B. DÉBAT
M. Emmanuel Cugny
Quel calendrier prévoyez-vous jusqu'à la phase opérationnelle ?
M. Michel Van Den Berghe
Nous prévoyons de faire arriver les premières équipes début février 2022. La crise sanitaire a freiné l'approvisionnement de certains matériels, comme les prises réseau.
L'inauguration par le président de la République ainsi que l'accueil de quelques délégations dans le cadre de la présidence française de l'Union européenne sont prévus au mois de février.
M. Emmanuel Cugny
À vous entendre, M. Philippe Clerc, nous avons l'impression de voir la menace « cyber » comme l'autre pandémie. La cybercriminalité suit elle directement la crise sanitaire ?
M. Philippe Clerc
Le nombre des attaques est suivi par l'observatoire et le nombre d'alertes, recueilli par les CCI. L'accélération de la digitalisation encourage les cybercriminels à attaquer le « maillon faible » du système productif : les TPE, les PME et les sous-traitants.
Or, la digitalisation accélérée concerne tout le système productif. À court terme, les petites entreprises et toutes les compétences alimenteront des plateformes industrielles. Toutes nos PME évoluent dans un écosystème qui sonde la sécurisation, car les menaces se transmettent comme des virus.
M. Emmanuel Cugny
Comment pouvons-nous anticiper ce phénomène ?
M. Philippe Clerc
Le directeur de l'ANSSI évoque souvent ce facteur essentiel sur lequel nous devons nous mobiliser. L'année dernière, les CCI ont étudié la cyberrésilience.
Aujourd'hui, la cybersécurité est traitée et prise en charge : la mobilisation est engagée, mais nous n'anticipons pas suffisamment. Comme en matière de gestion de crise, nous devons tous ensemble préparer toutes nos entreprises à la résolution de la menace.
Dans les chambres de commerce, nous avons formé 18 cyberréférents. Leurs compétences sont certifiées : ils maîtrisent l'écosystème d'intervention et peuvent intervenir auprès des entreprises pour comprendre la menace qui leur est adressée, les aider et les orienter.
Anticiper consiste finalement à préparer toutes nos entreprises à la résolution de la menace en intégrant ces questions de cybersécurité, car la cybercriminalité n'est pas la préoccupation prioritaire des chefs d'entreprise qui gèrent leur carnet de commandes, survivent dans la crise et préparent les futures innovations.
M. Emmanuel Cugny
Pourtant la cybermalveillance est l'affaire de tous....
M. Philippe Clerc
Le risque est désormais connu. La communication est établie sur le sujet.
Anticiper consiste aussi à aider le chef d'entreprise à intégrer les problématiques et le coût de la cybersécurité dans son modèle d'affaires, lequel évolue en fonction de la transition généralisée du système productif et des modes de consommation.
Au demeurant, la cybersécurité ne représente pas un coût, mais un investissement, une assurance-vie pour l'entreprise.
M. Emmanuel Cugny
Comment les patrons de PME peuvent-ils intégrer ce risque aujourd'hui ? Lors des événements de Cyber October organisés par Bercy, j'ai été frappé de rencontrer des chefs d'entreprise qui pensaient n'être jamais confrontés à ce risque. En prennent-ils davantage conscience ?
M. Marc Bothorel
J'estime en effet que la crise sanitaire a accéléré la prise de conscience pour deux raisons :
La première est l'augmentation phénoménale du nombre d'attaques
Lors des séminaires de sensibilisation que j'anime souvent avec M. Jérôme Notin, je présente des cartes interactives d'attaques. Certains acteurs de la cybercriminalité ont décuplé leurs attaques quotidiennes dans le monde.
Nous pouvons qualifier cette évolution de pandémie. Elle produit des milliers de variants quotidiens, mais nous n'avons malheureusement pas de vaccin.
Nous observons parfois des failles de sécurité qui ne sont pas corrigées immédiatement par les éditeurs ou les constructeurs. Elles sont susceptibles de représenter une menace importante pour les entreprises.
