I. II. THÈME 1 : LA CYBERSÉCURITÉ DES ENTREPRISES
A. TABLE RONDE : « COMMENT RÉPONDRE À L'URGENCE ? »
M. Emmanuel Cugny
Merci Monsieur le Président de la Délégation sénatoriale aux entreprises.
Je vous propose de commencer cette première table ronde. L'urgence est celle de maîtriser le monde d'après-crise et de protéger l'entreprise face aux attaques informatiques de prédateurs puissants. Les solutions sont nombreuses : encore faut-il les connaître et se les approprier.
M. Bothorel, où en sont les PME aujourd'hui en matière de défense contre la cybercriminalité ? Contrairement à des idées reçues, les PME-PMI sont visées, comme les grands groupes. Or, les dirigeants n'en ont pas véritablement conscience.
M. Marc Bothorel, Référent cybersécurité de la CPME, Associé-gérant de Starware Micro Services
Je suis très heureux d'être avec vous aujourd'hui et de représenter la CPME, organisation patronale réunissant 244 000 entreprises
Je rappellerai d'abord quelques éléments chiffrés. La
Les attaques augmentent, avec notamment+ 400 % sur les rançongiciels selon l'ANSSI). La gestion de crise est problématique en France, car les TPE-PME ne souhaitent pas toujours partager leur expérience pour ne pas inquiéter leurs clients.
Par ailleurs, la Fédération Française des Assurances (FFA) considère depuis deux ans que le risque « cyber » est le premier risque que les entreprises doivent assurer sur les cinq prochaines années.
Ces informations apparaissent suffisamment inquiétantes pour que la CPME s'empare du sujet. Nous sommes engagés depuis de nombreuses années dans la sensibilisation des dirigeants de PME, car ils persistent à croire que les cybercriminels ne s'intéressent qu'aux grosses entreprises.
Depuis le début de la crise, nombre de nos adhérents ont digitalisé leur entreprise : certains y ont été forcés ; d'autres ont installé dans l'urgence une structure de télétravail. Pour autant, ils n'ont pas modifié leur périmètre de sécurité existant. Certains se sont retrouvés isolés et affaiblis dans un contexte anxiogène - terrain fertile des cybercriminels. Ils ont parfois autorisé l'utilisation du matériel personnel, non protégé.
Or, la voie royale qu'empruntent aujourd'hui les hackers est le poste de travail : 80 % des attaques réussies commencent par une attaque de type phishing pour extorquer des informations ou implanter un malware .
Nous répétons que la transformation numérique est obligatoire pour assurer la survie des entreprises. Néanmoins, une transformation digitale réussie ne peut s'effectuer sans une composante « cyber » forte qui permet de protéger les données.
La mission de la CPME consiste à protéger les entreprises et diminuer le risque d'attaques. Nous prônons la sensibilisation, notamment au travers du guide que nous avons édité en 2015 et que nous avons revu depuis. Une nouvelle version devrait être publiée en 2022. Elle s'appuie sur douze bonnes pratiques, simples, d'hygiène informatique, qui permettent de diminuer sensiblement la surface d'attaque.
Une étude récente d'IDC montre que la sensibilisation régulière des employés dans le cadre d'un plan de formation diminue les risques « cyber » d'au moins 40 %.
La protection relève aussi d'autres mesures. Je suis notamment satisfait du réseau d'alertes mis en place récemment. Beaucoup d'éléments se mettent en place, mais les chefs d'entreprise doivent encore être convaincus que le futur monde numérique est dangereux. La cybercriminalité est une économie souterraine très bien organisée. Nous devons joindre nos efforts pour la combattre.
M. Emmanuel Cugny
Vous réalisez un travail quotidien minutieux. Nous aurons l'occasion de revenir sur la cybersécurité des PME.
M. Philippe Clerc, l'enquête régionalisée qu'a menée CCI France sur les difficultés rencontrées par les entreprises en matière de cybercontrôle a révélé de sérieuses lacunes.
M. Philippe Clerc, Expert CCI France en matière de cybersécurité
Je vous remercie infiniment pour cette invitation. Effectivement, la riposte à cette pandémie de cybercriminalité nécessite un travail collectif et des partenariats consolidés entre toutes les institutions et les entreprises.
L'objectif prioritaire des CCI est d'accompagner le développement des entreprises sur l'ensemble de nos territoires. En matière de cybersécurité, il est essentiel d'enquêter, de suivre l'évolution de la menace et d'étudier la sociologie et les modalités d'intervention des cybercriminels qui se professionnalisent et intègrent l'économie réelle.
