En novembre, l’Institut Montaigne, groupe de réflexion sur les politiques publiques hexagonales, publiait un rapport intitulé “Cyber-menace: avis de tempête”. Il fait le point sur l’état de préparation de la France (entreprises, opérateurs de services “essentiels”…) et en particulier de ses OIP, et formule treize propositions“pour augmenter la cyber-résilience de l’ensemble du tissu économique et de la société”.
Quels en sont les principaux constats et propositions?
Côté constats:
- “un besoin vital de coopération et de solidarité entre acteurs privés d’une part, et entre acteurs privés et publics d’autre part, afin d’anticiper et d’identifier ces attaques ainsi que de limiter leurs effets sur les systèmes d’information français”
- le fait que le “risque d’une cyber-attaque est amplifié par deux facteurs, qui font de cette menace une menace systémique” – d’une part, le fait qu’en France (comme ailleurs) les entreprises et autres utilisateurs sont fortement dépendants, technologiquement, d’un nombre très restreint d’acteurs, et de l’autre, l’interconnexion croissante des systèmes, encore amplifiée par l’essor du cloud “qui rend dramatiques les conséquences potentielles d’une attaque.”
- “Le caractère systémique de la cyber-menace rend ainsi plausible le scénario d’un “cyber-ouragan” touchant la France et d’autres États”.
A noter au passage que si l’expression utilisée est “cyber-ouragan”, l’équivalent anglo-saxon n’est guère plus rassurant puisque l’on parle depuis déjà quelques années de potentiel “cyber-armageddon”.
Source de la menace?
Selon les analystes de l’Institut Montaigne, “le scénario le plus probable pouvant entraîner un “cyber ouragan” est celui d’une attaque provenant d’un acteur non-étatique, qui aurait dérobé des outils d’attaques.
Institut Montaigne: “les États eux-mêmes n’ont aujourd’hui que peu d’intérêt à lancer une attaque provoquant un “cyber ouragan”, tant leur degré d’interdépendance économique, ainsi que les risques de représailles, sont élevés.”
Les cibles les plus fragiles?
Sans surprise, ce sont les PME qui sont considérées comme les plus friables et exposées aux conséquences d’un tel déchaînement de cyber-violence. “Elles sont les moins bien protégées [absence de cybersécurité intégrée par défaut dans leurs équipements, le manque de compétences et de ressources au sein de l’entreprise]. Or, elles représentent près de 73 % des emplois français. […] Un “cyber ouragan” touchant simultanément les TPE/PME/ETI [entreprises de taille intermédiaire] françaises engendrerait une crise économique et sociale majeure.”
Treize recommandations
Le rapport de l’Institut Montaigne liste treize recommandations adressées aux pouvoirs publics français, classées en trois axes:
- Axe 1: “modifier l’ensemble du tissu économique”, avec nécessité pour les entreprises d’“institutionnaliser leurs pratiques face aux cyber-menaces”. Pour les grandes entreprises, en particulier celles évoluant dans des secteurs sensibles: prise de mesures de cyber-résilience de haut niveau (calquées sur celles applicables dans le domaine militaire) et réalisation annuelle d’un exercice de crise. Pour les PME et TPE: diagnostic cybersécurité annuel.
- Axe 2: “démultiplier les compétences et être solidaire en cas de crise”: “nous proposons que les acteurs privés se préparent dès à présent à développer la possibilité de mettre à disposition leur personnel et leurs compétences pour leurs pairs dans le cas d’une attaque majeure les ayant épargnés, via un cadre légal préétabli par leurs soins.” Pour ce faire, le rapport préconise “la mise en place d’une plate-forme sécurisée d’échange entre les entreprises stratégiques pour la nation, opérée soit par l’État, soit par un acteur de confiance majeur de la cyber-sécurité en France, afin de partager les signatures d’attaques et les informations clés sur ces attaques.” Par ailleurs, l’Etat français est invité à faire bénéficier le secteur privé des ressources de sa réserve opérationnelle de cyberdéfense (une réserve militaire créée en 2016), en y incluant, pour la résolution de crises touchant le secteur privé, à la fois des chercheurs académiques et de “jeunes diplômés ayant suivi un parcours de formation en cybersécurité financé par l’État.”
- Axe 3: “Pouvoir répondre à des attaques larges et rapides”. Parmi les recommandations figurant dans ce chapitre: l’adoption par les entreprises d’une stratégie de défense active, le recours plus poussé à l’intelligence artificielle (“tout en anticipant et prévenant ses dérives éventuelles”) ou encore un label de cyber-résilience “pour les équipements pouvant impacter des vies humaines (comme la pédale de frein d’une voiture), afin qu’ils puissent fonctionner a minima de manière dégradée en cas d’attaque.”
Mot d’ordre général: solidarité et coopération entre tous les acteurs français…
Plus d’informations sur le contenu de ce rapport de l’Institut Montaigne via ce lien.
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.