Jeudi 25 Mars 2021
- Présidence de M. Serge Babary, président -
La réunion est ouverte à 9 heures.
Table Ronde : « Quelle cybersécurité pour les entreprises ? »
M. Serge Babary, président. - Nous consacrons cette matinée à une première table ronde consacrée à la cybersécurité des entreprises en recevant, pour la Chambre de commerce et d'industrie (CCI) Paris-Ile-de-France, M. Joël Thiery, accompagné de M. Philippe Clerc, conseiller expert pour les études et la prospective ; pour la Confédération des petites et moyennes entreprises (CPME), M. Marc Bothorel, membre de la commission Numérique, et chef d'entreprise, accompagné de Mme Delphine Borne, juriste au sein de la direction des affaires économiques, juridiques et fiscales ; pour la Fédération du e-commerce et de la vente à distance (Fevad) - qui a rédigé un remarquable livre blanc en 2016 : Cybersécurité et e-commerce, maîtriser les risques, sensibiliser sur les enjeux - Mme Sabah Doudou, directrice conseil, accompagnée de M. Bertrand Pineau, responsable Veille et innovation ; pour le Mouvement des entreprises de France (Medef), M. Christian Poyau, coprésident de la commission Mutations technologiques & impacts sociétaux et président-directeur général de Micropole, accompagné de M. Guillaume Adam, directeur Affaires européennes et numérique de la FIEEC (Fédération des industries électriques, électroniques et de communication) ; et pour le Mouvement des entreprises de taille intermédiaire (METI), M. Rémi Bottin, directeur Synergies et développement du Groupe Bessé, et M. Jean-Charles Duquesne, directeur général de la Normandise, accompagnés de Mme Florence Naillat, adjointe au délégué général.
Le confinement a accéléré la numérisation de l'économie, y compris celle des TPE-PME qui étaient largement en retard, comme les travaux récents de la Délégation aux entreprises du Sénat l'avaient souligné. Ce n'est pas la première fois que le Parlement s'intéresse à la sécurité numérique des entreprises. L'Office parlementaire d'évaluation des choix scientifiques et technologiques (Opecst) y avait consacré une étude approfondie en février 2015.
Il nous a semblé vital de faire un point actualisé de la situation, en le focalisant tout particulièrement sur les TPE, PME et ETI. En effet, autant la Commission nationale de l'informatique et des libertés (CNIL) protège l'usager et le citoyen, autant l'Agence nationale de sécurité des systèmes d'information (Anssi) protège les opérateurs d'importance vitale, essentiellement les grandes entreprises et des administrations, autant les entreprises plus modestes doivent se débrouiller seules. Tout au plus l'État aide-t-il les PME et start-up qui participent à l'écosystème de la cybersécurité à se structurer, notamment avec le Campus Cyber en cours de constitution.
Au-delà du constat « clinique » des coûts et risques de la cybersécurité pour l'entreprise, que nos rapporteurs, MM. Sébastien Meurant et Rémi Cardon, ont réalisé lors de leurs auditions précédentes, nous souhaitons connaître votre appréciation de la situation autour de plusieurs enjeux.
La cybersécurité des petites entreprises devrait-elle faire l'objet d'obligations directes, pour se doter de standards minimaux de protection, ou d'obligations indirectes, via, par exemple, l'instauration d'un système assurantiel de bonus-malus, variant en fonction du degré de protection dont l'entreprise s'est dotée ? La cybercriminalité est-elle suffisamment bien traitée par les pouvoirs publics en termes de sécurité et de traitement judiciaire ?
L'expertise de la cybersécurité peut-elle être mutualisée, compte tenu de la pénurie de ressources humaines, sachant que la culture de la cybersécurité doit être implantée dans chaque entreprise et même faire partie de la formation de base de tout salarié ? Un rôle d'alerte est-il en train de se construire autour des commissaires aux comptes et experts comptables ? Quelle est l'influence des grandes entreprises sur leurs PME sous-traitantes dans l'augmentation du niveau de cybersécurité de leur chaîne d'approvisionnement et de leurs fournisseurs ?
Pour accroître la cybersécurité, faut-il, et si oui, comment, simplifier l'offre de solutions, rétablir l'égalité des relations contractuelles dans le cloud au profit des PME, les encourager à témoigner pour partager leurs douloureuses expériences ?
Cette table ronde vous donne l'occasion d'avancer vos solutions pour une cybersécurité renforcée des TPE, PME et ETI. Je rappelle que le Sénat, sensibilisé à vos inquiétudes, a proposé, pour le moment en vain, un crédit d'impôt favorisant la numérisation et la cybersécurité des PME. Il a aussi proposé la création d'un « cyberscore » des solutions numériques, pour les plateformes numériques destinées au grand public, avec une proposition de loi qu'il a adoptée à l'unanimité le 22 octobre 2020.
M. Joël Thiery, membre de la CCI Paris-Île-de-France. - Les chambres de commerce et de l'industrie sont engagées depuis longtemps dans la bataille pour la cybersécurité. Mon intervention consistera en un retour d'expérience sur la base de notre participation active notamment au « Mois européen de la cybersécurité », et à la plateforme cybermalveillance.gouv.fr, groupement d'intérêt public dont CCI France fait partie des membres fondateurs. Je me baserai aussi sur les enquêtes réalisées par la CCI Bretagne et sur la consultation organisée par OpinionWay pour CCI France, La Tribune et LCI.
