Allez au contenu, Allez à la navigation

La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?

10 juin 2021 : La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? ( rapport d'information )

D. DÉVELOPPER DIX OUTILS DE CYBERSÉCURITÉ ADAPTÉS AUX TPE ET PME

1. Offrir des outils sécurisés : la security by design

De nombreux interlocuteurs ont rappelé que les fabricants de logiciels ne sécurisaient pas suffisamment leurs produits. Il conviendrait donc de renforcer la responsabilité des éditeurs de logiciels et des revendeurs sur le niveau de cybersécurité de leurs produits.

Ce point ne figure pas, hélas, dans la directive NIS 2231(*). La réponse à cette question rappelle la difficulté d'établir la responsabilité des hébergeurs pour les contenus232(*).

Dans ce sens, le rapport de la Cour des comptes, de février 2020, sur la lutte contre les contrefaçons suggère parallèlement de renforcer les obligations juridiques des plateformes du commerce en ligne afin de mieux lutter contre le commerce de contrefaçons.

a) 150 000 failles de sécurité recensées

Les failles de sécurité numérique sont recensées aux États-Unis dans un catalogue public répertoriant les vulnérabilités de sécurité233(*), le Common Vulnerabilities and Exposures ou CVE. Il est alimenté par l'organisation à but non lucratif MITRE, et soutenu par le département de la Sécurité intérieure des États-Unis. Il fournit la base de données nationale sur les vulnérabilités (NVD) du gouvernement américain. Elle compte actuellement plus de 150 000 entrées.

Un exemple bien connu de vulnérabilité de cybersécurité est la faiblesse Windows CVE-2017-0144 qui a ouvert la porte aux attaques de rançongiciel WannaCry via EternalBlue.

La base de données NVD recense une hausse des vulnérabilités : 18 362 en 2020, contre 17 382 en 2019 et 17 252 en 2018234(*). La moitié des vulnérabilités des applications Web internes sont considérées comme à haut risque. Elles peuvent être découvertes à tout moment alors qu'elles sont anciennes : la faille CVE-1999-0517235(*) découverte en 2020 datait de 1999.

Le principe semble même être que la majorité des applications présentent des failles de sécurité. Un rapport sur l'état de la sécurité logicielle, publié en octobre 2020236(*), a révélé que plus des trois quarts (75,2%) des applications présentaient des failles bien que seules 24% d'entre elles soient considérées comme présentant des défauts de gravité élevée.

Selon le rapport qui fait autorité, Edgescan's 2021 Vulnerability Statistics Report237(*), même le cloud n'est pas invulnérable. Début 2020, les chercheurs de Check Point CloudGuard, qui voulaient réfuter l'hypothèse selon laquelle les infrastructures cloud sont sécurisées, ont découvert et signalé des vulnérabilités critiques dans l'infrastructure Microsoft Azure.

Cependant, toutes les vulnérabilités ne mènent pas forcément à une cyberattaque. En effet, elles sont majoritairement rendues publiques et corrigées (full disclosure). Selon Orange Cyberdéfense238(*), moins de 5 % des vulnérabilités publiées disposent d'un code d'exploitation final, lequel permettrait d'exploiter la vulnérabilité et rendrait possible une attaque. Ainsi, la plupart des vulnérabilités ne sont pas exploitées.

Mais, malgré la publication des failles, les cyberattaques perdurent car les mises à jour ne sont pas effectuées. Selon le rapport sur la cybersécurité 2021 de Check Point239(*), 75 % des attaques ont profité de failles signalées en 2017 ou avant, et 18 % des attaques utilisaient des vulnérabilités qui ont été révélées en 2013 ou avant. 26 % des entreprises restent vulnérables au rançongiciel WannaCry car elles n'ont pas encore corrigé la vulnérabilité qu'il exploite240(*). Environ 25 % des failles sont toujours ouvertes un an et demi après leur découverte. Selon le Ponemon Institute : « 60 % des victimes de cyberattaque ont déclaré l'avoir été en raison d'une vulnérabilité connue mais non corrigée ». Cependant, une proportion encore plus élevée (62 %) a déclaré qu'elle n'était pas au courant des vulnérabilités de leur entreprise avant une violation.

Le temps de la correction des failles dépend du nombre d'analyses de cybersécurité : les entreprises qui effectuaient plus de 260 scans par jour ont corrigé 50% des défauts en 62 jours alors que ce délai a été porté à 217 jours pour les applications exécutant seulement 1 à 12 analyses par jour.

Lutter contre les failles et vulnérabilités des systèmes et des logiciels fait partie du quotidien des responsables informatiques. Il est nécessaire de se tenir informé des attaques en vogue et des failles découvertes.

Cependant, le nombre de failles de sécurité va croître de manière exponentielle avec l'Internet des objets (IoT). Pour une caméra de vidéosurveillance, il faut ainsi sécuriser à la fois l'objet connecté, mais également le protocole de communication avec lequel l'équipement échange sur le réseau et la cible d'enregistrement des images.

« La Security by Design est à la fois un objectif et une philosophie. Elle n'est pas inatteignable. Mais elle n'est pas non plus définitive. Il y a donc des méthodes pour s'approcher d'un optimum » estime Stéphane de Saint Albin, vice-président d'Hexatrust, l'association qui fédère des entreprises françaises spécialisées en cybersécurité241(*).

Deux initiatives pourraient toutefois renforcer la security by design : l'introduction d'une « garantie logicielle » d'une part, des « hackathon »242(*) rendant publics les failles de sécurité, d'autre part.

b) L'insuffisante garantie de mise à jour des logiciels de sécurité

Des avancées existent dans ce domaine mais elles ne concernent que les consommateurs et non les entreprises.

LA GARANTIE LOGICIELLE DE MISE À JOUR

La directive 2019/770/UE du 20 mai 2019 relative à la fourniture de contenus et services numériques et la directive 2019/771/UE du 20 mai 2019 concernant certains aspects des contrats de vente de biens prévoient désormais l'obligation pour le vendeur de fournir des mises à jour, y compris de sécurité, qui assurent le bon usage des produits pendant une période raisonnable.

Lors de la discussion de la loi n°2020-105 du 10 février 2020 relative à la lutte contre le gaspillage et à l'économie circulaire, le Sénat avait introduit la notion de « garantie logicielle » imposant aux fabricants de smartphones et de tablettes de proposer des mises à jour correctives du système d'exploitation, compatibles avec tous les modèles de leur gamme, jusqu'à dix ans après leur mise sur le marché.

Les députés ont sensiblement allégé cette disposition en la remplaçant par un dispositif d'information. Le producteur doit d'abord informer le vendeur de la durée au cours de laquelle les mises à jour des logiciels restent compatibles avec un usage normal de l'appareil, c'est-à-dire un usage qui « [réponde] aux attentes légitimes du consommateur ». Ensuite, le vendeur « met ces informations à disposition du consommateur ». En séance, les députés ont ajouté une information sur les mises à jour nécessaires au maintien de la conformité des biens comportant des éléments numériques. Le vendeur doit informer le consommateur des modalités d'installation de ces mises à jour « de façon suffisamment claire et précise ». Le consommateur peut les refuser. Le vendeur doit alors expliquer les conséquences de ce refus pour être déchargé de sa responsabilité en cas de défaut de conformité lié à la non-installation des mises à jour. Ces dispositions sont complétées par une obligation de fourniture des mises à jour dans un délai raisonnable. Ce délai « ne peut être inférieur à deux ans ».

La directive 2019/770/UE du 20 mai 2019 a été transposée par la loi n°2020-1508 du 3 décembre 2020, portant diverses dispositions d'adaptation au droit de l'Union européenne en matière économique et financière. L'article 1er révise certaines modalités de la garantie légale de conformité des biens et instaure une garantie analogue pour les produits numériques.

La durée de la garantie légale de conformité sera fixée à deux ans pour les biens comportant des éléments numériques. Elle pourra être supérieure à deux ans lorsque le contrat prévoit la fourniture de contenus ou de services numériques pendant une période supérieure à deux ans. Pendant ce délai, le consommateur aura droit à la réparation ou au remplacement du bien (ou à la mise en conformité du contenu/service numérique) et ce, sans frais, sans inconvénient majeur et dans un délai raisonnable ne pouvant dépasser 30 jours. À défaut, il pourra obtenir une réduction du prix ou la résolution du contrat.