Cette pandémie n'est pas terminée. Les cybercriminels travaillent entre eux, parfois avec l'appui de certains gouvernements. Nous devons, nous aussi, unir nos efforts face à cette menace.
La seconde raison est que la communication des chefs d'entreprise s'est améliorée.
Les dirigeants partagent leur expérience, notamment lors de réunions organisées par la CCI ou la CPME. Ils commencent à réaliser que les petites entreprises sont également visées par la cybermalveillance. Elles peuvent être les victimes collatérales d'attaques de grande ampleur ou représenter des vecteurs d'attaques d'importants donneurs d'ordre.
M. Emmanuel Cugny
Elles ressemblent à un cheval de Troie.
M. Marc Bothorel
Toute la chaîne économique est ainsi mise en danger. Nous observons une certaine latence, mais je me réjouis que la crise sanitaire fasse prendre conscience aux entreprises de la létalité du risque « cyber ».
M. Emmanuel Cugny
La cybersécurité est-elle vraiment coûteuse ?
M. Marc Bothorel
La dépense en cybersécurité n'a pas vocation à être rentable. Elle représente un investissement, voire une assurance, au même titre que la responsabilité civile. Elle permet de garantir aux clients et aux donneurs d'ordre que la relation commerciale et industrielle est protégée.
Par analogie, le Règlement général sur la protection des données (RGPD) permet d'assurer aux partenaires de l'entreprise que leurs données personnelles sont protégées. Il doit être envisagé comme un atout commercial plutôt que comme une punition.
La protection ne coûte pas nécessairement cher. Au demeurant, le système pourrait ne pas être protégé, à condition que les sauvegardes régulières permettent de le réinstaller rapidement en cas d'attaque.
M. Jérôme Notin
Cette salle est équipée d'un dispositif anti-incendie et d'extincteurs qui permettent d'arrêter un départ de feu le cas échéant. Quelle qu'elle soit, la protection est un investissement fondamental.
Aujourd'hui, des entreprises déposent leur bilan à cause de cyberattaques. Pour éviter de mourir, il apparaît donc judicieux de consacrer un pourcentage raisonnable de son chiffre d'affaires à la cybersécurité. Elle n'est d'ailleurs pas nécessairement onéreuse.
Nous avons imaginé le dispositif « Alerte Cyber » avec le MEDEF, la CPME, l'U2P et l'ANSSI pour informer des vulnérabilités critiques que nous avons identifiées grâce à notre veille. Nous rédigeons un courriel simple à destination des chefs d'entreprise et utilisons les canaux du MEDEF, de la CPME et de l'U2P pour toucher 80 à 95 % des entreprises. Nous présentons la menace et la solution technique.
Les Britanniques ont compris qu'en élevant légèrement le niveau de sécurité global du pays, les cybercriminels, qui sont fainéants, se tourneraient vers d'autres pays. Les entreprises ont intérêt à s'inspirer de ce raisonnement : à terme, le niveau de sécurité de toutes nos entreprises s ' élèverait.
M. Emmanuel Cugny
Quelles actions (sensibilisation, formation) l'entreprise peut-elle envisager en interne ?
M. Michel Van Den Berghe
Depuis des années, les entreprises multiplient les équipements de cybersécurité. Le marché de la cybersécurité est en forte croissance, mais les entreprises ne sont pas forcément protégées. Elles doivent d'abord envisager un « plan B ».
La sauvegarde externe permet à l'entreprise de sécuriser ses données et de limiter ses pertes. Il faut revenir à beaucoup de bon sens.
Cet été, Orange est beaucoup intervenue auprès des hôpitaux. Lorsqu'ils sont attaqués, les patients ne sont plus soignés. Les experts en cybersécurité s'occupent alors de récupérer les dossiers numériques des patients qui contiennent toutes les données permettant de les soigner.
La cybersécurité devient extrêmement sensible et doit être gérée avec beaucoup de bon sens.
M. Emmanuel Cugny
Quels sont les gestes simples du quotidien ?
M. Michel Van Den Berghe
Il convient de porter la même attention aux courriers électroniques qu'aux courriers postaux : vous n'envoyez pas votre numéro de carte bleue à quelqu'un que vous ne connaissez pas et qui vous a écrit pour vous demander de l'argent.
