Trois acteurs de la sécurité informatique font tribune commune pour évoquer la question et interpeller l’opinion, et les pouvoirs publics, sur la nécessité de mettre les bouchées doubles et d’instaurer une prévention collective et forte.
Par Pascal Colin, CEO de Keynectis-OpenTrust, Thierry Dassault, Fondateur de TDH et Jean-Noël de Galzain, CEO de Wallix
Les cyber-attaques de grande ampleur n’ont cessé, ces derniers mois, de se multiplier : Bercy lors d’un G20, l’Elysée en fin d’année 2012 et tous les jours à l’étranger… On ne compte plus les cas déclarés, sans oublier ceux dont nous n’avons pas connaissance. Certes, ces attaques ne font pas toujours la une de la presse ; en France, elles intéressent essentiellement les experts. Pourtant, la sécurisation des accès, la protection des identités et des données sensibles sont cruciales dans toutes les entreprises privées, publiques, les ministères ou les établissements amenés à gérer des données confidentielles.
Données personnelles, informations de santé, secrets industriels ou données financières, numéros de cartes bleues, au-delà des aspects techniques, c’est un problème de responsabilité qu’ont ces organisations vis-à-vis des clients, des citoyens, des patients que nous sommes. C’est pourquoi, au regard de la gravité et du caractère répétitif de ces attaques, nous sommes heureux que le gouvernement se saisisse enfin du sujet au plus haut niveau.
Car soyons clair : c’est notre sécurité nationale et la compétitivité de notre pays qui sont en jeu en particulier la protection des entreprises, des personnes et des biens. Les attaques d’ampleur que nous avons vues passer ces derniers mois vont à coup sûr se multiplier, en allant toujours plus loin dans la sophistication. A l’heure où, aux Etats-Unis, le Président Obama met au cœur de ses discours la sécurité nationale et la Cybersécurité, nous le disons clairement : la sécurité informatique, c’est notre sécurité à tous !
Cela passe d’abord par une prise de conscience collective en France et au niveau Européen sur ces questions, avec des ambitions partagées et un Etat stratège. C’est notamment le rôle des organismes publics d’éduquer, de sensibiliser et d’inciter les individus et les entreprises à se protéger, en investissant en priorité sur nos moyens de cyberdéfense. Les enjeux sont si importants sur le plan de la productivité et de l’intégrité de l’information qu’ils devraient par exemple s’inscrire dans les critères de la Responsabilité Sociétale des Entreprises.
En effet, on le voit, les attaques sont là: avant d’affronter un problème de très grande ampleur, il faut prévenir. Et pour cela agir. Agir, d’abord, pour mieux informer les professionnels et les citoyens sur le danger et le moyen de l’éviter. Une simple pièce-jointe contenant un « cheval de Troie » ou un « malware » dans un courriel peut aujourd’hui mettre en péril une entreprise, voire la protection de données personnelles en donnant accès à des informations confidentielles. Autre exemple, plus de la moitié des entreprises publiques et privées délèguent toute ou partie de leur informatique. Qu’en est-il du contrôle des accès et de sa conformité avec le Référentiel Général de Sécurité ?
La prise de conscience doit être collective. Au même titre que la prévention sanitaire ou routière, la prévention informatique doit intégrer les pratiques, imprégner les mentalités à tous les niveaux de l’entreprise et de l’administration et faire son chemin. Elle doit être impulsée par l’Etat, avec la mobilisation de la filière cybersécurité vers le grand public : à quand un débat national sur ces enjeux ? A quand une campagne d’information récurrente et claire sur ces questions ? A quand un Small Business Act pour stimuler les PME de croissance ? Nous proposons d’y travailler avec les autorités.
Agir, ensuite, pour accélérer les réglementations en matière de sécurisation des systèmes d’information. Certes, le livre blanc sur la défense et la sécurité nationale, qui préconise notamment d’imposer l’obligation de déclarer les incidents, comme le projet de loi annoncé sur la cybersécurité des « opérateurs d’importance vitale », marqueront une première avancée. Mais toute entreprise, quelle que soit sa taille, dispose d’informations stratégiques pour sa propre pérennité, tout comme les agences nationales et l’administration décentralisée… Il faut rapidement aller plus loin et agir de façon concertée avec les acteurs de la filière ainsi que l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), pour produire une réponse adaptée au danger réel. Si les Etats-Unis consacrent 10 Milliards de dollars et l’Angleterre 600 millions d’euros à la Cybersécurité ce n’est pas un hasard… et la cybercriminalité, comme le terrorisme, ne connaissent pas les frontières. Avec seulement 75 millions d’euros, soit 0,18% du budget de la Défense Nationale ou 2,5% du Budget des Anciens combattants, la France se doit d’investir pour son avenir.
Nous sommes convaincus qu’il est temps d’investir sur des projets d’innovation collaboratifs ambitieux dans le traitement massif des « big-data », la protection des identités numériques et des données sensibles, la gestion des menaces internes, la détection immédiate des attaques depuis leur origine, ainsi que dans la mise en œuvre de boucliers et de parades coordonnées. Cet effort doit également inciter les entreprises et accompagner les usagers dans l’investissement qu’ils font pour mettre en place des moyens de protection. Cet afflux de demande permettra d’alimenter cette filière d’avenir avec des marchés, et de doper la croissance de nos PME françaises à potentiel, créatrices d’emploi et d’innovation.
Le paradoxe est là : nous avons un programme d’investissements d’avenir, les compétences, parmi les plus pointues au monde sur ces questions, et il y a un marché de 1,5 à 2 Milliards d’euros en France pour les solutions de sécurité informatique, plus de 60 Milliards de dollars dans le monde, qui croit de 10% par an. Pourtant, ce potentiel n’est pas assez exploité, les personnes et les entreprises sont potentiellement vulnérables, et l’essentiel de nos moyens de protection sont achetés à l’étranger… De plus, comme le souligne Alain Juillet, Président de l’Académie de l’Intelligence économique, « un système élaboré il y a plus d’un an n’a plus aucune efficacité », d’où la nécessité d’investissements récurrents et sur des logiciels maîtrisés.
A minima, ce paradoxe est regrettable mais pas définitif ; faut-il donc attendre un fait grave qui impacterait directement la vie des gens ou une crise à laquelle nous ne serons pas préparés?
En coordonnant aujourd’hui les efforts des industriels du secteur, petits et grands, des chercheurs, et ce, main dans la main avec les pouvoirs publics, nous avons ce qu’il faut pour structurer une filière d’excellence d’où émergeront des moyens de protection nouveaux portés par des champions de l’innovation qui feront de la France un fleuron mondial de la cybersécurité.