Elle prévoit certaines obligations spécifiques aux éléments numériques qu'ils fassent l'objet d'un contrat de fourniture ou qu'ils relèvent des caractéristiques essentielles d'un bien connecté. Il s'agit en particulier du droit à recevoir des mises à jour nécessaires au maintien de la conformité, du droit de refuser les éventuelles modifications (upgrades) intervenant après la fourniture ou encore du droit de récupérer les contenus utilisés en cas de résolution du contrat.

Les sanctions en cas de non- respect de ces modalités sont renforcées.

Toutefois, ces garanties ne concernent pas les entreprises, mais seulement les consommateurs personnes physiques, dans la mesure où il agit à des fins qui n'entrent pas dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole (selon l'article liminaire du code de la consommation).

La proposition de loi sénatoriale visant à réduire l'empreinte environnementale du numérique en France, n 27, du 12 octobre 2020, adoptée par le Sénat le 12 janvier 2021 est en cours d'examen à l'Assemblée nationale.

Son article 8 complète la transposition de la directive 2019/770/UE. Le Sénat avait imposé que le vendeur veille à fournir les mises à jour, y compris des celles de sécurité, non nécessaires à la conformité du bien séparément des mises à jour nécessaires à la conformité du bien, de façon à permettre au consommateur, s'il le souhaite, de n'installer que les mises à jour nécessaires à la conformité du bien. La version adoptée en commission du développement durable et de l'aménagement du territoire243(*) est moins exigeante. Elle prévoit que le vendeur ne pouvant être seul responsable de la fourniture des mises à jour logicielles, celui-ci doit veiller à ce que le consommateur soit informé et reçoive les mises à jour non nécessaires à la conformité du bien séparément des mises à jour nécessaires à la conformité du bien.

Le vendeur aurait une obligation d'information et de vérification de la bonne réception des mises à jour, et non de fourniture de ces mises à jour.

Une adaptation, pour les entreprises, de cette garantie logicielle serait opportune.

Dans cet objectif de renforcement de la sécurité par défaut, 16 grandes entreprises mondiales ont signé la « Charter of Trust »244(*), laquelle fournit à ses membres une vision harmonisée de la sécurité tout au long de la chaîne d'approvisionnement numérique et a défini 12 exigences minimales concernant la cybersécurité des chaînes d'approvisionnement.

c) Rendre publiques les failles de sécurité avec le hacking éthique

Ces failles de sécurité sont tellement nombreuses que les principales entreprises du numérique rémunèrent ceux qui les détectent :

- Le programme de récompense de vulnérabilité de Google a versé 6,7 millions de dollars en récompenses en 2020 et 28 millions de dollars depuis 2010. 662 chercheurs de 62 pays ont reçu des primes en 2020, la plus grande récompense s'élevant à 132 500 dollars.

- Microsoft a indiqué en août 2020 qu'elle avait payé 13,7 millions de dollars en primes de bogues au cours des 12 derniers mois, soit plus du double du montant que Google a payé en 2019. Au total, 327 chercheurs ont reçu un prix, le plus important s'élevant à 200 000 dollars.

- Facebook indiquait en novembre 2020 que depuis le lancement de son programme en 2011, la société a reçu plus de 13 000 rapports et attribué 6 900 primes, celles de 2020 totalisant près de 2 millions de dollars. Environ 17 000 rapports ont été reçus et plus de 1 000 primes ont été attribuées. Sa prime la plus élevée à ce jour est de 80 000 dollars.

Ce « piratage éthique »245(*) a été légalisé en France par la loi du 7 octobre 2016 pour une République numérique. Elle a introduit dans le code de la défense un article L2321-4246(*), visant à sécuriser ceux qui signalent une faille informatique découverte par leurs soins. Cependant, cette protection des lanceurs d'alerte en cybersécurité n'est pas totale, comme l'a montré le licenciement « pour faute grave » d'un employé de Dedalus France - « leader européen en matière de solutions logicielles de Santé » - qui avait alerté les autorités pour faire colmater une faille importante en urgence au sein de l'AP-HP, victime d'une cyberattaque247(*).

Il existe même une certification en hacking éthique248(*) décernée par le EC-Council américain.

Afin de sensibiliser les éditeurs de logiciels au renforcement de la security by design, un hackathon de la cybersécurité pourrait être organisé par l'ANSSI, qui rendrait ainsi publiques les failles de sécurité, notamment pour les logiciels entrant sur le marché.

Un hackathon désigne un rassemblement d'informaticiens durant plusieurs jours en vue de collaborer sur des sujets de programmation informatique pointus et innovants. Il serait entièrement dédié à la cybersécurité des entreprises (mais pourrait être ultérieurement décliné pour les établissements de santé et collectivités locales), organisé annuellement, et les vainqueurs verraient leurs investigations récompensées par une certification renforcée de « Cyber Expert ».

Cet évènement pourrait être organisé tous les 30 novembre249(*), qui est, depuis 1988, la journée mondiale de la cybersécurité250(*).

Proposition n°13 : Afin de renforcer la security by design :

- étudier l'extension aux entreprises de la « garantie logicielle » concernant les mises à jour de sécurité ;

- organiser, avec le support de l'ANSSI, un « hackathon de la cybersécurité » des entreprises, lors de la journée mondiale de la cybersécurité, le 30 novembre.

2. Développer l'accompagnement des dirigeants de PME à la cybersécurité

Les organisations professionnelles, comme la CPME, les réseaux professionnels, tel CCI France, ou Bpifrance, qui peut financer jusqu'à 50 % d'une mission d'audit de cybersécurité pendant 10 jours, accompagnent déjà les dirigeants de PME pour les sensibiliser à cet enjeu.

Les experts-comptables et les commissaires aux comptes (CAC) sont de plus en plus sensibilisés au rôle primordial d'alerte qu'ils doivent tenir en matière de lutte contre la cybercriminalité251(*). Après les directions des systèmes d'information, ils représentent les premières vigies face aux cyberattaques subies par leurs clients. Ils jouent un rôle essentiel d'alerte et de conseil par un regard extérieur dans la prévention à la cybersécurité.

Cette obligation professionnelle résulte à la fois :

- de la norme d'exercice professionnel (NEP) 240252(*), qui demande au commissaire aux comptes d'être acteur dans la détection de fraude interne ou externe (conformément à cette obligation de moyen, le commissaire aux comptes doit tout mettre en oeuvre pour s'assurer qu'il n'y a pas de fraudes avérées) ;

- de la NEP 570253(*), qui lui confie un rôle d'alerte en cas de menace pour la continuité d'exploitation de l'entreprise auditée ;

- l'audit légal des petites entreprises (ALPE), qui comprend un rapport sur les risques financiers, comptables et de gestion dans lequel figure une appréciation des risques de cybersécurité en application de la NEP 911254(*).

En tant que principaux partenaires de l'entreprise, ils n'abordent pas la cybersécurité comme un sujet de technique informatique, mais sous l'angle du management du risque, donc de gouvernance et de protection du bilan de l'entreprise. En cas de cyberattaque, le commissaire aux comptes peut ainsi réaliser également une analyse critique de la procédure de sauvegarde et suivre son incidence sur les comptes de l'entité, ou encore s'assurer du suivi correct de l'après-attaque.

Le champ de conseil au numérique des experts-comptables a été étendu par la loi PACTE du 22 mai 2019, dans toutes les entreprises y compris celles qui n'ont pas l'obligation de faire certifier les comptes, en se faisant assister par des cyberexperts.

Après une campagne de sensibilisation des PME, la Compagnie nationale des commissaires aux comptes a présenté en février 2019, l'outil « CyberAUDIT », afin de favoriser l'intervention des commissaires aux comptes dans les entreprises en matière de cybersécurité.

Le rôle des deux professions n'est cependant pas simple à distinguer en matière de cybersécurité. Dans un entretien récent255(*), M. Jean Bouquot, alors président de la Compagnie nationale des commissaires aux comptes (CNCC) indiquait : « En matière de cybersécurité, de certification d'une situation financière ou de critères extra-financiers, nous retrouvons potentiellement l'expert-comptable dans des missions proches. Pour bien distinguer les deux, il faut comprendre que dès lors qu'il s'agit d'auditer une situation financière par exemple, c'est le commissaire aux comptes qui intervient. Dès lors qu'il y a une dimension de conseil ou une dimension de construction de la situation financière, par exemple, la mission est en principe celle de l'expert-comptable ».

