Construire la résilience numérique française et européenne est un enjeu de souveraineté fondamental qui va bien au delà des seuls enjeux numériques.
Dans notre dossier thématique « Résilience numérique », nous vous proposons 6 articles pour définir le cadre de notre Résilience Numérique ainsi que ses enjeux et composantes. Commençons avec les enjeux de Cybersécurité et d’approvisionnement.
D’après l’ANSSI (agence nationale de la sécurité et des systèmes d’information) les cyberattaques constituent la 1ère menace pour les entreprises et les collectivités. Avec une multiplication par 4 des rançongiciels traités par l’ANSSI entre 2019 et 2020 dans des secteurs variés, malgré une forte proéminence des activités de Santé, télécommunications, et collectivités territoriales / locales qui concentrent 46% des attaques (source : ANSSI – Cybersécurité, faire face à la menace : la stratégie française). Outre le coût financier des rançons, même maîtrisés les incidents de cybersécurité coûtent chers aux entreprises avec des interruptions temporaires d’activités (au moins une fois par mois pour 54% des entreprises – source : Splunk – État de la cybersécurité 2022).
L’Europe a fait le choix d’un cyberespace ouvert, libre, stable et sûr. Ce choix est matérialisé par la mise à jour en 2022 de la directive NIS (Network & Information Security). Adoptée initialement en 2016, cette législation vise à assurer un niveau de sécurisation substantielle pour les réseaux et les systèmes d’informations des infrastructures critiques et sensibles des pays membres de l’UE. L’élargissement de la directive prévoit de passer de 19 à 35 secteurs d’activités (source : Décret n° 2018-484). En effet, en plus des secteurs de l’énergie et de la santé, ont été ajoutés des secteurs postaux, de la gestion des déchets, de l’agroalimentaire, …
La révision entamée en 2022 permet d’accentuer les mesures coercitives pour prévenir les attaques cybersécurité avec :
L’essentiel des mesures concernent cependant la remédiation, et accentuent l’obligation de reporting et les exigences en terme de divulgation des vulnérabilités (72h) – source : Stormshiel – Paroles d’experts
Volontariste, cette stratégie a pour ambition de remonter la chaîne de vulnérabilité en passant de la remédiation, à la prévention et aux solutions technologiques d’anticipation.
1 milliard d’euros ont été alloués dont 72% issus de financements publics pour :
Dans le cas des Etats-Unis, la promulgation du C.L.O.U.D Act en 2018 (accélération de l’accès aux informations électroniques détenues par des fournisseurs sous juridiction américaine dans le cas d’une enquête pour infractions graves) pose la question de la dépendance aux fournisseurs technologiques américains, et demande de repenser un cadre européen toujours plus protectionniste.
L’évolution de la législation chinoise pose également la question de la sécurité, notamment sur les déclarations de vulnérabilités « Day-0 » qui impose aux entreprises exerçant sur le territoire chinois de déclarer leurs vulnérabilités « au plus tôt » favorisant ainsi la mise au grand jour des failles de sécurité qui pourrait profiter aux « attaquants chinois » (source : NSSI – Panorama de la menace informatique 2021)
Le cycle de développement, maintien, utilisation d’applicatif rend les entreprises françaises vulnérables à plusieurs niveaux. Si de nombreuses normes, principes et bonnes pratiques de développement sont publiées par l’ANSSI (ex. Agilité & sécurité numériques : Méthode et outils à l’usage des équipes projets) le nombre d’applications publiées chaque jour fait craindre un suivi plus ou moins exact de ces recommandations.
Comme tout système, le Cloud présente des perméabilités aux attaques, l’infrastructure et les règles de sécurité sont par ailleurs dépendantes des fournisseurs (américains) et échappent parfois à la vigilance des utilisateurs.
Si de nombreuses initiatives sont en cours pour la création de « Cloud » de confiance en partenariat entre le public et le privé, la majorité des initiatives restent liées à des géants multinationaux de la Tech (ex. Bleu d’Orange et Capgemini basé sur les solutions de Microsoft, NewCo de Google et Thalès, … – source : Devoteam – Cloud de confiance : Etat des lieux et perspectives).
Les réglementations actuelles telles que SecNumCloud visent à garantir l’intégrité et la non portabilité des données notamment lors de leurs publications sur les différents Cloud, cependant elles n’assurent pas la non violabilité des systèmes (source : ANSSI – Actualisation du référentiel SecNumCloud).
De plus, l’hégémonie des tenors américains du marché (AWS, GCP, Azure) permet de consolider leur position dominante avec 71% de parts de marché en France, et 80% de la croissance captée en 2021 (AWS en tête avec 46% de parts de marché – source : Les Numériques – Cloud, panorama du marché).
Cette dépendance s’explique majoritairement par un retard technologique et commercial des solutions françaises et européennes. Les offres des 3 géants américains :
Le 3ème maillon de vulnérabilité de la chaîne cybersécurité touche l’ensemble des entreprises et particuliers. Le risque est avant tout humain, le facteur humain représente jusqu’à 95% des failles de sécurité (source : Les Numériques – Cloud, panorama du marché).
Autrement dit, 19 failles de sécurité sur 20 sont issues de mauvaises manipulations humaines. Le risque de phishing est le principal vecteur de cyber malveillance et représente 1,3 million de recherches d’assistance en 2021 sur l’organisme dédié cybermalveillance.gouv.
Les principales barrières à une erreur humaine restent :
Le tissu économique français est composé à 99,9% de TPE/PME, ce qui représente 49% des salariés. L’utilisation de suite d’outils collaboratifs (pour la plupart d’origine américaine Google, Office) a bondi en répercussion de la crise du Covid (+12% à 33%) – source : Independent.io – Statistiques TPE / PME 2022.
L’enjeu majeur réside dans le fait de faire émerger des solutions de sensibilisation à grande échelle et moindre coût, tout en assurant la maintenance à l’échelle nationale d’une cartographie des activités essentielles / critiques.
Pour se prémunir de fuite de données au profit des géants américains, la France et l’Europe devraient continuer d’appliquer une politique volontariste de cloisonnement, tout en redonnant une place de choix aux acteurs « locaux » dans les projets d’intérêt stratégique à l’échelle nationale et continentale, tout en permettant d’accélérer le développement de leurs expertises pour en faire des leaders européens et mondiaux.
Dans un contexte de globalisation des activités cybersécurité, la sécurité devient un enjeu majeur pour les entreprises françaises et européennes. Cependant la forte dépendance issue de nombreuses années d’utilisation de technologies étrangères (majoritairement américaines) ne permet pas d’entrevoir un pouvoir de législation 100% français, la taille du marché ne le justifiant pas.
Le contrôle passe donc par plus de protectionnisme à l’échelle européenne pour éviter les fuites de données, et une capacité de remédiation industrielle et efficiente à l’échelle nationale.
Fournisseurs d’accès internet, clouds, systèmes d’exploitation et plateformes en ligne sont autant de services numériques qui sont devenus incontournables. Ils sont proposés en grande majorité
La maîtrise et le contrôle de bout en bout de la chaîne de collecte, de stockage, de traitement, d’analyse et d’exploitation des données recueillies sur
Les profils experts dans les domaines stratégiques du numérique tels que les services Cloud, l’Intelligence Artificielle (IA) ou encore la Cybersécurité sont très importants, tant
Le Web3 se présente comme un Web de confiance qui repose sur des principes clés (décentralisation, souveraineté des communautés, nouveaux modèles de propriété…). Dans notre
Construire la résilience numérique française et européenne est un enjeu de souveraineté fondamental qui va bien au delà des seuls enjeux numériques. Cela concerne aussi