Nous partageons votre constat : la cybersécurité est devenue une urgence absolue. En 2020, nous avons publié une étude intitulée : Pérenniser l'entreprise face au risque cyber : de la cybersécurité à la cyberrésilience. Selon le rapport d'activité du groupement d'intérêt public Action contre la cybermalveillance (GIP Acyma) de 2019, les demandes d'assistance ont bondi de 200 % en un an. La croissance de la cybercriminalité est exponentielle et les méthodes toujours plus créatives.
Le développement du télétravail ou de l'internet des objets ne fait qu'accroître l'exposition au risque cyber. Les attaques massives sur les TPE-PME ont des conséquences économiques et sociales de plus en plus grandes. Ces attaques ciblent le plus grand nombre, moins pour s'emparer de leurs biens que contrôler les noeuds internet et rendre les futures attaques plus nocives. Cela pose la question de notre stratégie pour y faire face. Les entreprises ont-elles pris conscience du risque ? L'État et l'écosystème de la cybersécurité sont-ils suffisamment armés ?
Nos enquêtes montrent que les dirigeants ne sont pas assez sensibilisés à ces enjeux. Cela accroît l'exposition des petites entreprises au risque cyber. La cybersécurité est souvent considérée comme une priorité de second rang. Beaucoup d'entreprises, y compris des start-up, sont dans la méconnaissance, voire le déni, quant à l'importance du risque. Les dispositifs réglementaires et les outils technologiques à disposition pour sécuriser les entreprises sont souvent perçus comme des contraintes ou des technologies opaques et inaccessibles aux entreprises. Les risques augmentent avec la numérisation de l'économie : 41 % des dirigeants de PME ont peur qu'un virus infecte leur ordinateur, mais plus des trois quarts n'ont pas déployé de mesures de précaution... L'exposition au risque est accrue par l'atomisation des fournisseurs de solutions et des intervenants, le développement du shadow IT dans les TPE-PME, la méfiance des dirigeants envers les offreurs de solutions, notamment s'agissant du cloud, souvent perçu comme synonyme d'une perte de contrôle sur les données. Beaucoup de PME n'ont pas de stratégie spécifique de cyberprotection. D'autres, au contraire, ont une approche réactive et cherchent à se mettre à niveau, en utilisant les certifications et les diagnostics réguliers diffusés par l'Association française de normalisation (Afnor), notamment la norme ISO 27001. La CCI a créé la plateforme Digipilote pour les aider.
Un quart seulement des dirigeants connaît l'existence du site cybermalveillance.gouv.fr. On compte 500 formations initiales et continues en cybersécurité, dont 150 dispensées par des établissements d'enseignement supérieur, à l'image de l'Imerir, une école supérieure préparant aux métiers de la robotique, de l'intelligence artificielle et de la cybersécurité, qui dépend de la CCI de Perpignan. Toutefois 91 % des professionnels constatent la pénurie des profils qualifiés et seuls 44 % des informaticiens considèrent avoir les compétences nécessaires en cybersécurité. Nous préconisons d'accroître la collaboration entre le public et le privé. Nous encourageons aussi les entreprises à renforcer le pilotage de leur cybersécurité et à entrer dans une dynamique de cyberrésilience, de sécurité augmentée. Il faut aussi travailler avec les assureurs pour développer une couverture adéquate. Plus globalement, nous voulons engager une démarche de cyberrésilience pour dépasser la cybersécurité, afin de créer davantage de valeur et consolider notre marché.
M. Marc Bothorel, membre de la commission Numérique de la Confédération des petites et moyennes entreprises (CPME). - La Confédération des petites et moyennes entreprises est engagée dans la transition numérique des PME depuis longtemps, et donc la cybersécurité, car les deux sont indissociables. Nous cherchons à sensibiliser les chefs d'entreprise aux enjeux de la sécurité, mais sans chercher à faire peur, afin de ne pas les dissuader d'utiliser le numérique. Nous sommes convaincus que c'est par la sensibilisation que nous convaincrons les dirigeants de leur intérêt à se protéger. Obliger n'est pas suffisant, comme le montre l'application du règlement général sur la protection des données (RGPD) : beaucoup d'entreprises s'y sont conformées par obligation, mais sans développer de culture des données protégées ni prendre conscience des mesures de cybersécurité nécessaires.
La CPME a rédigé un guide de douze bonnes pratiques avec l'Anssi, simples à mettre en oeuvre pour renforcer la cyberrésilience. Nous sommes aussi partenaires depuis 2018 du « Mois européen de la cybersécurité », organisé par l'Anssi. La CPME est également l'un des membres fondateurs du GIP Acyma, qui vise à sensibiliser et à porter assistance aux cybervictimes. Une démarche de labellisation de prestataires est en cours pour développer le conseil et l'implémentation de mesures de cybersécurité. Nous participons également au Forum international de la cybersécurité (FIC), depuis 2019, en animant le « village des PME ». Nous avons rédigé une enquête en 2019 sur la cybersécurité dans les entreprises de moins de cinquante salariés. Ainsi, nous sommes conscients que la cybersécurité et la résilience sont fondamentales dans la société numérique d'aujourd'hui.