Comme la loi le permet désormais, et comme le rapport de l'Institut Montaigne de 2018 le préconise256(*), les réseaux des métiers du chiffre (experts-comptables et commissaires aux comptes) doivent être mobilisés pour réaliser un diagnostic cybersécurité annuel, avec un cahier des charges construit avec les autorités publiques, qui doit être communiqué directement aux dirigeants à titre d'information avec les recommandations de base pour couvrir les risques. Ce référentiel indicatif renforcerait la culture de la cybersécurité dans l'entreprise, en sensibilisant les dirigeants de PME, et de l'entreprise, en valorisant celles qui ont un niveau satisfaisant. Il permettrait également de mieux identifier le commissaire aux comptes comme acteur de l'audit du cyberrisque. Ce dernier est souvent le meilleur allié du RSSI dans l'entreprise, en convainquant le chef d'entreprise de la nécessité de consacrer des moyens financiers appropriés à la cybersécurité.

Cela implique d'augmenter le niveau de compétence des métiers du chiffre sur la cybersécurité et de faire primer le rôle d'alerte et de sensibilisation sur une expertise technique en matière de cybersécurité.

Proposition n°14 : Construire un référentiel accessible aux TPE et PME pour renforcer la certification en matière de cybersécurité.

3. Sensibiliser les TPE et PME à la responsabilité en cascade

Le fait que les TPE et PME puissent constituer une porte d'entrée dans les systèmes d'information des ETI ou grandes entreprises dont elles sont sous-traitantes, doit les inciter puissamment à s'investir dans la cybersécurité.

Si elles ne le font pas, l'omission dans la mise en place de mesures de sécurité suffisantes pourrait caractériser une faute par abstention susceptible d'engager la responsabilité civile de l'entreprise ou de son dirigeant, sur le fondement de l'article 1383 du code civil, qui énonce que « chacun est responsable du dommage qu'il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence ». L'entreprise qui n'aura pas pris des mesures de sécurité raisonnables pour protéger son serveur contre une infection informatique virale sera de toute évidence négligente au sens de cette disposition.

Outre cette règle générale, la loi la n°2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre impose aux grandes entreprises un contrôle des sous-traitants notamment en matière de cyberrisque, par l'intermédiaire du plan de vigilance. Celui-ci doit identifier les risques et prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes, résultant des activités « des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie »257(*), la sous-traitance étant définie comme l'exercice d'une influence dominante sur une entreprise en vertu d'un contrat ou de clause statutaire.

Ainsi, les TPE et PME peuvent être la cible d'attaques par rebond et être tenues responsables des dommages causés à des tiers tout en étant elles-mêmes victimes, lorsque l'entreprise dont le réseau est interconnecté avec un sous-traitant afin de permettre des opérations à distance.

Peuvent être personnellement reprochés au dirigeant d'une entreprise la négligence ou l'insuffisante préparation, un manquement à l'obligation d'assurer la sécurité des données ou un défaut de notification de la violation de données aux autorités de contrôle et aux personnes concernées. Les dirigeants de TPE et PME ne peuvent souvent pas déléguer cette compétence, faute de collaborateurs disposant de l'expertise nécessaire. Leur assurance responsabilité civile peut parfois ne pas suffire.

La cybersécurité est donc aussi et de plus en plus un risque juridique258(*).

Pour les directions juridiques des entreprises, seule la conformité juridique (74 %) dépasse désormais la cybersécurité et la confidentialité des données (46 %), suivies par l'éthique de l'entreprise, l'évaluation des risques et les fonctions liées aux affaires gouvernementales, dans l'ordre des priorités juridiques259(*).

« Cette menace devrait se traduire par un intérêt accru pour les assurances cyber et pour la responsabilité des dirigeants des entreprises visées par ce nouveau régime » estime l'étude de janvier 2018 « Assurer le risque cyber » du Club des Juristes.

Proposition n°15 : Sensibiliser les dirigeants des PME sur leur responsabilité personnelle en cas de cyberattaque de la chaîne d'approvisionnement dont ils sont partie prenante.

4. Utiliser l'assurance pour inciter les entreprises à se cybersécuriser

Le marché de la cyberassurance n'est pour le moment pas mûr.

Jusqu'à présent, le marché de l'assurance peut répondre aux besoins des assurés sans qu'il ait besoin d'un système de co-réassurance.

Cependant, comme l'avertit la Fédération française de l'assurance : « Lors du renouvellement des contrats des grandes entreprises au 1er janvier 2021 des problèmes de capacités ont pu apparaitre. Cela s'explique notamment par des facteurs exogènes au marché de l'assurance cyber. Après une période de 15 ans de marché favorable aux assurés, le marché des risques d'entreprises connait depuis 18 mois un resserrement fort de ces conditions de souscription tant en termes de franchises, de capacités et de tarification. La couverture des risques cyber connait cette même évolution, d'où des difficultés de placement de cette couverture sur certains grands comptes. Des facteurs inhérents à ce marché expliquent également ce durcissement des conditions de souscription. L'accélération des attaques cyber favorisée par le confinement (télétravail, e-commerce) mais également la plus forte sensibilité au risque systémique en raison de la crise sanitaire et son impact sur les pertes d'exploitation sans dommage direct ont entrainé une revue des contrats d'assurance»260(*).

Si le contrat stratégique de la filière « industries de sécurité » du 29 janvier 2020 évoque : « une couverture assurantielle du Risque IT pour tous, qui viendrait financer les dommages et la remédiation en cas d'incident. Pour explorer cette piste, l'État pourrait réunir les assureurs pour réfléchir à la création d'un tel fonds », une couverture assurantielle obligatoire des entreprises concernées par une cyber-attaque serait contre-productive car elle entrainerait une déresponsabilisation des entreprises face au cyberrisque.

Comme, on l'a vu, le niveau d'exigence en matière prévention cyber est loin d'être acquis pour de nombreuses entreprises. Rendre obligatoire une assurance entrainerait un surcoût parfois excessif pour des TPE et PME, de plus, dans un temps réduit et alors que l'exposition à des attaques n'est pas forcément élevée.

Pour la Fédération française des assureurs, une telle assurance obligatoire serait « un carcan à la liberté contractuelle qui ne serait pas adaptée à l'hétérogénéité du cyberrisque » et pourrait entrainer la sortie de ce marché d'assureurs alors qu'il est nécessaire de les y maintenir, voire de les y attirer.

L'incitation fiscale serait plus adaptée avec un mécanisme de déduction fiscale réservée aux TPE et PME pour mieux se prémunir du cyberrisque.

En janvier 2019, une enquête de la CPME ne recensait que 17 % d'entreprises de moins de 50 salariés assurées contre les attaques informatiques. La CPME souligne pourtant que l'assurance « pourrait constituer un bon moyen de prévention si les cyberassureurs n'assuraient pas le paiement de rançongiciels dans leur cadre contractuel »261(*). Il faut utiliser l'outil assurantiel pour inciter les entreprises et notamment les TPE et PME à adopter des solutions de cybersécurité, ce qui suppose de réunir trois conditions :

- Une meilleure compréhension du risque, donc la connaissance la plus exhaustive possible des sinistres (cf proposition n°2) ;

- L'utilisation de logiciels et d'experts en cybersécurité certifiés, afin de promouvoir le label ExpertCyber ;

- La création d'une agence de cybernotation européenne, ou française, utilisant les référentiels de l'ANSSI (ou de l'ENISA), afin de se dégager d'un marché de la notation financière américanisé.

Proposition n°16 : Affermir le marché de l'assurance en matière de cybersécurité par :

- une meilleure compréhension du risque, en ayant la connaissance la plus exhaustive possible des sinistres ;

- l'utilisation de logiciels et d'experts en cybersécurité certifiés, afin de promouvoir le label ExpertCyber ;

- la création d'une agence de cybernotation européenne, utilisant les référentiels de l'Agence européenne chargée de la sécurité des réseaux et de l'information -ENISA-, ou française, utilisant ceux de l'ANSSI.

