III. UNE CYBERSÉCURITÉ DIFFICILEMENT ACCESSIBLE AUX TPE ET PME
A. UN RISQUE CROISSANT D' « EFFET DOMINO » POUR LES ENTREPRISES
Face à la multiplication des cyberattaques, les grandes entreprises et les ETI ont pris des mesures de défense compliquant la tâche des cybercriminels . En particulier, les stratégies de sauvegarde et de reconstruction efficace des systèmes informatiques rendent le blocage des systèmes moins pertinent pour faire payer la rançon.
Les cybercriminels font des études de marché sur leurs cibles. Lorsque celles-ci ont atteint un niveau supérieur de protection, ils réorientent des attaques sophistiquées via leurs sous-traitants plus fragiles en termes de cybersécurité. Une meilleure cyberdéfense des grandes entreprises a eu comme contrepartie de détourner la cybercriminalité vers les plus petites entreprises plus vulnérables.
Cette évolution a reporté le risque vers les PME et TPE fournisseurs ou sous-traitantes. L'accès à distance au système d'information de l'entreprise augmente sa surface d'attaque en ouvrant de nouvelles portes. Les attaques ciblant la supply-chain utilisent le maillon faible qu'est le réseau interne d'un fournisseur ou d'un sous-traitant, moins bien sécurisé, pour s'introduire dans le système d'information de la grande entreprise. Une interconnexion mal sécurisée entre sites peut favoriser la propagation de malware et produire un « effet domino » sur l'ensemble du système d'information.
C'est la raison pour laquelle Tech in France et le Syntec demandent 99 ( * ) : « d'être de plus en plus exigeant envers les entreprises sur les minima de sécurité. Les grands donneurs d'ordre doivent avoir des exigences vis-à-vis des prestataires et des fournisseurs et pour cela, les certifications et normes certifiées par l'ANSSI sont utiles 100 ( * ) ».
De même, la Confédération des petites et moyennes entreprises (CPME) estime 101 ( * ) que la cybersécurité « n'est pas hors de portée des TPE et PME » qui peuvent privilégier, pour des raisons de coût, l'externalisation soit « auprès de leur prestataire informatique habituel soit, si celui-ci n'en pas la compétence, auprès d'un prestataire spécialisé en cybersécurité ou labellisé Expert Cyber ».
B. UN MANQUE DE CULTURE DE LA CYBERSÉCURITÉ
1. Le salarié, un maillon souvent faible de la cybersécurité de l'entreprise
a) Près d'une fois sur deux
Près d'un incident sur deux 102 ( * ) est imputable au facteur humain comme en a témoigné un chef d'entreprise à la table-ronde organisée par la Délégation aux entreprises le 25 mars 2021 :
|
M. Jean-Charles Duquesne, membre du Mouvement des entreprises de taille intermédiaire (METI), directeur général de la Normandise : « Mon entreprise a été victime d'une attaque. On croit toujours que ces attaques visent Safran ou d'autres acteurs stratégiques - ma société fabrique des aliments pour chiens et chats ! Elle emploie 700 personnes, compte 120 millions d'euros de chiffre d'affaires, propose ses produits via la grande distribution ou sous ses propres marques sur un site internet. (...) Notre taille implique, surtout avec la crise, une utilisation massive des mails - lesquels constituent une porte d'entrée pour les attaques. Nous avons eu trois jours de perturbation, même si la production n'a pas été touchée, grâce à notre sensibilité au risque cyber. Le plus gros impact a été un investissement de 100 000 euros pour que cela ne se reproduise pas ; 70 personnes ont aussi été mises en congé de trois heures à trois jours. (...) Après l'attaque que nous avons subie, nous avons développé une solution permettant d'envoyer des mails pourris à l'ensemble de nos salariés, pour savoir s'ils cliquaient sur les pièces jointes. Tout le monde avait été sensibilisé par l'attaque. Eh bien, un mois seulement après, 34 % des salariés sont tombés dans le piège. La pédagogie est basée sur la répétition ... ». |
Ce manque de cyberculture n'est pas une question de génération . Si la « génération Y » 103 ( * ) , considérée comme naturellement plus à l'aise que les générations précédentes avec les nouvelles technologies, est une forte consommatrice de numérique et est donc la plus exposée aux cyberattaques, ses connaissances en termes de cybersécurité ne sont cependant pas suffisantes d'après les résultats d'un sondage 104 ( * ) : 82 % des répondants ignorent ce qu'est un pare-feu, 76 % indiquent ne pas connaître ce qu'est un malware, 73 % ne comprennent pas le terme VPN et 71 % n'arrivent pas à définir le terme HTML. Toutefois, ils connaissent les notions de virus (65 %), cookies (65 %) et bande passante (49 %).
