COMMENT PROTÉGER LES TPE-PME ?
Les Assises de la sécurité, le rendez-vous annuel des entreprises de la cybersécurité, se sont tenues à Monaco du 11 au 14 octobre. Guillaume Poupard, le patron de l’Agence nationale de la sécurité des systèmes d’information (Anssi), demande une régulatio
Les cyberattaques du printemps dernier, WannaCry et NotPetya, ont montré que les grands groupes ne sont pas les seuls visés par les cybercriminels. Les TPE-PME sont aussi, et de plus en plus, des cibles. Or la prise de conscience du risque cyber est faible parmi ces entreprises, en partie car les acteurs du secteur s’adressent peu à elles. Est-ce un sujet que vous portez au niveau de l’Anssi ? GUILLAUME POUPARD - Absolument. On le voit bien à Monaco: dans le monde de la cybersécurité, les grands parlent aux grands. Les entreprises du secteur réalisent la quasi-totalité de leur chiffre d’affaires avec les sociétés de plus de 500 salariés, laissant les PME et les TPE sans solutions adaptées à leurs besoins, notamment en matière de prix. C’est une vraie carence. Or, comme l’ont montré les cyberattaques mondiales que vous mentionnez, les conséquences d’une attaque sur une PME peuvent être dévastatrices. Si un grand groupe est touché, cela peut lui coûter très cher, financièrement et en termes d’image, mais il ne va pas en mourir. Une PME ou une TPE peuvent, elles, mettre la clé sous la porte si leur activité est paralysée. C’est inacceptable. Il faut donc que l’État fasse comprendre aux TPE-PME, qui sont en pleine transformation numérique, que la sécurité fait partie du package de l’entreprise du xxie siècle. La question n’est plus de savoir si on va être attaqué. Ce débat-là est dépassé. L’enjeu, c’est de réaliser qu’il n’y a que deux types d’entreprises : celles qui ont déjà été attaquées et celles qui ne le savent pas encore. La « fraude au président », les campagnes de phishing, les malwares ou les ransomwares concernent tout le monde. Le sens de l’histoire voudrait que les TPEPME s’engagent sur une externalisation forte de leur système informatique. Autrement dit, que leur sécurité soit prise en charge par des entreprises qui leur proposent des offres dans le cloud en mode SaaS [Software as a Service, ndlr], à des prix compétitifs. Le seul cap cohérent est que la sécurité des PME devienne un service parmi d’autres. Mais pour qu’une PME accepte d’externaliser ses systèmes informatiques, il faut de la confiance... C’est pour cela que l’Anssi a mis en place un système de certification et de qualification pour les éditeurs de solutions de sécurité dans le cloud. Pour l’obtenir, les entreprises doivent répondre à des exigences de sécurité très élevées. De manière générale, il est difficile d’imposer la certification. Certains gros éditeurs, qui sont en situation de quasi-monopole, s’en plaignent, car ils voient cela comme une contrainte supplémentaire. Ils se demandent pourquoi ils devraient faire un effort particulier pour le marché français. C’est là où l’Europe a un rôle essentiel à jouer pour mettre la pression sur les éditeurs, car le marché est énorme. Le chantier de la certification doit être une priorité pour l’Europe. Avec une régulation plus forte, les entreprises seront forcées de considérer la sécurité comme une préoccupation majeure, surtout avec l’éclosion de l’Internet des objets. L’Anssi soutient depuis plusieurs années des initiatives concrètes pour mieux protéger les TPEP ME. No u s avons lancé des appels à candidatures pour lancer des projets subventionnés dans le cadre du plan d’investissement d’avenir (PIA), comme le développement de box sécurisées. Nous fédérons aussi des démarches portées par des grands groupes, comme Airbus, qui ont besoin que leurs sous-traitants soient aussi très bien sécurisés. L’initiative Cybermalveillance.gouv.fr, qui vise à offrir aux particuliers, aux TPE et aux PME des outils en cas d’attaque, a été incubée à l’Anssi. La France va également transposer la directive européenne Network and Information Security (NIS), qui vise à imposer des obligations de sécurité à d’autres acteurs. Pourquoi est-ce nécessaire ? La directive NIS vise à élargir la notion d’opérateurs d’importance vitale (OIV), qui sont