B. UN DISPOSITIF CENTRÉ SUR LES CYBERRISQUES LES PLUS GRAVES
La Stratégie de la France en matière de défense et de sécurité des systèmes d'information , rendue publique en février 2011 par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), se concentre sur le renforcement de la « cybersécurité des infrastructures vitales nationales », qu'elle coordonne.
La cybersécurité opérationnelle est assurée par un réseau de CERT ( Computer Emergency Response Team ), organismes chargés d'assurer des services de prévention des risques et d'assistance aux traitements d'incidents. Ces CERT sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises et/ou aux administrations, mais dont les informations sont généralement accessibles à tous.
L'article L.1332-1 du code de la défense 95 ( * ) et l'article 22 de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale peuvent imposer des obligations aux entreprises d'importance vitale , à leurs frais, comme la mise en oeuvre de « systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information ».
Le quatrième objectif de la stratégie nationale pour la sécurité du numérique , du 16 octobre 2015 , lie rattrapage de la numérisation des PME et progrès de leur sécurité numérique : « En 2015, la part des entreprises françaises et singulièrement des PME-PMI utilisant largement le numérique n'est que dans la moyenne des pays européens. Le rattrapage de ce retard doit s'accompagner d'une meilleure sécurisation de la vie numérique des entreprises et en premier lieu d'une meilleure sécurité de leurs systèmes d'information. Il en va de notre compétitivité et donc de nos emplois ».
Toutefois, dans la Revue stratégique de cyberdéfense du 12 février 2018 , les entreprises ne sont qu'indirectement évoquées et le cyberrisque concernant les TPE et PME n'est pas traité en tant que tel. En dehors de ces considérations générales, le dispositif public est centré sur les entreprises les plus sensibles et la sécurité des systèmes d'information des opérateurs d'importance vitale (OIV), dont le nombre exact et l'identité sont tenus secrets.
Si le rapport de la commission d'enquête du Sénat sur le devoir de souveraineté numérique d'octobre 2019 96 ( * ) notait avec satisfaction : « l'intégration fin 2018 d'une dimension sécurité numérique dans la plateforme FranceNum destinée à accompagner les TPE/PME dans leur transformation numérique avec un volet dédié à la sécurité numérique (sensibilisation au risque cyber et mise en relation avec des prestataires) », celui-ci se borne à renvoyer, sur le site FranceNum, au guide de la cybersécurité pour les experts-comptables publié en septembre 2018 par le Conseil supérieur de l'ordre des experts-comptables. Seules 59 réponses sont apportées par ce site à l'occurrence « cybersécurité des PME » dont plusieurs renvoient au site « Pensez Cybersécurité » mis en ligne fin 2018 par le Gouvernement du Canada...
L'État porte ainsi une attention soutenue à la sécurité numérique « globale » comme en témoigne la loi n° 2019-810 du 1 er août 2019 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux radioélectriques mobiles, qui soumet à autorisation l'installation de certains équipements sous la responsabilité des opérateurs de télécommunications et a également pour objectif de soutenir leur implication dans la sécurité de leurs réseaux « dont la criticité est absolue » 97 ( * ) .
L'ANSSI et le Secrétariat général de la défense et de la sécurité nationale (SGDSN) avaient également élaboré un plan Vigipirate « Objectifs de cybersécurité » 98 ( * ) , publié le 27 février 2014 , qui est principalement destiné aux collectivités territoriales et aux « opérateurs non-OIV » (opérateurs d'importance vitale), qui englobe donc potentiellement toutes les entreprises quelle que soit leur taille. Il expose les objectifs de cybersécurité et les recommandations à respecter pour sécuriser les systèmes d'information d'une entité. Ces objectifs sont organisés selon sept familles d'activités propres à la sécurité des systèmes d'information : la gouvernance, la maîtrise des risques, la maîtrise des systèmes, la protection des systèmes, la gestion des incidents, l'évaluation et la relation avec les autorités.
Très complet, il n'est cependant accessible qu'aux entreprises qui maîtrisent déjà le risque cyber et sont dotées d'une direction de la sécurité des services d'information étoffée. Quand bien même, certains objectifs assignés sont ambitieux et sans doute hors de portée des grandes PME ou même ETI comme l'indiquent ces quelques exemples :
- « l'entité dispose de la documentation à jour de tous les systèmes d'information et composants dont elle est responsable, de manière à pouvoir intervenir plus facilement sur ses systèmes en cas d'incident » ;
- « l'entité maîtrise ses systèmes d'information sur tout leur cycle de vie » ;
- « Les systèmes d'information sont conçus et développés selon une architecture sécurisée ».
Globalement, les TPE et PME, comme les ETI qui ne sont pas identifiées comme d'importance vitale, ne sont pas assez bien cyberprotégées par ce dispositif public.
Il convient de combler un vide du dispostif public qui assure une cybersécurité satisfaisante aux opérateurs d'importance vitale, grâce à l'ANSSI, mais ne couvre pas suffisamment les TPE-PME malgré la création récente du dispositif cybermalvaillance.gouv.fr, encore trop peu connu.
Or, ces catégories d'entreprises sont également devenues des cibles « faciles », à mesure du renforcement de la cyberprotection des ETI et grandes entreprises.
* 95 Les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenus de coopérer à leurs frais dans les conditions définies au présent chapitre, à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste. Ces établissements, installations ou ouvrages sont désignés par l'autorité administrative.
* 96 Rapport n° 7 (2019-2020) de M. Gérard Longuet, du 1 er octobre 2019
* 97 Avis n° 569 (2018-2019) de M. Pascal Allizard, fait au nom de la commission des affaires étrangères, de la défense et des forces armées du Sénat, du 12 juin 2019.
* 98 Voir :
https://www.ssi.gouv.fr/uploads/2014/10/20140310_Objectifs_de_cybersecurite_document_public.pdf