5. Mutualiser l'expertise en cybersécurité avec des tiers de confiance

La mutualisation de l'expertise est la réponse à la course de vitesse engagée entre, d'une part, la croissance exponentielle des cyberattaques, et, d'autre part, la formation à la cybersécurité. L'ambition de passer de 37 000 à 75 000 emplois dans la filière dans les cinq ans pour pouvoir contrer les cybermenaces comme le développement d'une filière française de cybersécurité, une « base industrielle et technologique de cyberdéfense », risquent en effet de ne pas suffire.

Pour les TPE et PME, la mise en réseau des RSSI est recommandée par CCI France.

Elle l'est également par l'ANSSI, pour les communes, dans le guide que l'agence a publié récemment avec le concours de l'AMF en novembre 2020262(*).

De multiples services de cybersécurité peuvent être externalisés et mutualisés, depuis l'analyse des vulnérabilités, la surveillance des menaces, la gestion et le support des équipements de sécurité et, plus récemment, les solutions d'EDR (Endpoint Detection & Response)263(*).

Cette mutualisation peut s'opérer dans le cadre des groupements d'employeurs, dont la base juridique est le titre III de la loi n° 2011-893 du 28 juillet 2011 pour le développement de l'alternance et la sécurisation des parcours professionnels.

Les groupements d'employeurs prennent la forme d'une association ou d'une société coopérative qui ne poursuit aucun bénéfice commercial mais a comme objectifs, d'une part, de recruter des salariés pour les mettre à disposition des entreprises adhérentes, sans que celles-ci supportent la charge d'un emploi permanent, et d'autre part, d'apporter aide et conseils aux entreprises adhérentes en matière de gestion des ressources humaines.

Le groupement est l'employeur unique des salariés. Il s'assure du paiement des salaires et des charges. Ensuite, il re-facture la rémunération des salariés aux entreprises, majorée d'un montant destiné à couvrir ses frais de fonctionnement.

Le groupement d'entreprises bénéficie des aides publiques en matière d'emploi et de formation professionnelle dont auraient profité ses entreprises adhérentes si elles avaient embauché directement les personnes mises à leur disposition.

Une telle entité regrouperait des entreprises partageant le même « paysage numérique », c'est-à-dire dont les systèmes de sécurité informatiques sont proches.

Cependant, les données à cybersécuriser étant extrêmement confidentielles, les experts concernés devront faire preuve d'une déontologie renforcée. Ils pourraient avoir le statut de tiers de confiance afin de garantir l'interopérabilité de la cybersécurité qu'ils assurent auprès d'une entreprise avec les autres tiers de confiance numérique afin de garantir la capacité de continuité et de réversibilité de service au-delà de leur intervention.

Ces obligations juridiques pourraient être définies, au-delà de la matière fiscale264(*), en associant à sa définition la Fédération nationale des tiers de confiance du numérique265(*).

Proposition n°17 : Faciliter la mise en réseau des responsables de sécurité des services informatiques (RSSI) pour les PME par la constitution de groupements d'employeurs, ayant un statut de tiers de confiance.

6. Simplifier l'offre destinée aux PME et TPE

Face aux cyberrisques, les entreprises ont du mal à gérer leur propre complexité et celle des solutions de cybersércurité.

Pour la complexité interne, il leur est conseillé de dresser régulièrement un inventaire de leurs systèmes en place, supprimer les outils en double et remplacer les solutions autonomes par des applications inter-systèmes afin que les équipes informatiques puissent bénéficier d'une vue d'ensemble des vulnérabilités de l'infrastructure IT leur permettant de simplifier la gestion des risques. En découle généralement une réduction des coûts, puisqu'une solution unifiée est souvent moins chère qu'un ensemble de technologies en silo dotées de fonctionnalités trop nombreuses ou redondantes. « Pour relever ces défis, les entreprises doivent rationaliser l'administration de leurs règles de sécurité. La meilleure approche consiste à recourir à une solution de gestion centralisée des règles, capable d'offrir à l'équipe IT une parfaite visibilité et un meilleur contrôle sur l'ensemble du réseau et de lui signaler automatiquement toute infraction, allégeant considérablement sa charge de travail », estime un expert266(*)

Voici ce que recommande l'ANSSI : « lors de la conception, les interfaces et la complexité du système devraient être limitées au maximum afin de limiter l'introduction de vulnérabilités lors de l'implémentation »267(*).

L'automatisation des réponses, notamment grâce au recours à l'IA, pour contrer les cyberattaques est la réponse à l'augmentation exponentielle de leur volume. En 2017, 11 % des entreprises subissaient plus de 100 000 alertes quotidiennes. Elles étaient 17 % en 2020.

Pour la complexité externe, si les entreprises investissent davantage dans la cybersécurité, le risque est d'acquérir un trop grand nombre d'outils, ce qui réduit l'efficacité de la sécurité de leur système d'information.

Le recours au multicloud, qui domine désormais, complique la cybersécurité car les données et applications sont désormais basées sur différentes plateformes, data centers et zones, dans un vaste choix de langues, cadres et systèmes de stockage par le biais de différentes techniques268(*).

Selon une étude269(*), 86 % des entreprises utilisent jusqu'à une vingtaine de solutions de sécurité et 20 % (+8 points depuis 2017) estiment cette multiplicité comme une grande difficulté.

Selon d'autres études, les organisations déploient en moyenne entre 45 outils de cybersécurité pour protéger leurs réseaux et systèmes d'information270(*) et plus de 50 solutions (pour 78 % des entreprises), voire plus de 100 (pour 37 %)271(*) !

Or, cette multiplication d'outils affaiblit la cyber-résilience. Ainsi, l'opportunité de détecter des cyberattaques baisserait de 8 %, et celle d'y répondre de 7 %, chez les organisations qui s'appuient sur plus de 50 outils, par rapport à celles qui utilisent une quantité plus modérée de solutions et services dédiés à la sécurité informatique.

Comme l'estime la Plateforme RSE dans son étude de 2020 sur la responsabilité numérique des entreprises, cette « dispersion des technologies n'est pas sans risque ». Comme 80 % des entreprises ont fait appel en 2019 à plusieurs fournisseurs de protection des données, elles « risquent de connaitre 5 fois plus de coûts engendrés par des pertes de données, 2 fois plus de coûts engendrés par des temps d'immobilisation de leurs données et elles sont 1,7 fois plus susceptibles d'avoir des difficultés à récupérer leurs données après une cyberattaque que celles qui utilisent un seul fournisseur ».

Un cabinet d'experts272(*) prodigue certains conseils pour atténuer ce risque :

- « Une entreprise de cybersécurité pourrait vous bluffer avec des termes très techniques et une campagne marketing impressionnante, mais examinez les tests indépendants ;

- Une entreprise qui se contente d'installer des logiciels et que vous ne revoyez plus par la suite ne répond certainement pas à vos besoins ;

- Une société qui prétend être spécialisée dans un domaine, sans offrir d'autres produits complémentaires ou une assistance, ne peut pas fournir la protection qui vous convient ;

- En cas de menace détectée ou de difficulté à sauvegarder vos fichiers, il faut une entreprise capable d'offrir une assistance irréprochable, qui aide à appréhender les menaces, à trouver des solutions et à simplifier la cybersécurité ;

- Ciblez les entreprises qui offrent une gamme complète de solutions de sécurité, notamment celles dont vous pourriez avoir besoin à l'avenir ».

D'autres prônent une solution globale. Ainsi, le rapport précité de l'Institut Montaigne de novembre 2018 recommande : « la création et à la souscription d'offres cybersécurité pour les TPE/PME/ETI, en particulier des offres de connectivité réseau intégrant par défaut des mesures de sécurité de base (nettoyage du trafic), des offres d'applications métier (ex. ERP) sécurisées par défaut et des offres de cyberassurance, incluant des services en cas d'incidents ».

Proposition n°18 : Développer l'offre d'un « package » simplifié de solutions de cybersécurité aux TPE et PME.

