pigprox - Fotolia
Cybersécurité : l’institut Montaigne souligne la réalité d’un risque systémique
Le think tank parle de « cyber ouragan ». Pour lui, les épisodes WannaCry et NotPetya ont montré que le risque est bien réel. Il avance des propositions pour améliorer la résilience du tissu économique.
Pour l’institut Montaigne, les épisodes WannaCry et NotPetya de 2017 ont au moins eu un mérite : « marquer les esprits ». Car ils constituent « notamment la preuve que le risque d’une attaque large touchant l’ensemble du tissu économique est réel ». Le think tank parle de « cyber ouragan », dépassant les frontières, et nécessitant « la coopération et la solidarité entre acteurs », privés comme publics, à l’échelle internationale.
L’institut Montaigne commence son rapport par un scénario, fictif, certes, mais qu’il dit « fondé sur des menaces bien réelles ». De fait, le think tank n’a pas travaillé seul, isolé, sur le sujet : il s’est associé de nombreuses expertises, du domaine de la cybersécurité, mais également au-delà – assurance, juridique, défense, recherche, banque, etc.
Fort de ces regards, l’institut dresse un tableau du paysage de la menace sombre, mais qui ne surprendra pas ceux qui suivent le domaine, entre individus isolés jouant avec les allumettes, hacktivistes, groupes mafieux, et pirates bénéficiant, au moins, de la bienveillance de certains états. Surtout, le think tank rappelle différents épisodes soulignant la réalité de la nature systémique du risque, entre attaques sur l’Estonie en 2007, interruption partielle de la distribution électrique en Ukraine fin 2015, et botnet Mirai.
L’institut souligne ensuite la vulnérabilité de la société française, du fait de son exposition en risque, en pleine numérisation, et de la nature de la surface d’attaque. Sans oublier la vulnérabilité de protocoles utilisés par Internet qui ont été conçus sans que la sécurité ne soit une préoccupation et continuent d’être largement exploités ainsi. Ce n’est pas la première fois que le risque systémique associé à la cybersécurité est souligné : le Forum économique mondial martèle le message régulièrement depuis plusieurs années.
Entre la directive NIS et la loi de programmation militaire de 2013, la première s’inspirant largement de la seconde, et les deux ayant conduit à la définition des statuts d’opérateur de services vitaux et essentiels, notamment, l’institut estime que « la situation progresse doucement mais sûrement », malgré des investissements contraints susceptibles de n’être pas négligeables. Cependant, les niveaux de préparations restent très divers et pas forcément suffisants.
Ainsi, l’institut Montaigne observe « une mobilisation encore hétérogène » parmi les grandes entreprises, les banques affichant la maturité la plus élevée, devant le secteur des services, en particulier B2C. Mais pour celui-ci, les progrès sont surtout à attribuer à l’évolution du cadre réglementaire qui a « poussé les sociétés de services à investir dans un souci de mise en conformité avec des budgets souvent négociés à minima ». Quant aux industries, elles « présentent le niveau de protection le plus bas par rapport aux autres secteurs ».
Les auteurs de l’étude du think tank jugent « inquiétante » la situation des services publics. En particulier, « en dehors des services publics identifiés comme OIV, la culture du risque cyber y est faible alors que les impacts en cas d’attaques destructrices peuvent être graves ». Et prendre notamment en exemple le système de santé, fortement affecté par WannaCry l’an dernier, outre-Manche.
Les services publics ne constituent pas un cas isolé. Les TPE, PME et ETI n’apparaissent guère mieux loties : « cet ensemble du tissu économique français présente un faible niveau de protection aujourd’hui ». Et de souligner leur importance pour l’emploi, les grandes entreprises ne fournissant que 27 % des 19 millions d’emplois du secteur privé. La question du manque de ressources compétentes pour lutter contre la menace, ou encore celle de la cyberassurance – « qui navigue à vue » –, ne sont pas oubliés dans ce vaste panorama.
Fort de ces multiples constats, l’institut Montaigne avance une dizaine de recommandations articulées autour de trois axes. Et cela commence par l’information sur les risques cyber, dans les grandes entreprises, des administrateurs, et des actionnaires ou encore l’introduction des diagnostics de cybersécurité annuels. Il y a également l’idée d’utiliser l’influence des grands groupes pour renforcer la posture de sécurité de leur chaîne logistique, ou encore d’inciter les TPE/PME/ETI à souscrire à des offres de cybersécurité et de cyberassurance.
Pour les OIV, le think tank suggère d’aller au-delà des exigences réglementaires actuelles en visant la question de la résilience en cas d’incident cyber – tant au niveau des processus, comme pour la gestion de crise, que de manière plus structurelle, avec la diversité technologique ou la présence d’un SI de crise dédié.
Pour ce qui est de la pénurie de compétences, l’institut Montaigne avance l’idée d’un parcours de formation financé par l’état en l’échange d’un engagement dans la réserve de défense citoyenne, mais également d’étendre le rôle de celle-ci à la résolution des crises touchant le secteur privé. A cela, les auteurs du rapport ajoutent l’idée d’un cadre « permettant aux acteurs privés de partager le personnel et leurs compétences avec leurs pairs en cas d’attaque », ou encore de renforcement de la capacité d’échanges de renseignements de sécurité opérationnels – ce que l’on trouve notamment aux Etats-Unis dans certains secteurs d’activité.
Pour les attaques les plus étendues et rapides, l’institut mise sur l’intelligence artificielle, sur l’élaboration d’une « doctrine opérationnelle spécifique à l’échelle de l’état », ou encore la création d’un « label de cyber-résilience pour les équipements les plus à risque ». Celui-ci serait « imposé » pour assurer la continuité de fonctionner de ces équipements « en cas de crise et préserver les vies humaines ».