COMMENT PRO­TÉ­GER LES TPE-PME ?

Les As­sises de la sé­cu­ri­té, le ren­dez-vous an­nuel des en­tre­prises de la cy­ber­sé­cu­ri­té, se sont te­nues à Mo­na­co du 11 au 14 oc­tobre. Guillaume Pou­pard, le pa­tron de l’Agence na­tio­nale de la sé­cu­ri­té des sys­tèmes d’in­for­ma­tion (Ans­si), de­mande une ré­gu­la­tio

La Tribune Hebdomadaire - - LA UNE - PRO­POS RECUEILLIS PAR SYL­VAIN ROL­LAND @SylvRol­land

Les cy­be­rat­taques du prin­temps der­nier, WannaCry et NotPe­tya, ont mon­tré que les grands groupes ne sont pas les seuls vi­sés par les cy­ber­cri­mi­nels. Les TPE-PME sont aus­si, et de plus en plus, des cibles. Or la prise de conscience du risque cy­ber est faible par­mi ces en­tre­prises, en par­tie car les ac­teurs du sec­teur s’adressent peu à elles. Est-ce un su­jet que vous por­tez au ni­veau de l’Ans­si ? GUILLAUME POU­PARD - Ab­so­lu­ment. On le voit bien à Mo­na­co: dans le monde de la cy­ber­sé­cu­ri­té, les grands parlent aux grands. Les en­tre­prises du sec­teur réa­lisent la qua­si-to­ta­li­té de leur chiffre d’af­faires avec les so­cié­tés de plus de 500 sa­la­riés, lais­sant les PME et les TPE sans so­lu­tions adap­tées à leurs be­soins, no­tam­ment en ma­tière de prix. C’est une vraie ca­rence. Or, comme l’ont mon­tré les cy­be­rat­taques mon­diales que vous men­tion­nez, les con­sé­quences d’une at­taque sur une PME peuvent être dé­vas­ta­trices. Si un grand groupe est tou­ché, ce­la peut lui coû­ter très cher, fi­nan­ciè­re­ment et en termes d’image, mais il ne va pas en mou­rir. Une PME ou une TPE peuvent, elles, mettre la clé sous la porte si leur ac­ti­vi­té est pa­ra­ly­sée. C’est in­ac­cep­table. Il faut donc que l’État fasse com­prendre aux TPE-PME, qui sont en pleine trans­for­ma­tion nu­mé­rique, que la sé­cu­ri­té fait par­tie du pa­ckage de l’en­tre­prise du xxie siècle. La ques­tion n’est plus de sa­voir si on va être at­ta­qué. Ce dé­bat-là est dé­pas­sé. L’en­jeu, c’est de réa­li­ser qu’il n’y a que deux types d’en­tre­prises : celles qui ont dé­jà été at­ta­quées et celles qui ne le savent pas en­core. La « fraude au pré­sident », les cam­pagnes de phi­shing, les mal­wares ou les ran­som­wares concernent tout le monde. Le sens de l’his­toire vou­drait que les TPEPME s’en­gagent sur une ex­ter­na­li­sa­tion forte de leur sys­tème in­for­ma­tique. Au­tre­ment dit, que leur sé­cu­ri­té soit prise en charge par des en­tre­prises qui leur pro­posent des offres dans le cloud en mode SaaS [Soft­ware as a Ser­vice, ndlr], à des prix com­pé­ti­tifs. Le seul cap co­hé­rent est que la sé­cu­ri­té des PME de­vienne un ser­vice par­mi d’autres. Mais pour qu’une PME ac­cepte d’ex­ter­na­li­ser ses sys­tèmes in­for­ma­tiques, il faut de la confiance... C’est pour ce­la que l’Ans­si a mis en place un sys­tème de cer­ti­fi­ca­tion et de qua­li­fi­ca­tion pour les édi­teurs de so­lu­tions de sé­cu­ri­té dans le cloud. Pour l’ob­te­nir, les en­tre­prises doivent ré­pondre à des exi­gences de sé­cu­ri­té très éle­vées. De ma­nière gé­né­rale, il est dif­fi­cile d’im­po­ser la cer­ti­fi­ca­tion. Cer­tains gros édi­teurs, qui sont en si­tua­tion de