Dans ce panel, parmi les 67 % qui ont été piratés, seul un tiers (39 %) a déclaré savoir quoi faire et comment y faire face. En outre, 61 % ont admis qu'ils ne savaient pas s'ils devaient lancer une analyse antivirus, changer leurs mots de passe ou jeter leur ordinateur portable. En outre, 73 % des personnes qui ont été piratées disent qu'elles n'ont pas changé ou ne changeraient pas leur comportement pour éviter que cela ne se reproduise (27 % le feraient), tandis que 92 % des sondés ne savent pas comment utiliser un VPN, 81 % a déclaré pouvoir ouvrir et exécuter des gestionnaires de tâches, 77 % ne pas savoir exécuter une analyse antivirus, 71 % une recherche en mode incognito, 66 % une suppression de l'historique des recherches de leur ordinateur. Cependant, 57 % peuvent résoudre avec succès les problèmes liés à leur appareil.
La cybersécurité est encore trop perçue comme une contrainte supplémentaire par les collaborateurs et le fonctionnement en silos du management d'un certain nombre d'entreprises ne favorise pas toujours ce travail d'équipe puisqu'une collaboration minimaliste ne permet pas de diffuser de façon efficace une culture partagée.
Certaines TPE et PME estiment qu'elles ont peu de risque d'être victimes d'incidents cyber, notamment lorsqu'elles externalisent la maintenance de leur système d'information et l'hébergement de leurs données auprès de prestataires dans le cloud, sans avoir conscience des risques problématiques associés à ce choix.
Certaines PME ont par ailleurs de mauvais réflexes de cybersécurité : « La cybersécurité ne peut se résumer à l'achat d'un firewall à la FNAC » estime ainsi Oliver Wild de l'AMRAE 105 ( * ) , « La cybersécurité la plus efficace est homogène, évolutive en permanence, constante, et s'adapte aux priorités de l'entreprise ».
b) Une culture à renforcer : quelques pistes
La culture de la cybersécurité doit donc être implantée dans l'entreprise.
Elle aurait pu se développer avec le RGPD, mais le manque d'équipes qualifiées en interne a freiné ce travail de déploiement d'une politique récurrente d'information sur les risques informatiques.
En outre, l'acculturation des salariés en matière de cybersécurité nécessite une forte implication non seulement de la direction mais aussi du middle management , ce qui implique de placer en permanence l'utilisateur final et ses besoins au centre des préoccupations . C'est par les usages au quotidien que la cybersécurité en entreprise sera la plus efficace.
Comme une sécurité informatique efficace repose sur trois piliers : les produits et les services de sécurité, les processus et les personnes, le simple fait d'augmenter le budget alloué aux outils n'est pas une réponse suffisante face à la multiplication des menaces de plus en plus sophistiquées. Chaque salarié dispose de la clé de la cybersécurité de son entreprise.
Cette diffusion d'une culture de la cybersécurité peut être ludique, afin de s'implanter plus efficacement, à l'instar du « chocoBLAST » 106 ( * ) : quand un collaborateur d'une entreprise laisse son poste ouvert alors qu'il n'est pas à son poste, il se fait « hacker » sa boite e-mail et doit payer sa tournée de viennoiseries aux équipes.
Par ailleurs, le 6 mai est aussi la Journée internationale du mot de passe. Cet élément de sécurité fait toujours office de porte d'entrée idéale pour les cybercriminels chez les victimes y compris parmi les entreprises de cybersécurité.
Ainsi, un mot de passe simple et exposé en ligne pourrait être le point de départ de l'une des plus grandes opérations de cyberespionnage de l'histoire 107 ( * ) : « Non seulement les identifiants étaient exposés sans protection, mais en plus ils étaient risibles. Le nom d'utilisateur « solarwinds.net » et le mot de passe, « solarwinds123 », avaient de quoi horrifier n'importe quel responsable de sécurité. Choisissez votre adjectif : faible, simple à deviner, et surtout indigne d'une entreprise qui fournit des organisations sensibles comme le gouvernement américain. La députée Katie Porter a donc demandé aux dirigeants de commenter ce raté colossal dans la sécurité du groupe ».
