Allez au contenu, Allez à la navigation

La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?

10 juin 2021 : La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? ( rapport d'information )

B. DIFFUSER UNE CULTURE DE LA CYBERSÉCURITÉ DANS L'ENTREPRISE

Compte-tenu de la situation économique fragilisée des TPE et PME, les préconisations du CESIN imposant de nouvelles obligations aux entreprises n'ont pas été retenues198(*).

Même si l'objectif recherché ne peut que susciter une approbation de principe, rendre obligatoire d'employer un expert en cybersécurité (à partir d'un certain seuil), un diagnostic flash de cybersécurité ou une formation des dirigeants dans ce domaine (laquelle conditionnerait toute forme de subvention aux entreprises dans le domaine numérique), n'est ni opportun ni souhaitable dans la perspective de reprise de l'activité économique de ces entreprises.

D'autres moyens d'atteindre cet objectif doivent donc être trouvés.

1. Renforcer l'« hygiène numérique » dans les entreprises
a) Introduire un volet de cybersécurité dans toute formation au numérique

Le niveau général « d'hygiène numérique » doit s'élever pour réduire l'impact potentiel d'une attaque sur l'entreprise.

Le renforcement des compétences numériques des salariés doit être une priorité des entreprises, tant le développement du télétravail pendant le confinement a révélé certaines faiblesses.

Selon une étude récente199(*), 40 % des salariés ont amélioré leurs compétences numériques durant le confinement. Cet enjeu inquiète car il creuse les inégalités entre les salariés. En effet, 60 % des interrogés craignent que l'automatisation, de plus en plus performante, mette en danger leur emploi, et 39 % d'entre eux que leur poste soit obsolète d'ici 5 ans. Par ailleurs, si 46 % des personnes interrogées qui détiennent un diplôme d'études supérieures indiquent que leur employeur offre beaucoup de possibilités concernant la montée en compétences digitales, ils sont seulement 28 % pour ceux titulaires d'un diplôme de niveau scolaire.

Pour évaluer ces compétences, des entreprises proposent des outils comme le référentiel DiGiTT, développé par Alternative Digitale et élaboré en collaboration avec des laboratoires de recherche (LIST, CNAM), Cette certification DiGiTT est reconnue par l'État en étant enregistrée au Répertoire Spécifique de France Compétences. Valable trois ans, elle est éligible au Compte personnel de formation.

Un volet de cybersécurité doit être systématiquement intégré à la définition, par les opérateurs de compétence (OPCO), des formations proposées. L'article L.6332-1 du code du travail prévoit que les OPCO doivent : « assurer un service de proximité au bénéfice des très petites, petites et moyennes entreprises, permettant d'améliorer l'information et l'accès des salariés de ces entreprises à la formation professionnelle et d'accompagner ces entreprises dans l'analyse et la définition de leurs besoins en matière de formation professionnelle, notamment au regard des mutations économiques et techniques de leur secteur d'activité ». Cet article pourrait être complété en précisant explicitement que cet accompagnement aux mutations techniques intègre une formation au numérique et à la cybersécurité.

Par ailleurs, l'article L.6111-2 du code du travail précise le contenu de la formation professionnelle tout au long de la vie en mentionnant : « Les actions de lutte contre l'illettrisme et en faveur de l'apprentissage et de l'amélioration de la maîtrise de la langue française ainsi que des compétences numériques ». Cet article pourrait être complété afin de préciser que l'apprentissage des compétences numériques doit comprendre celle de la cybersécurité.

Deux amendements en ce sens ont été déposés par le Président de la Délégation aux entreprises et les rapporteurs de la présente mission dans le projet de loi portant lutte contre le dérèglement climatique et renforcement de la résilience face à ses effets, en cours d'examen au Sénat.

Cette mission pourrait être confiée aux CCI, dans le cadre de leur mission en faveur de la formation professionnelle - initiale ou continue - avec la formation aux enjeux environnementaux du numérique.

Proposition n°9 : Prévoir que les salariés doivent se voir proposer une formation professionnelle au numérique et à la cybersécurité.

b) Former davantage de professionnels de la cybersécurité

Selon le contrat stratégique de la filière « industries de sécurité » du 29 janvier 2020 : « la filière arrive aujourd'hui plus ou moins à trouver les ingénieurs pointus dont elle a besoin et le nombre de places en master semble maintenant suffisant ». En revanche, elle présente un déficit d'étudiants aux niveaux Bac et Bac +2.

L'un des objectifs de ce contrat est donc soit de créer de nouvelles formations courtes en cybersécurité (de niveaux 3, 4, 5 / BTS ou DUT Cyber) soit d'adapter les formations existantes (comme le BTS « Services informatiques aux organisations » précité) aux besoins des utilisateurs.