Mme Sabah Doudou, directrice conseil de la Fédération du e-commerce et de la vente à distance (Fevad). - Merci pour cette table ronde. La Fevad regroupe plus de 650 entreprises, de toutes tailles, tous secteurs confondus - industrie ou services. La moitié de nos adhérents sont des enseignes qui vendent essentiellement sur internet - acteurs traditionnels de la vente à distance, mais aussi de nouveaux acteurs. L'autre moitié de nos adhérents regroupe de grandes enseignes de la distribution, ainsi que de petites entreprises qui ont trouvé dans le e-commerce un débouché avec la crise sanitaire.
Notre rôle est d'accompagner les entreprises de vente à distance dans la numérisation en fournissant un lieu d'échanges, d'informations et de rencontres. La Fevad est aussi un observatoire privilégié des tendances et nous rédigeons des études. Notre mission est aussi de porter la voix des acteurs du e-commerce et de les accompagner sur certains sujets à fort enjeu. La cybersécurité est ainsi une priorité pour notre profession. Le sujet n'est pas simple : il n'y a pas de règle ni de méthode uniques à mettre en oeuvre, mais plutôt un objectif commun, celui de protéger les clients. La confiance est un élément clef de la relation client et de l'économie numérique.
Il faut agir sur toute la chaîne, en impliquant tous les acteurs, si l'on veut réduire la menace, même si le risque zéro n'existe pas. Les acteurs du e-commerce sont très sensibles à la sécurité des paiements en ligne et à la protection des données des clients.
Comme organisation professionnelle, nous avons rédigé un lLivre blanc sur la cybersécurité et le e-commerce en 2016 : il ne s'adressait pas aux spécialistes des nouvelles technologies, mais plutôt aux dirigeants qui souhaitent protéger leur entreprise et leur activité. Nous nous sommes fondés sur des entretiens avec des e-commerçants, des professionnels de la sécurité, des prestataires, des juristes, des chefs d'entreprise, des responsables de la sécurité, etc. Nous organisons des ateliers de réflexion pour poursuivre le dialogue entre les techniciens, les différentes professions et les entreprises, pour aider ces dernières à satisfaire à leurs obligations réglementaires ou techniques et à anticiper. Nous assurons aussi des formations pour les TPE-PME, notamment en partenariat avec cybermalveillance.gouv.fr ou avec des acteurs privés, comme Google : il s'agit de développer des formations à visée très pratique, pour sensibiliser les entreprises et leurs dirigeants. Enfin, nous sommes aussi partenaires de France Num.
M. Christian Poyau, coprésident de la commission Mutations technologiques & impacts sociétaux (Medef). - Il faut avoir conscience que l'on vit une guerre sur internet, qui concerne aussi bien les États que les entreprises. Les attaques sont très souvent coordonnées depuis l'étranger. La dimension est donc à la fois économique, politique et géostratégique. En dépit des risques, il faut absolument rester positif et ne pas effrayer les entreprises et les consommateurs.
Le Medef est très actif sur ce sujet depuis des années. Nous participons à la plupart des initiatives qui ont été citées. Nous avons aussi créé un outil d'autodiagnostic :cybersecurité.medef.com.
La protection absolue n'existe pas, comme l'ont montré les attaques aux États-Unis contre l'Agence nationale de la sécurité américaine (NSA). L'important est de se protéger et de savoir comment gérer une crise. En amont, il faut sensibiliser les collaborateurs de manière très concrète pour qu'ils ne laissent pas laisser traîner des mots de passe, n'ouvrent pas des pièces jointes suspectes, mettent à jour les logiciels, etc. Il faut inlassablement informer. Ce travail permanent de prévention est nécessaire.
L'action de l'Anssi contre la cybermalveillance est très pertinente, mais davantage destinée aux grandes entreprises. Le réseau autour de cybermalveillance.gouv.fr offre des réponses très concrètes, très simples. Des experts labellisés aident les entreprises en cas d'attaque. Mais ce réseau n'est pas assez connu.
Ces sujets sont très techniques. Il faut renforcer les moyens juridiques de l'État, car on ne compte que deux magistrats spécialisés en France. L'action doit aussi s'inscrire dans une vision géostratégique, car les attaques viennent souvent de l'étranger.
Il faut aussi renforcer la formation, mais la France n'est pas le seul pays où ce problème se pose, à l'exception peut-être d'Israël. Cela ne signifie pas forcément que chacun doit acquérir un mastère, mais il faut diffuser les bonnes pratiques sur l'usage du numérique, développer la formation continue. La France est plutôt bonne en formation initiale de spécialistes, mais elle ne sait pas retenir les talents à cause des charges et du coût du travail.
Il faut aussi travailler avec les assurances, pour mettre en place une mutualisation et éviter que les primes ne soient trop élevées.
