Présidentielles 2022 : Le Cesin interpelle les candidats avec 10 propositions sur la cybersécurité

Alors que la campagne présidentielle bat son plein à près de 50 jours du premier tour, le 10 avril prochain, le Club des experts de la sécurité informatique et du numérique (Cesin) tente de placer la cybersécurité dans le débat. Il a ainsi émis 10 propositions pour le prochain quinquennat. 

Le CESIN affirme que, face à cette cyber-menace généralisée, un véritable programme de cyber-résilience semble nécessaire. Problème, seulement une entreprise sur dix a opté pour cette voie.

Le Cesin émet 10 propositions aux candidats l’élection présidentielle.

Le club rappelle que depuis les dernières élections présidentielles, la transformation numérique de la société, des entreprises et des administrations s’est considérablement accélérée nous rendant, tant à titre professionnel que personnel, consommateurs mais aussi totalement dépendants du numérique. Il souligne que notre pays s’est notamment retrouvé en position de “colonie numérique de grandes puissances étrangères” ; une situation accentuée par la transformation cloud et qui confère aux risques cyber une nature systémique. 

À lire aussi : Log4j – Le CESIN se mobilise face à la crise qui menace les entreprises et les collectivités

Pour le Cesin, les entreprises doivent prendre conscience que la surface d’attaque s’étant considérablement élargie, les cyberattaques se sont multipliées avec des impacts de plus en plus forts sur des organisations de toutes tailles et de tous secteurs d’activité. Autrement dit, l’environnement numérique devient “fragile et incertain”. Si de nombreuses initiatives en matière de cybersécurité ont vu le jour tant en France qu’au niveau européen, il reste encore beaucoup de chemin à parcourir dans la vision du club pour que le numérique soit synonyme d’indépendance et de sécurité afin qu’il apporte toute sa valeur à notr
e société. 
 

C’est à ce titre que le Cesin émet 10 propositions en matière de cybersécurité pour la future mandature et pour renforcer l’excellence cyber française : 

Proposition n°1 – Créer un Ministère du Numérique : le numérique en France représente 6% du PIB, 150Md de dépenses et environ 1 million d’emplois salariés. Au-delà des chiffres, c’est une place tellement stratégique dans notre société qu’elle mérite qu’un ministère de plein droit soit créé, qui s’appuierait sur un secrétariat d’État dédié à la cybersécurité. 

Proposition n° 2 – Promouvoir un véritable numérique de confiance européen : il s’agit d’aider au développement d’offres européennes, en favorisant des solutions et services de grande diffusion, accessibles au plus grand nombre, plutôt que pour des usages n’impliquant que des données sensibles qui restent des sujets de niche. L’indépendance ne se gagne que si le périmètre couvert est large et vise des usages quotidiens et massifs. Cela vaut tant pour les offres digitales au sens large que pour les solutions de cybersécurité. L’objectif est double : nous rendre moins dépendants de solutions étrangères et assurer d’une manière générale une protection de nos données vis-à-vis de lois extraterritoriales souvent équivalentes à des permis d’espionner. Car les géants du numériques s’enrichissent avec des souscriptions et des licences, et captent intensivement nos données qui nourrissent leurs industries. 

Proposition n°3 – Favoriser l’innovation : de nombreuses initiatives sont prises pour financer l’innovation. Le tissu de startups dans le monde numérique, et particulièrement en cybersécurité, est éloquent. Cependant rien n’est fait ou presque pour que ces solutions émergent vraiment et gagnent par rapport à la concurrence étrangère. Dans le numérique tout le monde a sa chance de devenir le géant de demain avec de l’audace et du soutien. Il faut inventer les mécanismes qui poussent des initiatives sur des terrains stratégiques, et qui favorisent les solutions innovantes françaises et européennes pour les donneurs d’ordre. Il faut aussi penser l’après startup pour que les licornes françaises ne soient pas quasi automatiquement rachetées par des entreprises étrangères. 

Proposition n°4 – En finir avec cet afflux de logiciels vulnérables : la généralisation du numérique a mécaniquement augmenté le nombre de logiciels que nous utilisons au quotidien. Or nos entreprises font face à un nombre exponentiel de vulnérabilités à traiter. Cela peut venir du fait que les éditeurs ont produit vite et mal des applications comportant des failles, ces cas sont en nette augmentation ces dernières années. Cela peut aussi être lié au fait qu’un attaquant a réussi à s’introduire chez un éditeur et à insérer un code malveillant au sein des logiciels produits. Les clients doivent installer des correctifs pour supprimer ces failles de sécurité, ce qui représente un coût élevé de maintien en condition de sécurité. Ils doivent de surcroit compenser les défauts de ces briques logicielles par des mesures additionnelles coûteuses. Ils doivent aussi assumer les conséquences, si ces vulnérabilités sont exploitées par des acteurs malveillants pour mener des cyberattaques. Il faut obliger les éditeurs à prendre des engagements formels sur la sécurité intégrée dans les logiciels qu’ils produisent. Cela passe par des labels, des organismes de certification tiers adaptés aux nouvelles chaînes de développement, et par des lois qui introduisent un niveau de responsabilité de l’éditeur, comme c’est le cas pour des produits matériels.1 

Proposition n°5 – Créer un guichet unique en cybersécurité pour simplifier les parcours : au fil des ans et des problématiques à traiter, différentes autorités et points d’entrée en matière de cybersécurité se sont développés. De nombreuses initiatives ont été menées à l’échelle nationale ou régionale pour aider les entreprises et les particuliers. Toutes partent d’une bonne intention, mais cette offre est devenue complexe à utiliser. Le dirigeant d’entreprise ne sait pas à qui s’adresser pour comprendre le sujet cyber, pour se former, pour vérifier un label ou une certification ou pour se faire aider et déposer une plainte lorsqu’il est confronté à une cyberattaque. Et ce n’est pas plus simple pour les particuliers. La création d’un guichet unique national de la cybersécurité devrait permettre d’améliorer la lisibilité des dispositifs cyber et d’y recourir facilement et avec une meilleure efficacité. Par exemple, il est inapproprié, d’aller physiquement dans un commissariat de quartier pour déposer une plainte cyber alors que l’entreprise est dans la tourmente d’une cyberattaque. 

