Jeudi 10 juin 2021
- Présidence de M. Serge Babary, président -
La réunion est ouverte à 9 heures.
Examen du rapport sur la cybersécurité des entreprises, présenté par MM. Rémi Cardon et Sébastien Meurant
M. Serge Babary, président. - Mes cher(e)s collègues,
Il ne se passe pas une journée sans que plusieurs entreprises subissent une cyberattaque ! Nous nous sommes saisis de ce sujet majeur de préoccupation pour la vie quotidienne, voire pour la survie des entreprises. Depuis lors, l'actualité et les remontées de terrain nous montrent que nous avons bien fait et qu'il est urgent que l'ensemble des entreprises relèvent ce défi, avec le soutien des pouvoirs publics.
J'attire aussi votre attention sur le fait que toutes les organisations sont concernées : les entreprises, mais aussi les hôpitaux, les collectivités territoriales, etc. Notre rôle d'information dans les territoires pourra aussi les inclure, de même que les travaux à venir du Sénat.
Mais je vais tout de suite donner la parole à nos deux co-rapporteurs, Sébastien Meurant et Rémi Cardon. Je les remercie pour leur forte implication sur ce sujet, de prime abord technique mais ô combien stratégique. Nous l'avons mesurée à l'occasion de nos tables rondes et auditions, ainsi que lors des déplacements où je les ai accompagnés.
Rémi Cardon nous présentera l'état des lieux et les constats, puis Sébastien Meurant, leurs propositions communes pour renforcer la cyber-résilience des entreprises.
M. Rémi Cardon, rapporteur. - Mesdames et Messieurs, Monsieur le Président, Mes cher(e)s collègues,
Le 18 février, nous commencions nos travaux sur un thème devenu, hélas pour nos entreprises, à la fois quotidien et de plus en plus préoccupant pour la stabilité de notre économie. Après 47 personnes auditionnées, dont de nombreux chefs d'entreprise, deux table-rondes et des déplacements de terrain, auprès des « cybergendarmes » et des « cyberpoliciers », nous vous présentons nos conclusions.
La cybercriminalité visant les entreprises se banalise pour quatre motifs :
1. La numérisation de l'économie, accélérée avec le confinement lié au développement du télétravail et au déploiement de la fibre, augmente la surface d'exposition au risque des entreprises ;
2. La professionnalisation de la cybercriminalité est facilitée par sa « plateformisation », son industrialisation, et le développement des cryptomonnaies ;
3. La prévention et la répression sont difficiles et nécessitent un renforcement de la coopération internationale ;
4. Avec l'intégration du cyberespace comme nouveau vecteur de la conflictualité géopolitique, les entreprises sont soit les cibles soit les victimes collatérales des attaques.
Quelques chiffres donnent le vertige face à l'ampleur du phénomène :
- 6 000 milliards de dollars par an à partir de 2021, deux fois plus qu'en 2015 (3 000 milliards). Tel est le coût, pour les entreprises, de la cybercriminalité au niveau mondial ;
- Si le cyberrisque était un pays, il serait la 3ème économie mondiale derrière les États-Unis et la Chine ;
- 43 % des PME françaises ont constaté un incident de cybercriminalité en France en 2020 ;
- Le coût d'une cyberattaque varie entre plusieurs milliers et plusieurs millions d'euros.
Le cyberespace est donc saturé par de telles attaques.
Elles ont un impact croissant sur l'économie réelle, comme en témoignent celles, aux États-Unis, contre le Colonial Pipeline ou le géant de l'agroalimentaire JBS. Et les attaques médiatisées ne sont que la face émergée de l'iceberg !
Or, l'économie numérique, et tout particulièrement le e-commerce, ne peuvent se développer qu'en se fondant sur la confiance du public et des consommateurs.
Les entreprises, quelle que soit leur taille, sont incitées à numériser leurs processus de production, à développer le e-commerce, à placer leurs salariés en télétravail. Les entreprises les plus petites pensent être à l'abri des cyberattaques. C'est une illusion, parfois mortelle : des entreprises sont exposées à un risque de fermeture après une cyberattaque. Les coûts indirects se révèlent parfois avec un fort délai de latence.
Le président de la Réserve fédérale des États-Unis, Jerome Powell considère que les cyberattaques contre les entreprises constituent le risque actuel le plus important pour l'économie américaine, plus redoutable encore qu'une crise financière similaire à celle de 2008. Face à cette internationalisation du cybercrime, le Président de la République française a présenté, le 12 novembre 2021, au Forum sur la gouvernance d'Internet, un « appel de Paris » pour la sécurité du cyberespace.
La cybersécurité était, en 2018, loin d'être considérée comme « l'affaire de tous », comme le déplorait d'ailleurs CCI France. De trop nombreuses entreprises, notamment les PME et TPE, ne se sentaient pas concernées. Le sujet semblait technique, externalisable, solutionnable par le simple achat d'un pare-feu ! Or, si le dirigeant comme les salariés ne s'en saisissent pas, la cybersécurité ne s'implante pas, ne se diffuse pas.
