Face à la numérisation de notre quotidien, la cybersécurité doit devenir un usage naturel pour tous. Pour aiguiller les PME aux changements, l’institut Montaigne présente un rapport de 10 recommandations facilement implémentables.
Un rapport de recommandations ?
Créé en partenariat avec La Gendarmerie nationale, le METI et le groupe La Poste, ce rapport présente 10 recommandations pour accélérer la mise en place de protection suffisante en matière de cybersécurité.
Face à l’évolution de cyberattaques dans le monde, les grandes entreprises ont pris les devants en s’équipant de dispositifs de sécurité dernier cri. Néanmoins, il est plus difficile pour les petites et moyennes entreprises de se défendre face aux cyberincidents, la moitié ayant fait faillite après avoir subi une cyberattaque.
En France, les TPE/PME/ETI, collectivités locales et établissements publics représentent 73% des attaques de ransomwares. Pour contrer cette tendance, la France appliquera d’ici septembre 2024 la directive européenne NIS 2, qui vise à entamer les mesures de la cybersécurité dans l’ensemble de la chaîne numérique. C’est dans cette dynamique que l’institut Montaigne apporte son expertise et ses conseils aux acteurs les plus sensibles et nécessiteux.
10 recommandations à implémenter ?
Le rapport propose une approche incrémentale qui s’appuie sur une méthode simple et rapidement opérationnelle fondée sur les solutions et acteurs existants.
1. De meilleurs diagnostics organisationnels et techniques
Les diagnostics de cybersécurité existants aujourd’hui recouvrent des réalités extrêmement diverses, sont peu normés, insuffisamment réalisés et ne sont pas toujours une garantie suffisante pour le système assurantiel. Afin d’inciter à l'utilisation de diagnostics organisationnels et techniques, il conviendrait d’identifier différents niveaux, regroupés au sein d’un référentiel commun, dont l’ANSSI pourrait avoir la charge :
- Un diagnostic initial pourrait se faire en ligne, gratuitement, sur la base d’un auto-diagnostic, effectué par défaut pour les collectivités, et à la demande pour les entreprises intéressées.
- Un diagnostic intermédiaire pourrait être réalisé en quelques heures. Ce diagnostic serait effectué gratuitement par la puissance publique pour l’ensemble des collectivités ; et effectué, pour la masse des entreprises, par un large écosystème de prestataires.
- Un diagnostic avancé serait conduit par un écosystème de prestataires certifiés par l’ANSSI.
- Un audit serait réalisé sur les systèmes d’information les plus sensibles, ou les plus exposés, de la structure, par un prestataire qualifié par l’ANSSI. Cet audit serait potentiellement obligatoire pour toutes les “entités importantes” au sens de la directive NIS 2.
-
2. Fixer un niveau de cybersécurité à atteindre
Fixer une cible de cybersécurité à atteindre pour les structures, en fonction de leur criticité et de leurs moyens, et les inciter à progresser dans la durée en proposant un système de badges les aidant à prioriser leurs arbitrages. Il existe un intérêt à inciter des acteurs les moins préparés à débuter une démarche simple, adaptée et incrémentale. La mise en place de standards communs de cybersécurité constitue une piste des pouvoirs publics. Le levier réputationnel permettrait une identification du niveau de chaque structure par tout un chacun. Ainsi, à chaque niveau de maturité cyber correspondrait un badge. Ce système de badges permettrait aux structures de prioriser leurs investissements en cybersécurité.
3. Limiter nativement la présence de vulnérabilités et de failles
Le règlement, directement applicable en droit interne, est toujours en cours de rédaction, et offre ainsi toutes les chances d’une norme européenne faisant référence, à même de contraindre jusqu’aux plus grands acteurs à une prise en compte complète. Dans cette perspective, et comme c’est le cas dans d’autres domaines, l’aéronautique, par exemple, un éditeur qui aura manqué à son obligation de moyens et d’information relativement au niveau initial et continu de la sécurité de ses produits, pourrait davantage craindre l’engagement de sa responsabilité, et les conséquences financières attachées.
4. Considérer le risque cyber comme une priorité stratégique
Pour minimiser ces risques, que ce soit en matière de probabilité d'occurrence ou d’impact, il est essentiel de faire de la cybersécurité une préoccupation stratégique des dirigeants et de relayer celle-ci par l’intermédiaire de mesures opérationnelles. La simplification de la vie administrative des entreprises étant une politique prioritaire du gouvernement, ce dispositif est évoqué comme une incitation (dans le système de badges) plutôt que comme une obligation.