Le Medef propose aussi un crédit d'impôt pour aider les entreprises à financer leur transformation numérique.
Pour limiter l'impact des cyberattaques, on peut aider les entreprises à placer leurs données sur le cloud, où elles seront mieux protégées que si elles étaient conservées sur les ordinateurs de l'entreprise. Cela suppose la mise en place d'un système de cloud souverain pour les données stratégiques et d'un système de confiance pour les entreprises, ce qui pose la question de la souveraineté numérique vis-à-vis des grands acteurs numériques. Il faut que la puissance publique contribue au développement d'un cloud de confiance.
En tout cas, si la cybersécurité constitue un enjeu important, nous devons néanmoins conserver un langage positif pour aider les entreprises.
Mme Florence Naillat, adjointe au délégué général du Mouvement des entreprises de taille intermédiaire (METI). - La France compte 5 400 entreprises de taille intermédiaire, qui réalisent un chiffre d'affaires de 1 000 milliards d'euros. La majorité d'entre elles sont aussi présentes à l'étranger. Les ETI n'ont pas été épargnées par la crise, avec une baisse de 6 % de leur chiffre d'affaires en 2020. Une sur deux déclare avoir vu baisser sa capacité d'investissement. Elles ont pris le virage du numérique, la crise permettant d'accélérer la dynamique. Si 85 % d'entre elles ont déclaré avoir été prêtes à faire face, 92 % disent que la crise a accéléré le recours aux outils digitaux. Elles ont été exposées à un risque cyber plus important que jamais. Ce qui nous inquiète, c'est cette conjonction d'une exposition au risque accrue d'une part, et une situation financière dégradée d'autre part.
Autre point : les dirigeants d'ETI ont été interpellés par le fait que la démarche open data ait eu pour conséquence de mettre à disposition sur la plateforme data de l'Institut national de la propriété industrielle (INPI) des données relatives aux entreprises et à leurs dirigeants, y compris des données personnelles, telles que la signature ou le nom des enfants et petits-enfants. Loin de nous la volonté de remettre en cause la démarche d'open data, mais une mise en ligne aussi simple et exhaustive n'est-elle pas en contradiction avec l'impératif de renforcer les protections ?
M. Rémi Bottin, membre du METI, directeur Synergies et développement du Groupe Bessé. - Permettez-moi de vous décrire notre quotidien. Nous sommes conseils et courtiers en assurances et travaillons avec nos clients sur la cartographie de leurs risques, ce qui permet de les prioriser et donc de les maîtriser. Une fois nos clients protégés, il demeure un risque résiduel qui peut être transféré à l'assurance. Ensuite, nous gérons les sinistres.
Longtemps, les deux tiers des ETI n'étaient pas assurées pour ce risque. Nous avons travaillé avec elles pour faire remonter ce risque dans leurs priorités, ce qui est désormais enclenché. Elles ont besoin de continuer à se transformer digitalement.
Le hacking est devenu un vrai business. Autre sujet, l'intelligence économique, qui est trop souvent sous-estimée en France. Nous avons besoin de nous poser la question : que faisons-nous pendant les six mois qui séparent l'arrivée du virus et celle de la solution ?
Désormais, depuis trois à six mois, nous ne sommes plus dans le « pourquoi » mais dans le « comment ».
Les priorités sont le cyber, mais aussi la mass supply chain qui implique des risques, car l'approvisionnement a été mondialisé. Ce que nous disons au patron, c'est qu'il doit devenir le premier risk manager et qu'il doit se faire accompagner de plusieurs collaborateurs : son directeur des systèmes d'information (DSI) et son responsable de la sécurité des systèmes d'information (RSSI) bien sûr, mais aussi ses directeurs financier, juridique, de production... en bref, tous ceux permettant de savoir comment l'IT - la technologie de l'information - est inclue dans la chaîne de valeur.
De notre côté, nous devrons mettre autour de la table des spécialistes des assurances et du cyber, de l'IT, des pertes financières et d'image pour construire des solutions de transfert du risque et imaginer les scenarii, se demander quels pourraient être les dégâts... tout cela pour apporter au patron une solution clé en main.
Le premier volet de la réaction doit être de réduire la surface d'attaque : cela passe par des sauvegardes, par des exercices de gestion de crise - car une entreprise est deux fois plus résiliente à une crise si elle s'y est préparée - et par le déploiement des gestes barrière contre les cybermenaces. Ceci doit impérativement être porté par la direction générale.
La solution assurantielle ne pourra être accordée que si l'entreprise s'est protégée. Les assureurs sélectionnent en effet drastiquement leurs clients, car ils ont très peur de ce risque systémique.
Tout cela coûte de l'argent. Il serait utile d'accélérer les actions du plan de relance sur la digitalisation. On pourrait y ajouter un suramortissement. Il faut rattraper le retard et ce rattrapage doit être financé.