Cependant, un basculement s'est opéré au printemps 2020. La surface d'exposition aux cyberattaques a été nettement augmentée avec plus de 8 millions de salariés en télétravail. Dans un premier temps, les entreprises ont même encouragé leurs salariés à utiliser leur propre équipement informatique. Cette situation a créé des brèches de sécurité. L'urgence était alors la continuité de l'activité davantage que la sécurité numérique. Les cybercriminels en ont profité : les attaques par phishing ont augmenté de 667 % entre le 1er et le 23 mars 2020.
Les dirigeants d'entreprise intègrent désormais ce risque de façon croissante mais inégale.
Face à la montée des failles de sécurité, leurs services informatiques tentent désormais d'imposer le concept Zero Trust, modèle de sécurité qui repose sur le principe qu'aucun utilisateur n'est totalement digne de confiance sur un réseau.
Les grandes entreprises intègrent d'autant plus ce risque que les investisseurs comme les grandes agences de notation intègrent le risque cyber dans leur notation financière. Un marché de la notation cyber s'est d'ailleurs développé. En outre, la notation ESG (environnement, société, gouvernance) comporte également une référence à la cybersécurité. Elle constitue une dimension essentielle de la gouvernance de l'entreprise mais également de la responsabilité sociétale des entreprises, sous l'angle de la protection contre le vol des données. La Plateforme RSE préconise même de créer une « responsabilité numérique des entreprises » (RNE).
Le niveau de cybersécurité des entreprises doit être rapidement et fortement augmenté avant l'arrivée de l'internet des objets (IoT), qui va étendre de façon exponentielle la surface d'exposition au cyberrisque. Il en est de même de l'ordinateur quantique, qui va démultiplier les capacités d'intrusion, ou encore de l'Intelligence Artificielle.
Le dispositif de cyberprotection publique privilégie, et c'est normal, les entreprises d'importance vitale.
Ces entreprises, qualifiées d'opérateurs d'importance vitale (OIV), dont le nombre exact et l'identité sont tenus secrets, sont protégées de manière satisfaisante à l'échelle européenne et nationale, par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). En revanche, les TPE et PME, comme les ETI qui ne sont pas identifiées comme d'importance vitale, ne sont pas assez bien cyberprotégées par ce dispositif public.
La cybersécurité publique se caractérise par un équilibre entre centralité de la compétence technique et proximité, avec la possibilité de déposer plainte dans les gendarmeries et commissariats, dont les personnels sont progressivement formés.
Elle assure une répartition originale des compétences non en fonction de la localisation de l'infraction (critère territorial) mais en fonction de la famille de rançongiciel à traiter (critère fonctionnel). La taille de l'entreprise est neutre dans le traitement judiciaire de la cyberattaque.
Ce dispositif public comprend une capacité de projection de forces d'intervention sur le terrain à même de rassurer un dirigeant d'entreprise lequel, le plus souvent, ignore les compétences numériques de la Police nationale ou de la Gendarmerie.
La cybersécurité des entreprises repose sur le bon fonctionnement d'une triple coopération, afin de partager l'information à des fins de prévention comme de remédiation :
- coopération entre la police et la gendarmerie, qui se sont chacun dotés d'outils distincts,
- entre le secteur public et les acteurs privés,
- entre la France et ses partenaires européens, et même internationaux.
Toutefois, la justice reste démunie alors que le cybercrime s'est industrialisé.
Plusieurs conclusions peuvent être tirées de ce rapide tour d'horizon.
Première conclusion : la cybersécurité est difficilement accessible aux PME. Si les grandes entreprises sont mieux protégées, les PME sont plus vulnérables.
Les cybercriminels font des études de marché sur leurs cibles. Lorsque celles-ci ont atteint un niveau supérieur de protection, ils réorientent des attaques sophistiquées via leurs sous-traitants ou fournisseurs plus fragiles en termes de cybersécurité.
Je vais développer ce point et cet « effet domino » : face à la multiplication des cyberattaques, les grandes entreprises et les ETI ont pris des mesures de défense compliquant la tâche des cybercriminels. En particulier, les stratégies de sauvegarde et de reconstruction efficace des systèmes informatiques rendent le blocage des systèmes moins pertinent pour faire payer la rançon. Une meilleure cyberdéfense des grandes entreprises a eu comme contrepartie de détourner la cybercriminalité vers les plus petites entreprises plus vulnérables. Cette translation du risque continue cependant à affaiblir, par rétroaction, la cybersécurité des grandes entreprises. En effet, l'accès à distance au système d'information de l'entreprise augmente sa surface d'attaque en ouvrant de nouvelles portes. Les attaques ciblant la supply-chain utilisent le maillon faible qu'est le réseau interne d'un fournisseur ou d'un sous-traitant, moins bien sécurisé, pour s'introduire dans le système d'information de la grande entreprise. La cybersécurité est donc l'affaire de toute la chaine de valeur.
Deuxième conclusion : Le salarié est souvent le maillon faible de la cybersécurité, et donc parfois le « cheval de Troie ».