Au fil des mois, nous constatons l'ampleur de la menace. La pandémie a considérablement accéléré la transformation digitale des pratiques, y compris au sein des TPE. En parallèle, la cybercriminalité s'accroît. Or, nous prenons chaque jour du retard dans la riposte, la sensibilisation et l'accompagnement. Face à cette menace, nous devons donc réarmer les territoires.
Nos enquêtes révèlent régulièrement que nos PME considèrent la menace « cyber » comme prioritaire. Une enquête récente relative au partage des données industrielles, sur lequel repose l'avenir du système productif par l'intégration des petites entreprises sous-traitantes, révèle que les principaux freins des PME sont la cybersécurité et la qualité des données. Cet enjeu de compétitivité est important dans le nouveau modèle productif qui se met en place à travers la digitalisation et la transition écologique.
Les PME ne comprennent pas la complexité technologique et n'ont pas les moyens suffisants pour investir considérablement dans les outils et les procédures d'intervention que permettent les institutions.
Enfin, je salue le rapport que vous avez publié, car il sert de support aux CCI pour engager des procédures de sensibilisation et mobiliser les entreprises.
M. Emmanuel Cugny
Parmi les outils proposés aux chefs d'entreprise pour lutter contre la cybercriminalité, la prise en compte des dangers fait défaut depuis le début de la pandémie. M. Jérôme Notin, pourriez-vous nous présenter votre mission et cybermalveillance.gouv.fr ?
M. Jérôme Notin, Directeur général de cybermalveillance. gouv.fr
cybermalveillance.gouv.fr est une plateforme qui permet aux chefs d'entreprise de trouver une solution lorsqu'ils sont victimes d'un acte de cybermalveillance qu'ils ne sont pas capables de qualifier.
La plateforme propose un rapide parcours : elle pose un diagnostic grâce aux réponses à quelques questions et donne les conseils qui permettront à la victime de résoudre sa problématique. Elle est un guichet unique et oriente éventuellement vers un service existant de l'État, comme Perceval, Thésée ou Pharos. Enfin, la plateforme apporte des conseils techniques et propose la mise en relation avec des prestataires de proximité. 1 200 prestataires sont aujourd'hui capables d'aider, sur l'ensemble du territoire national, nos chefs d'entreprise, nos patrons de collectivités, voire les particuliers lorsqu'ils subissent un incident, notamment en raison de rançongiciels, ces virus qui bloquent les systèmes d'information des entreprises et des collectivités.
La plateforme a été créée en 2017 par l'ANSSI et le ministère de l'Intérieur. Elle identifiait alors des prestataires référencés. Depuis début 2021, un label « ExpertCyber » permet aux chefs d'entreprise d'identifier les prestataires qui ont une expertise en remédiation et la capacité d'assister les dirigeants dans la sécurisation de leur système d'information à titre préventif.
Les besoins de prévention et de sensibilisation ont été largement évoqués. Depuis le début du dispositif, nous avons produit beaucoup de contenus de sensibilisation. En 2020, nous avons diffusé des vidéos sur les chaînes des groupes TFI et Canal afin d'encourager la prise de conscience du risque.
Cette première étape semble en partie franchie aujourd'hui. Elle permettra ensuite d'adresser le risque, car nous offrirons aux entreprises les possibilités de se sécuriser par des contenus de sensibilisation ou des approches techniques comme la diffusion des coordonnées des prestataires locaux.
Enfin, la mise en place d'un observatoire de la menace nous permet de faire connaître notre dispositif, de produire nos propres chiffres - nous avons notamment observé la tendance de l'évolution des rançongiciels entre 2018 et 2020 - et de collecter différentes informations de nos membres (les ministères, la CPME, les CCI, le MEDEF, France Victimes et les entreprises privées) pour évaluer le coût économique de la cybermalveillance.
M. Emmanuel Cugny
Vous êtes tous les témoins de cette nécessaire coordination dont nous aurons l'occasion de débattre. M. Michel Van Den Berghe, vous avez été nommé par le Premier ministre Édouard Philippe : pourriez-vous nous présenter le Campus Cyber ?
M. Michel Van Den Berghe, Président du Campus Cyber, ancien PDG d'Orange Cyberdéfense
Ce projet a effectivement été initié par le président de la République afin de rassembler l'ensemble de l'écosystème de la cybersécurité au sein d'un lieu emblématique. Campus Cyber vise quatre objectifs.