M. Jean-Charles Duquesne, membre du METI, directeur général de la Normandise. - Je vous propose de témoigner : mon entreprise a été victime d'une attaque. On croit toujours que ces attaques visent Safran ou d'autres acteurs stratégiques - ma société fabrique des aliments pour chiens et chats ! Elle emploie 700 personnes, compte 120 millions d'euros de chiffre d'affaires, propose ses produits via la grande distribution ou sous ses propres marques sur un site internet. Elle est membre de la Fevad et du Medef. Si j'interviens en tant que membre du METI, c'est que notre taille implique, surtout avec la crise, une utilisation massive des mails - lesquels constituent une porte d'entrée pour les attaques.
Nous avons eu trois jours de perturbation, même si la production n'a pas été touchée, grâce à notre sensibilité au risque cyber. Le plus gros impact a été un investissement de 100 000 euros pour que cela ne se reproduise pas ; 70 personnes ont aussi été mises en congé de trois heures à trois jours.
Je suis allé porter plainte à la gendarmerie de Vire, dans le Calvados ; un gendarme m'a écouté avec beaucoup de compassion, mais aucune transmission n'a été faite à un service spécialisé. Il m'a rappelé un mois après pour savoir si j'avais des nouvelles de mes hackers. Bref, cette plainte a été un coup d'épée dans l'eau.
Il y a des choses que nous avons bien faites ; d'autres qu'on ne refera pas. Je ne saurais trop appeler les entreprises à se préparer.
M. Sébastien Meurant, co-rapporteur. - Merci à tous. La cybersécurité est un sujet de souveraineté. Le témoignage que nous venons d'entendre montre qu'on peut trouver des solutions pratiques, puisque la crise n'a duré que trois jours, grâce à des exercices. Vous exprimez ce qu'on a découvert par ailleurs : l'État n'est pas préparé et il y a toute une chaîne à construire.
C'est une question très urgente. Nous pensons aussi aux TPE et PME. Leur prise de conscience naît souvent avec des exemples d'attaques relatées par les grands médias. D'après vous, que faudrait-il faire d'abord ?
M. Marc Bothorel. - Je suis le dirigeant d'une société d'informatique spécialisée dans la cybersécurité mais aussi lieutenant de réserve au commandement de cyberdéfense. J'anime ainsi beaucoup de séminaires de sensibilisation à la cybersécurité.
Il y a eu une prise de conscience à la CPME, comme chez les chefs d'entreprise et le personnel des chambres de commerce, sur le fait que le premier rempart est humain. Il faut se former, sensibiliser, établir un plan de formation continue : c'est ce qui permet de se protéger à moindre coût.
Deuxième constat : hier encore, j'ai reçu trois demandes d'assistance de victimes. Ces demandes sont en constante augmentation, en particulier depuis un an.
Lorsque nous avons édité un guide de bonnes pratiques avec l'Agence nationale de la sécurité des systèmes d'information (Anssi), nous avons invité tous les adhérents de la CPME à une présentation - une trentaine de personnes seulement étaient venues. J'avais été très déçu, d'autant que j'attendais le même nombre de personnes à un séminaire que j'organisais pour mes clients.
Tout à l'heure, j'organise un séminaire pour une entreprise nantaise qui a invité ses clients : il y aura 150 personnes ; demain, un autre séminaire rassemblera 200 personnes. Lorsque j'organise des cycles de séminaires, celui sur la cybersécurité est toujours le plus écouté. Les chefs d'entreprises nous demandent : que peut-on faire ? Aidez-nous ! C'est donc le bon moment pour agir.
M. Christian Poyau. - Il faudrait s'appuyer sur cybermalveillance.gouv.fr. On l'a vu, au sein même de la gendarmerie, il faudrait communiquer sur ce sujet ! Ne multiplions pas les canaux au niveau de l'État, mais identifions clairement un réseau qui soit mieux connu dans la gendarmerie et parmi les chefs d'entreprise.
M. Joël Thiery. - Il faut profiter de tous les moyens proposés par France relance. Le Gouvernement a confié aux CCI 5 000 diagnostics de TPE-PME, en priorité de commerçants, assez mal protégés et qu'il faut sensibiliser. Il faut poursuivre cette action à tous les niveaux. Dans les chambres, nous mettons en place des cyber-référents et acculturons les chefs d'entreprise. Il y a malheureusement souvent peu de participants aux réunions - c'est que les chefs d'entreprises manquent toujours de temps. Mais à moyen terme, je ne peux être que confiant. Dans les Hauts-de-France par exemple, que connaît bien le sénateur Cardon, à Amiens, en particulier, la CCI de la Somme a mené des actions de sensibilisation à l'automne dernier. Les TPE-PME ont répondu présent.
M. Rémi Bottin. - Il est urgent de travailler sur la maîtrise de risque. Ne serait-il pas possible de flécher les financements français et européens dans cette direction ? L'idéal serait un « chèque cybersécurité », à utiliser auprès d'organismes certifiés. Cela libérerait de l'argent directement pour avancer.
M. Rémi Cardon, co-rapporteur. - Avec le télétravail, le travail des assureurs doit être mis en difficulté. Comment les assurances sont-elles sûres de ce qu'elles peuvent assurer ? Il est difficile de démocratiser la cybersécurité. Vous menez tous des actions, mais ne serait-il pas temps de réfléchir à un plan de communication pédagogique ? Une entreprise victime de cyberattaque a du mal à comprendre vers quel guichet se tourner. Tout semble très centralisé autour de grandes métropoles et de Paris en particulier. Il faudrait simplifier les démarches. Beaucoup d'entrepreneurs se contentent d'aller au commissariat pour porter plainte.