La cybersécurité est encore trop perçue comme une contrainte supplémentaire par les salariés. Le fonctionnement en silos du management d'un certain nombre d'entreprises ne favorise pas toujours ce travail d'équipe, puisqu'une collaboration minimaliste ne permet pas de diffuser de façon efficace une culture partagée. Cette dernière doit impliquer le dirigeant et tout le management. La cybersécurité suppose une hygiène numérique constante et des « gestes barrières » permanents de la part de chacun. L'augmentation du budget alloué aux outils n'est pas une réponse suffisante face à la multiplication des menaces de plus en plus sophistiquées. Chaque salarié dispose de la clé de la cybersécurité de son entreprise.
La pénurie d'expertise humaine en matière de cybersécurité est mondiale. Dès lors, ce handicap est particulièrement aggravé pour les TPE PME pour lesquelles la ressource humaine devient pratiquement inaccessible. Au déficit de compétences en cybersécurité s'ajoute le fait que les entreprises ne mesurent pas toujours à leur juste valeur l'intérêt de sécuriser l'information.
Troisième conclusion : pour accéder au cloud, les PME sont dans une situation inconfortable. Elles n'en maîtrisent pas techniquement les enjeux et souffrent d'une relation commerciale déséquilibrée. Certains fournisseurs déclinent même toute responsabilité en matière de disponibilité ou de fonctionnalité du service.
Malgré le principe de libre circulation des données, traduite par le règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018, et les lignes directrices du 29 mai 2019, le processus d'autorégulation du marché du cloud s'est interrompu en novembre 2019, faute d'accord sur la rédaction de codes de conduite. Il existe une asymétrie systémique entre grands fournisseurs mondiaux de services cloud et leurs utilisateurs.
Pour une PME, accéder au cloud s'apparente à conclure un contrat d'adhésion contenant des clauses parfois abusives.
Quatrième conclusion : la cybersécurité est une menace mais peut également constituer une opportunité économique. C'est un marché en plein développement.
L'écosystème français de la cybersécurité est en voie de consolidation. Le Gouvernement a affiché un objectif ambitieux de leadership de la France dans ce domaine.
La cybersécurité et la sécurité numérique réalisent en France 13 milliards d'euros de chiffre d'affaires. Ce secteur est en forte croissance ; il dégage 6,1 milliards d'euros de valeur ajoutée et emploie 67 000 personnes. Le marché mondial de la cybersécurité devrait représenter 150 milliards de dollars en 2023.
L'offre française de cybersécurité demeure très fragmentée avec une forte exposition à la concurrence mondiale. Notre pays comporte toutefois des leaders mondiaux. Il dispose d'atouts de premier plan pour pérenniser son avance technologique et économique, notamment dans trois domaines : l'Intelligence Artificielle et l'apprentissage automatique (ou machine learning), la cryptographie et la technologie post-quantique.
Associée jusqu'ici à l'idée de contraintes et de dépenses, la cybersécurité doit être considérée aujourd'hui par tous comme un atout compétitif et un investissement productif. Un comportement cybersécurisé devient d'ailleurs un critère de sélection pour les clients soucieux à l'idée de confier des données personnelles, voire sensibles, à une entreprise.
La stratégie de l'État vise à encourager le développement d'un écosystème de la cybersécurité.
La cybersécurité et la sécurité de l'Internet des Objets (IoT) est l'une des cinq priorités du contrat stratégique de la filière « industries de sécurité » du 29 janvier 2020. Il s'agit de « positionner l'industrie française comme leader mondial de la cybersécurité et de la sécurité de l'IoT ».
Le développement de l'excellence de la filière française de cybersécurité devrait se traduire par une politique publique d'achat de solutions de cybersécurité françaises. Ce n'est hélas pas le cas. L'achat de solutions étrangères non maîtrisées est susceptible de menacer la souveraineté de la France. Il manque une culture d'achat de produits français de cybersécurité.
Afin de fédérer la communauté de la cybersécurité et à développer des synergies entre ces différents acteurs, un cybercampus doit s'installer à l'automne 2021 à la Défense. Ce « lieu totem de la cybersécurité » doit rassembler les principaux acteurs nationaux, publics et privés.
Cinquième conclusion : par réalisme, le Gouvernement vient d'acter une impossible reconquête de la souveraineté numérique dans le cloud.
Ce marché devrait exploser en passant de 63 milliards d'euros en 2021 à 560 milliards en 2030. La maîtrise des données des entreprises est un enjeu de souveraineté. Socle incontournable du développement des entreprises, y compris des PME, il est difficile à la France de recouvrer sa souveraineté dans le cloud. Ce dernier est dominé actuellement par trois acteurs américains qui possèdent 70 % de parts de marché.
La volonté de retrouver la souveraineté des données est régulièrement évoquée en France depuis 2010. Après l'échec d'Andromède, l'État français a rejoint, en mai 2020, l'initiative allemande Gaia-X et a abandonné l'idée de créer ex-nihilo une nouvelle entreprise soutenue par la puissance publique et de grandes entreprises. L'objectif est désormais de former une infrastructure européenne articulée autour d'un organisme de gouvernance et de coordination chargé d'émettre des standards de sécurité, d'interopérabilité et de portabilité des données.
