Construire la résilience numérique française et européenne est un enjeu de souveraineté fondamental qui va bien au delà des seuls enjeux numériques.
Dans notre dossier thématique « Résilience numérique », nous vous proposons 6 articles pour définir le cadre de notre Résilience Numérique ainsi que ses enjeux et composantes. Commençons avec les enjeux de Cybersécurité et d’approvisionnement.
D’après l’ANSSI (agence nationale de la sécurité et des systèmes d’information) les cyberattaques constituent la 1ère menace pour les entreprises et les collectivités. Avec une multiplication par 4 des rançongiciels traités par l’ANSSI entre 2019 et 2020 dans des secteurs variés, malgré une forte proéminence des activités de Santé, télécommunications, et collectivités territoriales / locales qui concentrent 46% des attaques (source : ANSSI – Cybersécurité, faire face à la menace : la stratégie française). Outre le coût financier des rançons, même maîtrisés les incidents de cybersécurité coûtent chers aux entreprises avec des interruptions temporaires d’activités (au moins une fois par mois pour 54% des entreprises – source : Splunk – État de la cybersécurité 2022).
Les réglementations françaises, européennes : vers plus d’anticipation du risque de cybersécurité
La directive NIS (Network & Information Security) et sa mise à jour en 2022
L’Europe a fait le choix d’un cyberespace ouvert, libre, stable et sûr. Ce choix est matérialisé par la mise à jour en 2022 de la directive NIS (Network & Information Security). Adoptée initialement en 2016, cette législation vise à assurer un niveau de sécurisation substantielle pour les réseaux et les systèmes d’informations des infrastructures critiques et sensibles des pays membres de l’UE. L’élargissement de la directive prévoit de passer de 19 à 35 secteurs d’activités (source : Décret n° 2018-484). En effet, en plus des secteurs de l’énergie et de la santé, ont été ajoutés des secteurs postaux, de la gestion des déchets, de l’agroalimentaire, …
La révision entamée en 2022 permet d’accentuer les mesures coercitives pour prévenir les attaques cybersécurité avec :
- la mise en place d’audit de sécurité ;
- la mise en place d’amendes en cas de non coopération à hauteur de 1,4 à 2% du chiffre d’affaires ;
- l’engagement de la responsabilité du dirigeant.
L’essentiel des mesures concernent cependant la remédiation, et accentuent l’obligation de reporting et les exigences en terme de divulgation des vulnérabilités (72h) – source : Stormshiel – Paroles d’experts
La France souhaite se positionner comme un acteur de premier plan à l’échelle européenne et mondiale, et a défini une stratégie nationale de cybersécurité
Volontariste, cette stratégie a pour ambition de remonter la chaîne de vulnérabilité en passant de la remédiation, à la prévention et aux solutions technologiques d’anticipation.
1 milliard d’euros ont été alloués dont 72% issus de financements publics pour :
- redynamiser la filière en doublant les effectifs et triplant le CA à horizon 2025 ;
- faire émerger 3 licornes en cybersécurité ;
- diffuser la culture de la cybersécurité ;
- stimuler les ponts publics – privés pour accélérer la R&D industrielle.
Un contexte mondial de cybersécurité et de protection des données qui voit s’accélérer la course à la propriété des données et l’espionnage
Dans le cas des Etats-Unis, la promulgation du C.L.O.U.D Act en 2018 (accélération de l’accès aux informations électroniques détenues par des fournisseurs sous juridiction américaine dans le cas d’une enquête pour infractions graves) pose la question de la dépendance aux fournisseurs technologiques américains, et demande de repenser un cadre européen toujours plus protectionniste.
L’évolution de la législation chinoise pose également la question de la sécurité, notamment sur les déclarations de vulnérabilités « Day-0 » qui impose aux entreprises exerçant sur le territoire chinois de déclarer leurs vulnérabilités « au plus tôt » favorisant ainsi la mise au grand jour des failles de sécurité qui pourrait profiter aux « attaquants chinois » (source : NSSI – Panorama de la menace informatique 2021)
La chaîne de vulnérabilité de la cybersécurité : entre dépendance technologique et défaillance humaine
Le cycle de développement, maintien, utilisation d’applicatif rend les entreprises françaises vulnérables à plusieurs niveaux. Si de nombreuses normes, principes et bonnes pratiques de développement sont publiées par l’ANSSI (ex. Agilité & sécurité numériques : Méthode et outils à l’usage des équipes projets) le nombre d’applications publiées chaque jour fait craindre un suivi plus ou moins exact de ces recommandations.
- Par exemple, en 2020, 90 000 applications mobiles pour le seul domaine de la Santé ont été publiées soit une moyenne de 250 applications par jour (source : Meditup – Les applications de santé en 2021).
- Une des causes de vulnérabilité vient des méthodes de développement elles-mêmes qui peuvent engendrer des failles vives. De plus la majorité des outils utilisés pour la publication d’applications / sites web peuvent eux-mêmes révéler des vulnérabilités qui exposent l’application (ex. Drupal cité comme vecteur de vulnérabilités par l’ANSSI et la CISA (agence américaine)).
