Jean-Claude LAROCHE,
DSI du groupe Enedis, Vice-président du Cigref
“Aucun autre secteur d’activité que celui du numérique n’accepterait de se développer dans un tel contexte d’insécurité juridique face à la cybermenace, de faiblesse du droit applicable…”
Dans le contexte de dégradation croissante de la sécurité dans l’espace numérique, le Cigref en appelle à un changement de paradigme et propose une doctrine nouvelle.
L’insécurité dans l’espace numérique n’est plus, à l’évidence, un sujet marginal, mais bien l’un des principaux risques qui pèsent sur le fonctionnement de nos sociétés contemporaines. Nous avons observé, avec une préoccupation croissante, l’augmentation quasi exponentielle des cyberattaques au cours des 18 derniers mois. Plusieurs réactions marquantes illustrent la progression de ce phénomène inquiétant. Le 19 février 2020, le Comité européen des risques systémiques, présidé par Madame Christine Lagarde, publiait un rapport sur les cyberattaques, définies comme susceptibles d’avoir de “graves conséquences négatives pour l’économie réelle”. En avril 2021, le président de la FED, Jérôme Powell, confiait que la cybercriminalité constituait désormais le principal risque pour l’économie américaine, et qu’il le redoutait davantage encore qu’une crise similaire à celle de 2008. Lors du sommet de l’OTAN du 14 juin 2021, les chefs d’État et de Gouvernement des 30 membres de l’alliance ont décidé d’étendre à l’espace numérique la portée de l’article 5 de la Charte atlantique en cas de cyberattaque contre l’un d’eux.
Aucun autre secteur d’activité que celui du numérique n’accepterait de se développer dans un tel contexte d’insécurité juridique face à la cybermenace, de faiblesse du droit applicable, d’impunité des organisations criminelles qui y déploient leurs exactions. La capacité des cybercriminels croît désormais plus rapidement que la capacité de leurs victimes à se protéger. Ils ont professionnalisé, industrialisé et mondialisé leurs activités mafieuses, dans un contexte trouble de porosité ou d’adhérence avec les services spécialisés d’États qui ne partagent pas nos valeurs démocratiques. Aujourd’hui, ce sont les rançongiciels qui concentrent l’attention de la plupart des acteurs de la cybersécurité et des dirigeants. Mais les entreprises et les administrations publiques sont également confrontées à d’autres risques comme l’espionnage et le vol de données sensibles, moins visibles sans doute, mais qu’il convient de ne pas sous-estimer.
Nous savons les efforts que l’État consent déjà pour lutter contre ce fléau, et les moyens en progression constante dont l’Agence nationale de la sécurité des systèmes d’information dispose pour assurer ses missions. Mais dans le contexte de numérisation croissante des activités de la société et de son économie, cet effort n’est, hélas, pas suffisant. Les entreprises et les administrations publiques consacrent des ressources humaines, techniques et financières toujours plus élevées à la protection de leurs systèmes d’information. Dans cette dialectique entre l’agresseur et l’agressé, entre celui qui attaque et celui qui doit se défendre, c’est toujours le criminel, parce qu’il choisit son arme et décide du moment et de l’endroit où il va frapper, qui conserve l’avantage. Il appartient pourtant aux États, et c’est une responsabilité au cœur de leur souveraineté, d’assurer la sécurité des personnes et des biens dans l’espace numérique, et des activités qui s’y déploient, au même titre que dans l’espace physique.
C’est la raison pour laquelle le Cigref propose une doctrine écosystémique de la sécurité numérique, impliquant les utilisateurs et les fournisseurs de produits et services numériques ainsi que le régulateur. Elle s’articule autour de quatre piliers. Le premier concerne la cybersécurité, dans laquelle il convient de renforcer les efforts, et, à cet égard, le plan d’accélération cyber d’un milliard d’euros présenté par le Gouvernement en février 2021 est le bienvenu. Le deuxième pilier porte sur la lutte contre la cybercriminalité et l’adaptation à celle-ci des moyens de police et de justice, lesquels souffrent dans ce domaine d’un réel retard. Le troisième relève d’une mission éminemment régalienne, la cyberdéfense en profondeur, pour identifier et neutraliser les cyberattaquants inaccessibles par d’autres moyens. Enfin, le quatrième pilier concerne la régulation, a minima à l’échelle européenne, de la sécurité par conception et la sécurité d’exploitation, des produits et services numériques, sur tout leur cycle de vie.
Le Cigref entend contribuer tout particulièrement au développement de ce quatrième pilier de la sécurité numérique. Les pratiques généralement constatées, notamment chez les éditeurs de logiciels, ne sont pas propices au renforcement de la sécurité globale des systèmes d’information. L’industrie du numérique est sans doute la seule en Europe à ne pas faire l’objet de normes minimales de sécurité. Le contexte de dégradation de la sécurité dans l’espace numérique, et de vulnérabilités croissantes des produits et services numériques, appelle un changement de paradigme et des régulations nouvelles, de nature plus systémique. Dans cette démarche, nous apportons notre soutien au rapport publié en février 2021 par l’OCDE, relatif au renforcement de la sécurité des produits et services numériques. Ce rapport propose une large « boîte à outils » des politiques publiques à mettre en œuvre pour réguler la sécurité numérique, qui a été présenté lors de notre webinaire du 5 juillet 2021, au côté d’interventions de l’ANSSI, de numeum et de l’Appel de Paris.
Soyons bien conscients que, si l’on ne modifie pas collectivement les paradigmes de la sécurité dans l’espace numérique, il est fort probable que les désordres ne cessent de croître en le vouant au chaos à l’horizon d’une dizaine d’années. Comme l’écrivait Lacordaire : « c’est la liberté qui opprime et la loi qui affranchit ». Aujourd’hui, l’espace numérique est un bien commun insuffisamment régulé, et les libertés qui s’y déploient servent à l’évidence les intérêts des cybercriminels de tout poil. Nous ne pouvons nous y résoudre.