La stratégie nationale pour le cloud de mai 2021 acte l'avance non rattrapable du secteur privé américain. Il s'agit désormais de maîtriser notre dépendance dans la durée. Le pari gouvernemental invoque le précédent du nucléaire, notre autonomie s'étant développée sous licence de technologies américaines.
Je cède la parole à Sébastien Meurant, mon co-apporteur, qui vous présentera nos propositions communes.
M. Sébastien Meurant, rapporteur. - Il me revient de vous présenter nos propositions afin de mettre la cybersécurité à la portée des PME.
Conformément à la « doctrine » de la Délégation, nous avons écarté toute proposition qui n'irait pas dans le sens de la simplification pour les entreprises.
Face au virus de la cybercriminalité, il faut tester, alerter, protéger. C'est autour de ces trois axes que nous avons organisé nos recommandations.
- Axe 1 : Tester la cyberrésilience des entreprises
Nous avons constaté que le dispositif cybermalveillance.gouv.fr reste mal connu non seulement des entreprises mais aussi des forces de police ou de gendarmerie, sur le terrain. Il faut donc promouvoir davantage ce dispositif auprès des entreprises et dédier un service d'urgence aux entreprises. À cet effet, il est proposé de mobiliser sur sa plateforme d'appel des étudiants disposant des compétences numériques adéquates et effectuant leur service civique (proposition n°1).
Un recueil anonymisé de plaintes doit être ouvert afin d'encourager les entreprises à signaler les cyberattaques sans porter atteinte à leur réputation, tout en décourageant la publicité autour des logiciels malveillants (proposition n°2).
Pour faciliter l'accès des PME à la cyberprotection, des équipes de réponse aux incidents informatiques (CSIRT Computer Security Incident Response Team) doivent être déployés dans les Régions afin de sensibiliser les collectivités locales, qui sont, avec les hôpitaux publics, également des cibles pour la cybercriminalité (proposition n°3). Nous vous proposerons à l'automne, avec la Délégation aux collectivités territoriales, de sensibiliser les grandes associations d'élus.
Pour tester la résilience du tissu entrepreneurial, l'État doit élaborer des plans de prévention des cyberrisques afin de coordonner la réponse des pouvoirs publics et des acteurs privés en cas d'attaque numérique systémique affectant une part significative des entreprises quelle que soit leur taille, et organiser régulièrement des exercices de simulation (proposition n°5).
- Axe 2 : Alerter sur le péril cyber
Salariés et dirigeants d'entreprise doivent être davantage sensibilisés à la cybersécurité, à l'hygiène numérique et ses gestes barrières. Les salariés, en se voyant proposer une sensibilisation par la voie de la formation professionnelle (proposition n°9). Deux amendements seront proposés dans ce sens au projet de loi pourtant lutte contre le dérèglement climatique et renforcement de la résilience face à ses effets, l'article 18 précisant le rôle des OPCO dans l'accompagnement des entreprises sur les enjeux relatifs à la transition écologique, et la transition numérique en étant un élément constitutif indissociable.La sensibilisation des dirigeants d'entreprise à la cybersécurité est également vitale, puisque leur responsabilité personnelle peut être engagée en cas de cyberattaque de la chaîne de valeur dont ils sont partie prenante. Les dirigeants de PME voient être mieux mieux prévenus et alertés du risque de devenir à la fois victime et responsable d'un cybersinistre (proposition n°15).
Pour les encourager dans cette démarche, le rôle d'alerte et de conseil des experts-comptables ou commissaires aux comptes, devrait pouvoir utiliser un référentiel de cybersécurité accessible aux PME et TPE (proposition n°14). Celles-ci ne peuvent pas en effet lire et appliquer les 1000 pages des recommandations de l'ANSSI !
Afin de renforcer la security by design, l'intégration de la sécurité lors de la conception et tout au long du cycle de vie d'un logiciel, deux mesures peuvent être proposées. La première est d'adapter, pour les entreprises, les garanties de mise à jour -notamment de sécurité- des logiciels. Celles-ci ont été récemment renforcées pour les consommateurs, notamment dans la proposition de loi sénatoriale sur l'empreinte environnementale du numérique qui est discutée aujourd'hui à l'Assemblée nationale. La seconde proposition sur ce point est d'organiser un « hackathon de la cybersécurité des entreprises » - c'est-à-dire un regroupement sur plusieurs jours de développeurs, dans le but de travailler en collaboration sur le développement de nouveaux logiciels - avec le support de l'ANSSI, ciblant notamment les logiciels mis sur le marché. Il pourrait se tenir tous les 30 novembre, qui est la Journée mondiale de la cybersécurité (proposition n°13).
Afin de sensibiliser le grand public à la cybersécurité, un cyberscore des plateformes numériques doit être instauré, comme le Sénat l'a récemment proposé (proposition n°22), et une campagne massive de promotion des métiers de la cybersécurité doit être déployée (proposition n°10).
- Axe 3 : Protéger les ETI, PME et TPE par des outils adaptés
Ce troisième volet est bien entendu le coeur de la cyberprotection des TPE et PME.