qua­si-mo­no­pole, s’en plaignent, car ils voient ce­la comme une contrainte sup­plé­men­taire. Ils se de­mandent pour­quoi ils de­vraient faire un ef­fort par­ti­cu­lier pour le mar­ché fran­çais. C’est là où l’Eu­rope a un rôle es­sen­tiel à jouer pour mettre la pres­sion sur les édi­teurs, car le mar­ché est énorme. Le chan­tier de la cer­ti­fi­ca­tion doit être une prio­ri­té pour l’Eu­rope. Avec une ré­gu­la­tion plus forte, les en­tre­prises se­ront for­cées de consi­dé­rer la sé­cu­ri­té comme une pré­oc­cu­pa­tion ma­jeure, sur­tout avec l’éclo­sion de l’In­ter­net des ob­jets. L’Ans­si sou­tient de­puis plu­sieurs an­nées des ini­tia­tives concrètes pour mieux pro­té­ger les TPEP ME. No u s avons lan­cé des ap­pels à can­di­da­tures pour lan­cer des pro­jets sub­ven­tion­nés dans le cadre du plan d’in­ves­tis­se­ment d’ave­nir (PIA), comme le dé­ve­lop­pe­ment de box sé­cu­ri­sées. Nous fé­dé­rons aus­si des dé­marches por­tées par des grands groupes, comme Air­bus, qui ont be­soin que leurs sous-trai­tants soient aus­si très bien sé­cu­ri­sés. L’ini­tia­tive Cy­ber­mal­veillance.gouv.fr, qui vise à of­frir aux par­ti­cu­liers, aux TPE et aux PME des ou­tils en cas d’at­taque, a été in­cu­bée à l’Ans­si. La France va éga­le­ment trans­po­ser la di­rec­tive eu­ro­péenne Net­work and In­for­ma­tion Se­cu­ri­ty (NIS), qui vise à im­po­ser des obli­ga­tions de sé­cu­ri­té à d’autres ac­teurs. Pour­quoi est-ce né­ces­saire ? La di­rec­tive NIS vise à élar­gir la no­tion d’opé­ra­teurs d’im­por­tance vi­tale (OIV), qui sont des or­ga­ni­sa­tions ou des en­tre­prises consi­dé­rés comme stra­té­giques, dans des sec­teurs comme la dé­fense ou l’éner­gie. La no­tion d’« opé­ra­teurs de ser­vices es­sen­tiels » va être créée. Les ac­teurs concer­nés de­vront res­pec­ter des obli­ga­tions de sé­cu­ri­té plus strictes. Ce sont des ac­teurs très im­por­tants, avec un im­pact éco­no­mique ou so­cié­tal ma­jeur, mais dont l’ac­ti­vi­té n’est pas consi­dé­rée comme vi­tale pour le bon fonc­tion­ne­ment de la France. Nor­ma­le­ment, ce texte se­ra vo­té d’ici à mai 2018. Il est ac­tuel­le­ment en phase de va­li­da­tion fi­nale à Ma­ti­gnon. La Com­mis­sion eu­ro­péenne a pré­sen­té un « pa­quet cy­ber », un en­semble de me­sures de lutte contre les cy­be­rat­taques à l’en­contre des en­tre­prises. Bruxelles veut que l’agence eu­ro­péenne de cy­ber­sé­cu­ri­té, l’Eni­sa, de­vienne le pi­lier de ce dis­po­si­tif. Mais ce­la ré­duit de fait le rôle des agences na­tio­nales, donc de l’Ans­si… Je ne pense pas que l’Eni­sa [une agence eu­ro­péenne de 80 per­sonnes do­tée d’un bud­get de 11 mil­lions d’eu­ros, ndlr] soit en ca­pa­ci­té de me­ner cette mis­sion, même avec des moyens fi­nan­ciers dou­blés. La prio­ri­té est d’abord d’éle­ver le ni­veau de la sé­cu­ri­té dans chaque pays eu­ro­péen, car il y a de très fortes in­éga­li­tés dans la conscience du risque cy­ber entre les dif­fé­rents pays. La France, l’Al­le­magne ou en­core l’Es­to­nie sont à la pointe. Il faut donc plu­tôt en­cou­ra­ger le par­tage d’in­for­ma­tions et d’ex­per­tises, qui est au­jourd’hui in­suf­fi­sant, plu­tôt que