Quelle place pour la cybersécurité dans les rapports annuels ?

La cybersécurité pour les entreprises privées

Selon le code du commerce, toute entreprise commerciale, quelle qu’en soit la taille et la forme, est tenue de rédiger un rapport annuel qui présente ses affaires, sa situation financière et les risques auxquels ladite entreprise est confrontée. Cette description des risques comprend les moyens et les procédures adoptées pour y répondre.

C’est sous cet angle que les questions de cyber-protection y sont abordées. Selon l’étude Cybersecurity Index, réalisée par le cabinet Wavestone, la majorité des entreprises du CAC 40 la rangent dans la catégorie des risques opérationnels, c’est-à-dire provenant d’un événement extérieur et de processus internes inadéquats. Elles sont aussi de plus en plus nombreuses à présenter la cybersécurité comme un risque légal. Ce risque survient lorsque l’entreprise, une de ses filiales ou de ses sous-traitants ne respecte pas, sciemment ou non, la règlementation.

La prise en compte de la cybersécurité se manifeste par l’attitude des comités de direction. Pour l’année 2019, 60 % des entreprises du CAC 40 indiquaient comment les membres de ce comité se mobilisaient : 45 % d’entre elles annonçaient disposer d’un « instance » collaborant avec les dirigeants et 12,5% avoir désigné un membre du comité pour traiter de la cybersécurité au sein du groupe. En ce qui concerne les mesures « concrètes », qui portent sur la sécurisation de l’architecture du réseau et le renforcement du contrôle d’accès, elles sont mentionnées dans 93 % des rapports de sécurité des entreprises françaises. Les méthodes de formation et de sensibilisation des collaborateurs sont aussi présentées dans 85 % des rapports des grands groupes. En plus d’indiquer les modalités retenues (e-learning, présentation ou exercice de gestion), certaines mentionnent le taux de sensibilisation et les mesures concernant les fournisseurs.

L’étude Cybersécurity Index ne porte néanmoins que sur les informations rendues publiques. Selon ses auteurs, les travaux réellement accomplis peuvent être plus importants que ceux mentionnés dans les rapports annuels. L’objectif d’une entreprise est de réaliser des profits et le rapport annuel présente la stratégie et les moyens choisis pour l’atteindre. Les questions de cybersécurité sont abordées à l’aune du risque qu’elles représentent pour la profitabilité. De nombreuses organisations restent par ailleurs réticentes à signaler avoir été victimes de cyberattaques. Seuls les signalements à la CNIL, obligatoires en cas d’atteinte à des données personnelles, renseignent sur ce phénomène.

La cybersécurité dans les services publics

Les mesures de cybersécurité sont encore plus discrètes au sein des collectivités publiques. Toulouse Métropole a été victime à deux reprises d’attaques informatiques en 2020. Ses équipes ont dû entre-temps mener un important travail de révision de son réseau et de formation à la cybersécurité en collaboration avec Orange Cyberdefense. La qualité du travail accompli a d’ailleurs été promue sur le site Cybermalveillance.fr.[1] Le terme « cybersécurité » n’apparaît pourtant qu’à deux reprises dans le rapport annuel de l’établissement de cette année (ses services travaillent sur un guide sur la gestion de crise d’origine cyber).

Une discrétion qui couvre parfois la méconnaissance des moyens. Une étude de novembre 2021 de la mutuelle SMACL indiquait que 27 % des élus n’avaient pas pris de mesures (qu’elles soient organisationnelles ou techniques) contre les cyber risques et que 19 % d’entre eux ignoraient vers qui se tourner en cas d’attaque.

Il est néanmoins obligatoire de rendre des comptes dans un secteur, celui de la santé. L’article L. 111-8-2 du Code de Santé Publique stipule que les établissements de soins doivent, sans exception, signaler les actes de cyber malveillance dont ils sont victimes. Ces signalements permettent de renseigner l’Agence Numérique de Santé qui publie chaque année un observatoire des signalements d’incident de sécurité des systèmes d’information du secteur santé.

Des obligations néanmoins importantes

Entreprises et institutions ont néanmoins un rôle à jouer en matière de cybersécurité. Les rapports annuels passent sous silence le statut des Opérateurs de Services Essentiels (OSE). Celui-ci a été créé en 2018 lors de la transposition dans le droit français de la directive européenne « Network and Information System Security » de 2016 pour définir les organisations sans lesquelles l’économie et la société ne pourraient plus fonctionner. Les OSE appartiennent aux secteurs de l’énergie, du transport et de la logistique, des banques et des services financiers, de l’eau et des infrastructures numériques (points d’échanges Internet, fournisseurs de services de systèmes et registres de nom de domaine). Des organismes publics spécialisés dans les soins de santé et l’éducation sont aussi concernés. Les OSE ont l’obligation de mettre en conformité le Système d’Information avec les standards techniques présentés par l’ANSSI, à déclarer à cette dernière tout incident pouvant menacer la conduite de leurs activités et enfin à se soumettre à des contrôles réguliers de la part des autorités.