Même des cybercriminels qui étaient parvenus à accumuler des millions de données dérobées sur un serveur auraient oublié de protéger ce butin d'une grande valeur, auquel n'importe qui pouvait accéder ! 108 ( * )
En analysant le contenu de bases de données compromises en 2020, soit environ 275 millions, le gestionnaire de mots de passe NordPass a publié la liste des 200 mots de passe les plus courants sur Internet : « 123456 » truste le haut du classement. Ce mot de passe a été ainsi retrouvé plus de 2,5 millions de fois dans les bases scannées. On retrouve dans le top 10 sa suite logique (« 123456789 ») mais aussi « password », « 111111 », « qwerty » ou encore « abc123 » 109 ( * ) .
Les entreprises pourraient organiser le 6 mai de chaque année une sensibilisation de leurs salariés à cet élément de sécurité trop facilement attaquable.
2. Éducation et formation à la cybersécurité : des progrès mais peut mieux faire
Aujourd'hui, les usages du numérique sont traités au collège dans le cadre du programme d'enseignement moral et civique (EMC) et de l'éducation aux médias et à l'information (EMI), ainsi qu'en mathématiques et technologie.
Au lycée , la cybersécurité figure explicitement dans le programme d'EMC. L'enseignement de « Sciences numériques et technologie » fait d'ores et déjà partie du tronc commun en seconde, où les questions de sécurité et de confidentialité sont traitées. En première et en terminale générale, la spécialité « Numérique et des sciences informatiques » (NSI) vise l'appropriation des fondements de l'informatique pour préparer les élèves à une poursuite d'études dans l'enseignement supérieur. En outre, le cadre de référence des compétences numériques et la certification délivrée en fin de cycle 4 (collège) et de cycle terminal (lycée) comprend plusieurs domaines parmi lesquels « Protection et sécurité ».
La rénovation récente du BTS « Services informatiques aux organisations » (SIO) par l'arrêté du 29 avril 2019, dont la première rentrée a eu lieu en 2020 et la première session d'examen en 2022, est un premier signal positif pour la formation de technicien en cybersécurité, celle-ci constituant l'un des blocs de compétences à valider pour le diplôme.
Enfin, un master « Informatique, traitement de l'information, réseaux de transmission » a été créé. Selon le site France Compétences, cette certification 110 ( * ) , accessible aux personnes ayant un Bac + 4/5 en informatique, ou issue d'une filière juridique ou détenteur d'un Bac + 2 avec une expérience professionnelle dans le domaine, n'a pas encore trouvé de débouché.
Ses objectifs de certification visent à permettre au candidat de réaliser des diagnostics des systèmes d'information pour chercher les points faibles du système, trouver des solutions pour lutter contre les failles pour protéger et sécuriser les données de l'entreprise, mettre en place des processus de sécurité et les actualiser en fonction des nouvelles technologies.
La certification couvre les principales compétences permettant à un consultant en cybersécurité d'auditer en amont comme en aval les systèmes d'information intranet et extranet pour déceler d'éventuelles failles de sécurité et autres vulnérabilités. Ces compétences sont rares 111 ( * ) , ne serait-ce qu'en raison de l'évolution exponentielle des méthodes et outils de protection mis en oeuvre.
|
L'ÉDUCATION AU NUMÉRIQUE : L'EXEMPLE ISRAËLIEN « Le National Cyber Bureau (NCB) pousse pour améliorer l'éducation dans les sciences numériques. Le budget de l'éducation passe de 6,9 milliards de dollars en 2010 à 11,8 milliards de dollars en 2019. Les filières liées à la cybersécurité bénéficient d'initiatives publiques. Six centres de recherche universitaires sont dédiés spécifiquement à cette matière. L'interdisciplinarité est favorisée par rapport à un simple enseignement technologique, avec l'intervention régulière d'experts de sciences humaines. Le NCB joue un rôle aussi déterminant pour agrandir le vivier des jeunes Israéliens pouvant intégrer la cyberindustrie. L'enseignement de l'informatique et de la programmation débute dès le collège dans les zones les plus privilégiées. Les examens de fin d'études dans l'enseignement secondaire présentent des options dans ces matières. Des tournois inter-écoles de hacking sont même organisés. Des recruteurs parcourent en outre les zones défavorisées pour identifier les talents potentiels qui pourraient intégrer les unités militaires. D'une manière générale, les jeunes montrant des dispositions particulières sont encadrés et reçoivent une instruction adaptée en informatique ou cybersécurité selon leur niveau ».