de créer une équipe de pom­piers vo­lants à l’Eni­sa. C’est une har­mo­ni­sa­tion par le bas. Je le dis : don­ner à l’Eni­sa la res­pon­sa­bi­li­té de la ges­tion de crise et de la ré­ponse en cas de cy­be­rat­taque sur les en­tre­prises ne mar­che­ra pas. Si les pays en re­tard comptent sur l’Eni­sa pour les pro­té­ger au lieu d’in­ves­tir eux­mêmes pour leur propre sé­cu­ri­té, ils se­ront dé­çus. Comment in­ter­pré­tez-vous alors la dé­ci­sion de Bruxelles ? Il faut prendre conscience du fait qu’on os­cille en per­ma­nence entre des en­jeux de sou­ve­rai­ne­té na­tio­nale et de sou­ve­rai­ne­té eu­ro­péenne. Cer­tains su­jets doivent être trai­tés au ni­veau eu­ro­péen, d’autres au ni­veau na­tio­nal. C’est une sé­pa­ra­tion très sub­tile, et tout ce qui ne la res­pecte pas est voué à l’échec. La Com­mis­sion a en­vie d’uni­fier la po­li­tique cy­ber et a lo­gi­que­ment pen­sé à l’Eni­sa pour por­ter cette har­mo­ni­sa­tion. Ce rai­son­ne­ment est na­tu­rel, mais il court­cir­cuite l’idée que la sé­cu­ri­té est un do­maine ré­ga­lien avant tout. Pour­quoi n’avez-vous pas été en­ten­du ? Pre­miè­re­ment, la Com­mis­sion manque peu­têtre de re­cul et de connais­sance poin­tue du su­jet pour en sai­sir toutes les sub­ti­li­tés. Deuxiè­me­ment, il ne faut pas nier les conflits de sou­ve­rai­ne­té entre les États de l’UE et Bruxelles. La Com­mis­sion est ten­tée par l’idée de faire bas­cu­ler dans le champ eu­ro­péen de plus en plus de choses qui re­le­vaient de la com­pé­tence na­tio­nale. En­fin, il y a aus­si le rôle à ne pas né­gli­ger des lob­bys, por­tés par des in­dus­triels ou des pays non eu­ro­péens. Ces ac­teurs ne veulent pas d’un ren­for­ce­ment des ca­pa­ci­tés cy­ber des pays eu­ro­péens. Ils nous tirent dans le dos. On connaît ce genre de lob­bys dans de nom­breux do­maines, mais ils existent aus­si dans le cadre de la cy­ber et ils sont dan­ge­reux. L’Ans­si tra­vaille-t-elle sur l’in­tel­li­gence ar­ti­fi­cielle et ses im­pacts sur les en­jeux de sé­cu­ri­té ? L’Ans­si, qui em­ploie plus de 500 per­sonnes, a ses propres la­bo­ra­toires de re­cherche en in­terne. Nous sommes aus­si très bien connec­tés aux la­bo­ra­toires aca­dé­miques et aux centres de re­cherche, comme l’IRT Sys­temX de Sa­clay. On étu­die comment uti­li­ser l’in­tel­li­gence ar­ti­fi­cielle à des fins de sé­cu­ri­té, et les brèches qu’elle peut aus­si cau­ser. Le prin­ci­pal dan­ger au­tour de l’IA est une concen­tra­tion des sys­tèmes in­tel­li­gents au­tour de quelques géants du Net, qui cap­te­raient une part énorme des don­nées pro­duites dans le monde. La mis­sion confiée au dé­pu­té Cé­dric Villa­ni sur le su­jet vise jus­te­ment à pré­ci­ser le po­si­tion­ne­ment de l’État, des in­dus­triels et de la re­cherche, pour al­ler vers un usage de l’IA conforme à nos va­leurs. Si nous re­gar­dons les géants du nu­mé­rique faire ce tra­vail à notre place, le ré­sul­tat ne nous convien­dra sû­re­ment pas.

La cy­ber­sé­cu­ri­té fait par­tie du “pa­ckage” de l’en­tre­prise du xxie siècle

GUILLAUME POU­PARD DI­REC­TEUR GÉ­NÉ­RAL DE L’ANS­SI

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.