Une seconde réunion du Cercle Cybersécurité CIGREF
Après Guillaume Poupard qui avait inauguré le Cercle Cybersécurité CIGREF, le nouvel invité a été Jean-Yves Latournerie, Préfet chargé de la lutte contre les cybermenaces, Ministère de l’intérieur.
Quand la transformation numérique s’accélère… développer une filière française de la sécurité numérique
Pascal Buffard, Président du CIGREF, commence par rappeler que depuis déjà 5 ans, face à ce qui commençait à se passer dans le monde, notamment la propagation des usages du numérique, le CIGREF a développé l’ambition de « promouvoir la culture numérique comme source d’innovation et de performance pour nos entreprises ». C’est ce qui l’a conduit à mener de nombreux travaux et à publier quelques ouvrages. Le dernier s’appuie sur les travaux de sa Fondation de recherche, avec l’objectif de dessiner les futurs possibles de l’Entreprise de 2020. Cet ebook « Entreprise 2020, enjeux et défis » est disponible gratuitement. L’un de ces 9 enjeux identifiés dans cet ouvrage concerne directement ce qui nous réunit au sein de ce Cercle Cybersécurité CIGREF, c’est « Maitriser les risques numériques ».
La transformation numérique se développe désormais à une très grande vitesse, de façon exponentielle et non linéaire. Le défi consiste de plus en plus à sensibiliser et renforcer la souveraineté en développant une filière française de la sécurité numérique.
Le CIGREF travaille dans cet esprit. Il s’est notamment associé au « Groupe 33 Cybersécurité ». Nous avons également créé un Cycle de formation avec l’HINESJ pour sensibiliser les cadres dirigeants à la sécurité des usages numériques. On peut rappeler que ce cycle de formation a été labellisé par L’ANSSI. La prochaine promotion, ce sera la sixième, démarrera à la rentrée.
Autre action emblématique, nous avons créé, en nous appuyant sur la 4ème promotion INHESJ, le scénario d’un serious game qui a pour vocation de sensibiliser l’ensemble des collaborateurs de l’entreprise. Ce jeu1 a d’ailleurs été repris dans le rapport présenté par la députée Anne-Yvonne Le Dain et le sénateur Bruno Sido « Sécurité numérique et risques : enjeux et chances pour les entreprises ».
Dans quel état de préparation sera mon entreprise quand elle sera attaquée…
Jean-Pau Mazoyer, Président du Cercle Cybersécurité CIGREF, explique que le point de départ à la création de ce Cercle a été cette évidence :
« la question n’est pas de savoir si on va être attaqué, ni même quand on sera attaqué… mais dans quel état de préparation on sera au moment où on le sera ».
Le Cercle a donc entrepris de travailler sur des axes allant de la sensibilisation des personnels de l’entreprise jusqu’au système de reconstruction rapide. Autre constat, le meilleur interlocuteur pour aborder la cybersécurité n’est pas uniquement le RSSI, le DSI doit absolument s’en saisir lui aussi.
Nous avons pu constater que la sécurité des systèmes d’information représente entre 4 et 5% des budgets informatiques. L’essentiel de ces budgets est consacrés à la protection. Il faut améliorer les budgets dédiés à la surveillance et à la reconstruction rapide.
Au-delà de ses différentes actions de sensibilisation, comme le serious game « Keep an Eye Out » et d’autres tournées vers les particuliers en général, le Cercle Cybersécurité CIGREF, suggère que la cybersécurité soit déclarée « cause nationale », au sens où elle concerne chaque jour davantage la société dans son ensemble.
Comment assurer la continuité de la vie de la nation…
Le Préfet Jean-Yves Latournerie rappelle qu’à l’origine, lorsqu’on évoquait la SSI, les préoccupations premières des utilisateurs, et des DSI eux-mêmes, concernaient la disponibilité, c’est-à-dire la capacité de disposer en permanence de systèmes d’information en état de marche. Depuis les années 2000, les préoccupations relatives à la protection des SI contre l’intrusion et à la sécurité des données ont pris le pas, et ont connu une accélération permanente !
