Imaginons, des aéroports, des centrales électriques ou le réseau ferroviaire, victimes d’une cyberattaque simultanée… La situation serait apocalyptique… Des villes entières seraient coupées du monde, les avions cloués au sol, les hôpitaux paralysés. Ce scénario catastrophe mettrait un pays et toute une population en danger. Ces entreprises, répertoriées opérateurs d’importance vitale sont particulièrement surveillées par l’Etat qui met en place une défense drastique pour parer à toute tentative d’attaque cyber. Parce qu’elles fournissent des services et des biens indispensables au bon fonctionnement de la Nation, ces industries sensibles se doivent d’être « infaillibles » sur le plan sécuritaire. Quel bilan aujourd’hui ? Quelles avancées peut-on constater à ce jour ?
Jusqu’à présent, il ne s’agissait que d’un scénario catastrophe. Le 12 mai 2017, l’attaque tant redoutée s’est produite. Une cyberattaque sans précédent a touché plus de 180 pays, semant la panique dans plusieurs services. Au Royaume-Uni, les urgences de certains hôpitaux ont dû fermer leurs portes refusant l’accès aux patients. Heureusement, ces attaques n’ont quasiment pas touché d’entreprises sensibles. La cyberattaque aurait pu se solder en cyberchaos.
Cette défense cyber, c’est l’ANSSI, l’agence nationale de la sécurité des systèmes d’information, qui est chargée de la mettre en œuvre en France. Et ce, via le biais de la loi de programmation militaire. Adoptée en 2013, la LPM dont le décret d’application a été publié le 27 mars 2015, impose aux OIV de nouvelles obligations concernant la cybersécurité. Contraintes par la loi, ces entreprises ont eu obligation d’investir dans leur sécurité informatique.
Il existe aujourd’hui plus de 200 OIV en France. Les arrêtés sectoriels classent ces entreprises en 12 secteurs répartis en 4 dominantes : humaine, régalienne, économique et technologique. Ces arrêtés ont commencé à être publiés depuis l’an dernier tous les 3 mois. « Les arrêtés sectoriels ont été définis suite à un gros travail en lien avec l’ANSSI, les ministères coordonnateurs et les OIV, explique François Charbonnier, chef adjoint du bureau coordination sectorielle de l’ANSSI. Les décrets devaient être adaptés à chaque secteur en prenant en compte leur connaissance et leurs retours grâce à des groupes de travail ».
Les OIV au cœur de l’action
Dans ces groupes de travail, les OIV tiennent le principal rôle. Ce dialogue entre l’ANSSI, les ministères et les entreprises elles-mêmes a permis aux OIV d’identifier les systèmes d’information qui sont d’importance vitale (SIIV) au sein de leur entreprise. Car ce sont les entreprises elles-mêmes qui ont la connaissance de leur métier et de ses spécificités.
« L’avantage d’être intégré au dialogue est de s’approprier la méthode et le contenu des arrêtés, indique François Charbonnier. Notre but est d’apporter un véritable accompagnement aux OIV. On n’est pas là pour les laisser seuls face à cette identification même si in fine ce sont eux qui vont définir leur SIIV et ajuster le curseur ». Ce sont sur ces SIIV que seront appliquées les règles de ce cadre réglementaire (et non l’ensemble SI de l’OIV) : un cadre qui défini ce qui est vraiment vital dans les systèmes. Les OIV ont 3 mois pour réaliser cette identification.
La France doit poursuivre ses efforts en cybersécurité
Si la cybersécurité de manière générale devient progressivement une priorité pour la France, notre pays n’est pas, pour autant, en avance par rapport à d’autres pays comme le Royaume-Uni ou l’Allemagne par exemple. Le marché mondial de la sécurité informatique était estimé en 2015 à 67 milliards d’euros. Or la France fait encore figure de mauvaise élève. En 2014-2015, le chiffre d’affaires sur le territoire n’atteint « que 3 milliards d’euros, en croissance de 5% contre 3,7 milliards pour le Royaume-Uni (+6%) et 4,3 pour l’Allemagne (+6% »), d’après le dernier livre blanc Cybersécurité et Confiance numérique rédigé conjointement par Hexatrust et le pôle de compétitivité Systematic. A titre de comparaison, le marché américain représente à lui seul plus de 40 % du marché mondial et l’Europe environ 25 %, c’est-à-dire 17 milliards d’euros sans inclure la Russie.
