Retrouvez le webinaire “Sécurité numérique : changer de paradigme” du 5 juillet dernier, organisé par le Cigref et numeum, auquel ont assisté plus de 200 participants.
Le contexte de dégradation de la sécurité dans l’espace numérique et de vulnérabilités croissantes des produits et services numériques appelle à un changement de paradigme de la sécurité numérique ainsi qu’à de nouvelles régulations. Si à court terme, les entreprises et administrations publiques n’ont d’autre alternative que de maintenir ou renforcer la protection de leurs systèmes d’information, il apparaît nécessaire d’explorer d’autres voies, plus systémiques.
Des intervenants mobilisés autour de l’évolution nécessaire du marché des produits et services numériques
Le paradigme de la sécurité numérique doit évoluer, et des approches nouvelles, de nature plus systémique, doivent être développées. Le secteur du numérique reste l’une des rares industries dont les produits ne sont pas soumis à des normes minimales de sécurité, comme le sont ceux de l’industrie du jouet, du médicament ou bien encore de l’automobile. Ainsi, une régulation, au moins européenne, devrait rendre obligatoire un niveau de sécurité garanti pour les solutions et produits numériques distribués en Europe. Pour Bernard Duverneuil, Président du Cigref et Directeur du Digital et des Systèmes d’Information d’Elior Group, qui a ouvert cette matinée aux côtés des présidents de numeum :
“Le Cigref souhaite développer collectivement la dimension écosystémique de la sécurité numérique, impliquant les utilisateurs et les fournisseurs de produits et services numériques, ainsi que le régulateur.”
L’OCDE a publié récemment deux rapports sur le renforcement de la sécurité des produits et services numériques, “Enhancing the digital security of products” et “Understanding the digital security of products“, qui ont été présentés par Laurent Bernat et par Ghislain de Salins, Cybersecurity Policy Analysts. Une augmentation de la complexité du code et des chaînes de valeur est observée. De plus, le marché ne valorise pas suffisamment la sécurité numérique, et cette faille empêche les entreprises d’atteindre un niveau de sécurité optimal. Une intervention gouvernementale est donc nécessaire, impliquant toutes les parties prenantes (éditeurs, utilisateurs, chercheurs…).
L’importance d’une prise de conscience collective et d’une implication de toutes les parties prenantes
Les membres du Cigref se mobilisent pour augmenter leur propre niveau de protection. Mais ces efforts ne peuvent suffire, la menace cyber grandissante nécessite une réponse systémique qui peut s’articuler autour de quatre piliers :
- La cybersécurité et la protection des systèmes d’information, dans lesquelles il convient de renforcer les efforts. Sur ce sujet, les entreprises membres du Cigref sont particulièrement impliquées et se mobilisent,
- La lutte contre la cybercriminalité et l’adaptation à celle-ci de moyens de police et de justice renforcés, au niveau national et européen,
- La cyberdéfense en profondeur, pour identifier et neutraliser les cyberattaquants intouchables par d’autres moyens,
- La sécurité par conception et la sécurité d’exploitation des produits et services numériques, sur tout leur cycle de vie.
Le Cigref échange avec numeum, avec l’ANSSI -cf. l’intervention de Anne Tricaud-, et fait intervenir les acteurs du monde policier et judiciaire ainsi que les pouvoirs publics pour avancer collectivement sur ce sujet. Par ailleurs, dans le cadre de l’Appel de Paris et des travaux menés dans son groupe de travail n°6, le Cigref travaille pour aborder les enjeux de sécurisation de la chaîne d’approvisionnement de la filière numérique. Ces travaux ont été présentés par Arnaud Coustillères et Aude Géry.
Afin que ce changement de paradigme se pérennise dans le temps, cette implication de l’ensemble des parties prenantes doit être élargie : il est capital d’inculquer les principes de sécurité numérique aux jeunes qui sont encore en formation.
Jean-Claude Laroche, VP Cigref, Président du Cercle cybersécurité du Cigref et DSI d’Enedis, a conclu ainsi cette matinée :
“On ne fera pas l’économie d’une certaine régulation dans l’espace numérique avec des normes minimales de sécurité de tous les produits et services numériques, mis sur le marché européen.”