Depuis toujours, l’Etat a pour mission active de protéger ses infrastructures critiques, ou celles qu’il a confiées à des opérateurs, pour assurer « la continuité de la vie de la nation » en toutes circonstances. De plus en plus s’agrègent, autour de ces infrastructures qui sont le cœur-même du système, des acteurs économiques essentiels, eux aussi, à la continuité de la vie de la nation. La nécessité de compléter le dispositif dans une approche systémique s’est donc imposée.
Cette approche globale n’est évidemment pas propre à la France. C’est pourquoi la cybersécurité fait l’objet d’une intense activité diplomatique, notamment dans les instances européennes, mise en œuvre sous la coordination du ministère des Affaires Etrangères et du Secrétariat général aux Affaires Européennes. Le ministère de l’Intérieur est très impliqué dans cette action, et, plus largement, dans le développement de la coopération internationale dans ce domaine.
Aujourd’hui, on ne sait pas encore mesurer précisément le phénomène de cybercriminalité, faute d’outils statistiques propres à cette forme de délinquance. Par ailleurs, bien souvent, la dimension cyber n’est caractérisée que par l’emploi d’un nouveau mode opératoire particulier pour perpétrer des actions criminelles classiques et bien connues sous d’autres formes : même réalisée sur Internet, une escroquerie reste fondamentalement un moyen de tirer avantage de l’insouciance, de la crédulité ou de la faiblesse de la victime… Pour autant, le ministère de l’intérieur travaille à l’adaptation d’outils qui seront mis en place en septembre prochain et donneront une meilleure visibilité statistique d’ici à septembre 2016.
Au-delà, comme toujours, les évolutions de la criminalité impliquent de faire évoluer les moyens. Ainsi, suite aux attaques subies dans le cadre des attentats du début d’année, de nouveaux effectifs sont affectés à la lutte contre la cybercriminalité. La sensibilisation et la prévention en direction des particuliers, des acteurs économiques, et des collectivités territoriales, est également un axe privilégié.
Le Préfet explique enfin que sa tâche est aussi d’être l’interlocuteur identifié des acteurs externes au ministère sur ces sujets de cybercriminalité, cyberdéfense, cybersécurité. Il lui revient de mettre en œuvre le plan d’action ministériel, et de le faire évoluer en fonction des besoins nouveaux qui apparaîtraient.
La sensibilisation, un axe majeur de la lutte contre la cybercriminalité
Jean-Yves Latournerie revient sur l’importance de la sensibilisation et de la prévention dans cette lutte contre les cybermenaces. Il explique que certains grands acteurs économiques, comme les membres du CIGREF, sont assez avertis ou impliqués pour être déjà sensibilisés, ils ont une démarche structurée. En revanche, les attaques de janvier (déni de service, défacement de sites…) ont montré que d’autres acteurs, comme certaines collectivités locales, petites et moyennes entreprises, particuliers… ne sont pas armés pour prendre conscience du risque et pouvoir répondre à ce type d’attaques ou simplement pour prendre des dispositions préventives.
Il évoque aussi le sentiment d’abandon ressenti par un particulier ou une petite entreprise qui se heurte à un problème de cybersécurité : « Ils savent qu’ils peuvent déposer plainte, mais le plus souvent ils pensent que cela ne sert pas à grand-chose. Pourtant, s’il n’y a pas de plainte, on ne peut faire ni recherches ni recoupements quant aux modes opératoires, etc., qui seuls permettent d’espérer identifier des auteurs ou caractériser des modes opératoires ».
« Nous avons mis en place conjointement avec l’ANSSI un groupe de travail, qui a notamment pour objet de définir des actions de sensibilisation, de prévention, spécialement dédiées à ces publics. Si vous avez des idées, des contributions écrites seront les bienvenues ».
Le préfet évoque un autre axe développé dans le plan d’action ministériel : cette action, menée conjointement avec le délégué aux industries de sécurité du ministère de l’intérieur consiste à travailler avec le monde académique et les acteurs industriels pour contribuer à l’effort de recherche & développement dans le domaine de la lutte contre les cybermenaces.
_________________________
1 Le teaser du serious game « Keep an eye out »
Jouer pour apprendre à devenir « ange gardien de son entreprise… »
_________________________
Cet article s’appuie sur les notes prises pendant cet événement avec tous les risques d’interprétation que cela induit, il n’engage pas les personnes citées.