M. Guillaume Adam, membre du Medef, directeur Affaires européennes et numérique à la Fédération des industries électriques, électroniques et de communication (FIEEC). - La FIEEC rassemble 2 000 entreprises pour plus de 100 milliards d'euros de chiffre d'affaires ; parmi elles, nous comptons des offreurs de solutions mais aussi des utilisateurs et des intégrateurs de ces solutions, des leaders mondiaux et tout un tissu de PME et d'ETI. Nous avons décidé que 2017 serait l'année de la cybersécurité. Oui, la sensibilisation est essentielle, à organiser peut-être en partenariat avec l'Anssi. Je souscris à la proposition d'un crédit d'impôt cybersécurité.
Il ne faut pas oublier non plus la sécurité des produits, c'est-à-dire la cybersécurité par conception, ou cybersecurity by design, en fonction d'une analyse des risques. L'approche européenne est particulièrement intéressante, afin d'harmoniser au maximum les exigences entre les différents États membres.
M. Bertrand Pineau, responsable Veille et information à la Fevad. - La Fevad travaille depuis longtemps avec cybermalveillance.gouv.fr. Il ne faut pas disperser les acteurs. Nous travaillons aussi autour de la contrefaçon dans le e-commerce, qui est en quelque sorte une attaque cyber dans le domaine de la propriété intellectuelle. Nous travaillons avec l'association contre le commerce illicite.
M. Jean-Charles Duquesne. - Après l'attaque que nous avons subie, nous avons développé une solution permettant d'envoyer des mails pourris à l'ensemble de nos salariés, pour savoir s'ils cliquaient sur les pièces jointes. Tout le monde avait été sensibilisé par l'attaque. Eh bien, un mois seulement après, 34 % des salariés sont tombés dans le piège. La pédagogie est basée sur la répétition...
J'en ai parlé à ma fille de 14 ans. Au collège, on lui a parlé du site Pix, qui permet à chacun d'évaluer ses compétences en matière numérique. Cette plateforme pour le grand public est formidable.
Mme Marie-Christine Chauvin. - Je me fais énormément de soucis pour nos petits commerçants, qui ont dû bricoler pour continuer à vendre en ligne. Leur survie est en jeu. Certains vont jusqu'au paiement en ligne. Je crains qu'ils ne soient pas armés, car ils ne sont pas nombreux à participer aux formations : ils sont souvent seuls dans leur boutique. Prévoyez-vous d'aller au plus près d'eux ?
Quand on parle de libérer de l'argent dans le cadre du plan de relance, je pense que ce n'est pas seulement une question d'argent, ou alors pour payer quelqu'un qui aille au plus près des professionnels. Il y a un besoin de formation pour la gendarmerie, pour les professionnels, mais aussi pour le grand public : les jeunes générations sont peut-être sensibilisées, mais les plus de cinquante ans n'ont pas le réflexe de voir les pièges lorsqu'ils se présentent.
M. Philippe Clerc, conseiller expert pour les études et la prospective à la CCI Paris-Île-de-France. - Les CCI organisent trois fois par an des échanges d'information au centre de renseignement opérationnel de la gendarmerie, qui forme les référents sur tout le territoire. Comme cela a été très bien dit, les gendarmes sont démunis, car en manque criant d'effectifs. Quand on dialogue avec des magistrats à l'Institut des hautes études de la sécurité et de la justice (IHESJ), ils nous disent qu'ils manquent d'enquêteurs qualifiés, vu l'ampleur de la menace. Cette criminalité touche à 70 % les petits commerçants, car cela correspond à une criminalité d'escroquerie classique qui passe désormais par le vecteur informatique ; elle est liée pour 30 % à des systèmes de traitement automatisé ; 5 % seulement est le fait de hackers.
M. le sénateur Meurant demandait quelles devaient être les priorités ; je répondrais : mutualiser les compétences, former, organiser des dispositifs d'alerte avec les experts-comptables. Il faut décentraliser, car nous sommes tous responsables.
Plutôt que de tout faire remonter au Parquet de Paris, il serait préférable de décentraliser les plaintes. Pour cela, il faudrait bien sûr former les enquêteurs.
M. Joël Thiery. - On pourrait imaginer que l'Institut des hautes études du ministère de l'intérieur, qui succède à l'IHESJ, organise des formations comme celles que dispense l'Institut des hautes études de défense nationale (IHEDN)... Il faut utiliser tous les relais d'information. On le fait souvent avec le Medef et la CPME. L'école des officiers de la gendarmerie est très active. Il y a bien une réunion annuelle à Lille, mais elle n'est pas ouverte aux PME.
M. Marc Bothorel. - La semaine dernière, j'ai animé un séminaire de la chambre de commerce de l'Essonne. Le Grand Paris m'en demande une autre. Il y a un réel besoin et une demande.
