Le président Biden réunissait les acteurs privés de la sécurité et le monde de l’enseignement pour réagir face aux cybermenaces. Plus de 30 milliards de dollars seront investis par les géants dans des solutions et dans la formation à la cybersécurité.

La pandémie mondiale n’a assurément pas signé une trêve sur le front des cybermenaces. Bien au contraire puisque les attaques se sont accentuées au cours de la période. Et avec un digital devenu encore plus critique pour les organisations, les dirigeants ont dû hisser l’enjeu de la résilience IT au premier plan.

A lire aussi : [Chronique] Ransomware : faut-il mieux payer un voyou ou laisser crever une entreprise ?

Entreprises américaines et pouvoirs publics ont depuis 2020 fait face à des attaques informatiques de grande envergure. Le piratage de SolarWinds, devenue une vaste affaire de cyberespionnage, débouchait sur des sanctions contre la Russie. Mais le menace n’est pas le seul fait d’Etats. Elle continue d’émaner de groupes cybercriminels, très actifs dans le domaine du ransomware ou rançongiciel.

Des attaques qui soulignent les fragilités des organisations

L’industriel Colonial Pipeline était ainsi la cible en mai dernier d’un programme malveillant de ce type. Et afin de restaurer ces systèmes informatiques, l’entreprise acceptait de verser plus de 4 millions de dollars aux pirates. Une pratique que l’Anssi en France, ou le FBI aux Etats-Unis, décourage car elle incite les cybercriminels à développer ces attaques.

Face aux conséquences de ces piratages pour les secteurs public et privé, l’administration Biden s’efforce de parvenir à l’élaboration de solutions conjointes. Les Etats-Unis ont déjà pris plusieurs initiatives en 2021 pour renforcer la sécurité des infrastructures critiques et du gouvernement fédéral.

En mai, le président Biden signait un décret en ce sens. Une opération échelonnée sur 100 jours visait par ailleurs à améliorer la cybersécurité dans le secteur électrique. Des actions similaires dans d’autres secteurs sont d’ores et déjà prévues. Et le 25 août, le président américain réunissait géants technologiques du privé et représentants du monde académique.

Le discours de ce dernier fixe le cap de sa politique dans ce domaine : « La cybersécurité est un impératif de sécurité nationale et de sécurité économique pour l’administration Biden et nous donnons la priorité à la cybersécurité comme jamais auparavant. »

30 milliards de dollars promis par Microsoft et Google

Si la somme d’initiatives individuelles ne fait pas une stratégie nationale, plusieurs mesures concrètes des partenaires publics et privés ont néanmoins été annoncées suite à ce sommet national consacré à la cybersécurité.

Deux multinationales ont annoncé de conséquents plans d’investissement. Il faut dire que la sécurisation du secteur public, portée par la nouvelle administration, représente un marché de plusieurs milliards de dollars.

Ainsi, Microsoft prévoit de consacrer 20 milliards de dollars sur cinq ans en faveur de la sécurité by design et la fourniture de « solutions de sécurité avancées. » L’éditeur s’engage aussi à offrir pour 150 millions de dollars en services techniques pour aider les administrations à faire progresser leur cybersécurité.

Google n’est pas en reste avec un programme d’investissement prévu de 10 milliards de dollars. Le californien se concentrera lui sur le développement du modèle Zero Trust, la protection de la chaîne d’approvisionnement des logiciels et le renforcement de la sécurité des logiciels libres.

Plusieurs dizaines de milliards de dollars sont donc d’ores et déjà sur la table – même si ces investissements étaient sans doute déjà prévus par les deux éditeurs. La conception de nouvelles solutions ne suffira pas cependant à balayer la menace. La formation et la sensibilisation constituent un autre volet majeur.

Une pénurie de compétences cyber problématique

Or, comme le souligne le président Biden, le pays souffre d’un important déficit de compétences en cybersécurité. Ce problème affecte d’ailleurs les autres pays. L’administration américaine estime que près d’un demi-million d’emplois publics et privés dans le domaine de la cybersécurité ne sont pas pourvus. Universités et entreprises privées sont donc là aussi mobilisées.

Plusieurs acteurs entendent jouer un rôle pour réduire ce fossé. Apple annonce des actions futures, entre autres, en faveur de la formation à la sécurité. En partenariat avec des universités, IBM formera 150 000 personnes aux compétences en cybersécurité au cours des trois prochaines années. Quant à Amazon, il mettra gratuitement à la disposition du public la formation de sensibilisation à la sécurité dispensée à ses propres collaborateurs.

Les GAFAM n’ont pas le monopole des actions. Code.org s’engage à enseigner les concepts de cybersécurité à plus de 3 millions d’élèves. Girls Who Code met en place un programme de micro-certification à destination des populations exclues du digital.

Enfin, l’University of Texas System développera de nouvelles formations qualifiantes. L’appel présidentiel a été lancé et les entreprises répondent par une série d’annonces. Reste à présent à structurer ce partenariat public-privé et à l’organiser pour des améliorations mesurables.

Le FIC de Lille du 7 au 9 septembre devrait être l’occasion d’un nouveau rappel des enjeux liés à la cybersécurité en France. En février, le président Macron présentait son plan pour ce secteur, prévoyant notamment la création d’un cyber-campus. Sa dotation : 1 milliard d’euros. L’efficacité d’une politique de sécurité se mesure-t-elle à la hauteur des budgets alloués ?