Gouvernance

De la cybersécurité à la cyber-compétitivité dans les PME


Quentin Bedeneau
Mardi 30 Avril 2019




Organisé par l'association des auditeurs régionaux de Paris Ile-de-France
Le 7 mars 2019 à l'école militaire
  • Introduction par Vincent LE DILASSER membre du comité cybersécurité, expert transformation digitale,
  • Matthieu GRALL, Chef du service de l’Expertise technologique de la CNIL,
  • Jérôme NOTIN, Directeur Général du GIP ACYMA, en charge du programme cybermalveillance.gouv.fr, backup ce soir : Olivier LYS, VP CINOV-IT, administrateur GIP ACYMA, auditeur IHEDN AR Paris IDF,
  • Jean-François BAILLETTE, dirigeant de la société www.g-echo.fr,
  • Conclusion par Ali MLALA, président du comité cyberstratégie,
  • Présentation de l’IHEDN région Paris Ile-de-France par Édouard DETAILLE.

Les supports de présentations sont disponibles sur le site de l'AR16 (ici)
 
Nous n'avons plus besoin aujourd'hui de présenter ce qu'est la cybersécurité. Elle fait la une des médias et les politiques se sont appropriés le sujet. Cette pratique est intégrée au sein des grands groupes et des administrations en partie grâce à des obligations légales comme la LPM (Loi de Programmation Militaire) ou le RGPD (Règlement Général sur la Protection des Données).
Cependant pour les TPE et PME il s'agit d'une "religion avec beaucoup de croyants mais peu de pratiquants".
 
Or 99% des entreprises françaises sont des PME ou des ETI…
 
La première problématique rencontrée est la sensibilisation sur le sujet. Tous les chefs d'entreprises ne sont pas des experts informaticiens. De plus l'approche commerciale sur la cybersécurité a toujours été de mettre en avant l'impact en cas d'attaque réussie, une volonté de vendre par la peur. Nos interlocuteurs ont prévu de changer d'approche et au contraire de traiter le sujet avec un discours positif.
 
Pour accompagner les grands groupes et les administrations français, l'état a chargé l'ANSSI1, agence sous tutelle du SGDSN2 de superviser la sécurisation de chaque système. Jusqu'en février 2017, ce sont les forces régaliennes (forces intérieures et extérieures de sécurité et de défense dont Gendarmerie et Police) qui répondaient aux attaques sur les systèmes d'informations des PME.
 
Fin 2016 un programme gouvernemental interministériel créé un dispositif national d’assistance aux victimes d’actes de cybermalveillance, animé par le groupement d’intérêt public (GIP) Action contre la CYberMAlveillance (ACYMA).
 
La platerforme https://cybermalveillance.gouv.fr lancée en octobre 2017 assume un rôle de sensibilisation, de prévention et de soutien en matière de sécurité du numérique auprès de la population française, particuliers, entreprises (TPME voire ETI, artisans, commerçants, hors opérateurs critiques type OIV (3)3 qui relèvent de l’ANSSI) ou collectivités territoriales (hors OIV).
L'Etat a depuis mis en place une plateforme d'aide pour accompagner les entreprises mais également les particuliers : ACYMA (https://cybermailveillance.gouv.fr).
 
Le premier objectif de la plateforme est de servir de guichet unique. Celle-ci analyse les incidents qui lui sont remontés, mets en relation la victime avec le bon service, le dispositif régalien existant, ou un partenaire privé local (exclusivement TPME, préalablement référencées sur la plateforme et bientôt labellisables : plus de 1500 sur le territoire à ce jour) pour résoudre son incident.
 
85% des incidents sont déclarés anonymement et certaines entreprises ne souhaitent pas porter plainte réduisant la possibilité d'interrompre la nuisance. La collecte de ces plaintes est très importante car elle permet de faire des statistiques sur les types d’attaques et leurs fréquences. Par exemple elles permettent de démontrer qu’une vaste tentative d’escroquerie a eu lieu en 2019 à la vue de l’explosion des alertes remontées.
 
