Jean-Claude LAROCHE,
DSI du groupe Enedis Vice-président du Cigref
Dans le contexte actuel de forte croissance de la menace, il apparaît indispensable de changer les paradigmes de la sécurité dans l’espace numérique. Il est en effet illusoire de penser que les instruments juridiques et technologiques actuels, mis en œuvre pour assurer la protection des produits et des services numériques, des systèmes d’informations, des infrastructures numériques, permettront de juguler la cybercriminalité.
Le Cigref propose depuis plusieurs années de rénover en profondeur cette approche collective que nous devons avoir de la sécurité dans l’espace numérique, ce qui impose une action vigoureuse à tous les niveaux, y compris celui des Etats et de l’Union européenne. Nous appelons à développer des politiques publiques cohérentes entre elles et ambitieuses, en les articulant autour de quatre axes principaux susceptibles de constituer les fondements d’une stratégie nationale et européenne de sécurité numérique.
Le premier axe concerne les technologies de cybersécurité qu’il est nécessaire de continuer à développer. Ces technologies permettent de renforcer la sécurité des systèmes d’information et des infrastructures numériques qui les portent. Entre 2017 et 2021, les grandes organisations, publiques et privées, membres du Cigref, en fonction de leur secteur d’activité, de la criticité de leurs infrastructures numériques, de la sensibilité des données qu’elles manipulent, de leur statut d’opérateur d’importance vitale ou de service essentiel, ont toutes augmenté de manière plus ou moins drastique les budgets consacrés à l’acquisition de ces technologies, à leur intégration et à leur mise en œuvre. Le 18 février 2021, le Président de la République présentait un plan ambitieux d’accélération pour la cybersécurité. Ce plan mobilise des financements importants, d’un montant d’un milliard d’euros, pour identifier et réduire les vulnérabilités des systèmes d’information et des infrastructures numériques de nombreux organismes publics et privés, notamment les hôpitaux publics qui paient un lourd tribut à la hausse de la cybercriminalité. Pour autant, une stratégie nationale pour la sécurité dans l’espace numérique ne peut se limiter à un tel plan, aussi nécessaire soit-il.
Le deuxième axe d’une telle stratégie de sécurité numérique concerne l’adaptation des moyens de police et de justice à la situation de dégradation constante de la sécurité dans l’espace numérique. Dans un avis publié le 29 avril 2021, la Commission supérieure du numérique et des postes, organe parlementaire bicaméral, publiait un avis qui pointait une véritable carence de l’Etat dans les moyens dédiés à la lutte contre la cybercriminalité. Cette commission pointait le décalage croissant entre la réalité de la criminalité dans l’espace numérique et les moyens dont dispose l’institution judiciaire et les forces de police pour traiter cette cyber-délinquance mondialisée et industrialisée. Cette commission recommande notamment la création d’un parquet national cyber, disposant des ressources et des expertises suffisantes pour instruire les dossiers liés aux affaires de cyber-délinquance les plus complexes, et un renforcement significatif des moyens des services d’enquête pour lutter contre la cyberdélinquance internationale, en développant les capacités de coopération judiciaire européenne.
Le troisième axe concerne les capacités spécialisées, éminemment régaliennes, en matière de cyberdéfense dans la profondeur. Ces capacités sont indispensables pour identifier et neutraliser les cyberattaquants situés dans des zones géographiques dans lesquelles ils ne peuvent être appréhendés par les moyens conventionnels de la police et de la justice. Plusieurs services de l’Etat peuvent contribuer significativement à cette mission. Il est cependant essentiel de maintenir et de renforcer dans la durée leurs compétences et leurs moyens.
Enfin, quatrième axe de cette stratégie globale de sécurité numérique, et c’est sans doute le plus complexe. Il apparaît désormais indispensable d’effacer une singularité de l’industrie du numérique sur le marché européen. Cette industrie est probablement la seule en Europe à n’être soumise à aucune norme de sécurité contraignante ni à aucune règle prudentielle pour la fabrication et l’exploitation de ses produits et de ses services. Il est inadmissible que cette industrie, quand bien même ce serait le fruit de son histoire, continue à opérer sur le marché européen sans que la responsabilité de ses acteurs puisse être engagée sur la base de telles normes de sécurité ou de règles prudentielles spécifiques. C’est dans cette logique que la Commission européenne a lancé une initiative législative, le 16 mars 2022, en proposant un futur règlement, le Cyber Resilience Act. Pour répondre aux besoins du marché européen et protéger les utilisateurs, professionnels comme particuliers, contre les produits et services non sécurisés, cette initiative visera à fixer des exigences de cybersécurité auxquelles les fabricants et les vendeurs de ces produits et services devront se conformer. La Commission devrait en principe publier son projet de règlement le 13 septembre 2022. Chacun des acteurs de l’écosystème numérique sera appelé à le commenter et à proposer des améliorations en vue de son examen par le Parlement européen et le Conseil. Ce travail est essentiel pour qu’il réponde aux préoccupations du plus grand nombre et pour ne pas laisser l’initiative aux seuls géants technologiques dont l’intérêt sera, sans nul doute, d’en restreindre la portée. Pour autant, ne nous faisons pas d’illusion, la marche à gravir est très élevée. Ce processus prendra probablement de nombreuses années, sans doute une dizaine, et les forces qui s’y opposeront seront virulentes.
Le futur règlement, le Cyber Resilience Act,
visera à fixer des exigences de cybersécurité auxquelles l’industrie du numérique, fabricants et vendeurs de produits et services devront se conformer.