M. Marc Bothorel
Il convient effectivement d'appliquer les principes de précaution de la vie réelle à la vie numérique.
Pour une TPE de dix personnes, une enveloppe de 5 000 euros annuels permet de financer les éléments fondamentaux de protection technique (anti malware , anti spams , pare-feu et sauvegarde). Cette somme est à envisager au regard du temps de restauration des données et des effets connexes de réputation.
M. Emmanuel Cugny
Comment attirer les jeunes vers les métiers de la cybersécurité ?
M. Michel Van Den Berghe
Nous devons générer des vocations et créer l'attractivité autour des métiers de la cybersécurité en changeant leur image. Cette activité a autant de sens que celle des pompiers : il s'agit d'éteindre le feu.
La sûreté d'un véhicule est devenue un critère de choix qui pourrait aussi convenir aux applications informatiques. Nous avons besoin de communication et de pédagogie. Enfin, nous devons féminiser nos métiers et améliorer l'image des experts en cybersécurité qui ne sont pas tous des « geeks à capuche ».
M. Emmanuel Cugny
Quel est le positionnement des CCI sur le terrain ?
M. Philippe Clerc
Dans le réseau des CCI, l'Institut Méditerranéen d'Etudes et Recherche en Informatique et Robotique (IMERIR) forme à la cybersécurité dans le domaine de la robotique et de l'intelligence artificielle. Nous avons besoin de compétences supplémentaires.
Par ailleurs, j'insiste sur la transversalité du métier : aujourd'hui, la cybersécurité devient un élément de la sécurité globale. Les responsables de la cybersécurité doivent communiquer sur cette caractéristique, car ils doivent gérer un déséquilibre permanent avec des pics de crise.
M. Emmanuel Cugny
M. Jérôme Notin a évoqué cet objectif commun auquel chacun doit contribuer, chefs d'entreprise et parlementaires. Nous passons aux questions de la salle.
Nous avons constaté lors de la pandémie que les pertes d'exploitation des restaurateurs n'étaient pas prévues par les grands assureurs. Le risque cyber est-il réellement couvert par les assureurs ?
M. Guillaume Cochet, CMPE Rhône, Président de la chambre professionnelle des agents généraux d'assurance du Rhône, Vice-Président de l'association interprofessionnelle des assureurs lyonnais
80 % des entreprises sont touchées par le cyberrançonnage, que nos contrats couvraient. Or, le Sénat a très fortement préconisé aux assureurs de supprimer cette garantie pour ne pas financer le cyberterrorisme.
Pourtant, j'estime important de prendre en compte le risque létal pour les entreprises et d'enquêter à l'international, car les vrais acteurs se situent en dehors de la France (Israël, Europe de l'Est...).
Dans ce contexte, les assurances ne disposent pas de moyens suffisants pour proposer des solutions pertinentes à 80 % des entreprises alors qu'elles ont vocation à les sensibiliser. Les propositions actuelles concernent 20 % des entreprises et se limitent à couvrir la perte d'exploitation, les dommages matériels et la reconstitution de données logiques.
M. Jérôme Notin
Le Sénat a en effet préconisé d'interdire le paiement des rançons. En tant que citoyen, j'estime cette position intelligente, judicieuse et pragmatique. Les assureurs ont vocation à imaginer des solutions de prévention.
M. Guillaume Cochet
Le terrorisme ne sera pas asséché, car les cybercriminels trouvent suffisamment de ressources auprès des entreprises, en France et ailleurs. Notre PIB risque d'être fortement touché si nous épuisons notre tissu économique en ne lui donnant pas les moyens de payer une cyberrançon. Or le Sénat a fortement préconisé aux compagnies d'assurance de ne plus mettre en garantie de leurs contrats les paiements de cyberrançons.
Par ailleurs, l'Assemblée nationale et le Sénat travaillent déjà avec les assureurs et la FFA pour augmenter le niveau de prévention des entreprises, mais elles ne sont pas tenues de souscrire aux contrats qui imposent un certain niveau de prévention.