des organisations ou des entreprises considérés comme stratégiques, dans des secteurs comme la défense ou l’énergie. La notion d’« opérateurs de services essentiels » va être créée. Les acteurs concernés devront respecter des obligations de sécurité plus strictes. Ce sont des acteurs très importants, avec un impact économique ou sociétal majeur, mais dont l’activité n’est pas considérée comme vitale pour le bon fonctionnement de la France. Normalement, ce texte sera voté d’ici à mai 2018. Il est actuellement en phase de validation finale à Matignon. La Commission européenne a présenté un « paquet cyber », un ensemble de mesures de lutte contre les cyberattaques à l’encontre des entreprises. Bruxelles veut que l’agence européenne de cybersécurité, l’Enisa, devienne le pilier de ce dispositif. Mais cela réduit de fait le rôle des agences nationales, donc de l’Anssi… Je ne pense pas que l’Enisa [une agence européenne de 80 personnes dotée d’un budget de 11 millions d’euros, ndlr] soit en capacité de mener cette mission, même avec des moyens financiers doublés. La priorité est d’abord d’élever le niveau de la sécurité dans chaque pays européen, car il y a de très fortes inégalités dans la conscience du risque cyber entre les différents pays. La France, l’Allemagne ou encore l’Estonie sont à la pointe. Il faut donc plutôt encourager le partage d’informations et d’expertises, qui est aujourd’hui insuffisant, plutôt que de créer une équipe de pompiers volants à l’Enisa. C’est une harmonisation par le bas. Je le dis : donner à l’Enisa la responsabilité de la gestion de crise et de la réponse en cas de cyberattaque sur les entreprises ne marchera pas. Si les pays en retard comptent sur l’Enisa pour les protéger au lieu d’investir euxmêmes pour leur propre sécurité, ils seront déçus. Comment interprétez-vous alors la décision de Bruxelles ? Il faut prendre conscience du fait qu’on oscille en permanence entre des enjeux de souveraineté nationale et de souveraineté européenne. Certains sujets doivent être traités au niveau européen, d’autres au niveau national. C’est une séparation très subtile, et tout ce qui ne la respecte pas est voué à l’échec. La Commission a envie d’unifier la politique cyber et a logiquement pensé à l’Enisa pour porter cette harmonisation. Ce raisonnement est naturel, mais il courtcircuite l’idée que la sécurité est un domaine régalien avant tout. Pourquoi n’avez-vous pas été entendu ? Premièrement, la Commission manque peutêtre de recul et de connaissance pointue du sujet pour en saisir toutes les subtilités. Deuxièmement, il ne faut pas nier les conflits de souveraineté entre les États de l’UE et Bruxelles. La Commission est tentée par l’idée de faire basculer dans le champ européen de plus en plus de choses qui relevaient de la compétence nationale. Enfin, il y a aussi le rôle à ne pas négliger des lobbys, portés par des industriels ou des pays non européens. Ces acteurs ne veulent pas d’un renforcement des capacités cyber des pays européens. Ils nous tirent dans le dos. On connaît ce genre de lobbys dans de nombreux domaines, mais ils existent aussi dans le cadre de la cyber et ils sont dangereux. L’Anssi travaille-t-elle sur l’intelligence artificielle et ses impacts sur les enjeux de sécurité ? L’Anssi, qui emploie plus de 500 personnes, a ses propres laboratoires de recherche en interne. Nous sommes aussi très bien connectés aux laboratoires académiques et aux centres de recherche, comme l’IRT SystemX de Saclay. On étudie comment utiliser l’intelligence artificielle à des fins de sécurité, et les brèches qu’elle peut aussi causer. Le principal danger autour de l’IA est une concentration des systèmes intelligents autour de quelques géants du Net, qui capteraient une part énorme des données produites dans le monde. La mission confiée au député Cédric Villani sur le sujet vise justement à préciser le positionnement de l’État, des industriels et de la recherche, pour aller vers un usage de l’IA conforme à nos valeurs. Si nous regardons les géants du numérique faire ce travail à notre place, le résultat ne nous conviendra sûrement pas.
La cybersécurité fait partie du “package” de l’entreprise du xxie siècle