Depuis la création de la réserve citoyenne, un changement de doctrine a laissé largement les réservistes civils de côté, au profit des réservistes opérationnels. C'est dommage : ils pourraient être utilisés pour faire de la sensibilisation.
Lorsque les cyber-victimes s'adressent à nous, elles ne savent pas quoi faire. Je suis aussi secouriste-réanimateur ; j'ai l'impression que les entreprises sont dans la même situation que ces gens qui ne savent pas réagir face à un accident.
Il y a diverses plateformes, mais pas de memento unique indiquant ce qu'il faut faire face à une attaque. Il manque cette cohérence dans l'ensemble des dispositifs qui existent, mais sont méconnus.
M. Christian Poyau. - Oui, il faudrait un guichet unique déployé sur le territoire. Nous devons marteler le message : consultez le site cybermalveillance.gouv.fr. Mais les agents de ce service ne pourront pas tout faire. Il faudrait le régionaliser.
M. Jean-Pierre Moga. - Dans la nuit du 10 mars, un incendie a ravagé quatre des six salles de stockage de données d'OVH à Strasbourg, détruisant une dizaine de milliers de serveurs physiques. Il faudra à l'entreprise plusieurs semaines pour remettre à niveau les données.
OVH comporte une trentaine de centres, dont la moitié en France. La conséquence immédiate du sinistre est que de très nombreuses entreprises sont partiellement ou complètement paralysées, certaines n'ayant pas de capacité propre de stockage.
Ne pensez-vous pas que ce type d'accident peut remettre en cause la politique de stockage des données des entreprises ? Même s'il ne s'agit pas d'une cyberattaque - l'enquête le dira - avez-vous envisagé ce type d'incident ? Parmi les sociétés victimes, il y a des sociétés d'experts-comptables. Le résultat, c'est que des centaines d'entreprises, voire plus, ne pourront pas déclarer leurs impôts dans les délais. Le Medef s'est-il rapproché de Bercy pour demander un délai supplémentaire ?
Mme Delphine Borne. - Sur l'aspect juridique, en tant qu'organisation patronale, nous ne sommes pas dans l'accompagnement des chefs d'entreprise dans ces situations, nous nous situons plutôt dans la sensibilisation en amont. Nous promouvons en particulier cybermalveillance.gouv.fr dont nous appartenons aux membres fondateurs. Nous souhaiterions que plus de moyens soient dédiés à cette plateforme afin que l'assistance aux chefs d'entreprise attaqués soit disponible dans le parcours dédié sur le site cybermalveillance.gouv.fr. J'espère que les cyberattaques qui ont été médiatisées récemment ont permis de sensibiliser les citoyens, dont les chefs d'entreprise. Lorsque je suis arrivée à la CPME il y a 4 ans, les formations cyber dispensées aux adhérents, intéressaient peu. Aujourd'hui, avec cette prise de conscience qui se dessine, les publications à ce sujet sur nos réseaux sociaux sont les plus suivies. Sur cybermalveillance.gouv.fr, de nombreux conseils et la marche à suivre en cas d'attaque sont recensés, mais les moyens dédiés à la lutte contre la cyber malveillance doivent être décuplés, avec, par exemple, davantage de juges formés à ces sujets.
M. Marc Bothorel. - Pour revenir sur OVH, l'enquête est en cours bien sûr, mais ce qu'il ressort de cet incident c'est que de nombreuses personnes, par méconnaissance, pensaient que leurs données hébergées dans ces centres de données étaient sous la protection de ces ressources mutualisées. Or, dans les contrats d'hébergement cadre, il y a beaucoup d'options, et beaucoup n'avaient pas souscrit l'option « continuité d'activité », par méconnaissance ou manque de moyens. Ainsi, les gens qui avaient souscrit cette option ont eu la possibilité de basculer sur un serveur sain, ce qui leur a permis un redémarrage presque instantané. Je ne pense pas que cet incendie remette en cause la possibilité d'avoir des ressources d'hébergement mutualisées, comme le propose OVH. On constate surtout une méconnaissance des mécanismes à mettre en oeuvre et à souscrire pour s'assurer une continuité d'activité. De même, dans la plupart des petites entreprises, il semble y avoir une confiance absolue dans les systèmes de protection mis en place, couplée à une ignorance des risques cyber : en effet, beaucoup de petites entreprises considèrent que ces investissements en cybersécurité ne sont pas rentables. Cela est d'autant plus vrai aujourd'hui, en temps de crise économique, où les entreprises cherchent à minimiser les investissements non économiquement rentables ou les remettent à plus tard. Malheureusement.
M. Rémi Bottin. - Le côté « positif » de cet incendie est qu'il a pu montrer que ce cloud est quand même physique et que ce n'est pas parce qu'on sous-traite qu'on est complètement tranquille. Il permet de sensibiliser encore plus, notamment sur la gestion de crise et permet aux chefs d'entreprise de se mettre en situation et de se poser les bonnes questions : « Si jamais le sinistre arrive, comment je redémarre mon activité ? Quels sont les liens contractuels avec mon sous-traitant ? Quelles sont les options souscrites ? ».