Maintenant nous avons un interlocuteur avec qui nous pouvons parler. Cependant la façon de nous protéger n'est toujours pas claire. Pour partager les bonnes pratiques, cybermailveillance a mis à disposition de nombreux supports de sensibilisation à disposition et fiches réflexe. Allant de la description d’un phishing à la lutte contre les ransomwares, les attaques les plus courantes sont décrites afin de les identifier avec un plan de remédiation.
 
A noter que tous ces supports sont gratuits, accessibles directement sur leur site web. Ils sont distribués sous une licence, Etalab, qui permet leur libre utilisation même à des fins commerciales. Il suffit de citer la source du support. Bien entendu pour répondre aux différentes évolutions des attaques, les supports sont également tenus à jour.
 
Toutes les bonnes pratiques fournies par la plateforme cybermalveillance.gouv.fr permettent de protéger notre informatique et nos systèmes d'informations des attaques ou malveillance provenant du cyberespace internet.
 
Cependant quand on s’intéresse à l’utilisation et la protection des données personnelles, nous sommes dans le domaine de la protection de la vie privée (ou privacy). L’interlocuteur privilégié sur ce domaine en France est la CNIL4 qui existe depuis 1978. Il n’a pas fallu attendre le RGPD5 pour que la France se dote d’une loi Informatique et Libertés pour garantir la sécurité des données de ces concitoyens.
 
L’administration et la législation ont d’ailleurs servi de base aux réflexions européennes.
 
Depuis, le Monde s’est emparé de ce sujet. Que ce soit en Asie, aux Amériques ou en Afrique, les propositions de loi sur ce sujet sont nombreuses.
 
Depuis l’applicabilité du RGPD, le rôle de la CNIL a évolué. La CNIL collectait les demandes de traitement ; désormais ce sont les entreprises qui sont directement responsables de la légitimité du traitement. La CNIL analyse aujourd’hui les pratiques courantes dans les entreprises. Elle propose des guides et des conseils pour se mettre en conformité en fonction du traitement réalisé mais également du secteur d’activité.
1 Agence Nationale de la Sécurité des Systèmes d'Informations, https://ssi.gouv.fr
2 Secrétariat Général de la Défense Nationale, https://www.sgdsn.gouv.fr
3 OIV, Opérateur d’Importance Vitale, https://www.ssi.gouv.fr/entreprise/glossaire/o/
4 CNIL, Commission Nationale Informatique et Libertés, https://www.cnil.fr
5 RGPD, GDPR en anglais, Le règlement nᵒ 2016/679 de l'Union européenne, dit Règlement Général sur la Protection des Données ou General Data Protection Regulation. Cf. https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

Toutes les bonnes pratiques fournies par la plateforme cybermalveillance.gouv.fr permettent de protéger notre informatique et nos systèmes d'informations des attaques ou malveillance provenant du cyberespace internet.
 
Cependant quand on s’intéresse à l’utilisation et la protection des données personnelles, nous sommes dans le domaine de la protection de la vie privée (ou privacy). L’interlocuteur privilégié sur ce domaine en France est la CNIL1 qui existe depuis 1978. Il n’a pas fallu attendre le RGPD2 pour que la France se dote d’une loi Informatique et Libertés pour garantir la sécurité des données de ces concitoyens.
 
L’administration et la législation ont d’ailleurs servi de base aux réflexions européennes.
 
Depuis, le Monde s’est emparé de ce sujet. Que ce soit en Asie, aux Amériques ou en Afrique, les propositions de loi sur ce sujet sont nombreuses.
 
Depuis l’applicabilité du RGPD, le rôle de la CNIL a évolué. La CNIL collectait les demandes de traitement ; désormais ce sont les entreprises qui sont directement responsables de la légitimité du traitement. La CNIL analyse aujourd’hui les pratiques courantes dans les entreprises. Elle propose des guides et des conseils pour se mettre en conformité en fonction du traitement réalisé mais également du secteur d’activité.
1 CNIL, Commission Nationale Informatique et Libertés, https://www.cnil.fr
2 RGPD, GDPR en anglais, Le règlement nᵒ 2016/679 de l'Union européenne, dit Règlement Général sur la Protection des Données ou General Data Protection Regulation. Cf. https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

Toutes les fiches pratiques sont disponibles sur leur site sous la licence Etalab. Si ces bonnes pratiques sont appliquées ceci permettra d’apporter de la confiance auprès des utilisateurs mais également des investisseurs permettant ainsi d’avoir un avantage concurrentiel non négligeable. D’ailleurs aujourd’hui des entreprises américaines appellent la CNIL pour savoir comment travailler avec les européens et implémenter ces bonnes pratiques.
 