L'État a annoncé en février dernier, après les cyberattaques contre des hôpitaux notamment, « 1 milliard en faveur de la cybersécurité », dont 720 millions de financements publics, mais on peine à en voir la traduction pour les entreprises. L'essentiel des crédits renforce en effet la cybersécurité de la sphère publique.
Alors même que rien n'est prévu en la matière, il faut renforcer la réponse pénale à la cybercriminalité dans quatre directions :
1. Développer la formation initiale et continue des magistrats en matière de cybercriminalité ;
2. Augmenter les effectifs spécialisés en cybersécurité des forces de sécurité ;
3. Doter les forces de cybersécurité de moyens financiers adéquats ;
4. Étudier la faisabilité de la création d'un Parquet national de lutte contre le cybercrime.
C'est la proposition n°6.En complément, et pour répondre à l'industrialisation de la cybercriminalité, les procédures pénales doivent être adaptées pour accélérer la réponse judiciaire et renforcer la coopération avec l'ANSSI au-delà de la lutte contre le terrorisme (proposition n°7).La présidence française de l'Union européenne au premier semestre 2022 doit être mise à profit pour accélérer les négociations sur les amendements à la convention de Budapest de 2001 sur la cybercriminalité, et sur le projet de règlement européen sur la preuve numérique (paquet « e-evidence ») afin de débloquer les négociations entre les États-Unis et l'Union européenne. Il s'agit ainsi d'approfondir la coopération internationale contre la cybercriminalité (proposition n°8).Pour aider à la consolidation de l'écosystème français de la cyberprotection, le droit de la commande publique doit évoluer. Il faut en pérenniser les dispositions du décret du 24 décembre 2018, qui permet aux entités publiques de passer des marchés dans des domaines innovants, donc de cybersécurité, sans appel d'offre jusqu'à 100 000 euros. Il faut aussi permettre aux start-up de cybersécurité de proposer aux collectivités publiques leurs produits en dehors des plateformes de grossistes. Aujourd'hui, l'UGAP passe par une société britannique !
Tous nos interlocuteurs dans ce domaine, qui sont des start up, ont demandé non pas des subventions publiques mais des marchés publics, seul levier permettant de consolider cet écosystème que le Gouvernement appelle de ses voeux. Encore faut-il que ce ne soit pas des voeux pieux ! Il faut donc étudier la possibilité que les opérateurs de réseaux puissent privilégier un achat européen ou national de solutions de cybersécurité (proposition n°4).Pour approfondir la cybersécurité des entreprises, le rôle des assurances est décisif.
Aujourd'hui, une entreprise française sur cinq paye un rançongiciel. En général, elle se fait ensuite rembourser par son assurance. Le coût assurantiel des cyberattaques a triplé en un an. Le taux de couverture des PME est inexistant : il est seulement de 0,0026 % ! La France est l'un des pays qui paye le plus au monde ces demandes de rançons, selon une étude de l'assureur Hiscox. Lors de notre table ronde du 15 avril, le directeur général de l'ANSSI a indiqué que les porteurs de risques « préfèrent payer quelques millions de rançons plutôt que quelques dizaines de millions au titre de la perte des données garantie par la police d'assurance contractée. Nous devons mener un travail de fond pour casser ce cercle vicieux autour du paiement des rançons. » Ce secteur, très divisé sur le sujet, attend une position claire des pouvoirs publics. Le Haut comité juridique de la place de Paris a été missionné à cet effet par la direction générale du Trésor. Il devrait rendre ses conclusions sur ce sujet le 29 septembre. Nous proposons d'interdire le remboursement par l'assurance des rançongiciels pour trois raisons :
Payer ne garantit pas de récupérer les données et attire de nouveaux prédateurs. ;- Payer alimente la cybercriminalité, voire le terrorisme ;
- Payer empêche de construire un marché sain de la cyberassurance.
Aux États-Unis, une agence du Département du Trésor du 1er octobre 2020 a clairement indiqué que, dans certains cas, les sociétés qui acceptent de céder au chantage des groupes cybercriminels pourraient également être sanctionnées par les autorités américaines.
Nous proposons donc d'interdire l'assurabilité des rançongiciels et des sanctions administratives en cas en cas de violation de la réglementation sur la protection des données à caractère personnel. Cette interdiction doit être actée au niveau européen (par un amendement à la convention de Budapest du Conseil de l'Europe), par un règlement de l'Union européenne, et au niveau national, par une disposition législative expresse dans le code des assurances (proposition n°12).Dans un deuxième temps, le marché de l'assurance doit être affermi par une meilleure compréhension du risque, en ayant la connaissance la plus exhaustive possible des sinistres. Il faut également promouvoir l'utilisation de logiciels et d'experts en cybersécurité certifiés, comme le label ExpertCyber. Enfin, dans une plus longue perspective, il faut créer une agence de cybernotation française ou européenne, utilisant les référentiels de l'ANSSI (ou de l'ENISA) (proposition n°16).Dans un troisième temps, l'éligibilité à un remboursement par les assurances devra être réservée aux entreprises qui ont eu recours aux services des prestataires labellisés Expert Cyber (proposition n°11).
