs en mesure de déployer ensemble les mesures utiles.

Les petites et moyennes entreprises ne disposent pas ou très peu des moyens de mutualisation dont disposent les collectivités territoriales. Si le secteur public accuse beaucoup de retard dans son informatique en général, ses leviers d’amélioration sont aussi plus performants, notamment à travers ses centrales d’achats de plus en plus spécialisées et très professionnalisées.

Puisque la sécurité est l’affaire de tous, il devient urgent de rompre l’isolement des équipes sécurité et leur permettre d’accéder, notamment en les mutualisant, à des solutions de surveillance informatique qui leur sont généralement fermées. Les pistes de collaborations ne manquent pas, d’une organisation en cyberdéfense par secteur ou écosystèmes, en passant par une collaboration publique / privée.

Les clubs de DSI et de RSSI ne suffisent plus. C’est opérationnellement que des mesures communes doivent être prises, en adoptant par exemple et à large échelle des solutions de partage de compétences, comme le font déjà les entreprises pour leur comptabilité ou leur secrétariat, très naturellement.

Mais si l’on devait pousser jusqu’au bout la réflexion sur la cybersécurité et surtout sur ses impacts quand elle vient à manquer, l’on aboutirait certainement à la conclusion qu’elle ne relève désormais plus de la seule maturité technologique ou de l’avantage concurrentiel. Mais qu’elle devient un bien de première nécessité dont il est urgent de faciliter l’accès.