Source : « La cyberpuissance
israélienne. L'essor inachevé de la start-up nation
? »,
|
Les compétences numériques sont définies par le Cadre de référence européen DigComp . L'une des compétences numériques de PIX, plateforme en ligne d'évaluation et de certification de la maîtrise du numérique au lycée, et compte 5 domaines et 16 compétences numériques, concerne la protection et la sécurité :
|
4. Protection et sécurité 4.1. Sécuriser l'environnement numérique Sécuriser les équipements, les communications et les données pour se prémunir contre les attaques, pièges, désagréments et incidents susceptibles de nuire au bon fonctionnement des matériels, logiciels, sites internet, et de compromettre les transactions et les données (avec des logiciels de protection, des techniques de chiffrement, la maîtrise de bonnes pratiques, etc.). THÉMATIQUES ASSOCIÉES Attaques et menaces ; Chiffrement ; Logiciels de prévention et de protection ; Authentification ; Sécurité du système d'information ; Vie privée et confidentialité 4.2. Protéger les données personnelles et la vie privée Maîtriser ses traces et gérer les données personnelles pour protéger sa vie privée et celle des autres, et adopter une pratique éclairée (avec le paramétrage des paramètres de confidentialité, la surveillance régulière de ses traces par des alertes ou autres outils, etc.). THÉMATIQUES ASSOCIÉES Données personnelles et loi ; Traces ; Vie privée et confidentialité ; Collecte et exploitation de données massives |
Enfin , deux labels ont été élaborés en collaboration entre l'ANSSI et l'Éducation nationale :
- CyberEdu ( www.cyberedu.fr ) : ce projet initié par l'ANSSI à la suite de la publication du Livre blanc sur la défense et la sécurité nationale en 2013, a pour objectif d'introduire les notions de cybersécurité dans l'ensemble des formations en informatique de France .
Les établissements qui souhaitent valoriser la prise en compte de la dimension cyber/ SSI dans leurs formations non spécialisées peuvent faire une demande, gratuite, de labellisation auprès de l'association CyberEdu.
La labellisation est attribuée aux établissements qui dispensent un cours de sensibilisation à la cybersécurité pour les formations informatiques généralistes de niveau licence (ou équivalent) ou pour les formations de niveau master (ou équivalent) et intègrent des modules relatifs à la cybersécurité dans les cours relatifs aux réseaux, développements logiciels et systèmes d'exploitation.
Ce label n'est toutefois pas destiné aux formations de spécialistes en sécurité des systèmes d'information, qui sont labellisés par SecNum edu . CyberEdu reste « un indicateur qui ne constitue pas une approbation à l'ensemble d'une formation ».
L'ANSSI a passé un marché avec l'Université européenne de Bretagne, qui regroupe 28 établissements d'enseignement supérieur et de recherche, et Orange pour la réalisation de livrables correspondants à cette sensibilisation.
- SecNum edu : apporte aux étudiants et employeurs l'assurance d'une formation dans le domaine de la sécurité du numérique répondant à une charte et des critères définis par l'ANSSI en collaboration avec les acteurs et professionnels du domaine (établissements d'enseignement supérieur, industriels...).
Le label s'appuie sur un référentiel de labellisation, dont l'élaboration a été pilotée par l'ANSSI avec la contribution d'industriels, d'écoles, du Pôle d'Excellence Cyber (PEC) et du ministère de l'Education nationale, de l'Enseignement supérieur et de la Recherche. Il est attribué pour une durée de 3 ans renouvelable et permet à la formation qui en bénéficie de figurer au catalogue SecNumedu de l'ANSSI.