Nous proposons par ailleurs des solutions simples et mutualisées pour renforcer la cybersécurité des PME.
Pour remédier à la pénurie de ressources humaines en expertise, il faut faciliter la mutualisation des responsables de sécurité des systèmes informatiques (RSSI) pour les PME, par la constitution de groupements d'employeurs, ayant un statut de tiers de confiance (proposition n°17).Pour simplifier la vie des entreprises, il faut développer l'offre d'un « package » simplifié de solutions de cybersécurité pour les TPE et PME (proposition n°18).
Pour rétablir l'égalité des relations contractuelles dans le cloud, il faut enfin accorder aux TPE et PME, dont le champ de l'activité principale n'est pas le numérique, la protection de l'article L.212-1 du Code de la consommation sur les clauses abusives (proposition n°19).Cette mise à la portée des PME d'une certification automatique de cybersécurité existe actuellement en Grande-Bretagne : tous les services hébergés dans le cloud proposé par Amazon répondent aux exigences de l'agence britannique de cyberprotection.
Pourquoi ne pas étudier, en France, la faisabilité d'une solution comparable, de démarrage rapide configurant l'usage du cloud aux prescriptions de cybersécurité définies par l'ANSSI ?
Par ailleurs, à l'échelle de l'Union européenne, une approche commune franco-allemande pourrait plaider en faveur d'une meilleure prise en considération des PME dans le schéma européen de certification de cybersécurité pour les services cloud qui doit uniformiser le marché (proposition n°20).
Pour financer cette mise à niveau de la cyberprotection, il faut, comme le Sénat l'a préconisé à de multiples occasions, mettre en place un crédit d'impôt à destination des chefs d'entreprise et des salariés des PME, prenant en charge une partie des dépenses d'équipement (logiciels ou abonnement cloud) et de formation des dirigeants et salariés à la cybersécurité (proposition n°21).Avec ces propositions, nous ne prétendons pas clore un sujet qui évolue en permanence profondément, mais tracer quelques pistes pour que la coopération public- privé en faveur de la cyberprotection des entreprises soit la plus efficiente possible.
Je vous remercie pour votre attention.
M. Serge Babary, président. - Je remercie les rapporteurs pour ce remarquable travail, très dense et précis. Je signale la présence, dans les départements, de cybergendarmes qui seront des référents numériques dans les gendarmeries. J'ouvre le débat sur vos conclusions.
M. Christian Klinger. - La cybercriminalité est un phénomène nouveau et récent, notamment le rançonnage et les forces de police et de justice manquent de moyens adéquats pour l'affronter. Il faut en priorité y affecter des ressources humaines. La coopération européenne ne doit-elle pas s'élargir à international ? Nous sommes en effet confrontés à une cybercriminalité sinon d'État du moins encouragée par certains d'entre eux qui favorisent avec bienveillance un cyberespionnage à des fins industrielles et commerciales ? La technologie de l'ordinateur quantique sera-t-elle plus protectrice ?
M. Sébastien Meurant. - Le phénomène est récent mais s'accélère. Il faut en effet renforcer le pôle cyber du Parquet de Paris, qui a une compétence nationale mais comprend seulement trois magistrats. La prise de conscience de la dimension et de la spécificité de la cybercriminalité existe au niveau national des forces de sécurité, que ce soit la police ou la gendarmerie. Sur le terrain, dans nos territoires, la situation est plus contrastée. Les dispositifs de cyberprotection des entreprises ne sont pas suffisamment connus. Il existe des formations des forces de sécurité mais pas de « ruissellement » pour apporter des réponses adéquates. Nous avons pu visiter le C3N, centre de lutte contre les criminalités numériques, service à compétence judiciaire nationale, qui regroupe l'ensemble des unités du pôle judiciaire de la Gendarmerie nationale traitant directement de questions en rapport avec la criminalité et les analyses numériques. Il jouit du savoir-faire militaire de la gendarmerie et s'occupe de la sécurité nationale. La coopération internationale, européenne et américaine, est en effet nécessaire car le cybercrime n'a pas de frontière. Il est particulièrement difficile d'apporter la preuve numérique et d'agir sur des ordinateurs infectés par des réseaux criminels situés à l'étranger, sans l'accord de l'entreprise concernée ou la coopération de l'État dans lequel ils se situent. Nous ne sommes pas naïfs et savons que certains de ces réseaux sont soutenus par certains États malveillants, pour des motifs géopoliques.
Quant à l'ordinateur quantique, c'est une version moderne de la course entre le bouclier et l'épée. Il devrait permettre une meilleure cyberprotection, mais cette technologie peut aussi être utilisée par les cybercriminels pour démultiplier leurs forfaits. C'est une course et la protection doit être en avance.