7. Rétablir l'égalité des relations contractuelles dans le cloud au profit des PME
a) L'inaccessible preuve de la faute

La responsabilité pour faute est inaccessible au client d'un contrat de service de cyberprotection en ligne, qui est un contrat avec obligation de moyens, car il ne peut rapporter la faute du fournisseur de service de sécurité en ligne.

Pour des prestations exécutées à distance, il est impossible au client de scruter le comportement des agents du fournisseur pour s'assurer de leur diligence et de leur compétence. Les traces techniques pouvant aider à prouver la faute du fournisseur ne sont pas accessibles au client. Quand bien même elles le seraient, la technicité requise pour les expertiser est hors de portée du client. Il n'existe pas, dans le secteur informatique, de référentiels de bonnes pratiques à l'instar des documents techniques unifiés (DTU) du BTP permettant de définir des comportements professionnels-types.

Lorsque ce client est une TPE ou PME « profane », pour lequel le contrat n'entre pas dans le champ de son activité principale (par exemple un bijoutier qui achète un service de comptabilité en ligne), la mise en oeuvre de cette responsabilité est impossible.

b) Des propositions multiples mais parfois peu réalistes.

Dans ce contexte, un rapport du Conseil général de l'économie, de l'industrie, de l'énergie et des technologies sur « La responsabilité des fournisseurs de systèmes numériques », de juin 2020, préconise d'instaurer, par la loi :

- soit des obligations accessoires aux contrats de service en ligne, à l'instar des 18 « régimes spécifiques des contrats ayant un objet particulier » que le code de commerce a institué273(*),

- soit un régime de responsabilité sans faute, à l'instar du régime de responsabilité légale du fait des produits défectueux, des dommages causés par les fuites ou rejets d'hydrocarbures, ou des dommages causés par l'énergie nucléaire.

Il propose également :

- de faire bénéficier les « petites entreprises » d'une protection contre les clauses abusives dès lors que le professionnel est profane, c'est-à-dire que le contrat (de cyberprotection) n'entre pas dans le champ de son activité principale ;

- d'exiger, dans les clauses des contrats de cybersécurité dans le cloud, l'expression « en droit local » afin de ne pas « introduire toute une série d'exclusions limitant sa responsabilité ou le droit à indemnisation du cocontractant, même lorsque le droit français, par exemple, interdit une telle exclusion, sans que cette rédaction soit pour autant contestable devant un tribunal » ;

- d'imposer une sécurité par défaut dans la mise en oeuvre de tout produit ou service numérique, afin de proposer une protection efficace et automatique « dès la mise en marche du produit ou à la première connexion » ;

- d'instaurer la gratuité des mises à jour de sécurité, même en l'absence d'abonnement aux évolutions fonctionnelles du produit ou du service numérique ;

- d'instaurer l'obligation de fournir les mises à jour de sécurité, pendant 5, voire 10 ans après la fin de commercialisation du produit numérique.

Afin de ré-équilibrer les relations entre clients (particuliers ou professionnels) et fournisseurs de services en ligne et pour une réparation plus facile des dommages rencontrés dans l'usage de ces services, deux pistes pourraient être envisagées :

- instaurer par la loi des obligations accessoires aux contrats de service en ligne et comporter un accord sur les niveaux de service (SLA) pour la disponibilité du service et le délai maximum de réponse à une sollicitation du support client. La modification substantielle d'une fonctionnalité ou sa disparition doivent être annoncées avec un délai suffisant pour permettre au client la mise en place d'une solution de contournement économiquement acceptable ;

- instaurer une responsabilité sans faute du fournisseur dans les contrats de service en ligne. Cette obligation pourrait n'être applicable qu'à des fournisseurs présentant une surface financière suffisante et un délai de prescription (6 mois par exemple) pourrait être défini au-delà duquel la recherche de responsabilité du fournisseur n'est plus possible afin de faciliter l'assurabilité du risque.

Cependant, imposer une obligation de résultat à la fourniture d'un service de cybersécurité n'est pas réaliste. La cyberprotection absolue n'existe pas. Par ailleurs, elle peut démotiver les efforts de l'entreprise d'implanter une culture de cybersécurité et faciliter son externalisation illusoire.

c) Étendre le champ de protection du Code de la consommation

Pour la Fédération française des assurances, créer une obligation de résultat rendrait la mise en jeu de la responsabilité quasi-automatique et « dans le contexte très spécifique des attaques malveillantes, les entreprises victimes d'une cyberattaque deviennent dès lors automatiquement responsables des conséquences dommageables de cette attaque. (...) L'avantage de l'obligation de moyens est notamment d'apprécier les mesures de prévention mises en oeuvre par l'entreprise plutôt que de créer une responsabilité automatique qui in fine pourrait s'avérer plus déresponsabilisant en termes de cybersécurité. Modifier le régime de responsabilité civile aurait également pour conséquence de créer des distorsions de concurrence entre acteurs français et acteurs étrangers relevant d'une autre législation, freinant le développement de l'innovation en France »274(*).

En revanche, comme les TPE et PME doivent être considérées comme de petits professionnels profanes dès lors que le numérique n'entre pas dans le champ de leur activité principale275(*), la protection de l'article L.212-1 du Code de la consommation sur les clauses abusives276(*) devrait leur être accordée en matière de cybersécurité. Le seuil de cet article, fixé à cinq, pourrait être relevé afin de mieux protéger les PME.

En invoquant ce dispositif, la TPE ou PME n'aurait pas à prouver le caractère abusif de la clause litigieuse, contrairement au droit commun de l'article 1171 du code civil277(*).

Cette proposition rejoint les objectifs de la directive 2018/197265 du 11 décembre 2018 établissant le code des communications électroniques européen, qui étend aux microentreprises, aux petites entreprises et aux organisations à but non lucratif le bénéfice de certaines dispositions prévues pour les consommateurs (sur les modalités de l'information contractuelle, sur la durée maximale des contrats et sur les offres groupées). Ces entités sont en effet considérées comme étant dans une situation comparable à celle des consommateurs en termes de pouvoir de négociation.

Proposition n°19 : Accorder aux TPE et PME, dont le champ de l'activité principale n'est pas le numérique, la protection de l'article L212-1 du Code de la consommation sur les clauses abusives pour les contrats conclus en matière de cybersécurité.

8. Assurer la cybersécurité à l'entrée du cloud et mieux en prendre en considération les PME dans les normes de cybersécurité du cloud

En Grande-Bretagne, Amazon Web Services (AWS) propose un dispositif qui configure l'environnement cloud aux normes de sécurité publiques.

Ce « Quick Start » configure un environnement cloud Amazon Web Services (AWS) qui se conforme aux « Principes de sécurité dans le cloud » du National Cyber Security Centre (NCSC) et aux contrôles de sécurité critique du Center for Internet Security (CIS).

Le modèle Quick Start configure automatiquement les ressources AWS et déploie une application Web multiniveau basée sur Linux. Il n'y a pas besoin, pour l'entreprise utilisatrice, d'appliquer un référentiel complexe. La matrice des contrôles de sécurité de Quick Start est complétée par un audit permanent de cybersécurité également automatisé (AWS Config).

Un tel schéma a été déployé également aux États-Unis, en Espagne, Canada, Suède, Inde, Corée du Sud et Singapour.

Lors de son audition278(*), M. Julien Grouès, directeur général d'Amazon Web Services (AWS) France, a indiqué la disponibilité de l'opérateur privé pour élaborer, avec l'ANSSI, le même dispositif en France, lequel « apporterait aux TPE et PME une grande facilité d'usage en les exonérant de l'obligation de s'assurer si leur entrée dans le cloud répond aux spécificités de cybersécurité publique » Ce transfert de sécurité serait un modèle de simplicité, d'efficacité et de conjugaison intelligente du privé et du public.

Cette solution serait naturellement appliquée à tous les fournisseurs d'offre cloud.

Par ailleurs, une convergence franco-allemande pour sécuriser le cloud pourrait donner un nouvel élan à la cybersécurisation des PME.

Un label franco-allemand avait été lancé en 2016, European Secure Cloud, en coopération avec l'homologue allemand de l'ANSSI, le Bundesamt für Sicherheit in der Informationstechnikle (BSI). Il est basé sur 15 règles techniques et organisationnelles communes entre SecNumCloud et le catalogue allemand Cloud Computing Compliance Controls Catalog (C5)279(*). Malheureusement, cette action n'a pas été suivie des effets attendus : l'ANSSI n'a certifié que trois acteurs locaux de petite taille à ce jour. Tous les acteurs concernés déplorent cette lenteur qui entrave les actions si utiles de certifications, en particulier en matière d'exportation.