La sécurisation des réseaux des OSE est complétée par le volet consacré à la cybersécurité du plan d’investissement France Relance. Doté d’un montant de 136 millions d’euros, il prévoit la mise en place d’un réseau de Computer Security Incident Response Team (CSIRT) chargé d’épauler les PME, les ETI ainsi que les communes et les EPCI. En février 2022, l’ANSSI s’est associée avec sept régions françaises pour démarrer un programme d’incubation de quatre mois de ces CSIRT. Ces éléments font l’objet d’une grande discrétion. La liste des OSE est tenue secrète et les modalités de communication varieront en fonction de la nature et de la criticité des établissements concernés.

Vers de nouvelles méthodes de communication ?

Quels moyens employer pour décrire les mesures de sureté numérique appliquées ? Plus généralement, comment rassurer les parties prenantes, c’est-à-dire les fournisseurs, les partenaires, les clients et les usagers sur la maîtrise des risques cyber ? Tout d’abord, le respect de normes de cybersécurité. Les normes ISO 21827, 27001 et 29190 sont les plus employées.

Vient ensuite la règlementation portant sur une opération précise, comme la directive européenne sur les services de paiement (DSP2) datant de 2015. Elle présente les moyens de sécuriser les processus de paiement sur Internet et d’encadrer l’usage des données récoltées par les prestataires effectuant ce service.

L’ensemble des règlements supranationaux ciblant explicitement les organisations d’un secteur d’activité en est également un. Deux exemples illustrent ce phénomène : le règlement européen « Digital OpeRAtional resilience of the financial sector » de septembre 2020 qui établit des consignes strictes pour les organisations du secteur de la finance (pour une application en 2024) ou le règlement WP 29 de la Commission Économique des Nations Unies pour l’Europe qui rend obligatoire dès juillet 2022 l’utilisation d’un système de management de la cybersécurité pour la production de véhicules neufs.

Un quatrième moyen est celui de la notation[2] préconisée par la CNIL dans sa méthode d’auto-évaluation de la protection des données datant de septembre 2021. Tous les sujets relatifs au RGPD (dont la sécurité numérique) font l’objet d’une évaluation permettant à des dirigeants de connaître la maturité de l’entreprise concernée. La loi du 3 mars 2022 pour la « certification de cybersécurité des plateformes numériques destinée au grand public », adoptée par le Sénat en deuxième lecture le 24 février 2022 pour une application dès octobre 2023, reprend cette logique. Elle vise l’amélioration des informations dont disposent les consommateurs français en matière de cybersécurité. Cette obligation s’applique spécifiquement aux plateformes numériques qui devront indiquer la qualité de leur système de protection sous la forme d’un « CyberScore ». Analogue au NutriScore, il présente de façon synthétique le résultat d’un contrôle d’une part sur la sécurité des données et du réseau et d’autre part sur la localisation des données personnelles. Ce contrôle consistera en une auto-évaluation puis par l’inspection des équipes de la DGCCRF et de l’ANSSI. Le CyberScore concerne les entreprises proposant « un service de communication au public en ligne », c’est-à-dire les grandes plateformes numériques, les messageries instantanées et les services de visioconférence. Des interrogations existent à propos du CyberScore. Quels seuils définiront les entreprises tenues par cette obligation ? Sous quelle forme sera-t-il affiché aux internautes et quelle en sera la durée de validation ? Ne risque-t-il pas de créer un faux sentiment de sécurité auprès des utilisateurs ?

Le CyberScore souligne l’importance des organismes chargés des audits sur la sécurité numérique. Plus qu’un contrôle, les audits attestent que les systèmes de protection sont complets et efficaces. En matière de cybersécurité, la qualification PASSI de l’ANSSI permet d’en mener et portent sur six sujets précis (audit d’architecture, de configuration, de code source, de l’organisation, des systèmes industriels et enfin tests d’intrusion). Selon Wavestone, 58 % des entreprises du CAC 40 % ont annoncé avoir mené des audits en 2019 et 10 % disent disposer de leur propre service pour ces travaux.

Les inspections d’observateurs externes sur les politiques de cyberdéfense vont-elles se généraliser ? Une telle mesure confirmerait la capacité des organisations à se défendre contre des cyberattaques de plus en plus fréquentes et coûteuses. Dans tous les cas, les organisations doivent indiquer comment elles se protègent et surtout comment elles contribuent à protéger la société. La cybersécurité, une nouvelle forme de la RSE ?