Dès lors, comment aider et accompagner les chefs d'entreprise dans cette prise de conscience ? Je pense que le partenariat public-privé est très important dans ce cadre, qu'il faut d'une part, continuer à informer et sensibiliser, et d'autre part, des professionnels pour expliquer aux chefs d'entreprise les risques mais aussi la voie à suivre sur les volets infrastructures, sauvegarde, formation du personnel, architecture de réseaux, assurance, etc. Il faut orienter la réflexion des chefs d'entreprise pour qu'ils sachent comment et à quel rythme avancer, ainsi qu'identifier les relais financiers auxquels ils peuvent prétendre pour s'équiper.
Les experts considèrent qu'il faudrait, en fonction du type d'activité, investir entre 5 et 20 % de son budget IT dans la cybersécurité. Bien que ce sujet, sans rentabilité immédiate, ne passionne pas les chefs d'entreprise, il faut l'intégrer dans une démarche de transformation digitale et accéder aux demandes des DSI ou des RSSI en ce sens. Ces mesures de sécurité sont nécessaires, c'est de la gestion en bon père de famille. Comment orienter ce budget cyber ? Comment réagir en cas de crise lorsqu'on a sous-traité, comme dans le cas d'OVH ? Le raisonnement doit toujours être de se baser sur son application IT et selon les besoins de sa chaine de valeur.
M. Sébastien Meurant, co-rapporteur. -Par rapport aux opérateurs réseaux, quelles sont vos attentes ?
M. Guillaume Adam. - L'infrastructure numérique constitue le socle. Sans cette infrastructure numérique, nous ne pouvons pas avoir d'usages ou de traitements de données numériques ; c'est un socle indispensable, qui doit être de qualité pérenne quel que soit sa nature. Cette infrastructure doit être sécurisée dans les meilleures conditions. Cela est bien pris en considération dans les travaux menés aujourd'hui pour assurer la sécurité du réseau, qui est fondamentale et s'inscrit dans une logique globale de chaîne de valeur sur les produits.
M. Marc Bothorel. - Je souhaiterais revenir sur une statistique qui demeure constante d'année en année : 80 à 90 % des attaques réussies ont commencé par un mail frauduleux. On a vu en mars de l'année dernière, une augmentation de l'activité de phishing de 660 % en un mois. Quand il s'agit de protéger les TPE-PME, il s'agit d'abord de protéger les portes d'entrées. C'est pour cela que nous insistons beaucoup à la CPME sur la sensibilisation, par rapport à « la faiblesse qui existe entre la chaise et le clavier » : car il y des personnes derrière les machines, l'humain reste le maître à bord, l'utilisateur a toujours le mot final. Pour résumer, il faudrait donc en priorité sensibiliser les personnes pour les rendre plus alertes à ce type d'attaques, et mettre en place des solutions relativement peu coûteuses pour les entreprises, et qui devraient être systématiques, comme les antivirus et les solutions anti-spams. Nous avons à ce propos une grande société française, leader mondial des filtres anti-spams, la société Vade Secure à Lille, qui protège plus d'un milliard de boites mails dans le monde. Avec ces trois actions - sensibilisation, solutions antivirus et anti-spams - on diminue très largement la surface d'attaque d'une TPE-PME ou d'un commerçant.
M. Rémi Bottin. - Le coût moyen d'une cyberattaque pour une TPE ou une PME en 2020 était de 35 000 euros, contre 5 000 euros en 2019. Communiquer sur ces chiffres pourrait conduire les petites entreprises à investir plus facilement dans mesures de cybersécurité. Pour une ETI, le coût est de 460 000 euros en moyenne, avec un écart type important en fonction de la taille de l'entreprise. C'est un business qui se développe et dans lequel le coût augmente, avec des hackeurs qui se professionnalisent. Il faut communiquer sur cette incidence et mettre des euros dans la tête des chefs d'entreprise pour qu'ils mettent en face d'autres euros pour se protéger.
M. Serge Babary, président. -Je souhaiterais remercier chacun des intervenants des différentes fédérations représentées ce matin, ainsi que M. Duquesne pour son témoignage. Cet après-midi, nos deux rapporteurs poursuivront leurs auditions avec la CNIL à 14h30, et avec le Coordinateur national de la stratégie d'accélération cybersécurité, placé auprès du Premier ministre, à 15h30. Tous les sénateurs membres de la Délégation y sont les bienvenus.
Comme vous le voyez, mesdames et messieurs, nous souhaitons travailler en profondeur sur ce thème, et certaines idées évoquées ce matin seront sûrement reprises par nos rapporteurs, avec le souhait les faire avancer, sur le plan législatif le cas échéant. Vous constatez l'intérêt du Sénat pour ce sujet que nous avons souhaité aborder parallèlement au souci de développer la numérisation des entreprises. On a bien vu l'accélération de cette numérisation pendant la crise du coronavirus, numérisation essentielle pour un certain nombre d'entreprises, et en même temps, une prise de conscience du danger que cette présence numérique suppose, sans pour autant affoler les chefs d'entreprise, en particulier les TPE et les commerçants, pour ne pas susciter de blocage quant à cette avancée technologique.
Merci à tous pour votre participation.
La réunion est close à 10 heures 50.