1. Mieux protéger l'économie numérique en s'appuyant sur une expertise collective
Ce campus sera d'abord un lieu d'opérations. Tous les acteurs de la cybersécurité y déporteront tout ou partie de leurs experts en cybersécurité informatique. 1800 experts intégreront le Campus Cyber pour mieux servir les petites et les grandes entreprises françaises.
2. Promouvoir l'excellence française en matière de cybersécurité
Nous souhaitons montrer que nous sommes l'un des premiers pays experts en cybersécurité et que nous pouvons être leader dans certains domaines du numérique, notamment la cybersécurité.
3. Rapprocher la recherche, l'innovation et l'industrie
L'enjeu est de faire émerger les licornes de demain et de les conserver. L'INRIA, le CNRS, le CEA, et les ministères de l'Économie et de la Recherche implanteront également des chercheurs sur ce campus.
2 000 mètres carrés seront ainsi dédiés à la recherche et plus de 30 start-up s'y installeront.
4. Pallier le manque d'expertise en matière de cybersécurité
Nous risquons de souffrir rapidement d'un manque d'experts pour protéger les entreprises. C'est pourquoi nous devons créer un lieu qui modifie l'image de la cybersécurité.
Aujourd'hui, les jeunes ne sont pas attirés par ce métier. Nous avons mené une étude avec le rectorat d'Île-de-France : quand 15 000 jeunes sont formés aux métiers du numérique, seuls 100 s'orientent vers les métiers de la cybersécurité, car ils sont méconnus et souffrent d'une image négative (le « geek à capuche »). Parmi les métiers de la cybersécurité, certains relèvent pourtant de la communication et requièrent de connaître la sensibilité de l'entreprise pour bien la protéger.
L'image de ces métiers doit donc être renouvelée et féminisée - moins de 8 % de femmes exercent un métier dans le domaine de la cybersécurité. Ce campus a vocation à devenir un show-room destiné à promouvoir l'image de la cybersécurité, essentielle à la transformation numérique des entreprises.
Le président de la République avait souhaité que le campus soit une initiative privée soutenue par l'État. Nous avons donc créé une SAS qui compte aujourd'hui plus de 100 actionnaires privés : de grandes entreprises comme BNP, Total, LVMH ou L'Oréal ont investi dans des actions du campus ; l'État a abondé à hauteur de 3,5 millions d'euros par l'intermédiaire de l'agence des participations de l'Etat. Nous avons donc un capital de 8 millions d'euros pour démarrer cette entreprise.
Les futurs résidents avaient demandé que le projet ne se transforme pas en un projet d'aménagement du territoire, car cet écosystème extrêmement sensible manque de ressources. Nous avons donc choisi d'implanter Campus Cyber à Puteaux, à proximité de la station de RER, du métro et du T2, pour pouvoir accueillir les experts en cybersécurité. Une tour de 26 000 mètres carrés ouvrira ses portes en février. Ce campus est un vrai succès aujourd'hui : des acteurs comme la DGSE, l'ANSSI, cybermaveillance.gouv.fr , le ministère de l'Intérieur ou le ministère de la Défense y implanteront des experts.
Ce projet est soutenu au plus haut niveau de l'État. Nous serons donc aidés pour créer les solutions permettant de mieux protéger les entreprises, notamment les plus petites. Aujourd'hui, les patrons de PME sont souvent démunis, car ils n'ont pas de directeur de la sécurité informatique (DSI). Nous souhaitons donc créer des solutions très simples à installer en rassemblant les petites et les grandes entreprises.
Dans le cadre du plan d'action « cyber » qui a été annoncé par le président de la République, 1,1 million d'euros seront consacrés au Campus Cyber pour créer des solutions communes. La région Île-de-France nous a donné une subvention de 2 millions d'euros ; la BPI financera également des projets sur ce campus à hauteur de quatre millions d'euros.
Plusieurs groupes de travail ont commencé leurs réflexions sur la formation, l'anticipation et la sécurisation des cryptomonnaies. Plus de 80 entreprises travaillent déjà ensemble de façon virtuelle sur le Campus Cyber.
Mon objectif est d'en faire une sorte de « porte-avions numérique » de la sécurité française : un porte-avions est grand, dissuasif, fonctionne grâce à la coordination de tous et permet de faire décoller des avions de chasse. Je souhaite tout le succès à ce Campus Cyber national pour ne plus entendre que les Américains font mieux que nous.