3. Les entreprises et les opérateurs d'importance vitale demeurent encore insuffisamment sensibilisés à la menace
De manière générale, les entreprises françaises, et notamment les PME, ne semblent pas encore avoir pris en compte la réalité de la menace liée aux attaques contre les systèmes d'information.
Ce constat dressé par le rapport Lasbordes en 2006 reste encore largement d'actualité.
Traditionnellement peu sensibilisées aux enjeux soulevés par l'intelligence économique, notamment par rapport aux entreprises anglo-saxonnes, les entreprises françaises ne paraissent pas accorder une attention suffisante à cette question.
En dehors de quelques grands groupes, on constate un manque d'implication de la direction de l'entreprise, une sensibilisation et une formation insuffisante des personnels, une absence de stratégie en matière de protection des systèmes d'information, et des lacunes en matière d'identification pertinente des systèmes ou des données sensibles de l'entreprise, une insuffisance des budgets dédiés à la sécurité des systèmes d'information.
Ainsi, d'après le dernier rapport 50 ( * ) réalisé par le Club de la sécurité de l'informatique français (CLUSIF), consacré aux menaces informatiques, fondé sur une enquête auprès de 350 entreprises, près de 80 % des entreprises interrogées ne mesurent pas régulièrement leur niveau de sécurité lié à l'information, 46 % ne disposent pas d'un responsable de la sécurité des systèmes d'information et seulement 53 % d'entre-elles ont mis en place une cellule dédiée à la gestion des incidents de sécurité.
En particulier, les PME ne disposent souvent pas des ressources nécessaires pour investir dans la sécurité des systèmes d'information, ni de personnels formés et compétents dans ce domaine.
Or, face à l'espionnage informatique, la problématique de la sécurité des systèmes d'information des entreprises - et notamment de celles des secteurs jugés stratégiques - représente un enjeu majeur.
A l'image d'AREVA, un grand nombre d'entreprises françaises auraient été victimes ces dernières années de l'espionnage informatique. Ainsi, selon une étude de Symantec, fondée sur des enquêtes directes, 70 % des entreprises françaises auraient été victimes d'une attaque informatique en 2010, chiffre comparable à la moyenne mondiale mais à prendre toutefois avec précaution.
En effet, les responsables de ces entreprises ont toujours été d'une très grande discrétion, par crainte notamment de mettre en péril les résultats économiques, le cours en bourse ou encore l'image de leur entreprise.
Enfin, reste la question centrale des opérateurs d'importance vitale .
Il n'existe pas de définition communément admise au niveau international de ces opérateurs.
La Commission européenne propose la définition suivante 51 ( * ) : « les infrastructures critiques sont des installations physiques et des technologies de l'information, les réseaux, les services et les actifs qui, en cas d'arrêt ou de destruction, peuvent avoir de graves incidences sur la santé, la sécurité ou le bien-être économique des citoyens ou encore le travail des gouvernements des Etats membres. Les infrastructures critiques se trouvent dans de nombreux secteurs de l'économie, y compris le secteur bancaire et des finances, les transports et la distribution, l'énergie, les services de base, la santé, l'approvisionnement en denrées alimentaires et les communications, ainsi que certains services administratifs de base ».
Dans le cas de la France, douze secteurs d'importance vitale ont été identifiés, regroupant environ deux cents trente opérateurs ou entreprises, issus du secteur public ou du secteur privé.
Indispensables au bon fonctionnement du pays, les opérateurs d'importance vitale représentent aujourd'hui des cibles particulièrement vulnérables aux attaques informatiques.
Ainsi, la découverte du ver informatique STUXNET en juin 2010 a montré qu'un code informatique malveillant pouvait porter atteinte à des infrastructures critiques totalement isolées d'Internet.
Or, ces attaques, si elles devaient réussir, pourraient avoir des conséquences très graves.
Quel serait le moyen le plus simple de provoquer une perturbation majeure d'un pays ?
Un moyen très simple serait de s'en prendre à la distribution d'électricité, aux réseaux de transport ou bien encore aux hôpitaux. Déjà le ver informatique Conficker avait attiré l'attention sur la vulnérabilité de nombreux équipements biomédicaux installés dans les hôpitaux.
La principale difficulté tient cependant à la très grande diversité des opérateurs d'importance vitale.
On constate, en effet, de fortes différences entre les secteurs concernés, qu'il s'agisse de l'existence ou non d'une autorité de régulation, en termes de réglementation ou encore de relations avec la puissance publique.
Ainsi, dans certains secteurs, à l'image du secteur bancaire, de l'aviation civile ou encore de l'énergie nucléaire, les préoccupations de sécurité ne sont pas absentes et l'autorité de régulation joue un rôle important.
Mais il n'en va pas de même dans tous les secteurs.
Or, l'ANSSI n'a pas les moyens d'assurer la protection de tous les opérateurs d'importance vitale et il est donc indispensable d'encourager les opérateurs, sur une base sectorielle, à renforcer les mesures de protection de leurs systèmes d'information.
De nombreux pays, à l'image des Etats-Unis ou de l'Allemagne, ont fait de la protection des infrastructures d'importance vitale une priorité nationale.
A titre d'exemple, Israël a créé une agence spécialement dédiée à la protection des systèmes d'information d'opérateurs critiques (NISA), qui dispose de pouvoirs d'intervention étendus, qui vont de l'assistance lors de la conception des systèmes à la détection et au traitement des incidents, et d'effectifs importants, puisque cette agence compte environ 140 personnes. Une vingtaine de secteurs ont été identifiés et il existe des relations suivies avec chacun des opérateurs.
Or, dans ce domaine , la France accuse encore un réel retard par rapport à nos principaux alliés et partenaires.
Comme cela a été confirmé par l'ensemble de ses interlocuteurs, les échanges entre l'ANSSI et les opérateurs d'importance vitale sont très limités et on constate une méconnaissance réciproque.
Ensuite, en raison de leur diversité, la protection des systèmes d'information n'est clairement pas une priorité pour la plupart de ces opérateurs.
Surtout, la plupart des opérateurs d'importance vitale ne sont pas organisés pour répondre efficacement à un grave incident informatique et l'ANSSI n'a pas les moyens de faire face à une crise générale paralysant un secteur entier du pays.
Enfin, à la différence de certains pays comme le Royaume-Uni, la France ne dispose pas de capacités de protection et de systèmes permanents de détection des attaques informatiques à l'entrée des réseaux des opérateurs d'importance vitale .
De ce fait, l'Etat et les opérateurs eux-mêmes ignorent le plus souvent les attaques informatiques dont font l'objet les infrastructures vitales de notre pays.
Pour votre rapporteur, l'insuffisante sécurité des systèmes d'information des opérateurs d'importance vitale constitue aujourd'hui la principale lacune du dispositif français et un véritable « Talon d'Achille » .
Il est donc indispensable de faire de cette question une priorité nationale.
* 50 CLUSIF, les « Menaces Informatiques et Pratiques de Sécurité en France », édition 2012
* 51 Communication de la Commission européenne sur la « protection des infrastructures critiques dans le cadre de la lutte contre le terrorisme », d'octobre 2004