Les articles du dossier

[Fic 2019] A Lille, les enjeux de culture sécurité des entreprises pris entre cyberdéfense et « doctrine cyber offensive »

Après avoir dévoilé vendredi 18 janvier la doctrine de cyber offensive de la France, la ministre des Armées, Florence Parly a fait un passage éclair à Lille mardi 22 janvier pour le Forum International de la Cybersécurité, afin de montrer le lien de ses annonces avec l’ensemble de l’écosystème de la sécurité. Pour sa 11e édition, l’évènement porté par la Gendarmerie Nationale a souhaité mettre l’accent sur un thème ambitieux : security and privacy by design. Cette obligation à l’heure du RGPD s’avère être un révélateur sur les profonds fossés culturels qui partagent encore les organisations françaises.

Florence Parly, Ministre des Armées

Florence Parly, Ministre des Armées

« La guerre cyber a commencé » avait asséné Florence Parly, vendredi 18 janvier. La ministre des armées dévoilait alors la structuration d’une cyber-doctrine offensive pour les armées françaises ; un sujet ébauché par Jean-Yves Le Drian avant elle et dont l’ambition avait été posée dès 2008. A partir de 2019 « nous n’aurons pas peur d’utiliser [l’arme cyber] » a résumé la ministre. Parmi les sujets abordés pour illustrer ces déclarations : le fait que l’intensification des menaces dans le cyberespace – d’origine criminelle mais aussi étatique – a directement touché ces derniers mois les armées et leur ministère. Sur les 700 « évènements de sécurité » de l’année 2017, une attaque sérieuse a ainsi été identifiée, sur une vingtaine de cadres du ministère. Si une telle attaque avait abouti, « c’est toute notre chaîne d’alimentation en carburant de la Marine nationale qui aurait été exposée » a révélé Florence Parly. Ce véritable coup de semonce s’avère évidemment un indicateur clair sur ce qui s’annonce dans les mois et années à venir. Parmi les réponses prévues, le recrutement sur les 7 prochaines années de 4000 cyber-combattants pour renforcer les forces armées sur ce sujet épineux, en sus, des précédentes annonces de recrutement de la DGSE ou du ComCyber. En complément, sur le grand rendez-vous du FIC à Lille, la ministre avait pour ambition de mettre l’accent sur les partenariats noués avec les industriels et l’accompagnement de l’innovation par la DGA, dotée dorénavant d’une agence pour l’innovation défense, tournée vers les start-up et les PME dynamiques.

Entre attaque et défense, une vision cohérente pour la France

Sur le FIC, la question a donc été également posée à Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi) sur ce que signifiait une telle mise en ordre de marche de la partie « cyber offensive » de la doctrine numérique française, pour son agence. « Entre missions offensives et défensives, le plus important est que les périmètres soient précisément identifiés et séparés, et la France a toujours eu cet avantage. L’Anssi a en charge des sujets « défensifs » et de protection, mais il ne faut pas être naïf : il est hors de question pour autant de rester les mains dans les poches et de se contenter de recevoir des coups. Il y a donc une forme de « dissuasion » à mettre en place : il faut être respecté dans le cyberespace. Les annonces de la ministre précisent ces capacités, tout en restant dans le cadre d’un appel à la stabilité et à la responsabilité, qui est celui de l’Appel de Paris lancé le 12 novembre par le président de la République ».

En ce sens, le directeur de l’Anssi a précisé qu’il y avait une action concertée au plus haut niveau de l’Etat pour coordonner les actions du « glaive » et du « bouclier » cyber et que cela impliquait qu’il n’y avait pas de compétition entre les deux approches au niveau budgétaire notamment. En revanche, toutes les organisations – privées comme publiques – se retrouvent de facto à puiser depuis des années dans le même creuset de compétences et d’experts, sérieusement sous tension. Les défis RH sont ainsi nombreux et touchent clairement les entreprises de toutes tailles.

Au-delà de la culture cyber étatique, la prise de conscience des entreprises en question

Les discours et annonces sur les stratégies de l’Etat en matière de cyberdefense et de doctrine offensive, sont par ailleurs un « parapluie » assez éloigné des réalités opérationnels de la majorité des entreprises. Les sujets de cyberdéfense et de cybersécurité ne se recouvrent en effet qu’en partie. Les grands groupes sont ainsi confrontés à de profonds enjeux organisationnels et humains : au-delà du recrutement d’experts de la cybersécurité, ils doivent également fait évoluer les pratiques et réflexes de dizaines de milliers de leurs collaborateurs au quotidien, sans compromettre l’attrait des nouveaux usages digitaux dans une période de profonde transformation. Ils doivent également composer avec l’ouverture grandissante de leurs systèmes d’information pour mieux innover en écosystème, ce qui les expose mécaniquement plus. Mais au moins ont-ils ces dernières années commencer à intégrer fortement ces enjeux dans leur stratégie. Ainsi, le Cigref, réseau des grandes entreprises et administrations publiques françaises, a annoncé lors du FIC son soutien officiel à l’Appel de Paris, confirmant l’intérêt des grands DSI français sur ces prises de responsabilités. Une délégation s’était précédemment rendue en Israël pour tirer les enseignements en termes de logique d’écosystème d’un pays extrêmement en avance en matière de cybersécurité.

Appel à une réaction sur les risques pour les TPE-PME

Le reste du tissu économique français n’en est pas encore là. A Lille, la Confédération des petites et moyennes entreprises (CPME) a dévoilé ses derniers chiffres clés sur la cybersécurité des entreprises de moins de 50 salariés, issus d’une enquête auprès de 374 chefs d’entreprise. En partenariat avec Cybermalveillance.gouv.fr, le Cinov-IT et le Clusif, l’organisation a indiqué que si les entreprises étaient de plus en plus largement sensibilisées sur la menace, elles peinaient à mettre en place des réponses pérennes face à ce sentiment d’insécurité. « Quand une PME se fait attaquer, on est encore dans le fait divers : les entreprises sont livrées à elles-mêmes, malgré des initiatives comme Cybermalveillance.gouv.fr. Il leur reste à acquérir une culture de ces nouveaux risques, à mieux comprendre leur nouvel écosystème, avec le numérique, et son périmètre exact, pour mieux se prémunir » a ainsi résumé Jean-Marc Gremy, président du Clusif, club de la sécurité de l’information français.

Notamment, si 76% des organisations disent sensibiliser leurs salariés aux risques, seules 44% le font au moins tous les ans, et elles ne sont qu’une minorité de 38% à avoir nommer un référent interne pour structurer le sujet dans la durée. Au-delà des actions opportunistes, la culture de la sécurité au quotidien est donc absente. Or, « il ne faut pas oublier que quand les petites entreprises sont attaquées, elles permettent souvent de toucher de plus grandes qu’elles, dont elles sont les prestataires » met en garde la CPME, en insistant la nécessité que toute une frange moins médiatique de l’économie française ne soit pas oubliée au plus haut niveau. Les TPE-PME en sont encore à structurer leur système de sauvegarde et à définir un premier « verni de sécurité » qui pour l’heure n’intègre par exemple pas encore une démarche assurantielle face aux risques cyber. Une réalité locale qui est donc très loin des discours sur la structuration de l’armée française pour mener des ripostes cyber contre d’éventuels agresseurs ou de l’appel urgent à concevoir la sécurité « by design » dans la transformation numérique… mais pourtant bien complémentaire pour assurer la sécurité à l’échelle d’un pays.