M. Jérôme Notin
La FFA est membre fondatrice de notre dispositif. Nous travaillons ensemble quotidiennement pour proposer des offres « cyber » qui répondent aux besoins des entreprises et assurent le risque résiduel.
En revanche, le paiement des rançons me choque énormément.
M. Michel Van Den Berghe
Un des architectes qui travaille avec nous m'a consulté un matin, car il a été victime d'un ransomware . Son cabinet compte 80 professionnels qui travaillent sur Apple. Il a sollicité l'aide de nos experts alors qu'il ne pouvait plus accéder à aucune donnée, car ses sauvegardes étaient en ligne. Toutes les données étant encryptées, nous n'avons pas pu agir.
Il a finalement payé la rançon demandée (10 000 euros en bitcoins) pour récupérer l'ensemble de son système d'information, mais n'a rien réclamé à son assureur. J'estime que nous devons nous mettre à la place du dirigeant qui agit pour refaire fonctionner son entreprise.
Nous devons donc sensibiliser les chefs d'entreprise et leur proposer des moyens de résilience leur permettant, en cas d'attaque, de redémarrer leur entreprise sans payer la rançon.
M. Marc Bothorel
Nous ne souhaitons pas que cette assurance devienne obligatoire pour les entreprises, mais nous conseillons fortement aux dirigeants de l'étudier pour protéger leur patrimoine.
Je participe également au groupe de travail du Trésor initié fin juin. À cette occasion, j'ai regardé les critères d'éligibilité que fixent les assurances. J'ai constaté un aspect mercantile dans les questionnaires très légers de certaines compagnies.
Les travaux que mène actuellement le Trésor, notamment sur un rating et des outils d'analyse et d'assurabilité, feront évoluer la situation. L'année dernière, les assurances ont payé deux fois plus de primes qu'elles n'en ont perçues. C'est aussi pourquoi le paiement des rançons a été retiré de certains contrats.
La prévention et la sensibilisation restent essentielles pour que l'entreprise soit assurable.
M. Emmanuel Cugny
Ce vaste débat est à la fois technique et politique.
M. Patrick Bergougnou, Président du groupe Cirpack
J'aimerais aborder un sujet de cybercriminalité « légale ». Le développement du télétravail et des formes de travail hybride génère l'utilisation d'outils de communication d'entreprise qui sont massivement déployés dans les entreprises (Microsoft Teams, Cisco Webex, Salesforce, Slack, Zoom ou encore Facebook, WhatsApp et Messenger).
Tous ces outils sont des plateformes américaines, soumises à l' Internet Privacy Act : l'administration américaine a donc accès à toutes les données de communication des entreprises sur simple demande réquisitoire.
Quelles dispositions le Sénat a-t-il prévu pour sensibiliser les entreprises sur ce sujet et mobiliser les moyens de soutenir les plateformes européennes et françaises ?
M. Marc Bothorel
La CPME préconise aux dirigeants de se référer aux outils recommandés, testés et validés par l'ANSSI.
M. Sébastien Meurant, Sénateur du Val d'Oise
Sénateur du Val-d'Oise, je suis aussi l'un des rapporteurs du rapport de notre Délégation aux entreprises sur ce sujet. Cette question touche la souveraineté et notre capacité, française et européenne, à avoir un cloud souverain sécurisé.
Cette question est majeure pour l'avenir de l'indépendance française et européenne. Certaines grandes entreprises françaises se sont rapprochées des entreprises du GAFAM, lesquelles assurent qu'elles ne dévoileront aucune donnée à la demande de l'administration américaine.
Cette question est cruciale pour l'avenir du pays : la reconquête de la souveraineté dépendra de la réussite des acteurs du Campus Cyber. En tant que rapporteur, pour la Délégation sénatoriale aux entreprises, j'ai constaté la naïveté de nombreuses entreprises et collectivités sur ce sujet. J'ai donc été enthousiasmé qu'une prise de conscience au plus haut niveau de l'État se traduise par la création de ce campus, car la reconquête de notre souveraineté est une des clés de l'avenir et de l'indépendance du pays.