Cette convergence franco-allemande sur les normes pourrait être enrichie d'une approche commune afin de mieux prendre en considération les PME dans le schéma européen de certification de cybersécurité pour les services cloud qui doit uniformiser le marché.

En effet, si le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, évoque la nécessité de : « prendre toutes les mesures nécessaires pour améliorer la cybersécurité dans l'Union afin que les réseaux et systèmes d'information, les réseaux de communication, les produits, services et appareils numériques utilisés par les citoyens, les organisations et les entreprises -- depuis les petites et moyennes entreprises (PME), jusqu'aux opérateurs d'infrastructures critiques -- soient mieux protégés contre les cybermenaces », il manque des mesures concrètes pour traduire cet objectif pour ce qui concerne les PME.

Proposition n°20 : Étudier la faisabilité :

- d'une part, d'une solution de démarrage rapide configurant l'usage du cloud aux prescriptions de cybersécurité définies par l'ANSSI ;

- d'autre part, d'une approche commune franco-allemande en faveur d'une meilleure prise en considération des PME dans la stratégie commune européenne de cybersécurité dans le cloud, définie par l'ENISA.

9. Instituer un crédit d'impôt pour inciter les entreprises à se numériser en toute sécurité
a) Une demande récurrente du Sénat

Depuis 2018, le Sénat propose de créer un dispositif d'aide massif pour aider les TPE-PME à se numériser, avec un volet de formation à la cybersécurité ou d'acquisitions de solutions de cyberprotection.

Une proposition d'un dispositif de soutien à la modernisation numérique du commerce de détail et à la formation numérique des commerçants, est évoquée dans le rapport d'information, fait au nom de la Délégation aux entreprises et de la Délégation aux collectivités territoriales, (n° 526 (2017-2018) de MM. Rémy Pointereau et Martial Bourquin, déposé le 30 mai 2018). Ce crédit d'impôt avait deux objets :

- d'abord, favoriser la formation au numérique des artisans et commerçants de détail pour faciliter leur initiation aux techniques commerciales sur internet, aux méthodes d'animation commerciale et d'accueil ;

- ensuite, leur permettre de réduire de 50 % et à hauteur de 5 000 € le coût d'équipement en appareils numériques en vue de commercialiser via le e-commerce.

Cette proposition a été traduite dans l'article 9 de la proposition de loi sénatoriale portant Pacte national de revitalisation des centres-villes et centres-bourgs n° 460 (2017-2018) du 20 avril 2018.

Elle a été reprise dans la recommandation n° 5 du rapport d'information de Mme Pascale GRUNY, fait au nom de la délégation aux entreprises « Accompagnement de la transition numérique des PME : comment la France peut-elle rattraper son retard ? » (n° 635 (2018-2019) - 4 juillet 2019) : « créer un crédit d'impôt à la formation et à l'équipement au numérique pour les artisans et commerçants de détail ».

Elle a été également reprise comme Mesure 12 du rapport de la commission des affaires économiques du Sénat sur la plan de relance (n° 535 (2019-2020) du 17 juin 2020) : « mettre en place un « crédit d'impôt à la numérisation des PME » à destination des chefs d'entreprise et des salariés, prenant en charge notamment une partie des dépenses de formation, d'équipement, de création de site internet, de services annexes (comme en matière de cybersécurité), et articulé avec la pérennisation du suramortissement pour la numérisation des PME industrielles proposé par les pilotes de la cellule « Industrie ».

Elle s'est traduite par un amendement280(*) au projet de loi de finances rectificative adopté par le Sénat le 17 juillet 2020, mais rejeté par l'Assemblée nationale.

Ce crédit d'impôt aurait incité les PME à former leurs dirigeants et leur personnel à l'utilisation des outils et équipements numériques (formation au commerce électronique, à l'utilisation des biens et logiciels numériques comme les machines de production à commande numérique ou les logiciels de conception, formation à l'utilisation des équipements acquis grâce au crédit d'impôt ainsi créé).

Dans sa réponse, défavorable, le Gouvernement a prétendu que l'existence de onze opérateurs de compétences agréés (OPCO) chargés d'accompagner la formation professionnelle, de financer l'apprentissage et d'aider les branches à construire leur certification professionnelle en la matière, suffisait à satisfaire cet objectif.

Or, les PME ont besoin d'un coup de pouce individualisé.

b) Les limites des aides gouvernementales à la numérisation

Cette logique est d'ailleurs celle du Plan d'Investissement dans les Compétences qui vise à former un million de jeunes et un million de demandeurs d'emploi peu qualifiés et à accélérer la transformation de la formation professionnelle, pour un coût de de 15 milliards d'euros entre 2018 et 2022.

Le volet numérique du Plan rendu public le 4 avril 2018 se fixe un objectif de 10 000 formations aux métiers du numérique pour accélérer l'accès des jeunes et des demandeurs d'emploi « bac ou infra bac » vers les professions du secteur du numérique qui expriment de forts besoins de recrutement. Il prend la forme d'une nouvelle « aide au projet d'inclusion de compétences numériques » pour toutes les entreprises, avec une prise en charge du coût de la formation jusqu'à 8 € par heure, sous un plafond de 800 heures annuelles, et la rémunération du demandeur d'emploi.

L'avis de la commission des affaires économiques du Sénat au projet de loi de finances pour 2021 (n° 139 (2020-2021) du 19 novembre 2020) souligne que l'importance de la numérisation des PME semble enfin actée par l'exécutif, notamment avec l'aide forfaitaire de 500 euros, à destination des entreprises fermées administrativement, afin de couvrir une partie des coûts liés au lancement d'une activité en ligne.

Or, cette dernière a une portée limitée :

- son périmètre est circonscrit aux entreprises contraintes administrativement de fermer et n'ayant aucune présence sur internet (sans que ne soient indiqués les critères pour qualifier cet aspect) soit seulement 120 000 entreprises, dans l'hypothèse où l'enveloppe est entièrement consommée, pourront en bénéficier, sur 3 millions de PME ;

- il s'agit d'une aide financée par un redéploiement ponctuel de crédits depuis le Fonds de solidarité, crédits qui devraient ensuite être reversés vers le Fonds en 2021. Il ne s'agit donc pas d'une ouverture nette de crédits, mais d'une baisse temporaire des fonds dédiés à la compensation de perte d'activité ;

- enfin, elle ne concerne pas la participation des entreprises à la formation au numérique des salariés, qui devrait pourtant être reconnue comme une contribution à une mission d'intérêt général.

Un amendement au projet de loi de finances pour 2021281(*), avait donc été présenté, le 3 décembre 2020, par M. Serge Babary, au nom de la commission des affaires économiques, reprenant la proposition sénatoriale de crédit d'impôt. Il n'a pas été retenu.

c) Créer un crédit d'impôt « cybersécurité » pour les TPE et PME

La sensibilisation, les diagnostics de numérisation, et la formation-accompagnement sous forme de « conseils » ne saurait suffire. En effet, au-delà des problématiques de formation ou de diagnostic, le coût financier que représente le virage numérique, surtout pour les plus petites entreprises, est un frein majeur à leur numérisation. Ce coût est d'autant plus rédhibitoire que les PME devront également, à la sortie du confinement, affronter d'autres dépenses, comme consacrer leur trésorerie à la reconstitution de leurs stocks.

Le risque est donc réel que les PME aient une bonne connaissance de leurs insuffisances numériques, grâce aux diagnostics, tout en ne disposant pas des moyens financiers d'y remédier.

Ce volet financier de la numérisation des PME reste un angle mort de cette politique publique, alors même qu'il est le plus attendu.

En outre, la multiplication des outils (diagnostics, formations individuelles ou collectives, conseils, chèque numérique) et des acteurs (site du ministère, réseaux consulaires, régions et communes, entreprises privées, France Num, plateformes locales), créé un fort besoin de simplicité et de clarté exprimé par les entrepreneurs. Un dispositif fiscal simple, à leur main, aiderait à réellement faire « décoller » la politique de numérisation.