La dépendance technologique vis à vis des leaders américains
Comme tout système, le Cloud présente des perméabilités aux attaques, l’infrastructure et les règles de sécurité sont par ailleurs dépendantes des fournisseurs (américains) et échappent parfois à la vigilance des utilisateurs.
Si de nombreuses initiatives sont en cours pour la création de « Cloud » de confiance en partenariat entre le public et le privé, la majorité des initiatives restent liées à des géants multinationaux de la Tech (ex. Bleu d’Orange et Capgemini basé sur les solutions de Microsoft, NewCo de Google et Thalès, … – source : Devoteam – Cloud de confiance : Etat des lieux et perspectives).
Les réglementations actuelles telles que SecNumCloud visent à garantir l’intégrité et la non portabilité des données notamment lors de leurs publications sur les différents Cloud, cependant elles n’assurent pas la non violabilité des systèmes (source : ANSSI – Actualisation du référentiel SecNumCloud).
De plus, l’hégémonie des tenors américains du marché (AWS, GCP, Azure) permet de consolider leur position dominante avec 71% de parts de marché en France, et 80% de la croissance captée en 2021 (AWS en tête avec 46% de parts de marché – source : Les Numériques – Cloud, panorama du marché).
Cette dépendance s’explique majoritairement par un retard technologique et commercial des solutions françaises et européennes. Les offres des 3 géants américains :
- couvrent l’ensemble des secteurs d’activités et toutes les typologies d’entreprises (TPE, PME et grands groupes) ;
- apportent des solutions clé en main à l’ensemble du tissu économique français.
La vulnérabilité liée aux utilisateurs
Le 3ème maillon de vulnérabilité de la chaîne cybersécurité touche l’ensemble des entreprises et particuliers. Le risque est avant tout humain, le facteur humain représente jusqu’à 95% des failles de sécurité (source : Les Numériques – Cloud, panorama du marché).
Autrement dit, 19 failles de sécurité sur 20 sont issues de mauvaises manipulations humaines. Le risque de phishing est le principal vecteur de cyber malveillance et représente 1,3 million de recherches d’assistance en 2021 sur l’organisme dédié cybermalveillance.gouv.
Les principales barrières à une erreur humaine restent :
- la prévention;
- la pédagogie ;
- la coopération entre les différentes équipes d’une même structure qui assurent la bonne maîtrise des outils et des enjeux de sécurité par l’ensemble des collaborateurs.
Réguler au plus haut niveau, tout en sensibilisant l’ensemble des utilisateurs
Le tissu économique français est composé à 99,9% de TPE/PME, ce qui représente 49% des salariés. L’utilisation de suite d’outils collaboratifs (pour la plupart d’origine américaine Google, Office) a bondi en répercussion de la crise du Covid (+12% à 33%) – source : Independent.io – Statistiques TPE / PME 2022.
L’enjeu majeur réside dans le fait de faire émerger des solutions de sensibilisation à grande échelle et moindre coût, tout en assurant la maintenance à l’échelle nationale d’une cartographie des activités essentielles / critiques.
Pour se prémunir de fuite de données au profit des géants américains, la France et l’Europe devraient continuer d’appliquer une politique volontariste de cloisonnement, tout en redonnant une place de choix aux acteurs « locaux » dans les projets d’intérêt stratégique à l’échelle nationale et continentale, tout en permettant d’accélérer le développement de leurs expertises pour en faire des leaders européens et mondiaux.
Dans un contexte de globalisation des activités cybersécurité, la sécurité devient un enjeu majeur pour les entreprises françaises et européennes. Cependant la forte dépendance issue de nombreuses années d’utilisation de technologies étrangères (majoritairement américaines) ne permet pas d’entrevoir un pouvoir de législation 100% français, la taille du marché ne le justifiant pas.
Le contrôle passe donc par plus de protectionnisme à l’échelle européenne pour éviter les fuites de données, et une capacité de remédiation industrielle et efficiente à l’échelle nationale.
Tous les articles du dossier "Résilience numérique"
Résilience numérique : connectivité de la France et résilience de nos réseaux numériques
Fournisseurs d’accès internet, clouds, systèmes d’exploitation et plateformes en ligne sont autant de services numériques qui sont devenus incontournables. Ils sont proposés en grande majorité
Résilience numérique : Cloud, data et IA
La maîtrise et le contrôle de bout en bout de la chaîne de collecte, de stockage, de traitement, d’analyse et d’exploitation des données recueillies sur
Résilience numérique : formation et rétention des talents numériques
Les profils experts dans les domaines stratégiques du numérique tels que les services Cloud, l’Intelligence Artificielle (IA) ou encore la Cybersécurité sont très importants, tant
Résilience numérique : Web3, l’avenir d’Internet
Le Web3 se présente comme un Web de confiance qui repose sur des principes clés (décentralisation, souveraineté des communautés, nouveaux modèles de propriété…). Dans notre
Résilience Numérique : définition, composantes clés et enjeux
Construire la résilience numérique française et européenne est un enjeu de souveraineté fondamental qui va bien au delà des seuls enjeux numériques. Cela concerne aussi