M. Michel Van Den Berghe
Les outils évoqués sont installés sur des systèmes d'exploitation, généralement fournis par Microsoft. Nous devrions donc utiliser un PC français équipé d'un OS français sur du matériel français ?....
Orange a beaucoup investi dans la création du cloud souverain 100 % français. Il n'a pas fonctionné. Nous essayons à nouveau en équipant les meilleures technologies d'outils permettant de détecter qu'aucune malversation, volontaire ou involontaire, n'est faite sur les données stockées.
Cette solution ne fonctionnera que si les entreprises acceptent de payer 20 à 30 % supplémentaires pour stocker leurs données sur un cloud souverain. La souveraineté a un coût que les entreprises ne souhaitent pas toujours supporter. Je rappelle également que les données extrêmement essentielles ne sont pas encore stockées dans le cloud .
Il n'est pas possible de placer l'ensemble des technologies utilisées sous une souveraineté globale, car 90 % de l'équipement numérique est fabriqué par les Américains.
M. Philippe Clerc
Cette question permet de resituer la stratégie de lutte contre la cybercriminalité - donc la stratégie nationale de cybersécurité - au sein d'une politique publique de sécurité économique. À la direction générale des Entreprises, le Service de l'Information stratégique et de la Sécurité Économiques (SISSE) inclut cette vision stratégique essentielle.
Par ailleurs, l'Europe se mobilise sur le sujet de la souveraineté : notre secrétaire d'État chargé du Numérique a récemment réuni le dataspace français. La plateforme Gaïa X est un espace de données sécurisées qui réunit, dans le cadre européen et à l'échelle française, notre pôle de compétitivité, l'académie des Technologies, la Fédération des Industries Électriques, Électroniques et de Communication et les acteurs majeurs du numérique.
M. Stéphane Blanc, Président d'AntemetA, entreprise des Yvelines
Je souhaite rappeler l'importance de l'assurance risque « cyber », notamment pour les ETI : comment peuvent-elles justifier auprès de leurs banquiers et actionnaires qu'elles ne sont pas assurées alors qu'elles ont réalisé les investissements nécessaires pour sécuriser leurs données ?
M. Christophe Delcamp, Représentant de la Fédération française des assurances (FFA), en charge des risques « cyber »
Ma première réaction est de proposer d'organiser un débat sur l'assurance « cyber », car de nombreuses idées reçues méritent d'être confrontées à des réponses réalistes.
Depuis des années, la FFA souhaite accompagner les entreprises sur ce nouveau risque. Or, l'État doit disposer de toutes les informations pour pouvoir se positionner sur les rançons - les assureurs suivront cette position. Le rapport de la députée Mme Valéria Faure-Muntian, récemment publié, évoque ce sujet.
De plus, le risque « cyber » est nouveau et a une potentialité de risque systémique. Les assureurs doivent protéger tous les assurés sans s'exposer eux-mêmes au seul risque « cyber », qui doit être compris. L'ACPR, qui est notre organisme de régulation, nous a demandé de travailler sur la protection de nos engagements.
Dans le cadre des travaux de la direction générale du Trésor qui aboutiront sur un rapport en février prochain, des pistes de solutions concertées sont susceptibles d'être envisagées pour fluidifier ce marché.
M. Sébastien Garnault, Fondateur de CyberTaskForce
Le rapport de Mme Valéria Faure-Muntian publié la semaine dernière pourrait effectivement servir de support à un prochain débat du Parlement.
J'ajoute qu'un collaborateur qui n'a été ni sensibilisé, ni formé, ni outillé ne peut être considéré comme un « maillon faible ». La prise de conscience et l'engagement du dirigeant entraînent des conséquences sur l'assurance.
Je souhaite aborder le lien qui existe entre les collectivités et l'écosystème économique local : quelle différence voyez-vous entre une petite ville et une PME, notamment en matière de prise de conscience des dirigeants ? Existe-t-il des actions territoriales ?
M. Marc Bothorel
Le fait que l'humain est un « maillon faible » est un simple constat. Nous souhaitons évidemment le rendre fort, car il constitue le premier rempart.