L'objectif est de former 4 000 « opérateurs cyber » en 3 ans sur les outils des éditeurs nationaux qui s'engagent à fournir les licences et les tutoriels nécessaires. À titre de comparaison, Israël forme plus de 5 000 nouveaux lycéens par an à la cybersécurité.

Une campagne massive de publicité sur les métiers de la cybersécurité devrait accompagner cet effort.

Proposition n°10 : Déployer une campagne massive présentant les métiers de la cybersécurité, cofinancée par l'État et les acteurs privés du secteur.

2. Développer une « hygiène de la cybersécurité » dans les entreprises
a) Intégrer la cybersécurité dans la gouvernance de l'entreprise

Toutes les entreprises, y compris les TPE et PM, doivent organiser leur gouvernance pour organiser leur cyberrésilience.

En effet, l'augmentation des cyberattaques dépasse le cadre de la responsabilité de l'expert et doit devenir un projet d'entreprise impliquant l'ensemble de ses parties prenantes, et tout particulièrement les ressources humaines. La cyberrésilience transforme le modèle expert en modèle de management du risque.

Dès lors, selon CCI France, le sujet de la cybersécurité nécessite, à la fois, « une adhésion de toutes les composantes de l'entreprise (directions, fonctions et collaborateurs) à la posture et à la stratégie adoptée en fonction de la cartographie des risques ; une prise en compte de l'écosystème (fournisseurs, clients et partenaires) dans cette gestion du risque et dans la construction d'une réponse pérenne ; et une gouvernance qui permet d'avoir des structures de décision agiles et réactives et de placer l'expertise de cyberprotection (RSSI) de façon appropriée dans l'organisation de l'entreprise »200(*). Cependant, comme le constate cette étude, cette prise de conscience des dirigeants des TPE et PME est rendue plus difficile pour ces entreprises qui « ne possèdent pas de Comex, voire de Direction des systèmes d'information (DSI) et encore moins de RSSI ».

C'est la raison pour laquelle, pour implémenter la cybersécurité dans les TPE et PME, la conviction et l'adhésion du dirigeant sont les seules voies d'accès.

b) Mieux identifier le cyberrisque

Pour le réseau CCI France : « les chefs d'entreprise considèrent le risque cyber comme un sujet technologique. Or, la plupart des cyberattaques provient des failles de la part des utilisateurs qui sont souvent considérés comme la « passoire » des hackers. Le risque cyber est donc un sujet humain ».

À ce titre, la gestion de la cybersécurité est de plus en plus considérée comme un indicateur de la bonne gouvernance de l'entreprise, et non plus uniquement comme un sujet technique relevant de la seule direction informatique.

Face à la multiplication des cyberattaques, et corrélativement, à l'augmentation des mesures de cybersécurité, le risque pour une entreprise à ne rien entreprendre de façon proactive et préventive dans ce domaine est de perdre son statut de victime au profit d'une accusation de négligence, qui contribuerait ainsi à la détérioration importante de son image.

C'est ainsi qu'avertissent deux experts201(*) : « Comme si les entreprises subissant une cyberattaque étaient encore vues comme des victimes ! Ce temps-là est révolu : leurs publics leur reprochent désormais un manque de préparation. Au-delà des pertes liées à l'arrêt de l'activité, d'autres dommages sont en effet à prendre en compte. C'est notamment l'image des sociétés victimes qui est souvent dégradée auprès des clients et partenaires à la suite d'une défaillance de sécurité. Une étude du cabinet PwC a d'ailleurs montré que 87 % des consommateurs sont prêts à rompre leur contrat avec une société qui affiche une faille informatique. Même si les entreprises ne peuvent se prémunir à 100 % contre les risques de cyberattaques, ne rien faire n'est pas une option ».

En raison de leur nombre, les TPE et PME ne pourront recevoir une aide et une protection publique comparable aux entreprises jugées d'importance vitale pour la vie économique de la Nation.

En raison de sa permanence, le cyberrisque doit être bien identifié et les PME comme les TPE doivent s'y préparer et s'organiser non seulement pour ne plus mettre en péril l'activité de l'entreprise mais aussi pour assurer la continuité d'activité, dans une logique de cyberrésilience.

La cyberprotection est de la responsabilité des entreprises. Elles peuvent toutefois être aidées par une certification et des experts.

c) Valoriser la certification en cybersécurité des entreprises

De plus en plus d'entreprises obtiennent et mettent en avant une certification de cybersécurité. Être certifié, c'est répondre à un cahier des charges donné par une norme établie par des organisations externes.

En matière de cybersécurité, les normes les plus connues de l'AFNOR202(*) sont :

· ISO 9001 : définit les critères d'un système de management en prônant une approche processus et l'amélioration continue ;

· ISO 27001 : mise en oeuvre d'un système de management de la sécurité de l'information ;

· ISO 27005 : gestion des risques dans le contexte de la sécurisation des systèmes d'information.

