France : l’Institut Montaigne appelle à un « passage à l’échelle » de la cybersécurité

L’Institut Montaigne a publié, mi-juin 2023, un rapport destiné aux décideurs publics français, baptisé « Cybersécurité : passons à l’échelle ». Il contient dix propositions visant à mieux protéger les organisations les plus vulnérables aux cyberattaques en France – PME, ETI, établissements de santé et collectivités. Le think tank s’appuie pour cela sur une enquête de terrain réalisée avec la gendarmerie nationale, le Mouvement des entreprises de taille intermédiaire (METI) et le groupe La Poste.

« Les politiques régaliennes de sécurisation cyber se sont essentiellement concentrées sur [les] grands acteurs économiques et sur les entités critiques, laissant les plus petites structures – TPE/PME/ETI, collectivités et établissements de santé – très largement démunies et exposées aux dangers », peut-on ainsi lire dans le rapport.

« L’élargissement de la surface d’attaque devient un facteur de déstabilisation économique et sociale potentiellement grave, qu’il s’agisse de bloquer l’activité d’une entreprise, d’un établissement de santé ou d’une collectivité, mettant en péril leurs capacités opérationnelles, leur santé financière voire leur survie », complètent les auteurs.

Le rapport pointe cinq obstacles principaux à une meilleure cybersécurité de ces organisations : manque de sensibilisation, augmentation de la surface d’attaque, investissements trop faibles dans la cybersécurité, manque de compétences humaines disponibles, foisonnement de solutions techniques qui désoriente les non-initiés.

L’Institut Montaigne met donc sur la table dix propositions pour assurer ce « passage à l’échelle », avec deux axes d’attaque. Le premier s’attache à mettre en œuvre « un parcours de cybersécurité simple et progressif » pour ces organisations vulnérables. Il comporte six propositions :

• Inciter à recourir à des diagnostics organisationnels et techniques, en proposant un référentiel commun ;
• Fixer une cible de cybersécurité à atteindre pour les structures, en fonction de leur criticité et de leurs moyens ;
• Limiter nativement la présence de vulnérabilités et de failles dans les produits et équipements numériques disponibles sur le marché européen ;
• Exhorter les organisations à considérer le risque cyber comme une préoccupation stratégique encadrant leurs choix humains, organisationnels, budgétaires et techniques ;
• Organiser une simulation annuelle d’alerte cyber (équivalent de « l’alerte incendie ») pour tous les salariés ou agents d’une entreprise ou d’une collectivité ;
• Instaurer une fonction de conseiller à la sécurité numérique (CSN) auprès de chaque responsable de structure (dirigeant d’entreprise ou élu).

Le second axe vise à « coordonner les ressources, les outils et les prérogatives de chaque acteur aux échelles appropriées ». Il s’appuie sur quatre propositions :

• Mutualiser les compétences et les outils chez les acteurs de confiance publics et privés en charge de la cybersécurité ;
• Faciliter le signalement des cyberattaques via une « Plateforme de signalement des faits cyber » ;
• Renforcer les moyens et l’organisation des acteurs de la lutte contre la cybercriminalité dans une logique de proximité ;
• Pérenniser le financement de l’effort public en faveur d’une sécurité numérique collective par un abondement vertueux des budgets.