Les sénateurs plaident pour une cybersécurité de proximité
La délégation aux entreprises du Sénat déplore une prise de conscience tardive des pouvoirs publics des enjeux de cybersécurité et une action longtemps centrée sur les seuls opérateurs d’importance vitale. Les sénateurs plaident notamment pour une approche plus décentralisée de la cybersécurité et une interdiction temporaire du paiement des rançons par les assurances.
Rémi Cardon (Soc.) et Sébastien Meurant (LR), au nom de la délégation aux entreprises du sénat ont dévoilé le 11 juin 2021 leurs propositions pour renforcer la cybersécurité des entreprises. Déplorant une action "tardive", ils invitent les pouvoirs publics à un "sursaut" pour éviter le "chaos" induit par l'explosion des cyberattaques. 43% des PME auraient ainsi déploré un incident de cybersécurité en 2020, les attaques par rançongiciel étant multipliées par 4 selon l'Anssi entre 2020 et 2021. Les TPE comme les petites collectivités ne sont pas épargnées par un phénomène que les sénateurs ont eu du mal à quantifier. Un manque de statistiques imputable au fait que les entités étatiques en charge de la cybersécurité, et notamment cybermalveillance, sont mal identifiées selon les sénateurs. Par ailleurs, les forces de l’ordre comme les juridictions locales ne sont pas suffisamment formées aux risques cyber pour accompagner les victimes.
Anonymisation des plaintes
Ces dernières ne sont donc pas incitées à porter plainte. Pour y remédier, les sénateurs préconisent "l'anonymisation des déclarations" qui "permettrait aux entreprises victimes de préserver leur capital relationnel et leur image de marque". Ils invitent aussi à "une montée en compétence des forces de cybersécurité afin de recevoir, orienter et traiter correctement les plaintes selon les catégories de logiciels à l'origine de la cyberattaque". Ils suggèrent que le GIP Acyma (Cybermalveillance) s’appuie sur des jeunes en service civique pour renforcer le rôle d’accompagnement des entreprises. Concernant le volet régalien, ils appellent à un renforcement de la réponse pénale en formant les magistrats et à une augmentation des moyens financiers et humains des forces de cybersécurité. Ils proposent d'étudier la faisabilité d'un "parquet national de lutte contre le cybercrime", décliné localement au niveau des juridictions.
Des CISRT au service d'une cybersécurité de proximité
La délégation aux entreprises note ensuite que l’État s’est pour le moment concentré essentiellement sur la protection des opérateurs d'importance vitale (OIV) qui sont les seuls à pouvoir solliciter l’aide de l’Anssi. Or ni les PME, ni les collectivités, ni même les hôpitaux - hors CHU et, depuis peu, une centaine d’hôpitaux régionaux - ne font partie des OIV. Pour accompagner les TPE, PME et petites collectivités, les sénateurs plaident, parallèlement à Cybermalveillance, pour une approche plus décentralisée, s’appuyant sur les centres réponse aux incidents informatiques ou CSIRT (Computer Security Incident Response Team). Ceux-ci sont actuellement en cours de mise en place, sous la houlette de l'Anssi, dans le cadre du plan de relance (voir notre article du 11 juin 2021). Des CISRT que les sénateurs voient comme un vecteur de développement d'une culture cyber de proximité, auprès des PME/TPE comme des collectivités locales. Ils suggèrent du reste que ces CISRT fassent partie intégrante du (nouveau) volet "cybersécurité" des schémas régionaux de développement économique d'internationalisation et d'innovation (SRDEII).
Simplifier et mutualiser la cybersécurité
Ils demandent également l’élaboration de "plans nationaux de prévention des cyber risques" destinés coordonner les réponses des pouvoirs publics et des acteurs privés en cas "d’attaque numérique systémique" et d’organiser régulièrement des exercices de simulation. Pour simplifier l’équipement des structures de taille petites et moyennes ils appellent à la création de "solutions simples et mutualisées" notamment pour l’informatiques en nuage (cloud computing).
Pour les achats cyber des collectivités, ils invitent à pérenniser les dispositions du décret du 24 décembre 2018. Celui-ci permet aux collectivités locales de passer un marché sans mise en concurrence pour des "services innovants". Des investissements dans la cybersécurité susceptibles de bénéficier aux pépites françaises, un secteur qui pèse 13 milliards d’euros et emploie 67.000 personnes.
Interdiction temporaire du paiement des rançons
En matière d'assurances, les sénateurs suggèrent une stratégie en trois étapes, coordonnée au niveau européen. Dans un premier temps, ils préconisent d'interdire aux assurances de couvrir le paiement d'une rançon ou toute violation de la réglementation des données personnelles (RGPD). Cette interdiction aurait vocation à permettre aux assureurs d'affiner leur connaissance des risques et au marché européen de la cybersécurité de se structurer. "À terme", cette assurabilité serait réservée aux seules entités ayant eu recours aux services de prestataires labellisés "Expert Cyber". Ils suggèrent aussi que les marchés publics portant sur la souscription d'assurances sur les risques cyber soient dispensés de publicité.