M. Rémi Cardon. - Le déploiement dans les régions d'équipes de réponse aux incidents informatiques, après l'inauguration du cybercampus doit faciliter l'accès des PME à la cyberprotection tout en sensibilisant les collectivités locales. On a constaté une forte augmentation de la fréquentation du site cybermalveillance.gouv.fr, mais sans une croissance corrélative du dépôt de plainte car les acteurs de la cybersécurité publique ne sont pas suffisamment connus. Il faut une montée en compétence des forces de cybersécurité afin de recevoir, orienter et traiter correctement les plaintes selon les catégories du logiciel, origine de la cyberattaque. Le temps de l'appropriation de cette compétence est cependant long.
Mme Annick Billon. - Tous les territoires sont concernés par la cybercriminalité. En Vendée, l'entreprise PRB, de production de revêtements de façade pour le bâtiment, a été victime d'un rançongiciel, la semaine dernière. Cette entreprise, connue pour être un des sponsors de bateaux du Vendée Globe, a renvoyé ses 650 salariés chez eux le temps des réparations informatiques. Je suis donc persuadée que les propositions de la Délégation aux entreprises vont rencontrer un grand écho partout en France et en outre-mer ! Un parquet national spécialisé a été créé : la cybercriminalité pourrait-elle être également traitée par un parquet européen ? Quelle est la position des assurances sur le risque de 700 milliards d'euros ? Le Cybercampus de la Défense est-elle suffisante compte-tenu du fait que 43 % des PME ont été victimes. Une déclinaison territoriale n'est-elle pas nécessaire ?
M. Rémi Cardon. - Un parquet européen serait à la fois pertinent et complexe à mettre en place tant les stratégies des États sont différentes. Il permettrait cependant de mettre de la cohérence et de la performance dans la réponse pénale à la cybercriminalité, comme l'a indiqué le directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
Pour les assureurs, le risque cyber est un nouveau marché prometteur compte-tenu de la saturation des autres risques. Nous présentons une proposition forte, interdire le caractère assurable des cyberrançons, sans interdire toutefois leur paiement lorsque des emplois et des vies humaines sont menacées, notamment dans le domaine de la santé et des cliniques privées. Il faut un message fort et politique. Les cybercriminels procèdent à des études de marché de leurs victimes et dressent des bilans financiers.
L'ouverture du Cybercampus permettra de fédérer les forces publiques et privées de lutte contre la cybercriminalité mais le déploiement régional des équipes de réponse permet d'apporter une réponse de proximité aux entreprises. L'articulation entre ces deux niveaux est encore floue et la coordination les régions que les CCI entre devra se préciser. Nous devrons faire le point à l'automne lorsque le Cybercampus sera opérationnel. Les sénateurs ont une responsabilité pour sensibiliser les territoires sur ce sujet.
M. Sébastien Meurant. - Il existe une très bonne coopération internationale, y compris avec l'Afrique. Les institutions judiciaires proposent des solutions rapides et nationales car il faut apporter une réponse efficace. Localement, il faut une maturité qui n'est pas encore présente.
Le modèle du cybercampus est Israël et, dans une moindre mesure, les États-Unis. Il associe grandes entreprises et start-up, avec un ticket d'entrée de l'ordre de 10 000 euros. Il créé une émulation vertueuse, pour faire grandir les start up en licornes. Une déclinaison territoriale régionale est nécessaire, de même qu'une formation minimale de toutes les forces de sécurité qui doivent être déployés dans les territoires.
S'agissant des assureurs, ils sont divisés. C'est un nouveau marché aux États-Unis. Pour certains, le cyberrisque est un nouveau marché, mais le risque reste mal connu des actuaires. Sur le caractère assurable des rançongiciels, nous avons auditionné le Haut comité juridique de la place financière de Paris qui a été missionné en début d'année par la direction générale du Trésor pour apporter des recommandations à ce sujet et devrait rendre ses conclusions le 29 septembre 2021. Il a été très prudent. Par ailleurs, si des cyberattaques se déploient pendant un conflit, si un État est le cyberattaquant, l'État sera-t-il assureur en dernier recours ? Il existe encore beaucoup d'interrogations, car le sujet reste encore nouveau.
Enfin, la coopération internationale se fonde sur la convention de Budapest sur la lutte contre la cybercriminalité, à laquelle les États-Unis sont partie. Elle date de 2001, alors que le premier virus informatique est apparu en 1989. S'agissant du parquet européen, il ne fonctionne que depuis début novembre 2020. Il doit donc monter en puissance avant que ses compétences ne soient étendues à d'autres sujets que les infractions pénales portant atteinte aux intérêts financiers de l'Union européenne.
M. Martin Lévrier. - Comme pour la pandémie que nous venons de traverser, le meilleur des remèdes à la cybercriminalité est la prévention et donc l'hygiène numérique. Ne faudrait-il pas une incitation fiscale à la formation à la cybersécurité des entreprises ?
M. Rémi Cardon. - Cette prévention doit commencer dès le plus jeune âge et l'Éducation nationale doit mobiliser ses ressources humaines pour former au numérique et à la dimension de la cybersécurité, car il faut apprendre à vivre avec internet. Or, les entreprises manquent de compétence. La filière doit se développer dans l'enseignement supérieur.