Proposition n°6 – Des Responsables Cybersécurité obligatoires dans les entreprises et les administrations : la sécurité est l’affaire de tous dit l’adage, mais lorsque le sujet est incarné par une personne chargée particulièrement de ce dossier, le changement est radical. C’est pourquoi à l’instar de ce qui s’est fait avec le RGPD et la création de postes de DPO obligatoires dans les entreprises, il faut rendre le Responsable Cybersécurité obligatoire dans toutes les entreprises. La protection du numérique est devenue trop stratégique pour que sujet soit traité de façon optionnelle. Des postes de Responsables Cybersécurité à temps partagé peuvent être envisagés pour les petites et moyennes structures. 

Proposition n° 7 – Une formation cyber obligatoire pour les dirigeants : Tous les dirigeants d’entreprises devraient suivre une courte formation obligatoire annuelle nationale sur les risques cyber (enjeux, priorités, principes de gouvernance, connaissance des actions essentielles et de la réglementation). Ce dispositif commencerait dès l’enregistrement de l’entreprise. Cette formation récurrente pourrait conditionner toute forme de subvention aux entreprises dans le domaine des technologies de l’information et des communications. 

Proposition n°8 – Un diagnostic flash cybersécurité obligatoire : Les entreprises devraient être tenues de faire réaliser annuellement un diagnostic flash (par exemple d’une durée d’une journée) sur quelques points de contrôle des mesures de sécurité essentielles en analogie avec le contrôle technique d’un véhicule ou la vérification d’une installation contre l’incendie. Personne ne doute qu’un ensemble de dispositifs de détection contre l’incendie soit nécessaire pour protéger les personnes et les biens matériels. Mais il n’y a pas encore la même perception sur l’immatériel. Une cyberattaque peut avoir de gros impacts opérationnels, financiers et/ou réputationnels, et aller jusqu’à paralyser une entreprise gravement et même définitivement. Combien d’entreprises connaissent les mécanismes coupe-feu, de détection ou d’extinction dans le domaine du numérique ? A l’issue de ces diagnostics, les entreprises devraient avoir l’obligation de traiter les points critiques identifiés sous un certain délai, comme c’est le cas quand des défauts importants sont trouvés sur des installations ou sur des véhicules, car ces défauts peuvent mettre en danger la vie de l’entreprise. 

Proposition n°9 – Nos jeunes passent la moitié de leur temps dans le monde numérique et ne sont pas éduqués au numérique et à la sécurité : il faut absolument intégrer une éducation complète à la vie numérique dans les collèges et les lycées, pour former les jeunes à une approche critique et responsable des outils numériques et d’Internet. 

Par ailleurs, la pénurie de ressources en matière de cybersécurité n’est plus à démontrer. Le fléchage vers des formations supérieures de « cyber-spécialistes » est faible voire inexistant et la représentation actuelle des métiers de la cybersécurité comporte encore des clichés qui n’incitent pas les lycéennes en particulier à rejoindre cette filière. Il faut continuer de développer l’offre de formations supérieures, la faire connaître et la promouvoir pour encourager les jeunes à s’orienter vers cette filière. 

Proposition n°10 – Traiter le cas des réseaux sociaux : l’extrême pénétration des réseaux sociaux dans nos vies personnelles mais aussi professionnelles n’est plus à démontrer. D’un point de vue cybersécurité, cela veut dire au quotidien des vols de données, des usurpations d’identité, la propagation de fakes news sans compter d’autres dérives qui peuvent, in fine, atteindre à la sécurité des personnes, des entreprises et des Etats. Ces réseaux sociaux véhiculent des incitations à la violence, des atteintes au bien-être des personnes, des menaces, intimidations et autres agressions. Et nous savons que les intelligences artificielles que ces plateformes utilisent, s’appuient sur des algorithmes qui amplifient ces phénomènes. 

On ne peut pas juste faire le constat d’une zone de non droit, de lieux de l’ultra violence et de l’atteinte constante à la vérité. D’une part il faut pouvoir donner un statut à ces plateformes pour qu’elles portent une responsabilité sur les contenus postés. Et ce doit être possible car des plateformes ont déjà bloqué les comptes de personnalités publiques. Si elles l’ont fait pour au moins une personne, c’est qu’elles s’octroient la capacité de réguler les contenus, donc allons jusqu’au bout du raisonnement et assignons un devoir de régulation.  Et de même que l’on notifie, sur des contenus audiovisuels, la présence de contenus pouvant choquer et que l’on affiche un âge minimum recommandé sur certains films, pourrait-on imposer à ces réseaux de tagger les contenus inappropriés et de ne pas avoir le droit de servir plus de N% de contenus entrant dans ces catégories. Cela freinerait les ardeurs des algorithmes amplificateurs.