Cybersécurité : comment développer la « culture du risque » en France ?
Le Sénat va examiner les propositions de deux députés concernant les enjeux de sécurité associés au développement du numérique en France.
Instaurer, en entreprise, un « permis d’aptitude à utiliser le numérique », puis en assurer la mise à jour régulière auprès de ses détenteurs pour faire face aux évolutions très rapides dans le secteur.
C’est l’une des nombreuses recommandations formulées par Anne-Yvonne Le Dain (députée socialiste de l’Hérault) et Bruno Sido (député Les Républicains de Meurthe-et-Moselle) dans un rapport réalisé pour le compte de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST).
Intitulé « Sécurité numérique et risques : enjeux et chances pour les entreprises », le document en question – PDF, 369 pages – résulte d’une saisine effectuée le 26 juin 2013 par la commission des affaires économiques du Sénat.
Respectivement vice-présidente et premier vice-président de l’OPECST, Anne-Yvonne Le Dain et Bruno Sido avaient présenté un premier projet de rapport le 17 décembre 2014. La version finale a été approuvée le 28 janvier 2015 et publiée dans la foulée, le 2 février, sous le numéro 2 541.
Y sont abordés, en sept chapitres, la gouvernance technique du numérique et la gestion des incidents de sécurité à l’échelle mondiale, le cadre existant en France et sa mise en oeuvre, les forces et faiblesses du système d’information de l’entreprise ou encore la culture du numérique et l’éducation à sa sécurité.
Une leçon de vie
Plusieurs tables rondes ont organisées en amont. Notamment sur le risque numérique à travers la sécurité des réseaux informatiques, le stockage des données personnelles ou industrielles et leur exploitation. Mais aussi sur « les moyens de nature à favoriser, tout au long de la vie, l’apprentissage des outils numériques ».
Les rapporteurs ont constaté qu’il était difficile, voire impossible de se représenter les frontières du numériques, qui, en plus de ne pas correspondre aux frontières des États, peuvent fluctuer « plusieurs fois par jour » en fonction de l’état des techniques et des liens juridiques tissés. Et favoriser d’autant l’existence de failles de sécurité.
Problème : ces vulnérabilités sont souvent repérées – quand elles le sont effectivement – avec plusieurs mois, voire plusieurs années de retard par les utilisateurs d’un réseau. Ces derniers, généralement mal informés des risques, négligent trop souvent la sécurité, « par faiblesse de connaissances, oubli des précautions à prendre et/ou ignorance des moyens pour y parer ».
Où est la faille ?
À la lumière de ces conclusions, Anne-Yvonne Le Dain et Bruno Sido ont décidé de se concentrer sur les opérateurs d’importance vitale (OIV), avec une attention particulière portée aux secteurs des télécoms et de l’énergie.
Au terme d’une centaine d’auditions, ils se sont aperçus que les failles de sécurité, liées aux matériels, aux attaques, mais aussi aux comportements au sein des OIV ne pouvaient être totalement dissociées de leur environnement.
En d’autres termes, on ne peut ignorer les failles « encore plus béantes » qui existent chez les filiales, les sous-traitants et les clients des OIV, sans parler des utilisateurs quotidiens du numérique que sont les personnels des entreprises.
D’où la nécessité, toujours selon les rapporteurs, de « développer une culture du numérique » en formant et en informant massivement toutes les classes d’âges à l’informatique, dans tous les milieux sociaux.
Ce qui implique, outre des campagnes de prévention sur les principaux canaux médias (TV, radio, Internet), une logique d’éducation de la maternelle jusque dans l’enseignement supérieur. Avec un objectif : ne pas seulement apprendre comment se servir du numérique, mais aussi « comprendre ce que c’est », à travers les bases du codage, du chiffrement…
Souveraineté numérique
Deuxième recommandation : assurer les conditions d’une autonomie numérique « pour préserver la souveraineté ». Ce qui induirait le développement, dans le cadre du programme des investissements d’avenir (PIA), des équipements de détection d’attaques franco-français. Tout en mettant en place un cadre européen unifié « favorable à la sécurisation des données des citoyens européens ».
Dans ce même esprit, il est suggéré de créer un « Google souverain français ou européen […] tout comme la Chine, l’Inde et la Russie développent actuellement des Internets en propre (pour des questions de langages et d’alphabets, etc.) ».
Au niveau national, il est question d’une meilleure coopération entre les acteurs du numérique. Notamment par la création d’un lieu d’échange réunissant ingénieurs, politiques et administratifs. Mais aussi par l’octroi, à l’Agence nationale de la sécurité des systèmes d’information (ANSSI), un pouvoir de régulation et d’injonction.
On notera enfin cet appel à « réformer la législation française et européenne » de manière à imposer le niveau de protection et le référentiel des OIV aux PME qui leur sont liées. Et à modifier le code des marchés publics pour que les réponses des appels d’offres ne dévoilent pas l’intégralité du SI d’une entreprise.
Les sénateurs discuteront de ces propositions demain vendredi 14 janvier 2016.
Crédit photo : Per Bengtsson – Shutterstock.com