La CNIL numérise également ses services. Il est désormais possible de télédéclarer ses plaintes ou les notifications à la CNIL. Cependant il reste encore de nombreux outils à développer. Comment faire pour rendre l’information encore plus digeste ? Simplifier les guides de mesures de sécurisation des systèmes informatique ? Il a été également constaté que malgré le libre accès de ces bonnes pratiques celles-ci ne sont pas tout le temps mises en place. Par conséquent faut-il s’interroger sur une imposition de mesures de sécurité minimales ? Ou bien créer un système de certification allégée. Pour répondre à tous ces problèmes la CNIL souhaite instaurer un cadre d’échange qui sera bientôt finalisé.
 
Avec tous ces éléments à dispositions comment se fait-il que la cybersécurité soit encore un sujet difficile à aborder et à traiter pour les entreprises ?
 
Tout d’abord un sujet humain, une peur d’un sujet qui n’est pas maîtrisé. Espérons que les nombreux documents à dispositions permettront de régler ce sujet. Si les chefs d’entreprises ne pensent plus que la cybersécurité c’est l’affaire de l’informaticien, ce sera une belle victoire. Maintenant essayons de penser la cybersécurité non pas comme une contrainte réglementaire mais comme un avantage concurrentiel pour les PME. Si cette thématique est prise à bras le corps elle peut devenir un argument permettant la conquête de marchés.
 
Tout d’abord sur le grand public, savoir que leurs données sont sécurisées permet de garantir la confiance pour votre entreprise. On le remarque aujourd’hui où de nombreux utilisateurs quittent Facebook à la suite des différents scandales que le réseau social a subi.
 
Il y a également la possibilité de travailler avec les grands groupes qui demandent à leur prestataire des garanties voir même des certifications. Il faut en effet rappeler que certains d’entre eux se font attaquer à cause des liaisons qu’ils ont avec des prestataires non sécurisés.
 
La sécurisation de votre entreprise est également une opportunité financière et un levier de compétitivité. Des associations professionnelles comme Captronic, des pôles de compétitivité comme Aerospace Valley, les régions, les CCI... proposent de participer aux frais engagés pour sécuriser et développer votre entreprise (sécuriser les produits, proposer du maintien en condition de sécurité, sécuriser le système d’information de l’Entreprise...).
 
En définissant un programme de management de la sécurité au sein de votre entreprise, vous engagerez votre personnel dans une démarche systémique qui créera du lien. Vos parties prenantes (stakeholders) seront plus confiantes, et les différents échanges engendrés amélioreront l’émulation interne et la résilience de votre compagnie.
 
Avec les nouvelles contraintes réglementaires en cybersécurité et en protection des données personnelles, vous pouvez être désemparé sur les démarches à mettre en place. Pour vous aider, de nombreuses documentations sont accessibles librement ainsi que des interlocuteurs pour répondre à vos questions. Quelques liens et documentations sont fournis dans cette conférence.
 
Il ne reste plus qu’à vous, chef d’entreprise, salariés de TPME, artisans, commerçants, particuliers de vous emparer du sujet et de vous en servir comme levier pour augmenter votre business.
 
N'hésitez pas à consulter les nombreux documents des dispositifs actuels (https://cybermalveillance.gouv.fr ), des régulateurs (CNIL , ARCEP ,...).
 
N'hésitez pas à solliciter vos référents (cyber)défense/sécurité locaux rattachés soit aux territoires (communes, départements, régions), soit aux instituts IHEDN et INHESJ , soit aux organisations professionnelles de votre activité ou de la problématique concernée (Medef et Syntec Numérique , CPME et CINOV-IT / Tech'In France ) dont une des missions officielles est de sensibiliser et informer l'ensemble de leur écosystème.