Hors obligation sectorielle ou légale (par exemple le référentiel PCI-DSS pour les acteurs de la chaîne monétique des cartes de paiement), une certification n'est pas obligatoire. Même si une entreprise peut mettre en place un Système de Management de la Sécurité de l'Information répondant partiellement aux exigences exprimées, que le coût de la certification est moins élevé que celui d'une cyberattaque, que certains appels d'offres exigent de telles certifications, que celles-ci favorise l'amélioration continue et développe une culture commune au sein de l'entreprise, la certification cybersécurité des entreprises n'est pas obligatoire.

Elle est cependant prise en considération de façon croissante par les parties prenantes de l'entreprise, comme les investisseurs, les agences de notation (l'agence de notation Fitch l'intègre dans son évaluation des banques) ou les assurances.

d) Consolider la certification ExpertCyber

Deux types de certification co-existent : l'une publique et nationale, en cours de déploiement, une autre privée et internationale.

En matière de certification privée, plusieurs normes américaines sont proposées et deux chefs de file sont reconnus à l'échelle mondiale dans le domaine de la certification en matière de cybersécurité : (ISC)² et ISACA.

En matière de certification publique, le paysage est plus simple puisqu'un label unique et public a été lancé en mai 2020, ExpertCyber, développé par Cybermalveillance.gouv.fr, en partenariat avec les principaux syndicats professionnels du secteur : Fédération EBEN, Cinov Numérique, Syntec Numérique), la Fédération Française de l'Assurance et le soutien de l' AFNOR.

Peuvent être éligibles à la labellisation, pour une durée de deux ans, les entreprises de service informatique de toute taille, justifiant d'une expertise en sécurité numérique, adressant une cible professionnelle et assurant des prestations d'installation, de maintenance et d'assistance. Ce label permet d'être référencé sur www.cybermalveillance.gouv.fr.

L'examen de la candidature vise à déterminer plusieurs aspects. Après les vérifications d'ordre général sur la protection des données, est examinée la façon dont travaille l'entreprise via une étude de ses rapports de réponse à incident. Le processus de candidature se penche également sur les profils des employés de la société, notamment via un questionnaire de compétences techniques sur les sujets de cybersécurité. Enfin, le dernier volet aborde la question du service client : la sensibilisation des clients à la cybersécurité en premier lieu, mais la transparence et la lisibilité des propositions commerciales seront aussi prises en compte.

Obtenir le label ExpertCyber permet au professionnel d'évaluer son expertise, ses bonnes pratiques et connaissances jugées nécessaires pour remplir ses missions auprès de ses clients. Il valorise son expertise, offre des garanties à ses clients, s'intègre dans une communauté d'experts.

Cette offre publique a comblé un vide qui doit profiter aux TPE et PME. Les visas de cybersécurité distribués par l'ANSSI ne s'adressaient qu'aux structures d'importance vitale. « Ces prestataires ne vont pas intervenir sur les incidents mineurs qui peuvent toucher les PME, TPE et petites collectivités », constatait Franck Giquel, responsable des partenariats de Cybermalveillance203(*), lequel a été missionné pour que les entreprises de toutes tailles puissent accéder à une aide adaptée. Ce label permet de trier parmi les 1 600 prestataires de proximité recensés sur le site Cybermalveillance qui jusqu'ici ne permettait que de présumer l'expertise en cybersécurité des entreprises.

Ce label doit également garantir une certaine qualité de l'accompagnement client, offrant aux assurances des listes d'acteurs de confiance capables de venir assister des TPE, PME ou petites collectivités, sur les questions de cybersécurité.

La construction d'une expertise de qualité est la condition pour rassurer les TPE et PME comme les assureurs. À terme, lorsque le label sera solidement installé, il est proposé qu'il devienne une condition de l'éligibilité au remboursement d'une cyberattaque par l'assurance.

Proposition n°11 : À terme, réserver l'éligibilité au remboursement d'une cyberattaque par les assurances aux entreprises ayant eu recours aux services des prestataires labellisés Expert Cyber.


* 198 Contribution écrite de mars 2021.

* 199 L'étude « Hopes and Fears », menée au mois de février dernier par le cabinet d'audit PwC regroupe les réponses de 32 500 salariés dans 19 pays différents dont la France.

* 200 « Pérenniser l'entreprise face au risque cyber : de la cybersécurité à la cyberrésilience », CCI France, mai 2020.

* 201 « Les entreprises démunies face à la multiplication des cyberattaques », La Tribune, 22 janvier 2020 Par Antoine Denry, directeur stratégie de H+K Strategies Paris, professeur au Celsa et à l'Université Panthéon-Sorbonne et Laurence Bault, directrice chez H+K Strategies Paris, et membre de l'AEGE, réseau d'experts en intelligence économique.

* 202 https://certification.afnor.org/thematique/numerique

* 203 « À quoi va servir Expert Cyber, le nouveau label du gouvernement ? », François Manens, Cyberguerre, 22 mai 2020.