La prise de conscience des entreprises est parfois tardive. Elles ont également besoin d'auditer leurs outils informatiques afin de repérer les failles. Nous proposons un crédit d'impôt afin de le prendre en charge en
Les centres régionaux de réponse informatique conduiront sans doute les régions à s'impliquer davantage dans ce domaine, qui aurait pu être un enjeu des élections régionales !
M. Sébastien Meurant. - La question n'est pas de savoir si une entreprise va être cyberattaquée mais quand. L'hygiène numérique est davantage une question comportementale qu'un sujet financier, et la cybersécurité est à la fois collective et individuelle. Nous proposons cependant, et à nouveau, un crédit d'impôt pour inciter les entreprises à renforcer leurs outils de cybersécurité ainsi qu'un cyberscore des plateformes numériques destinées au grand public, comme le Sénat l'a voté en octobre 2020, pour sensibiliser tous les citoyens qui doivent l'être, dès l'école, notamment avec le cyberharcèlement. La cybersécurité nous concerne tous, les sénateurs y compris : regardons comment nous gérons nos mots de passe !
Mme Martine Berthet. - Plusieurs questions que je voulais poser ont évoqué les sujets que je voulais aborder. La cybersécurité peut menacer des vies lorsqu'elle s'attaque aux hôpitaux, comme, récemment, celui d'Albertville, voire pouvoir perturber les systèmes de déclenchement des avalanches. Ce sujet est d'une grande ampleur, et le chiffre que vous avez cité, la cybercriminalité étant la troisième économie mondiale après les États-Unis et la Chine, impressionne.
Vous avez évoqué les métiers de la cybersécurité. Sont-ils réservés à des formations de bac +2, rapides à obtenir : comment intéresser les jeunes, quelles sont les filières ?
M. Rémi Cardon. - Il existe en effet une pénurie d'ingénieurs, citée à chaque audition. L'enseignement supérieur doit se mobiliser pour accroître l'offre de formation d'une filière essentielle. Mais la culture de cybersécurité des étudiants des grandes écoles, en dehors des filières informatiques, doit également se renforcer. Les métiers de la cybersécurité recrutent des profils très divers, très loin du stéréotype du jeune « geek » à capuche ! Ces derniers peuvent d'ailleurs trouver un débouché professionnel à leur passion.
M. Sébastien Meurant. - Cette pénurie est mondiale, ce qui explique les difficultés de recrutement, d'autant que les salaires sont plus attractifs aux États-Unis, ce qui pose la question de la rémunération des experts contractuels des forces de cybersécurité, qui demeurent dans nos forces de police car ils n'ont pas que des motivations financières. Les formations en bac +2 offrent des débouchés mais manquent de demandes. Il s'agit de métiers d'avenir, bien rémunérés, qui ont du sens, sont accessibles dès le niveau bac et pas seulement à une élite mathématique, et qui doivent être davantage féminisés. Il faut décentraliser la cybersécurité dans les territoires pour renforcer l'attraction de ces métiers.
M. Daniel Salmon. - La question de la cybersécurité des hôpitaux publics pose la question de la vulnérabilité de notre société comme de l'insuffisance de leurs moyens de l'hôpital. Elle souligne la nécessité de la sauvegarde manuelle et, plus généralement, de la capacité humaine à gérer ces cyberattaques pour garantir la résilience de ces entités.
M. Sébastien Meurant. - La liste des hôpitaux cyberattaqués est impressionnante. La réaction de l'AP-HP a été rapide, grâce à la capacité de garder, dans la mémoire humaine des médecins, les patients soignés pour des infections de longue durée.
Mais ces attaques soulignent la nécessité de renforcer la sécurité du cloud car on ne peut aller en arrière. La numérisation de la santé est un processus irréversible et présente des avantages. On opère avec des robots, on effectue des imageries par résonance magnétique (IRM) qui sont des process numérisés et dématérialisés. Il faut des procédures de sauvegarde solides car les cyberattaques posent des questions de vie ou de mort comme on l'a vu avec la panne d'Orange, qui a affecté les numéros téléphoniques d'urgence.
Comme vient de le souligner M. Guillaume Poupard, directeur de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui publie ce matin son rapport annuel, les cybercriminels ont compris que les attaques contre des hôpitaux publics étaient vaines car il ne peuvent pas payer de rançons et l'ANSSI s'attend à voir le nombre de cyberattaques diminuer.
M. Rémi Cardon. - Les cliniques privées sont dans une situation différente. Elles sont des cibles de choix, les cybercriminels calculant leurs demandes de rançons en fonction de leur bilan financier. Lorsqu'elles sont cyberattaquées, leur résilience dépend de leur rapidité de réaction et de sauvegarder des données et de les récupérer. À cet égard, il faudra s'interroger à l'avenir sur le niveau de protection de Health Data Hub, hébergé chez Microsoft.
M. Serge Babary, président. - Je vous remercie pour ces précisions et soumets les conclusions du rapport à votre approbation. Ne relevant aucune opposition, je constate que le rapport est approuvé à l'unanimité par la Délégation aux entreprises.
La séance est levée à 10 heures 30.