Le chef d'entreprise qui a pris conscience du risque doit inculquer une culture « cyber » à ses employés pour leur faire comprendre qu'ils font partie de la chaîne de défense de l'entreprise.
M. Jérôme Notin et moi-même avons participé au récent Forum international de la Cybersécurité. Une initiative très intéressante de la région des Hauts-de-France y a été présentée.
M. Jérôme Notin
Lorsque nous aidons les entreprises, les collectivités ou les particuliers, nous commençons toujours par les qualifier. Nous aidons davantage de particuliers - 40 à 50 millions - que d'entreprises - trois à quatre millions - et de collectivités - 35 000, mais, compte tenu de la population éligible, pour un particulier aidé, nous aidons deux entreprises et quarante collectivités territoriales.
Ces dernières restent plus impactées que les entreprises, car elles subissent une certaine dette technique. Certaines collectivités n'ont pas encore conscience du risque « cyber ». C'est pourquoi nous avons priorisé le traitement des collectivités en 2019.
Nous avons annoncé au Forum international de la cybersécurité (FIC) le dispositif « Immunité Cyber » : ce questionnaire très pragmatique comportant neuf questions a été envoyé par l'AMF. Les collectivités ayant répondu « non » au moins une fois sont invitées à prendre contact avec la gendarmerie afin d'être sensibilisées au risque de cybercriminalité.
Des actions sont donc menées dans les territoires, car les collectivités sont proportionnellement plus touchées par la cybermalveillance que les entreprises ou les particuliers.
M. Rémi Cardon, Sénateur de la Somme
Jeudi prochain, une table ronde sera organisée sur le sujet de la cybersécurité des collectivités, conjointement par la Délégation aux entreprises et la Délégation aux collectivités territoriales du Sénat.
Nous constatons en effet que les collectivités territoriales sont souvent touchées et que les maires connaissent une problématique de stockage des données. Pourtant, les collectivités, qui gèrent de l'argent public, doivent être exemplaires dans ce domaine.
Mme Annick Billon, Sénatrice de Vendée, Présidente de la Délégation aux Droits des Femmes et à l'égalité des chances entre les hommes et les femmes du Sénat
La culture du risque informatique demande un travail préalable important. Elle devra aussi être quotidienne pour s'adapter, car l'innovation sera multiforme dans ce secteur.
Lors d'un événement, j'ai eu l'occasion d'échanger des cartes de visite : un interlocuteur m'a invité à lui présenter mon téléphone afin que sa carte s'y inscrive directement. Ce type de situation présente-t-il un risque ?
Je vous remercie d'avoir évoqué les stéréotypes de genre qui agissent sur l'orientation, car nous travaillons avec la Délégation aux entreprises sur ce sujet.
M. Jérôme Notin
Vous avez certainement scanné un QR Code vous permettant de récupérer de informations encodées, car un QR Code permet soit de récupérer directement des informations, soit d'orienter vers un site web.
La sécurité du QR Code fait l'objet de débats dans notre communauté, car certains QR Codes permettent, via internet, de récupérer une charge malveillante.
Mme Brigitte Devésa, Sénatrice des Bouches-du-Rhône
Vous avez évoqué les moyens mis à la disposition des entreprises pour éviter les cyberattaques.
Aujourd'hui, comment une entreprise peut-elle accepter de payer une rançon ? Existe-t-il un service de police ou de gendarmerie spécialisé ?
Je suis choquée qu'une entreprise soit contrainte de céder au chantage des criminels pour continuer à travailler. Quels dispositifs permettent aux entreprises de se défendre et de récupérer ce qui leur a été volé ?
M. Jérôme Notin
Les services de l'État en police judiciaire sont bien organisés aujourd'hui, même s'ils méritent encore d'être renforcés. La police bénéficie de services d'enquête, d'un office central et d'un parquet spécialisé dont les trois magistrats ont été représentés lors d'une audition au Sénat récemment. Ils traitent les attaques de pays étrangers qui atteignent nos opérateurs d'importance vitale et nos structures régaliennes, mais aussi les crimes crapuleux qui extorquent des petites sommes à des milliers de victimes. Leur champ d'intervention est donc extrêmement large.