5. Une simulation annuelle d’alerte cyber
Il s’agirait donc d’évoquer dans chaque structure les conséquences envisageables d’une cyberattaque, grâce à une simulation conduite une fois par an (sur le modèle de l’alerte incendie) en modifiant les thématiques d’alerte chaque année et se formant de manière adéquate pour l’éviter.
6. Instaurer une fonction de conseiller à la sécurité numérique
En l’absence d’un RSSI (responsable de la sécurité des systèmes d’information) interne ou externe, un conseiller à la sécurité numérique (CSN) pourrait être chargé d'accompagner le dirigeant de TPE/PME ou de petite collectivité dans la gestion des risques numériques et de la cybersécurité, en s'appuyant sur une culture de la sécurité numérique, sans nécessairement être un expert du domaine.
7. Mutualiser les compétences et les outils
Pour faciliter cette mutualisation, les RSSI pourront être regroupés au sein de tiers de confiance organisés en réseau territorial. Parmi ces tiers de confiance, on peut citer :
- Les Opérateurs Publics de Services Numériques (OPSN), pour les collectivités
- Une structure dédiée, quelle que soit sa forme, pour les entreprises et les collectivités sans OPSN. Celle-ci pourrait être adossée aux CSIRT régionaux et pourrait bénéficier de subventions publiques182 en soutien à la démarche.
- Cette mutualisation pourrait également s'étendre à un niveau départemental, par le biais des chambres consulaires par exemple, ou encore celui des fédérations professionnelles départementales.
Imposer un RSSI partagé peut s’avérer difficile, en particulier pour les collectivités locales compte tenu de leur principe de libre administration. Dès lors, il conviendra de l’encourager par le biais du système de badges qui en fait un critère obligatoire à partir du niveau “argent”.
8. Faciliter le signalement des cyberattaques
La mise en place d’une “plateforme de signalement des faits cyber” sous la forme d’une base de données communes aux différents services publics “cyber” induirait, d’une part, une rationalisation/simplification des processus de signalements en cas d’incidents de sécurité numérique pour les entreprises et les collectivités et, d’autre part, permettrait à la puissance publique de développer une meilleure connaissance de la menace cyber.
9. Renforcer les moyens dans la lutte contre la cybercriminalité
S’agissant de la prévention, le Ministère de l’Intérieur dispose d’un maillage territorial et d’une puissance opérationnelle et de formation lui permettant de traiter une partie des missions associées à la menace numérique. A titre d’exemple, des référents chargés de la prévention technique de la malveillance accompagnent collectivités et entreprises dans le durcissement de leur sécurité physique, sous l’égide de la police ou de la gendarmerie. Un tel modèle pourrait utilement être dupliqué en cellules de prévention des risques cyber. Un format de 5 personnes par département constituerait une force de frappe dans un premier temps suffisante, pour un coût moyen annuel à l’ensemble du pays de 35M€.
10. Pérenniser le financement de l’effort public
Il convient de se doter des moyens appropriés à un tel enjeu de sécurité et de définir la provenance des financements nécessaires. Un examen rapide permet d’identifier d’ores et déjà deux voies possibles.
La première voie est nécessairement étatique, la sécurité du territoire relevant des autorités régaliennes qui doivent donc arbitrer la dépense en fonction des priorités. Nous estimons que le budget de lutte contre la cybermenace représente quelque 100M€ supplémentaires par an pour une couverture des territoires et des plus petits, avec un objectif de renforcement des moyens humains au niveau national et le maillage public adéquat.
La seconde voie serait éventuellement décentralisée, trouvant dans des acteurs dédiés des ressources redistribuables à la cause : ainsi, par exemple, des amendes de la CNIL qui pourrait constituer un expédient budgétaire facile d’accès.
Cette étude à la fois globale et territoriale a montré l'urgence d’une action coordonnée aux différentes échelles du territoire. L’expérience de terrain invite à un pragmatisme volontaire qui mobilise chaque acteur de la sécurité numérique à son juste niveau. C’est pourquoi, si cet article vous a plu et si vous envisagez une carrière dans la cybersécurité, n’hésitez pas à découvrir nos articles ou notre offre de formation sur CyberUniversity.
Source : institutmontaigne.org