La politique des « petits pas » en la matière ne saurait suffire, tant le retard accumulé est important. Il faut changer de braquet et permettre un choc d'offre de formation au numérique.

Ainsi, lors de la présentation du contrat stratégique de la filière « industries de sécurité » en février 2020, il était proposé que l'État s'engage à « inciter à un renforcement des dispositifs de financement de la cybersécurité ».

L'État ne peut à la fois enjoindre aux TPE et PME de se numériser et ne pas leur donner les moyens financiers d'y procéder en toute sécurité.

Proposition n°21 : Mettre en place un crédit d'impôt à destination des TPE et PME, prenant en charge une partie des dépenses d'équipement et de formation des chefs d'entreprise et des salariés à la cybersécurité.

10. Créer un « cyberscore » de la cybersécurité des solutions numériques

Dans sa séance du 22 octobre 2020, le Sénat a adopté, à l'unanimité des présents, une proposition de loi pour la mise en place d'une certification du niveau de cybersécurité des plateformes numériques destinées au grand public, présentée par M. Laurent Lafon et plusieurs de ses collègues du groupe Union centriste.

Le Gouvernement a partagé cet objectif. Il a toutefois présenté des aménagements sur la mécanique du diagnostic qui « ne peut reposer que sur l'entreprise elle-même, car les plateformes changent très souvent d'algorithmes, à un rythme souvent hebdomadaire, de sorte qu'un système d'audit ou de diagnostic par un tiers serait inopérant en pratique. Par conséquent, les opérateurs doivent être considérés comme responsables des informations qu'ils affichent et s'assurer qu'elles restent exactes à chaque mise à jour de leur logiciel ».

Les ajouts proposés par le Gouvernement ont concerné également le champ d'application du dispositif, afin de le restreindre, dans un premier temps, aux plateformes de taille mondiale, « soit les acteurs auprès desquels il est le plus important d'intervenir ».

Enfin, le Gouvernement ne s'est pas montré favorable à la modification du code de la commande publique pour préciser que la nature et l'étendue des besoins à satisfaire par un marché public sont déterminés en prenant en compte « les impératifs de cybersécurité »282(*). En effet, à la différence d'un critère comme celui du développement durable, qui est susceptible de concerner tous les marchés, le critère de la cybersécurité ne saurait porter que sur les achats de prestations informatiques. Le Gouvernement a considéré que : « le principe fondamental d'égalité devant la commande publique, qui impose de ne formuler d'exigence en termes d'expression des besoins, de critères de choix et de clauses d'exécution qu'en lien avec l'objet du marché, serait totalement bafoué », et le Sénat a souscrit à cette analyse.

Pour certains députés283(*), cette initiative sénatoriale « contribuerait à combler ce déficit de connaissance et à donner l'opportunité aux utilisateurs de faire un choix éclairé » bien qu'un « prérequis indispensable » doive être mis en oeuvre : « une vaste campagne de sensibilisation permettant à tous nos concitoyens d'être pleinement conscients que les choix qu'ils font en matière de services numériques ont des conséquences pour eux-mêmes et pour la société en général, sur nos emplois, notre recherche, notre indépendance, nos valeurs, nos communications, en un mot sur notre monde de demain, en France et en Europe... Nous, acteurs du numérique, appelons à lancer dans les meilleurs délais - en partenariat avec l'État et les régions - une vaste campagne de sensibilisation pour que chacun privilégie dès à présent les applications et services numériques de confiance, protecteurs de nos données ».

Ainsi, et même limitée aux plateformes numériques destinées au grand public, ce qui confèrerait une large audience, cette disposition doit permettre une sensibilisation du grand public à la cybersécurité, dont les entreprises pourraient indirectement profiter.

Proposition n°22 : Afin de sensibiliser les citoyens à la cybersécurité, instaurer un « cyberscore » des plateformes numériques destinées au grand public.


* 231 Le 16 décembre 2020, la Commission européenne a présenté sa stratégie en matière de cybersécurité pour la décennie numérique, laquelle a pour ambition de « façonner l'avenir numérique de l'Europe ». Dans ce contexte, la Commission européenne a adopté une proposition de révision de la directive NIS (dite NIS 2.0) et une proposition de directive sur la résilience des entités critiques. Dans le cadre de ces deux propositions de directive, la Commission européenne élargit le champ d'application de la directive NIS en ajoutant de nouveaux secteurs d'activité en fonction de leur importance pour l'économie et la société et en prenant leur taille en considération. Ainsi, la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques serait-elle supprimée. En outre, les entités seraient réparties en deux catégories : entités essentielles ou entités importantes. Chacune de ces catégories étant soumise à des obligations spécifiques. La Commission européenne propose également de renforcer les exigences de sécurité suivant une approche par les risques. La proposition de directive NIS 2.0 introduit des dispositions plus précises sur le processus de notification des incidents, le contenu des rapports et les délais. Les propositions de la Commission européenne visent, par ailleurs, à harmoniser les régimes de sanction sur le territoire de l'Union européenne.

Enfin, ces propositions s'intéressent plus particulièrement à la question de la sécurité des chaînes d'approvisionnement et aux relations avec les fournisseurs. En effet, les risques en matière de cybersécurité devront aussi être pris en compte dans ces contextes. Ainsi, sur le plan contractuel, ces propositions conduisent à renforcer notamment les clauses relatives à la sécurité et aux audits.

En dernier lieu, au niveau européen, la coopération opérationnelle est accentuée entre les États membres et l'European Union Agency for Cybersecurity (ENISA) notamment en matière de gestion de crises en matière de cybersécurité et d'identification des incidents de sécurité.

* 232 En témoigne la censure de la loi « AVIA » par le Conseil constitutionnel, par sa décision n° 2020-801 DC du 18 juin 2020.

* 233 Une vulnérabilité de cybersécurité fait généralement référence à une faille dans le code logiciel qui permet à un attaquant d'accéder à un réseau ou un système. Les vulnérabilités exposent les entreprises et les particuliers à une gamme de menaces, notamment les logiciels malveillants et les prises de contrôle de compte.

* 234 « 25+ cyber security vulnerability statistics and facts of 2021 », Aimee O'Driscoll, Comparitech, 21 avril 2021.

* 235 Elle affecte le protocole SNMPv2 (Simple Network Management Protocol version 2), qui est utilisé pour gérer les périphériques et les ordinateurs sur un réseau IP.

* 236 https://www.veracode.com/state-of-software-security-report

* 237 https://info.edgescan.com/vulnerability-stats-report-2021

* 238 « Vulnérabilités : de quoi parle-t-on ? », 14 mars 2019.

* 239 https://www.checkpoint.com/downloads/resources/cyber-security-report-2021.pdf

* 240 https://www.ptsecurity.com/ww-en/analytics/vulnerabilities-corporate-networks-2020/

* 241 « Security by Design : les règles à suivre pour les équipements de sécurité connectés », Info Protection, 11 juin 2020.

* 242 Terme issu de l'anglais hack (s'introduire dans un système) et du français marathon imaginé par les communautés de développeurs regroupés au sein du mouvement Free Open Source Software.

* 243 Rapport n°4196 du 26 mai 2021. La proposition de loi a été examinée en séance publique le 10 juin 2021.

* 244 https://www.charteroftrust.com/

* 245 Les hackeurs éthiques sont des experts en sécurité informatique qui ne s'introduisent dans les systèmes informatiques qu'après une mission explicite. En raison du consentement de la « victime », cette variante de piratage est considérée comme éthiquement justifiable. L'objectif du piratage éthique est de découvrir les faiblesses des systèmes et infrastructures numériques.

* 246 Ainsi rédigé :

« Pour les besoins de la sécurité des systèmes d'information, l'obligation prévue à l'article 40 du code de procédure pénale n'est pas applicable à l'égard d'une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d'information une information sur l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données. L'autorité préserve la confidentialité de l'identité de la personne à l'origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée. L'autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d'avertir l'hébergeur, l'opérateur ou le responsable du système d'information. »

* 247 « Un leader européen des données de santé licencie un lanceur d'alerte pour faute grave » Jean-Marc Manach, Next Impact, 2 octobre 2020.