Ce programme de labellisation de formations est ouvert à tout établissement d'enseignement supérieur répondant à l'un des quatre critères : les formations universitaires délivrant un grade de Licence ou Master ; les formations d'ingénieur dont le diplôme est reconnu par la Commission des Titres d'Ingénieurs (CTI) ; les Mastères spécialisés reconnus par la Conférence des Grandes Écoles (CGE) ; les certifications de niveau I et II inscrites au Répertoire national des certifications professionnelles (RNCP) .
L'ANSSI propose également un programme de labellisation pour les formations continues courtes : S ecNum edu -FC , et 70% du programme de cette formation est consacrée à la sécurité du numérique. La formation, inscrite au Répertoire Spécifique de France Compétences et/ou la formation, se déclare conforme à un cahier des charges reconnu par l'ANSSI.
Le déploiement de l'enseignement de la cybersécurité dans toutes les formations supérieures du numérique reste cependant trop lent et trop partiel. La cybersécurité doit y être intégrée « par défaut ».
Dans ce sens, la Commission supérieure du numérique et des postes, dans son avis n°2021-03 du 29 avril 2021 portant recommandations dans le domaine de la sécurité numérique, prône que des enseignements portant sur la sécurité numérique et la cybersécurité soient intégrés systématiquement et rapidement dans tous les cursus de formation aux métiers du numérique « Les principes de sécurité par conception, d'architecture sécurisée et de sécurité d'exploitation doivent s'imposer dans les formations de tous niveaux aux métiers du numérique. Cette recommandation est formulée tant pour la formation initiale que pour la formation continue ».
Il est important par ailleurs de « ne pas séparer le sous-jacent de la sécurité : pour intégrer le réflexe cyber et la security by design, il faut développer la cybersécurité dans les formations d'ingénieur et de développeur » selon le président de l'association 112 ( * ) , sans créer une filière spécifique car le sujet doit demeurer transversal.
La formation initiale et continue prend donc mieux en compte la nécessité de développer dès l'enfance une culture en matière de cybersécurité. Ces efforts paraissent cependant encore insuffisants à l'aune de la pénurie de ressources humaines dans ce secteur en croissance et en manque criant de compétences.
* 99 Dans leurs propositions conjointes : « Crise Covid-19 et relance de l'économie », mai 2020.
* 100 Le rapport note toutefois que : « certaines entreprises, sans être certifiées ou labellisées par l'ANSSI, garantissent une grande qualité de produit, et des niveaux de performance comparables à ceux des produits validés par l'ANSSI ».
* 101 Réponse du 24 mars 2021 au questionnaire de la Délégation aux entreprises du Sénat.
* 102 Selon « The Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within » de Kapersky Daily, 46 % des piratages et incidents de cybersécurité résultent d'une négligence ou d'un manque de formation.
* 103 Elle désigne toutes les personnes nées entre 1980 et 2000. Cette génération représente environ 23 % de la population française et 32 % au niveau mondial.
* 104 Réalisé pour le compte de l'éditeur en sécurité Specops Software qui a interrogé 2 445 personnes ayant entre 20 et 40 ans.
* 105 Audition du 18 mars 2021.
* 106 Voir les « règles du jeu » : https://www.chocoblast.fr/reglement/
* 107 Selon « Les dirigeants de SolarWinds accusent un stagiaire de la fuite du mot de passe « solarwinds123 », François Manens , Cyberguerre, 1 er mars 2021.
* 108 « Même les cybercriminels ne sécurisent pas correctement leurs bases de données (volées) » François Manens , Cyberguerre, 6 mai 2021.
* 109 « Voici la liste des 200 mots de passe les plus utilisés en 2020 (et c'est le désarroi) », Benjamin Bruel, Clubic, 19 novembre 2020.
* 110 Code(s) nomenclature des spécialités de formation (NSF) :
• 326 : Informatique, traitement de l'information, réseaux de transmission
Formacode(s) :
• 31006 : sécurité informatique.
* 111 Les compétences visées par cette certification sont :
- Maîtriser une séquence d'audit du système d'information.
- Maîtriser l'ensemble des assets à surveiller.
- Ordonnancer, piloter et coordonner un projet de sécurisation d'un système.
- Fédérer et animer une équipe projet.
- Sécuriser des données de l'entreprise.
- Actualiser les processus de sécurité en fonction des nouvelles technologies et maîtriser les tests d'intrusion.
- Vérifier le système protégé.
* 112 Audition de M. Olivier Levillain, 20 mai 2021.