Le chef d'entreprise est responsable lorsqu'il décide de payer une rançon ; le remboursement de la rançon relève d'un débat politique, qui mérite d'avoir lieu et d'être enrichi de nouvelles tables rondes.
Enfin, l'intérêt fondamental de l'assurance « cyber » réside dans l'incitation à réaliser des sauvegardes déconnectées permettant de restaurer les données.
M. Mickael Mesere, Marketing Digital Manager
Existe-t-il des services qui permettent de réaliser un diagnostic de la santé informatique d'une entreprise ?
M. Marc Bothorel
Vous avez découvert cyberalveillance.gouv.fr et son nouveau volet d'activité, la sécurisation des entreprises au travers du réseau d'entreprises labellisées « ExpertCyber » mis en place depuis début 2021 - mon entreprise est ainsi labellisée.
L'initiative de France Services concernant les conseillers numériques est extrêmement intéressante et importante. Pour autant, il est regrettable que le volet « cyber » de leur formation soit quasi inexistant.
M. Jérôme Notin
50 petites entreprises sont effectivement labellisées « ExpertCyber » dans les territoires. Comme les prestataires de l'ANSSI, elles ont la capacité de réaliser de la remédiation et d'accompagner les entreprises dans leur démarche de sécurisation (hébergement, infrastructures), mais proposent des tarifs nettement plus bas.
L'AFNOR s'appuie sur un référentiel, sur lequel nous avons travaillé notamment avec la FFA et la CPME, pour s'assurer du niveau d'expertise des « ExpertCyber ». Ces prestataires de proximité pourront adresser l'ensemble des besoins sur l'ensemble des territoires.
M. Philippe Clerc
Ces réponses illustrent parfaitement l'évolution du parcours de sécurisation des chefs d'entreprise en matière de cybersécurité. Les chambres de commerce ont l'obligation de progresser au sein de cette chaîne d'intervention. Aujourd'hui, 18 chambres sont agréées par France Compétences sur la base d'un référentiel mis en place par l'ANSSI.
Cet écosystème se développe et une chaîne d'intervention se met en place afin de diagnostiquer le risque et d'orienter l'entreprise en fonction du degré de criticité de sa situation.
Un intervenant
Je suis chef d'entreprise et auditeur en cybersécurité à l'Institut des hautes études de défense nationale (IHEDN). La coopération entre les États membres sera-t-elle encouragée afin de lutter contre les cybercriminels, dont 60 % se trouvent à l'étranger ?
M. Andreas Koch, Gérant et co-fondateur de Cortex Productions, membre associé de la CCI de Charente
Je souhaite souligner que la problématique de la rançon est d'abord morale, car elle place le chef d'entreprise dans une situation extrêmement délicate.
Les comportements criminels doivent sortir de l'anonymat afin que naissent des lois et des organisations nécessaires pour les combattre.
M. Christophe Langlès, co-président de la CPME 13
Pourquoi sommes-nous défavorables à l'intégration obligatoire du contrat d'assurance dans les contrats responsabilité civile (RC) d'entreprise ? Je rappelle qu'un contrat cybercriminalité prévoit la mise à disposition d'une plateforme de conseillers, l'indemnisation de l'intervention des informaticiens et la réponse à la mise en cause de la responsabilité civile professionnelle lorsque les données sont volées et susceptibles d'être exploitées.
M. Marc Bothorel
La CPME recommande fortement cette intégration, mais ne souhaite pas l'imposer dans la période de reprise actuelle. Le chef d'entreprise reste responsable.
L'ensemble des syndicats patronaux a soumis une réponse commune à la nouvelle directive européenne Network Information System (NIS) qui impose aux petites entreprises (moins de 50 salariés et deux millions de chiffre d'affaires) des secteurs sensibles de respecter un certain niveau de cybersécurité. Nous souhaitons garder une décision de souveraineté en France sur ces sujets.
M. Emmanuel Cugny
Je vous remercie infiniment, chers intervenants.
La séance est suspendue de 11 heures 13 à 11 heures 16.