« Le fait que l’on soit en retard ne fait que faire clignoter le mot priorité », s’alarme Jean-Noël de Galzain, président d’Hexatrust, vice-président de Systematic et président de Wallix.
La prise de conscience de l’importance de la cybersécurité s’est amplifiée avec la Loi de programmation militaire et grâce au travail réalisé par l’ANSSI ainsi que celui fourni par les entreprises proposant les solutions. Cela permet « d’évangéliser le marché, d’expliquer les risques, de souligner les opportunités liées à la cybersécurité. Le principal défi pour les OIV, c’est de pouvoir faire face à leurs obligations en un minimum de temps et avec le peu de ressources sur le marché, explique Jean-Noël de Galzain. Une des recommandations que je peux leur faire, c’est de mettre la gestion des identités, la gestion des mots de passe, la traçabilité au cœur de leurs choix. Ensuite, de travailler avec des prestataires et des éditeurs de confiance et se tourner vers des labels également de confiance ».
Les OIV sont confrontés aux mêmes types d’attaques cyber que les autres entreprises. La différence réside dans une problématique liée à la résilience, c’est-à-dire la continuité du service. Ces opérateurs ne peuvent pas s’arrêter. L’urgence à protéger son système d’information s’est accentuée avec la menace terroriste de ces dernières années. Pour y répondre, il faut investir dans sa sécurité. Et la France a plus d’une carte à jouer dans ce domaine, d’autant que ce ne sont pas les fournisseurs de qualité qui manquent. L’activité de la filière cybersécurité en France pourrait croitre de 10,4% par an d’ici 2020 pour une progression de 7,4% de l’emploi.
La cybersécurité : opportunité économique
Ce nouveau cadre réglementaire appliqué aux OIV est une aubaine pour les fournisseurs de solutions cyber qui ont toutes les raisons de tirer profit des investissements liés aux obligations édictées par la LPM. Difficile encore aujourd’hui de mesurer l’effet issu des OIV, mais il s’agit d’une réelle opportunité surtout pour les entreprises françaises car la loi entend favoriser l’émergence de technologies de confiance soit françaises ou européennes.
Avec la mise en application de cette nouvelle réglementation, les entreprises ont eu à augmenter considérablement leur budget SI (de l’ordre de 5% pour les meilleurs élèves…). Certes cela a un coût. Mais la sécurité n’a pas de prix… Dit autrement, c’est le manque de sécurité qui pourrait couter très cher, non seulement à l’entreprise, mais à ceux qui en subiraient les conséquences. Au-delà des rançons exigées par les cybercriminels, c’est toute une économie et toute la sécurité d’un pays qui seraient en jeu.
La cybersécurité devient donc un enjeu porteur en matière économique. Pour profiter de cette dynamique, la feuille de route cybersécurité de la filière française doit porter une offre technologique de confiance capable de répondre aux exigences des utilisateurs et des donneurs d’ordre nationaux. Cela passe par plus de programmes nationaux et par conséquent une politique à part entière.
Ces dernières années, les efforts se sont multipliés ainsi que les alliances. La dernière date d’avril dernier : Alstom et Airbus, les leaders du ferroviaire et de l’aérien se sont unis dans le domaine de la cybersécurité pour répondre aux enjeux des attaques informatiques. « Ce programme portera notamment sur le codéveloppement de nouveaux services d’analyse de vulnérabilité des systèmes de transport, de nouvelles briques technologiques communes de protection, ainsi que sur la définition d’une nouvelle génération de centres de sécurité opérationnelle », ont précisé les deux entreprises.
La France : un rôle moteur pour une mise en application de la directive européenne
La menace est permanente, redoutable et on l’a vu, des milliers de sites peuvent être touchés simultanément dans le monde. Le 6 juillet 2016, le Parlement européen et le Conseil de l’Union européenne ont adopté la directive sur la sécurité des réseaux et des systèmes d’information connue sous l’appellation « directive NIS ». L’ANSSI est le chef de file de la transposition de la directive européenne. C’est une initiative similaire à celle évoquée s’appliquant aux OIV français mais à l’échelle européenne. Elle bénéficiera des travaux réalisés dans le cadre du renforcement de la cybersécurité des opérateurs d’importance vitale. Cette directive adoptée l’été dernier doit être transposée en 2018.