La table-ronde organisée ce 15 avril à Paris par le Sénat a mis en lumière les moyens importants, bien qu’encore assez faibles, déployés par l’Etat pour prévenir et combattre la cybercriminalité visant les entreprises, et tout particulièrement les plus vulnérables, les PME et les collectivités locales.
Les invités des sénateurs étaient Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes informatiques (ANSSI), Jérôme Notin, directeur général du Groupement d’intérêt public ACYMA, qui gère le site « Cybermalveillance », Johanna Brousse, vice-procureur au Tribunal judiciaire de Paris en charge de la section J3 qui lutte contre la cybercriminalité, et enfin, Michel Cadic, délégué adjoint du délégué ministériel aux partenariats, aux stratégies et aux innovations de sécurité (DPSIS).
Rançonnage numérique : la situation est grave pour les PME et TPE
Les sénateurs relèvent que la situation est grave pour les entreprises et tout particulièrement les plus vulnérables aux menaces et à l’espionnage industriel, les PME et les collectivités locales comme l’a indiqué Guillaume Poupard, directeur général de l’ANSSI.
Comme les autres experts, il constate la multiplication par quatre du rançonnage numérique, qui représente 80 % de la menace cyber globale, mais 100 % de celle des PME et TPE, et qui s’industrialise. L’un des auteurs de cette table-ronde, le sénateur Serge Babary (Les Républicains – Indre-et-Loire), relève que les 3 millions de PME « sont pourtant encouragées par les Pouvoirs Public et les consommateurs à se numériser, mais elles n’ont pas toujours les moyens financiers ou humains de se protéger contre un cyber risque, et notamment si elles vont dans le cloud »
Guillaume Poupard souligne que la situation est complexe et qu’il faut prendre des mesures de prévention. Les experts ne peuvent que conseiller à chaque entreprise d’être l’acteur principal de sa propre cyberprotection. « Entreprises, collectivités locales et entités publiques, particuliers : nous sommes tous concernés et potentiellement visés par les cybercriminels. L’État s’organise et mutualise ses forces. Il doit passer de la défense à l’attaque », a estimé le président de la délégation aux entreprises, le sénateur Serge Babary.
Création d’une juridiction nationale chargée de la lutte contre la criminalité organisée
Pour les aider à mieux affronter la cybercriminalité, les experts présents ont d’ailleurs mis en avant la circulaire du 18 décembre 2019 créant la juridiction nationale chargée de la lutte contre la criminalité organisée, laquelle tente de mutualiser les réponses des forces de l’ordre. Trop peu de plaintes sont encore déposées regrettent les experts. Pour les TPE, le site « cybermalveillance.gouv.fr » constitue le guichet unique qui renvoie vers un prestataire privé de cybersécurité. Pour les ETI, lorsqu’il s’agit d’entreprises sensibles, l’ANSSI intervient. Pour les autres ETI et PME, le dispositif public doit être complété en dotant chaque région d’un CERT (Computer Emergency Response Team).
Plusieurs pistes pour améliorer la cyberprotection des PME
Le paiement des rançons, qui encourage la cybercriminalité, voire contribue au financement du terrorisme et entrave le développement du modèle économique de la cyberassurance, doit être prohibé. La prise en charge des victimes doit être améliorée. Le renforcement des moyens humains, avec seulement trois magistrats spécialisés au Parquet, doit être une priorité. La procédure pénale doit être adaptée afin de permettre des réponses plus proactives. La culture de la cybersécurité doit être renforcée dans l’administration, chez les élus, et les partenaires des entreprises, comme les CCI locales.