* 248 https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/

* 249 Le 31 mars est par ailleurs la journée mondiale de la sauvegarde des données informatiques.

* 250 Une initiative similaire a été proposée dans une tribune signée par 11 députés « Pour la création de la journée mondiale des White Hats (hackers éthiques) », L'Opinion, 12 Janvier 2021.

* 251 « Les professions comptables vigies en matière de cybersécurité », Anne Moreaux, Les Affiches Parisiennes, 26 juin 2018.

* 252 La norme d'exercice professionnel 240 qui correspond à l'adaptation de la norme ISA 240 a été homologuée par arrêté du 10 avril 2007. Elle a fait l'objet d'amendements de conformité et a été homologuée par arrêté du 21 juin 2011.

* 253 La norme d'exercice professionnel 570 a été homologuée par arrêté du 26 mai 2017.

* 254 La norme d'exercice professionnel 911 a été homologuée par arrêté du 6 juin 2019.

* 255 Interview de Compta On Line du 6 juillet 2020.

* 256 « Cybermenace, avis de tempête », de novembre 2018)

* 257 Articles L. 225-102-4 et 5 du Code de commerce

* 258 Le CESIN avait publié en septembre 2016 un « guide de la cybersécurité pour les dirigeants d'entreprise ».

* 259 Etude « CLO Survey » par l'Association of Corporate Counsel. « La responsabilité en matière de cybersécurité au coeur des priorités des directions juridiques », Anne Moreaux, Affiches parisiennes, 5 mai 2021.

* 260 Réponse au questionnaire de la Délégation aux entreprises du 13 avril 2021.

* 261 Réponse au questionnaire de la Délégation aux entreprises du 24 mars 2021.

* 262 Il recommande de : « regrouper plusieurs structures communales et/ou départementales à l'échelle d'un centre unique de ressources intitulé « Centre de ressources numériques territorial (CRNT) » participe concrètement à offrir une performance de services renforcée tout en optimisant les moyens financiers disponibles ».

* 263 Catégorie d'outils et de solutions qui mettent l'accent sur la détection d'activités suspectes directement sur les hôtes du système d'information.

* 264 « L' article 68 de la loi n° 2010-1658 du 29 décembre 2010 de finances rectificative pour 2010 a instauré la mission de tiers de confiance. Le dispositif de tiers de confiance défini par l' article 170 ter du code général des impôts (CGI) autorise les contribuables assujettis à l'obligation de dépôt d'une déclaration annuelle de revenus (- BOI-IR-DECLA), qui sollicitent le bénéfice de déductions de leur revenu global, de réductions ou de crédits d'impôts, à remettre les pièces justificatives des charges correspondantes à un tiers de confiance choisi parmi les membres des professions réglementées d'avocat, de notaire ou de l'expertise comptable et ayant signé avec l'administration fiscale une convention individuelle. La mission du tiers de confiance, ainsi que les droits et obligations de chaque partie, sont définis par un contrat ou une lettre de mission conclu entre le tiers de confiance et son client ou adhérent agissant au nom du foyer fiscal. Les conditions d'application de ce nouveau dispositif sont précisées dans le décret n° 2011-1997 du 28 décembre 2011. Le terme générique de « profession réglementée de l'expertise comptable » est utilisé pour désigner les experts-comptables, les sociétés d'expertise comptable et les associations de gestion et de comptabilité » source : site du BOFIP.

* 265 https://fntc-numerique.com/fr/accueil.html

* 266 « La complexité est l'ennemi de la sécurité. Comment les entreprises peuvent-elles continuer à moderniser leurs architectures réseau sans augmenter leur exposition aux cybermenaces ? », Erwan Jouan, Les Echos, 13 février 2018.

* 267 « La cybersécurité des systèmes industriels - mesures détaillées », janvier 2014.

* 268 HTTP, événements, gRPC, WebSockets...

* 269 La sixième édition annuelle du baromètre Cisco 2020 CISO Benchmark Report est basée sur une enquête menée auprès de 2 800 professionnels de la sécurité de 13 pays à travers le monde.

* 270 « Cyber Resilient Organisation Report » IBM Security et Ponemon Institute Etude conduite auprès de plus de 3400 professionnels IT et sécurité ont été interrogés par le.

* 271 Étude Oracle/KPMG « Cloud threat report 2020 » menée auprès de 750 professionnels de la cybersécurité et de l'informatique en France et dans le monde entier.

* 272 Les « Conseils de cybersécurité destinés aux petites entreprises », Kaperski.

* 273 Notamment les « contrats de services de communications électroniques » ou les « services accessibles par l'intermédiaire des opérateurs de communications électroniques ».

* 274 Réponse au questionnaire de la Délégation aux entreprises du 13 avril 2021.

* 275 Au sens de l'article L 221-3 du code de la consommation : « Les dispositions des sections 2, 3, 6 du présent chapitre applicables aux relations entre consommateurs et professionnels, sont étendues aux contrats conclus hors établissement entre deux professionnels dès lors que l'objet de ces contrats n'entre pas dans le champ de l'activité principale du professionnel sollicité et que le nombre de salariés employés par celui-ci est inférieur ou égal à cinq ».

* 276 « Dans les contrats conclus entre professionnels et consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat.

Sans préjudice des règles d'interprétation prévues aux articles 1188, 1189, 1191 et 1192 du code civil, le caractère abusif d'une clause s'apprécie en se référant, au moment de la conclusion du contrat, à toutes les circonstances qui entourent sa conclusion, de même qu'à toutes les autres clauses du contrat. Il s'apprécie également au regard de celles contenues dans un autre contrat lorsque les deux contrats sont juridiquement liés dans leur conclusion ou leur exécution. L'appréciation du caractère abusif des clauses au sens du premier alinéa ne porte ni sur la définition de l'objet principal du contrat ni sur l'adéquation du prix ou de la rémunération au bien vendu ou au service offert pour autant que les clauses soient rédigées de façon claire et compréhensible.

Un décret en Conseil d'État, pris après avis de la commission des clauses abusives, détermine des types de clauses qui, eu égard à la gravité des atteintes qu'elles portent à l'équilibre du contrat, doivent être regardées, de manière irréfragable, comme abusives au sens du premier alinéa. Un décret pris dans les mêmes conditions, détermine une liste de clauses présumées abusives ; en cas de litige concernant un contrat comportant une telle clause, le professionnel doit apporter la preuve du caractère non abusif de la clause litigieuse.

Ces dispositions sont applicables quels que soient la forme ou le support du contrat. Il en est ainsi notamment des bons de commande, factures, bons de garantie, bordereaux ou bons de livraison, billets ou tickets, contenant des stipulations négociées librement ou non ou des références à des conditions générales préétablies ».

* 277 « Dans un contrat d'adhésion, toute clause non négociable, déterminée à l'avance par l'une des parties, qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite.

L'appréciation du déséquilibre significatif ne porte ni sur l'objet principal du contrat ni sur l'adéquation du prix à la prestation ».

* 278 Audition du 15 avril 2021.

* 279 Programme d'attestation de l'Office fédéral de la sécurité des technologies de l'information (BSI du gouvernement allemand), afin d'aider les organisations à démontrer leur sécurité opérationnelle face aux cyber-attaques courantes lorsqu'elles utilisent des services cloud dans le cadre des «  recommandations de sécurité pour les fournisseurs de cloud » du gouvernement allemand.

* 280 n°277 rect. sexies.

* 281 N° II-606 rectifié (portant article additionnel après l'article 42).

* 282 La commission des affaires économiques du Sénat avait émis, dans son rapport (n° 38 (2020-2021) de Mme Anne-Catherine Loisier, déposé le 13 octobre 2020) « des réserves sur l'opportunité d'une telle insertion », mais la commission avait « adopté cet article sans modification en raison de l'accord entre groupes politiques relatif à l'examen des propositions de loi ».

* 283 « Dans la crise actuelle, les acteurs publics doivent encourager les citoyens à opter pour les solutions numériques souveraines ! » Chronique signée par Thomas Fauré, président de Whaller, Philippe Latombe, député de Vendée, Jean-Michel Mis, député de la Loire et membre du Conseil national du numérique, Philippe Lenoir et Pascal Voyat, cofondateurs de Mailo, Journal du Net, 10 mars 2021.